为安装设备的用户创建 IAM policy 和角色 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

为安装设备的用户创建 IAM policy 和角色

注意

这些步骤仅在 Amazon IoT 控制台的指导下使用。

要从控制台转到此页面,请打开创建新的预调配模板

为了获得最安全的体验,应在 IAM 控制台中执行 IAM 操作。本节中的过程将引导您完成创建相关 IAM 角色和策略的步骤,使用预调配模板需要这些 IAM 角色和策略。

为将安装设备的用户创建 IAM policy

此过程介绍如何创建授权用户使用预调配模板安装设备的 IAM policy。

执行此过程时,您将在 IAM 控制台和 Amazon IoT 控制台之间进行切换。我们建议您在完成此过程时同时打开这两个控制台。

为将安装设备的用户创建 IAM policy

  1. 打开 IAM 控制台中的 Policies(策略)中心

  2. 请选择Create Policy(创建策略)

  3. 创建策略页面上,选择 JSON 选项卡。

  4. 切换到 Amazon IoT 控制台中您选择 Configure user policy and role(配置用户策略和角色)的页面。

  5. Sample provisioning policy(示例预调配策略)中,选择 Copy(复制)。

  6. 切换回 IAM 控制台。

  7. JSON 编辑器中,粘贴您从 Amazon IoT 控制台复制的策略。此策略特定于您在 Amazon IoT 控制台中创建的模板。

  8. 要继续,请选择下一步:标签

  9. Add tags (Optional) [添加标签(可选)] 页面上,为要添加到此策略的每个标签选择 Add tag(添加标签)。如果没有任何标签要添加,您可以跳过该步骤。

  10. 要继续,请选择下一步:审核

  11. 查看策略页面上,执行以下操作:

    1. 对于 Name*(名称*),为策略输入可帮助您记住其作用的名称。

      记下您为该策略提供的名称,因为您将在下一步中使用该名称。

    2. 您可以选择输入您创建的策略的可选描述。

    3. 查看本策略的其余部分及其标签。

  12. 要完成创建新策略,请选择 Create policy(创建策略)。

创建新策略后,继续执行为将安装设备的用户创建 IAM 角色,以创建要附加此策略的用户角色条目。

为将安装设备的用户创建 IAM 角色

以下步骤介绍如何创建一个 IAM 角色,以对将使用预调配模板安装设备的用户进行身份验证。

为将安装设备的用户创建 IAM policy

  1. 打开 IAM 控制台中的 Role(角色)中心

  2. 选择 Create role(创建角色)。

  3. Select trusted entity(选择可信实体)中,选择可信实体的类型,您要向该可信实体授予对您正在创建的模板的访问权限。

  4. 选择或输入您要向其授予访问权限的可信实体的标识,然后选择 Next(下一步)。

  5. Add permissions(添加权限)页面的 Permission policies(权限策略)中的搜索框中,输入您在上一个过程中创建的策略的名称。

  6. 对于策略列表,选择在上一个过程中创建的策略,然后选择 Next(下一步)。

  7. Name, review, and create(命名、查看和创建)部分中,执行以下操作:

    1. 对于 Role name(角色名称),键入有助于您记住此角色的作用的角色名称。

    2. 对于 Description(描述),您可以选择输入角色的可选描述。不需要执行此操作即可继续。

    3. 查看 Step 1(步骤 1)和 Step 2(步骤 2)中的值。

    4. 对于 Add tags (Optional) [添加标签(可选)],可以选择向该角色添加标签。不需要执行此操作即可继续。

    5. 确保该页面上的信息完整且正确无误,然后选择 Create role(创建角色)。

在创建新的角色后,返回到 Amazon IoT 控制台以继续创建模板。

更新现有策略以向新模板授权

以下步骤介绍如何向 IAM policy 添加新模板,此策略授权用户使用预调配模板安装设备。

向现有 IAM policy 添加新的模板

  1. 打开 IAM 控制台中的 Policies(策略)中心

  2. 在搜索框中,输入要更新的策略的名称。

  3. 在搜索框下方的列表中,找到要更新的策略并选择策略名称。

  4. 对于 Policy summary(策略摘要),选择 JSON 选项卡(如果该面板尚不可见)。

  5. 要编辑策略文档,请选择 Edit policy(编辑策略)。

  6. 在编辑器中,选择 JSON 选项卡(如果该面板尚不可见)。

  7. 在策略文档中,查找包含 iot:CreateProvisioningClaim 操作的策略语句。

    如果策略文档不包含带有 iot:CreateProvisioningClaim 操作的策略语句,请复制以下语句片段,并将其作为附加项粘贴到策略文档的 Statement 数组中。

    注意

    此片段必须放在 Statement 数组中的结束 ] 字符之前。您可能需要在此片段之前或之后添加逗号,以更正任何语法错误。

    { "Effect": "Allow", "Action": [ "iot:CreateProvisioningClaim" ], "Resource": [ "--PUT YOUR NEW TEMPLATE ARN HERE--" ] }
  8. 切换到 Amazon IoT 控制台中您选择 Modify user role permissions(修改用户角色权限)的页面。

  9. 找到模板的 Resource ARN(资源 ARN)并选择 Copy(复制)。

  10. 切换回 IAM 控制台。

  11. 将复制的 Amazon 资源名称(ARN)粘贴到 Statement 数组中模板 ARN 列表的顶部,使其成为第一个条目。

    如果这是数组中唯一的 ARN,请删除刚粘贴的值末尾的逗号。

  12. 查看更新的策略语句,并更正编辑器指示的任何错误。

  13. 要保存更新的策略文档,请选择 Review policy(查看策略)。

  14. 查看策略,然后选择 Save changes(保存更改)。

  15. 返回到 Amazon IoT 控制台。