事物策略变量
事物策略变量允许您根据事物名称、事物类型和事物属性值等事物属性来编写授予或拒绝权限的 AWS IoT 策略。事物名称从事物连接至 Connect 时发送的 MQTT AWS IoT 消息中的客户端 ID 获取。当事物通过使用 TLS 双向身份验证的 MQTT 或通过基于 WebSocket 的 MQTT 协议(使用经过身份验证的
AWS IoT 身份)连接至 Amazon Cognito 时,事物策略变量将被替换。当证书或经过身份验证的 Amazon Cognito 身份附加到事物时,事物策略变量也将被替换。可以使用
AttachThingPrincipal API 将证书和经过身份验证的 Amazon Cognito 身份附加到事物。
可用的事物策略变量如下:
-
iot:Connection.Thing.ThingName -
iot:Connection.Thing.ThingTypeName -
iot:Connection.Thing.Attributes[attributeName] -
iot:Connection.Thing.IsAttached
iot:Connection.Thing.ThingName
它解析为 AWS IoT 注册表中要评估策略的事物的名称。AWS IoT 使用设备在进行身份验证时提供的证书,以确定用于验证连接的事物。只有在设备通过 MQTT 或通过 WebSocket 的 MQTT 协议进行连接时,才能使用该策略变量。
iot:Connection.Thing.ThingTypeName
它解析为与要评估策略的事物关联的事物类型。事物名称设置为 MQTT/WebSocket 连接的客户端 ID。事物类型名称通过调用 DescribeThing API 获得。此策略变量仅在通过 MQTT 或基于 WebSocket 协议的 MQTT 连接时可用。
iot:Connection.Thing.Attributes[attributeName]
它解析为与要评估策略的事物关联的指定属性的值。事物最多可以具有 50 个属性。每个属性都作为策略变量提供:iot:Connection.Thing.Attributes[,其中 attributeName]attributeName 是属性的名称。事物名称设置为 MQTT/WebSocket 连接的客户端 ID。此策略变量仅在通过 MQTT 或基于 WebSocket 协议的 MQTT 连接时可用。
iot:Connection.Thing.IsAttached
如果要评估策略的证书或 Amazon Cognito 身份附加到 IoT 事物,该属性将解析为 true。如果设备提供的证书未附加到 AWS IoT 注册表中的 IoT 事物,您可以使用该变量禁止设备连接到 AWS IoT。