Amazon IoT 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon IoT 的操作、资源和条件键

Amazon IoT(服务前缀:iot)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon IoT 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AcceptCertificateTransfer 授予接受待处理证书传输的权限 写入

cert*

AddThingToBillingGroup 授予向指定账单组添加事物的权限 写入

billinggroup*

thing*

AddThingToThingGroup 授予向指定事物组添加事物的权限 写入

thing*

thinggroup*

AssociateTargetsWithJob 授予将组与连续作业关联的权限 写入

job*

thing*

thinggroup*

AttachPolicy 授予将策略附加到指定目标的权限 权限管理

cert

thinggroup

AttachPrincipalPolicy 授予将指定的策略附加到指定的委托人(证书或其他凭证)的权限 权限管理

cert

AttachSecurityProfile 授予将 Device Defender 安全配置文件与事物组或此账户关联的权限 写入

securityprofile*

custommetric

dimension

thinggroup

AttachThingPrincipal 授予将指定委托人附加到指定事物的权限 写入
CancelAuditMitigationActionsTask 授予取消正在进行的缓解操作任务的权限 写入
CancelAuditTask 授予权限以取消正在进行的审计。审核可能是计划审核,也可能是按需审核 写入
CancelCertificateTransfer 授予取消指定证书的待处理传输的权限 写入

cert*

CancelDetectMitigationActionsTask 授予取消 Device Defender ML Detect 缓解操作的权限 写入
CancelJob 授予取消作业的权限 写入

job*

CancelJobExecution 授予在特定设备上取消作业执行的权限 写入

job*

thing*

ClearDefaultAuthorizer 授予清除默认授权者的权限 写入
CloseTunnel 授予关闭隧道的权限 写入

tunnel*

iot:Delete

ConfirmTopicRuleDestination 授予确认 http 网址的权限 TopicRuleDestinationDestination 写入

destination*

Connect 授予作为指定客户端进行连接的权限 写入

client*

CreateAuditSuppression 授予创建 Device Defender 审核抑制的权限 写入
CreateAuthorizer 授予创建授权方的权限 写入

authorizer*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBillingGroup 授予创建账单组的权限 写入

billinggroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCertificateFromCsr 授予使用指定的证书签名请求创建 X.509 证书的权限 写入
CreateCertificateProvider 授予创建证书提供商的权限 写入

certificateprovider*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCustomMetric 授予创建用于设备端指标报告和监控的自定义指标的权限 写入

custommetric*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDimension 授予权限以定义一个维度,该维度可用于限制安全配置文件中使用的指标的范围 写入

dimension*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDomainConfiguration 授予创建域配置的权限 写入

domainconfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

iot:DomainName

CreateDynamicThingGroup 授予创建动态事物组的权限 Write

dynamicthinggroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFleetMetric 授予创建队列指标的权限 写入

fleetmetric*

index*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateJob 授予权限以创建作业 写入

job*

thing*

thinggroup*

jobtemplate

package

packageversion

aws:RequestTag/${TagKey}

aws:TagKeys

CreateJobTemplate 授予创建作业模板的权限 写入

jobtemplate*

job

package

packageversion

aws:RequestTag/${TagKey}

aws:TagKeys

CreateKeysAndCertificate 授予权限以创建 2048 位 RSA 密钥对,并使用已发布公有密钥颁发 X.509 证书 写入
CreateMitigationAction 授予权限以定义可应用于审计结果的操作 StartAuditMitigationActionsTask 写入

mitigationaction*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOTAUpdate 授予创建 OTA 更新作业的权限 写入

otaupdate*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePackage 授予权限以创建可部署到设备上的软件程序包 写入

package*

iot:GetIndexingConfiguration

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePackageVersion 授予权限以在指定的程序包下创建版本 写入

package*

iot:GetIndexingConfiguration

packageversion*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy 授予创建 Amazon IoT 策略的权限 写入

policy*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicyVersion 授予权限以创建指定 Amazon IoT 策略的新版本 写入

policy*

CreateProvisioningClaim 授予创建预置要求的权限 写入

provisioningtemplate*

CreateProvisioningTemplate 授予创建队列预置模板的权限 写入

provisioningtemplate*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisioningTemplateVersion 授予创建队列预置模板新版本的权限 写入

provisioningtemplate*

CreateRoleAlias 授予创建角色别名的权限 写入

rolealias*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateScheduledAudit 授予权限以创建计划审核,使之按指定的时间间隔运行 写入

scheduledaudit*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSecurityProfile 授予创建 Device Defender 安全配置文件的权限 写入

securityprofile*

custommetric

dimension

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStream 授予创建新 Amazon IoT 流的权限 写入

stream*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateThing 授予在事物注册表中创建事物的权限 写入

thing*

billinggroup

CreateThingGroup 授予权限以创建事物组 写入

thinggroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateThingType 授予权限以创建新的事物类型 写入

thingtype*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTopicRule 授予权限以创建规则 写入

rule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTopicRuleDestination 授予创建 TopicRuleDestination 写入

destination*

DeleteAccountAuditConfiguration 授予删除与账户关联的审核配置的权限 写入
DeleteAuditSuppression 授予删除 Device Defender 审核抑制的权限 写入
DeleteAuthorizer 授予删除指定授权方的权限 写入

authorizer*

DeleteBillingGroup 授予权限以删除指定的账单组 写入

billinggroup*

DeleteCACertificate 授予删除已注册 CA 证书的权限 写入

cacert*

DeleteCertificate 授予删除指定证书的权限 写入

cert*

DeleteCertificateProvider 授予删除证书提供者的权限 写入

certificateprovider*

DeleteCustomMetric 授予从 Amazon Web Services 账户 中删除指定的自定义指标的权限。 写入

custommetric*

DeleteDimension 授予从您的 Amazon Web Services 账户 中删除指定维度的权限。 写入

dimension*

DeleteDomainConfiguration 授予权限以删除域配置 写入

domainconfiguration*

DeleteDynamicThingGroup 授予删除指定动态事物组的权限 Write

dynamicthinggroup*

DeleteFleetMetric 授予删除指定队列指标的权限 写入

fleetmetric*

DeleteJob 授予删除作业及其相关作业执行的权限 写入

job*

DeleteJobExecution 授予删除作业执行的权限 写入

job*

thing*

DeleteJobTemplate 授予删除作业模板的权限 写入

jobtemplate*

DeleteMitigationAction 授予从您的 Amazon Web Services 账户 中删除定义的缓解操作的权限。 写入

mitigationaction*

DeleteOTAUpdate 授予删除 OTA 更新作业的权限 写入

otaupdate*

DeletePackage 授予删除软件包的权限 写入

package*

DeletePackageVersion 授予权限以删除指定程序包的版本 写入

package*

packageversion*

DeletePolicy 授予删除指定策略的权限 写入

policy*

DeletePolicyVersion 授予删除指定策略的指定版本的权限 写入

policy*

DeleteProvisioningTemplate 授予删除队列预置模板的权限 写入

provisioningtemplate*

DeleteProvisioningTemplateVersion 授予删除队列预置模板版本的权限 写入

provisioningtemplate*

DeleteRegistrationCode 授予删除 CA 证书注册代码的权限 写入
DeleteRoleAlias 授予删除指定的角色别名的权限 写入

rolealias*

DeleteScheduledAudit 授予删除计划审核的权限 写入

scheduledaudit*

DeleteSecurityProfile 授予删除 Device Defender 安全配置文件的权限 写入

securityprofile*

custommetric

dimension

DeleteStream 授予删除指定流的权限 写入

stream*

DeleteThing 授予删除指定事物的权限 写入

thing*

DeleteThingGroup 授予删除指定事物组的权限 写入

thinggroup*

DeleteThingShadow 授予删除指定事物影子的权限 写入

thing*

DeleteThingType 授予删除指定事物类型的权限 写入

thingtype*

DeleteTopicRule 授予删除指定规则的权限 写入

rule*

DeleteTopicRuleDestination 授予删除权限 TopicRuleDestination 写入

destination*

DeleteV2LoggingLevel 授予删除指定的 v2 日志记录级别的权限 写入
DeprecateThingType 授予弃用指定事物类型的权限 写入

thingtype*

DescribeAccountAuditConfiguration 授予获取有关账户审核配置信息的权限 读取
DescribeAuditFinding 授予权限以获取有关单个审计发现的信息。属性包括不合规的原因、问题的严重性以及返回该结果的审核的开始时间 读取
DescribeAuditMitigationActionsTask 授予权限以获取有关审核缓解任务的信息,该任务用于向一组审核结果应用缓解操作 读取
DescribeAuditSuppression 授予获取有关 Device Defender 审核抑制的信息的权限 读取
DescribeAuditTask 授予获取有关 Device Defender 审核的信息的权限 读取
DescribeAuthorizer 授予描述授权者的权限 读取

authorizer*

DescribeBillingGroup 授予获取有关指定账单组的信息的权限 读取

billinggroup*

DescribeCACertificate 授予描述已注册 CA 证书的权限 读取

cacert*

DescribeCertificate 授予获取有关指定证书信息的权限 读取

cert*

DescribeCertificateProvider 授予描述证书提供者的权限 读取

certificateprovider*

DescribeCustomMetric 授予描述您的 Amazon Web Services 账户 中定义的自定义指标的权限。 读取

custommetric*

DescribeDefaultAuthorizer 授予描述默认授权方的权限 读取
DescribeDetectMitigationActionsTask 授予描述 Device Defender ML Detect 缓解操作的权限 读取
DescribeDimension 授予获取有关您的 Amazon Web Services 账户 中定义的维度的详细信息的权限。 读取

dimension*

DescribeDomainConfiguration 授予获取有关域配置信息的权限 读取

domainconfiguration*

DescribeEndpoint 授予获取特定于进行调用的 Amazon Web Services 账户 的唯一终端节点的权限 读取
DescribeEventConfigurations 授予获取账户事件配置的权限 读取
DescribeFleetMetric 授予获取有关指定队列指标信息的权限 读取

fleetmetric*

DescribeIndex 授予获取有关指定索引信息的权限 读取

index*

DescribeJob 授予描述作业的权限 读取

job*

DescribeJobExecution 授予描述作业执行的权限 读取

job

thing

DescribeJobTemplate 授予描述作业模板的权限 读取

jobtemplate*

DescribeManagedJobTemplate 授予描述托管任务模板的权限 读取

jobtemplate*

DescribeMitigationAction 授予获取有关缓解操作的信息的权限 读取

mitigationaction*

DescribeProvisioningTemplate 授予获取有关队列预置模板信息的权限 读取

provisioningtemplate*

DescribeProvisioningTemplateVersion 授予获取有关队列预置模板版本信息的权限 读取

provisioningtemplate*

DescribeRoleAlias 授予描述角色别名的权限 读取

rolealias*

DescribeScheduledAudit 授予获取有关计划审核信息的权限 读取

scheduledaudit*

DescribeSecurityProfile 授予获取有关 Device Defender 安全配置文件信息的权限 读取

securityprofile*

DescribeStream 授予获取有关指定流信息的权限 读取

stream*

DescribeThing 授予获取有关指定事物信息的权限 读取

thing*

DescribeThingGroup 授予权限以获取有关指定事物组的信息 读取

thinggroup*

DescribeThingRegistrationTask 授予获取有关批量事物注册任务信息的权限 读取
DescribeThingType 授予获取有关指定事物类型信息的权限 读取

thingtype*

DescribeTunnel 授予描述隧道的权限 读取

tunnel*

DetachPolicy 授予权限以将策略从指定的目标中分离 权限管理

cert

thinggroup

DetachPrincipalPolicy 授予从指定证书中删除指定策略的权限 权限管理

cert

DetachSecurityProfile 授予取消 Device Defender 安全配置文件与事物组或此账户的关联的权限 写入

securityprofile*

custommetric

dimension

thinggroup

DetachThingPrincipal 授予将指定委托人与指定事物分离的权限 写入
DisableTopicRule 授予禁用指定规则的权限 写入

rule*

EnableTopicRule 授予启用指定规则的权限 写入

rule*

GetBehaviorModelTrainingSummaries 授予获取 Device Defender ML Detect 安全配置文件训练模型状态的权限 列出

securityprofile

GetBucketsAggregation 授予获取 IoT 队列索引的存储桶聚合的权限 Read

index*

GetCardinality 授予获取 IoT 队列索引基数的权限 读取

index*

GetEffectivePolicies 授予获取有效策略的权限 读取

cert

GetIndexingConfiguration 授予获取当前队列索引配置的权限 读取
GetJobDocument 授予获取作业文档的权限 读取

job*

GetLoggingOptions 授予获取日志记录选项的权限 读取
GetOTAUpdate 授予获取 OTA 更新作业信息的权限 读取

otaupdate*

GetPackage 授予权限以获取有关程序包的信息 读取

package*

GetPackageConfiguration 授予权限以获取账户的程序包配置 读取
GetPackageVersion 授予权限以获取程序包的版本 读取

package*

packageversion*

GetPercentiles 授予获取 IoT 队列索引百分位数的权限 读取

index*

GetPolicy 授予权限以获取具有默认版本策略文档的指定策略的相关信息 读取

policy*

GetPolicyVersion 授予获取有关指定策略版本的信息的权限 读取

policy*

GetRegistrationCode 授予获取用于向 Amazon IoT 注册 CA 证书的注册代码的权限 读取
GetRetainedMessage 授予权限以获取指定主题上的保留邮件 读取

topic*

GetStatistics 授予获取 IoT 队列索引统计数据的权限 读取

index*

GetThingShadow 授予获取事物影子的权限 读取

thing*

GetTopicRule 授予获取有关指定规则的信息的权限 读取

rule*

GetTopicRuleDestination 授予获取 TopicRuleDestination 读取

destination*

GetV2LoggingOptions 授予获取 v2 日志记录选项的权限 读取
ListActiveViolations 授予权限以列出给定 Device Defender 安全配置文件或事物的活动违规 列出

securityprofile

thing

ListAttachedPolicies 授予列出附加到指定事物组的策略的权限 列出
ListAuditFindings 授予权限以列出 Device Defender 审核的结果或在指定时间段内审核执行的结果 列出
ListAuditMitigationActionsExecutions 授予获取已执行审核缓解操作任务状态的权限 列出
ListAuditMitigationActionsTasks 授予获取与指定的筛选条件匹配的审核缓解操作任务的列表 列出
ListAuditSuppressions 授予列出 Device Defender 审核抑制的权限 列出
ListAuditTasks 授予列出已在指定时间段内执行的 Device Defender 审核的权限 列出
ListAuthorizers 授予列出在您的账户中注册的授权方的权限 列出
ListBillingGroups 授予列出所有账单组的权限 列出
ListCACertificates 授予列出为您的 Amazon Web Services 账户 注册的 CA 证书的权限。 列出
ListCertificateProviders 授予在账户中列出证书提供商的权限 列出
ListCertificates 授予列出证书的权限 列出
ListCertificatesByCA 授予列出由指定 CA 证书签名的设备证书的权限 列出
ListCustomMetrics 授予列出 Amazon Web Services 账户 中自定义指标的权限。 列出
ListDetectMitigationActionsExecutions 授予列出 Device Defender ML Detect 安全配置文件的缓解操作执行的权限 列出

thing

ListDetectMitigationActionsTasks 授予列出 Device Defender ML Detect 缓解操作任务的权限 列出
ListDimensions 授予列出为您的 Amazon Web Services 账户 定义的维度的权限。 列出
ListDomainConfigurations 授予列出您的 Amazon Web Services 账户 创建的域配置的权限。 列出
ListFleetMetrics 授予在您的账户中列出队列指标的权限 列出
ListIndices 授予列出队列索引的所有索引的权限 列出
ListJobExecutionsForJob 授予列出作业的作业执行的权限 列出

job*

ListJobExecutionsForThing 授予列出指定事物的作业执行的权限 列出

thing*

ListJobTemplates 授予列出作业模板的权限 列出
ListJobs 授予列出作业的权限 列出
ListManagedJobTemplates 授予列出托管任务模板的权限 列出
ListMetricValues 授予权限以根据 metricName 和维度(如果已指定)列出事物的指标值 列出

thing*

ListMitigationActions 授予权限以获取与指定筛选条件匹配的所有缓解操作的列表 列出
ListNamedShadowsForThing 授予列出给定事物的所有已命名影子的权限 列出

thing*

ListOTAUpdates 授予在账户中列出 OTA 更新作业的权限 列出
ListOutgoingCertificates 授予列出正在传输但尚未接受的证书的权限 列出
ListPackageVersions 授予权限以列出账户中程序包的版本 列出
ListPackages 授予权限以列出账户中的程序包 列出
ListPolicies 授予列出策略的权限 列出
ListPolicyPrincipals 授予列出与指定策略关联的委托人的权限 列出
ListPolicyVersions 授予列出指定策略版本的权限,并标识默认版本 列出

policy*

ListPrincipalPolicies 授予权限以列出附加到指定委托人的策略。如果您使用 Amazon Cognito 身份,ID 需要使用 Amazon Cognito 身份格式 列出
ListPrincipalThings 授予列出与指定委托人关联的事物的权限 列出
ListProvisioningTemplateVersions 授予获取队列预置模板版本列表的权限 列出

provisioningtemplate*

ListProvisioningTemplates 授予在您的 Amazon Web Services 账户 中列出队列预置模板的权限。 列出
ListRelatedResourcesForAuditFinding 授予权限以列出单个审计查找结果的相关项目 列出
ListRetainedMessages 授予权限以列出账户保留的邮件 列出
ListRoleAliases 授予列出角色别名的权限 列出
ListScheduledAudits 授予列出所有计划审核的权限 列出
ListSecurityProfiles 授予列出您创建的 Device Defender 安全配置文件的权限 列出

custommetric

dimension

ListSecurityProfilesForTarget 授予列出附加到目标的 Device Defender 安全配置文件的权限 列出

thinggroup

ListStreams 授予列出您的账户中的流的权限 列出
ListTagsForResource 授予权限以列出给定资源的所有标签 读取

authorizer

billinggroup

cacert

certificateprovider

custommetric

dimension

domainconfiguration

dynamicthinggroup

fleetmetric

job

jobtemplate

mitigationaction

otaupdate

policy

provisioningtemplate

rolealias

rule

scheduledaudit

securityprofile

stream

thinggroup

thingtype

ListTargetsForPolicy 授予列出指定策略的目标的权限 列出

policy*

ListTargetsForSecurityProfile 授予列出与给定 Device Defender 安全配置文件关联的目标的权限 列出

securityprofile*

ListThingGroups 授予列出所有事物组的权限 列出
ListThingGroupsForThing 授予列出指定事物所属的事物组的权限 列出

thing*

ListThingPrincipals 授予列出与指定事物关联的委托人的权限 列出
ListThingRegistrationTaskReports 授予列出有关批量事物注册任务的信息的权限 列出
ListThingRegistrationTasks 授予列出批量事物注册任务的权限 列出
ListThingTypes 授予列出所有事物类型的权限 列出
ListThings 授予列出所有事物的权限 列出
ListThingsInBillingGroup 授予列出指定账单组中所有事物的权限 列出

billinggroup*

ListThingsInThingGroup 授予列出指定事物组中所有事物的权限 列出

thinggroup*

ListTopicRuleDestinations 授予列出所有内容的权限 TopicRuleDestinations 列出
ListTopicRules 授予列出特定主题的规则的权限 列出
ListTunnels 授予列出隧道的权限 列出
ListV2LoggingLevels 授予列出 v2 日志记录级别的权限 列出
ListViolationEvents 授予权限以列出在指定时间段内发现的 Device Defender 安全配置文件违规事件 列出

securityprofile

thing

OpenTunnel 授予打开隧道的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

iot:ThingGroupArn

iot:TunnelDestinationService

Publish 授予发布到指定主题的权限 写入

topic*

PutVerificationStateOnViolation 授予将违规置于验证状态的权限 写入
Receive 授予从指定主题接收的权限 写入

topic*

RegisterCACertificate 授予向 Amazon IoT 注册 CA 证书的权限。 写入

aws:RequestTag/${TagKey}

aws:TagKeys

iam:PassRole

RegisterCertificate 授予向 Amazon IoT 注册设备证书的权限。 写入
RegisterCertificateWithoutCA 授予权限以在没有已注册的 CA(证书颁发机构)的情况下向 Amazon IoT 注册设备证书。 写入
RegisterThing 授予注册您的事物的权限 写入
RejectCertificateTransfer 授予拒绝待处理证书传输的权限 写入

cert*

RemoveThingFromBillingGroup 授予从指定账单组中删除事物的权限 写入

billinggroup*

thing*

RemoveThingFromThingGroup 授予从指定事物组中删除事物的权限 写入

thing*

thinggroup*

ReplaceTopicRule 授予替换指定规则的权限 写入

rule*

RetainPublish 授予将保留邮件发布到指定主题的权限 写入

topic*

RotateTunnelAccessToken 授予轮换隧道访问令牌的权限 写入

tunnel*

iot:ThingGroupArn

iot:TunnelDestinationService

iot:ClientMode

SearchIndex 授予搜索 IoT 队列索引的权限 Read

index*

SetDefaultAuthorizer 授予权限以设置默认授权方。如果在没有指定授权方的情况下进行 websocket 连接,则将使用此项 权限管理

authorizer*

SetDefaultPolicyVersion 授予权限以将指定策略的指定版本设置为策略的默认(有效)版本 权限管理

policy*

SetLoggingOptions 授予设置日志记录选项的权限 写入
SetV2LoggingLevel 授予设置 v2 日志记录级别的权限 写入
SetV2LoggingOptions 授予设置 v2 日志记录选项的权限 写入
StartAuditMitigationActionsTask 授予启动将一组缓解操作应用于指定目标的任务的权限 写入
StartDetectMitigationActionsTask 授予启动 Device Defender ML Detect 缓解操作任务的权限 写入

securityprofile

StartOnDemandAuditTask 授予启动按需 Device Defender 审核的权限 写入
StartThingRegistrationTask 授予启动批量事物注册任务的权限 写入
StopThingRegistrationTask 授予停止批量事物注册任务的权限 写入
Subscribe 授予订阅指定内容的权限 TopicFilter 写入

topicfilter*

TagResource 授予标记指定资源的权限 Tagging

authorizer

billinggroup

cacert

certificateprovider

custommetric

dimension

domainconfiguration

dynamicthinggroup

fleetmetric

job

jobtemplate

mitigationaction

otaupdate

package

packageversion

policy

provisioningtemplate

rolealias

rule

scheduledaudit

securityprofile

stream

thinggroup

thingtype

aws:RequestTag/${TagKey}

aws:TagKeys

TestAuthorization 授予测试组策略的策略评估的权限 读取

cert

TestInvokeAuthorizer 授予测试调用指定的自定义授权方以用于测试目的的权限 读取

authorizer*

TransferCertificate 授予将指定证书传输到指定 Amazon Web Services 账户 的权限。 写入

cert*

UntagResource 授予取消标记指定资源的权限 标记

authorizer

billinggroup

cacert

certificateprovider

custommetric

dimension

domainconfiguration

dynamicthinggroup

fleetmetric

job

jobtemplate

mitigationaction

otaupdate

package

packageversion

policy

provisioningtemplate

rolealias

rule

scheduledaudit

securityprofile

stream

thinggroup

thingtype

aws:TagKeys

UpdateAccountAuditConfiguration 授予配置或重新配置此账户的 Device Defender 审核设置的权限 写入
UpdateAuditSuppression 授予更新 Device Defender 审核抑制的权限 写入
UpdateAuthorizer 授予更新授权方的权限 写入

authorizer*

UpdateBillingGroup 授予更新与指定账单组关联的信息的权限 写入

billinggroup*

UpdateCACertificate 授予更新已注册 CA 证书的权限 写入

cacert*

iam:PassRole

UpdateCertificate 授予权限以更新指定证书的状态。此操作是幂等的 写入

cert*

UpdateCertificateProvider 授予更新证书提供者的权限 写入

certificateprovider*

UpdateCustomMetric 授予更新指定自定义指标的权限 写入

custommetric*

UpdateDimension 授予更新维度定义的权限 写入

dimension*

UpdateDomainConfiguration 授予权限以更新域配置 写入

domainconfiguration*

UpdateDynamicThingGroup 授予更新动态事物组的权限 写入

dynamicthinggroup*

UpdateEventConfigurations 授予更新事件配置的权限 写入
UpdateFleetMetric 授予更新队列指标的权限 Write

fleetmetric*

index*

UpdateIndexingConfiguration 授予更新队列索引配置的权限 写入
UpdateJob 授予权限以更新作业 写入

job*

UpdateMitigationAction 授予更新指定缓解操作的定义的权限 写入

mitigationaction*

UpdatePackage 授予权限以更新程序包 写入

package*

iot:GetIndexingConfiguration

UpdatePackageConfiguration 授予权限以更新账户的程序包配置 写入

iam:PassRole

UpdatePackageVersion 授予权限以更新指定程序包的版本 写入

package*

iot:GetIndexingConfiguration

packageversion*

UpdateProvisioningTemplate 授予更新队列预置模板的权限 写入

provisioningtemplate*

iam:PassRole

UpdateRoleAlias 授予更新角色别名的权限 写入

rolealias*

iam:PassRole

UpdateScheduledAudit 授予权限以更新计划审核,包括执行的检查和审核执行的频率 写入

scheduledaudit*

UpdateSecurityProfile 授予更新 Device Defender 安全配置文件的权限 写入

securityprofile*

custommetric

dimension

UpdateStream 授予更新流数据的权限 写入

stream*

UpdateThing 授予更新与指定事物关联的信息的权限 写入

thing*

UpdateThingGroup 授予更新与指定事物组关联的信息的权限 写入

thinggroup*

UpdateThingGroupsForThing 授予更新事物所属的事物组的权限 写入

thing*

thinggroup

UpdateThingShadow 授予更新事物影子的权限 写入

thing*

UpdateTopicRuleDestination 授予更新权限 TopicRuleDestination 写入

destination*

ValidateSecurityProfileBehaviors 授予验证 Device Defender 安全配置文件行为规范的权限 读取

Amazon IoT 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
client arn:${Partition}:iot:${Region}:${Account}:client/${ClientId}
index arn:${Partition}:iot:${Region}:${Account}:index/${IndexName}
fleetmetric arn:${Partition}:iot:${Region}:${Account}:fleetmetric/${FleetMetricName}

aws:ResourceTag/${TagKey}

job arn:${Partition}:iot:${Region}:${Account}:job/${JobId}

aws:ResourceTag/${TagKey}

jobtemplate arn:${Partition}:iot:${Region}:${Account}:jobtemplate/${JobTemplateId}

aws:ResourceTag/${TagKey}

tunnel arn:${Partition}:iot:${Region}:${Account}:tunnel/${TunnelId}

aws:ResourceTag/${TagKey}

thing arn:${Partition}:iot:${Region}:${Account}:thing/${ThingName}
thinggroup arn:${Partition}:iot:${Region}:${Account}:thinggroup/${ThingGroupName}

aws:ResourceTag/${TagKey}

billinggroup arn:${Partition}:iot:${Region}:${Account}:billinggroup/${BillingGroupName}

aws:ResourceTag/${TagKey}

dynamicthinggroup arn:${Partition}:iot:${Region}:${Account}:thinggroup/${ThingGroupName}

aws:ResourceTag/${TagKey}

thingtype arn:${Partition}:iot:${Region}:${Account}:thingtype/${ThingTypeName}

aws:ResourceTag/${TagKey}

topic arn:${Partition}:iot:${Region}:${Account}:topic/${TopicName}
topicfilter arn:${Partition}:iot:${Region}:${Account}:topicfilter/${TopicFilter}
rolealias arn:${Partition}:iot:${Region}:${Account}:rolealias/${RoleAlias}

aws:ResourceTag/${TagKey}

authorizer arn:${Partition}:iot:${Region}:${Account}:authorizer/${AuthorizerName}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:iot:${Region}:${Account}:policy/${PolicyName}

aws:ResourceTag/${TagKey}

cert arn:${Partition}:iot:${Region}:${Account}:cert/${Certificate}
cacert arn:${Partition}:iot:${Region}:${Account}:cacert/${CACertificate}

aws:ResourceTag/${TagKey}

stream arn:${Partition}:iot:${Region}:${Account}:stream/${StreamId}

aws:ResourceTag/${TagKey}

otaupdate arn:${Partition}:iot:${Region}:${Account}:otaupdate/${OtaUpdateId}

aws:ResourceTag/${TagKey}

scheduledaudit arn:${Partition}:iot:${Region}:${Account}:scheduledaudit/${ScheduleName}

aws:ResourceTag/${TagKey}

mitigationaction arn:${Partition}:iot:${Region}:${Account}:mitigationaction/${MitigationActionName}

aws:ResourceTag/${TagKey}

securityprofile arn:${Partition}:iot:${Region}:${Account}:securityprofile/${SecurityProfileName}

aws:ResourceTag/${TagKey}

custommetric arn:${Partition}:iot:${Region}:${Account}:custommetric/${MetricName}

aws:ResourceTag/${TagKey}

dimension arn:${Partition}:iot:${Region}:${Account}:dimension/${DimensionName}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:iot:${Region}:${Account}:rule/${RuleName}

aws:ResourceTag/${TagKey}

destination arn:${Partition}:iot:${Region}:${Account}:destination/${DestinationType}/${Uuid}
provisioningtemplate arn:${Partition}:iot:${Region}:${Account}:provisioningtemplate/${ProvisioningTemplate}

aws:ResourceTag/${TagKey}

domainconfiguration arn:${Partition}:iot:${Region}:${Account}:domainconfiguration/${DomainConfigurationName}/${Id}

aws:ResourceTag/${TagKey}

package arn:${Partition}:iot:${Region}:${Account}:package/${PackageName}

aws:ResourceTag/${TagKey}

packageversion arn:${Partition}:iot:${Region}:${Account}:package/${PackageName}/version/${VersionName}

aws:ResourceTag/${TagKey}

certificateprovider arn:${Partition}:iot:${Region}:${Account}:certificateprovider/${CertificateProviderName}

aws:ResourceTag/${TagKey}

Amazon IoT 的条件键

Amazon IoT 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中包含的标签键筛选访问 String
aws:ResourceTag/${TagKey} 按与请求中的 IoT 资源关联的标签的标签键组成筛选访问 String
aws:TagKeys 按请求中与 IoT 资源关联的标签键的列表筛选访问 ArrayOfString
iot:ClientMode 按客户端模式对 IoT 隧道的访问权限进行筛选 String
iot:Delete 通过一个标志筛选访问权限,该标志指示在发出 iot: CloseTunnel 请求时是否还要立即删除物联网隧道 布尔型
iot:DomainName 根据物联网的域名筛选访问权限 DomainConfiguration String
iot:ThingGroupArn 按照 IoT 隧道的 IoT 事物组 ARN(拥有目标 IoT 事物)的列表筛选访问 ArrayOfARN
iot:TunnelDestinationService 按 IoT 隧道的目标服务列表筛选访问 ArrayOfString