AWS IoT Greengrass V2 的操作、资源和条件键 - 服务授权参考
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS IoT Greengrass V2 的操作、资源和条件键

AWS IoT Greengrass V2(服务前缀:greengrass)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS IoT Greengrass V2 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
CancelDeployment 授予取消部署的权限 写入

deployment*

iot:CancelJob

iot:DeleteThingShadow

iot:DescribeJob

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

iot:UpdateJob

iot:UpdateThingShadow

CreateComponentVersion 授予创建组件的权限 写入

component*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDeployment 授予创建部署的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

iot:CancelJob

iot:CreateJob

iot:DeleteThingShadow

iot:DescribeJob

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

iot:UpdateJob

iot:UpdateThingShadow

DeleteComponent 授予删除组件的权限 写入

componentVersion*

DeleteCoreDevice 授予删除 AWS IoT Greengrass 核心设备(一种 AWS IoT 事物)的权限 。此操作将从核心设备列表中删除该核心设备。此操作不会删除 AWS IoT 事物 写入

coreDevice*

iot:DescribeJobExecution

DescribeComponent 授予检索组件版本元数据的权限 Read

componentVersion*

GetComponent 授予获取组件版本配方的权限 Read

componentVersion*

GetComponentVersionArtifact 授予权限以获取预签名 URL 以下载公有组件 Read

componentVersion*

GetCoreDevice 授予检索 AWS IoT Greengrass 核心设备元数据的权限 Read

coreDevice*

GetDeployment 授予获取部署的权限 Read

deployment*

iot:DescribeJob

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

ListComponentVersions 授予检索组件所有版本的分页列表的权限 List

component*

ListComponents 授予检索组件摘要的分页列表的权限 List
ListCoreDevices 授予检索 AWS IoT Greengrass 核心设备的分页列表的权限 List
ListDeployments 授予检索部署分页列表的权限 List

iot:DescribeJob

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

ListEffectiveDeployments 授予检索 AWS IoT Greengrass 发送到 AWS IoT Greengrass 核心设备的部署作业分页列表的权限 List

coreDevice*

iot:DescribeJob

iot:DescribeJobExecution

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

ListInstalledComponents 授予检索 AWS IoT Greengrass 核心设备所运行的组件分页列表的权限 List

coreDevice*

ListTagsForResource 授予列出资源标签的权限 List

component

componentVersion

coreDevice

deployment

aws:RequestTag/${TagKey}

aws:TagKeys

ResolveComponentCandidates 授予权限以列出符合部署组件、版本和平台要求的组件 List

componentVersion*

TagResource 授予权限以将标签添加到资源中 标记

component

componentVersion

coreDevice

deployment

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 授予权限以从资源中删除标签 标记

component

componentVersion

coreDevice

deployment

aws:RequestTag/${TagKey}

aws:TagKeys

AWS IoT Greengrass V2 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
component arn:${Partition}:greengrass:${Region}:${Account}:components:${ComponentName}

aws:ResourceTag/${TagKey}

componentVersion arn:${Partition}:greengrass:${Region}:${Account}:components:${ComponentName}:versions:${ComponentVersion}

aws:ResourceTag/${TagKey}

coreDevice arn:${Partition}:greengrass:${Region}:${Account}:coreDevices:${CoreDeviceThingName}

aws:ResourceTag/${TagKey}

deployment arn:${Partition}:greengrass:${Region}:${Account}:deployments:${DeploymentId}

aws:ResourceTag/${TagKey}

AWS IoT Greengrass V2 的条件键

AWS IoT Greengrass V2 定义了下列可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:CurrentTime 检查当前日期和时间的日期/时间条件以筛选访问权限 日期
aws:EpochTime 检查当前日期和时间(纪元或 Unix 时间)的日期/时间条件以筛选访问权限 日期
aws:MultiFactorAuthAge 检查使用 Multi-Factor Authentication (MFA) 颁发请求中的 MFA 验证的安全凭证之前经过的时间(以秒为单位)以筛选访问权限 数值
aws:MultiFactorAuthPresent 检查是否使用 Multi-Factor Authentication (MFA) 验证发出当前请求的临时安全凭证以筛选访问权限 布尔值
aws:RequestTag/${TagKey} 根据每个必需标签的允许值集筛选创建请求 字符串
aws:ResourceTag/${TagKey} 根据与资源关联的标签值筛选操作 字符串
aws:SecureTransport 检查是否使用 SSL 发送请求以筛选访问权限 布尔值
aws:TagKeys 根据在请求中是否具有必需标签以筛选创建请求 字符串
aws:UserAgent 按请求者的客户端应用程序筛选访问权限 字符串