View a markdown version of this page

X.509 Certificat AWS IoT Core variables de politique - AWS IoT Core
CertificateIdAttributs de l'émetteurAttributs de l'objetAttributs de nom alternatif d'émetteurAttributs de nom alternatif d'objetAutres attributs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

X.509 Certificat AWS IoT Core variables de politique

X.509 les variables de politique de certificat aident à écrire AWS IoT Core des politiques. Ces politiques accordent des autorisations en fonction des attributs des X.509 certificats. Les sections suivantes décrivent comment utiliser ces variables de politique de certificat.

Important

Si votre X.509 certificat n'inclut aucun attribut de certificat particulier mais que la variable de politique de certificat correspondante est utilisée dans votre document de stratégie, l'évaluation de la politique peut entraîner un comportement inattendu.

CertificateId

Dans l'RegisterCertificateAPI, le certificateId apparaît dans le corps de la réponse. Pour obtenir des informations sur votre certificat, utilisez le certificateId in DescribeCertificate.

Attributs de l'émetteur

Les variables AWS IoT Core de politique suivantes permettent d'autoriser ou de refuser des autorisations, en fonction des attributs de certificat définis par l'émetteur du certificat.

  • iot:Certificate.Issuer.DistinguishedNameQualifier

  • iot:Certificate.Issuer.Country

  • iot:Certificate.Issuer.Organization

  • iot:Certificate.Issuer.OrganizationalUnit

  • iot:Certificate.Issuer.State

  • iot:Certificate.Issuer.CommonName

  • iot:Certificate.Issuer.SerialNumber

  • iot:Certificate.Issuer.Title

  • iot:Certificate.Issuer.Surname

  • iot:Certificate.Issuer.GivenName

  • iot:Certificate.Issuer.Initials

  • iot:Certificate.Issuer.Pseudonym

  • iot:Certificate.Issuer.GenerationQualifier

Attributs de l'objet

Les variables AWS IoT Core de politique suivantes prennent en charge l'octroi ou le refus d'autorisations, en fonction des attributs du sujet du certificat définis par l'émetteur du certificat.

  • iot:Certificate.Subject.DistinguishedNameQualifier

  • iot:Certificate.Subject.Country

  • iot:Certificate.Subject.Organization

  • iot:Certificate.Subject.OrganizationalUnit

  • iot:Certificate.Subject.State

  • iot:Certificate.Subject.CommonName

  • iot:Certificate.Subject.SerialNumber

  • iot:Certificate.Subject.Title

  • iot:Certificate.Subject.Surname

  • iot:Certificate.Subject.GivenName

  • iot:Certificate.Subject.Initials

  • iot:Certificate.Subject.Pseudonym

  • iot:Certificate.Subject.GenerationQualifier

X.509 les certificats fournissent à ces attributs la possibilité de contenir une ou plusieurs valeurs. Par défaut, les variables de stratégie de chaque attribut à valeurs multiples renvoient la première valeur. Par exemple, l'attribut Certificate.Subject.Country peut contenir une liste de noms de pays, mais iot:Certificate.Subject.Country est remplacé par le nom du premier pays lorsqu'il est évalué dans une stratégie.

Vous pouvez demander une valeur d'attribut spécifique autre que la première valeur en utilisant un index de base un. Par exemple, iot:Certificate.Subject.Country.1 est remplacé par le deuxième nom de pays dans l'attribut Certificate.Subject.Country. Si vous spécifiez une valeur d'index qui n'existe pas (par exemple, si vous demandez une troisième valeur alors qu'il n'y a que deux valeurs affectées à l'attribut), aucune substitution n'est effectuée et l'autorisation échoue. Vous pouvez utiliser le suffixe .List dans le nom de la variable de stratégie pour spécifier l'ensemble des valeurs de l'attribut.

Attributs de nom alternatif d'émetteur

Les variables de AWS IoT Core politique suivantes prennent en charge l'octroi ou le refus d'autorisations, en fonction des attributs de nom alternatif de l'émetteur définis par l'émetteur du certificat.

  • iot:Certificate.Issuer.AlternativeName.RFC822Name

  • iot:Certificate.Issuer.AlternativeName.DNSName

  • iot:Certificate.Issuer.AlternativeName.DirectoryName

  • iot:Certificate.Issuer.AlternativeName.UniformResourceIdentifier

  • iot:Certificate.Issuer.AlternativeName.IPAddress

Attributs de nom alternatif d'objet

Les variables AWS IoT Core de politique suivantes prennent en charge l'octroi ou le refus d'autorisations, en fonction des attributs de nom alternatif du sujet définis par l'émetteur du certificat.

  • iot:Certificate.Subject.AlternativeName.RFC822Name

  • iot:Certificate.Subject.AlternativeName.DNSName

  • iot:Certificate.Subject.AlternativeName.DirectoryName

  • iot:Certificate.Subject.AlternativeName.UniformResourceIdentifier

  • iot:Certificate.Subject.AlternativeName.IPAddress

Autres attributs

Vous pouvez l'utiliser iot:Certificate.SerialNumber pour autoriser ou refuser l'accès aux AWS IoT Core ressources, en fonction du numéro de série d'un certificat. La variable de stratégie iot:Certificate.AvailableKeys contient le nom de toutes les variables de stratégie de certificat contenant des valeurs.