Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengotorisasi perangkat Anda untuk menggunakan AWS IoT Pekerjaan dengan aman di bidang data
Untuk mengizinkan perangkat Anda berinteraksi secara aman dengan AWS IoT Jobs di bidang data, Anda harus menggunakan AWS IoT Core kebijakan. AWS IoT Core kebijakan untuk lowongan kerja adalah dokumen JSON yang berisi pernyataan kebijakan. Kebijakan ini juga menggunakan elemen *Efek*, *Tindakan*, dan *Sumber Daya*, dan mengikuti konvensi serupa dengan kebijakan IAM. Untuk informasi selengkapnya tentang elemen, lihat [Referensi Elemen Kebijakan IAM JSON](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) di Panduan pengguna *IAM*.
Kebijakan dapat digunakan dengan protokol MQTT dan HTTPS dan harus menggunakan otentikasi timbal balik TCP atau TLS untuk mengautentikasi perangkat. Berikut ini menunjukkan cara menggunakan kebijakan ini di berbagai protokol komunikasi.
**Awas**
Kami menyarankan agar Anda tidak menggunakan izin wildcard, seperti `"Action": ["iot:*"]` dalam kebijakan atau kebijakan IAM Anda. AWS IoT Core Menggunakan izin wildcard bukanlah praktik terbaik keamanan yang disarankan. Untuk informasi selengkapnya, lihat [AWS IoT kebijakan yang terlalu permisif](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-iot-policy-permissive.html).
## AWS IoT Core kebijakan untuk protokol MQTT
AWS IoT Core kebijakan untuk protokol MQTT memberi Anda izin untuk menggunakan tindakan API MQTT perangkat pekerjaan. Operasi MQTT API digunakan untuk bekerja dengan topik MQTT yang dicadangkan untuk perintah pekerjaan. Untuk informasi selengkapnya tentang operasi API ini, lihat[Pekerjaan perangkat operasi MQTT API](jobs-mqtt-api.md).
Kebijakan MQTT menggunakan tindakan kebijakan seperti`iot:Connect`,, `iot:Publish``iot:Subscribe`, dan `iot:Receieve` untuk bekerja dengan topik pekerjaan. Kebijakan ini memungkinkan Anda untuk terhubung ke broker pesan, berlangganan topik MQTT pekerjaan, dan mengirim dan menerima pesan MQTT antara perangkat Anda dan cloud. Untuk informasi lebih lanjut tentang tindakan ini, lihat[AWS IoT Core tindakan kebijakan](iot-policy-actions.md).
Untuk informasi tentang topik untuk AWS IoT Pekerjaan, lihat[Topik Job](reserved-topics.md#reserved-topics-job).
### Contoh kebijakan MQTT dasar
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan `iot:Publish` dan `iot:Subscribe` mempublikasikan dan berlangganan pekerjaan dan eksekusi pekerjaan.
Dalam contoh, ganti:
+ {{region}}dengan Anda AWS Region, seperti`us-east-1`.
+ {{account-id}}dengan Akun AWS nomor Anda, seperti `57EXAMPLE833`
+ {{thing-name}}dengan nama hal IoT Anda yang Anda targetkan pekerjaan, seperti. `MyIoTThing`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Publish",
"iot:Subscribe"
],
"Resource": [
"arn:aws:iot:{{us-east-1}}:{{123456789012}}:topic/$aws/events/job/*",
"arn:aws:iot:{{us-east-1}}:{{123456789012}}:topic/$aws/events/jobExecution/*",
"arn:aws:iot:{{us-east-1}}:{{123456789012}}:topic/$aws/things/thing-123/jobs/*"
]
}
]
}
```
## AWS IoT Core kebijakan untuk protokol HTTPS
AWS IoT Core kebijakan pada bidang data juga dapat menggunakan protokol HTTPS dengan mekanisme otentikasi TLS untuk mengotorisasi perangkat Anda. Pada bidang data, kebijakan menggunakan `iotjobsdata:` awalan untuk mengotorisasi operasi API lowongan yang dapat dilakukan perangkat Anda. Misalnya, tindakan `iotjobsdata:DescribeJobExecution` kebijakan memberikan izin kepada pengguna untuk menggunakan [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html)API.
**catatan**
Tindakan kebijakan bidang data harus menggunakan `iotjobsdata:` awalan. Pada bidang kontrol, tindakan harus menggunakan `iot:` awalan. Untuk contoh kebijakan IAM saat tindakan kebijakan bidang kontrol dan bidang data digunakan, lihat[Contoh kebijakan IAM untuk bidang kontrol dan bidang data](iam-policy-users-jobs.md#iam-data-plane-example2).
### Tindakan kebijakan
Tabel berikut menunjukkan daftar tindakan AWS IoT Core kebijakan dan izin untuk mengotorisasi perangkat agar menggunakan tindakan API. Untuk daftar operasi API yang dapat Anda lakukan di bidang data, lihat[Pekerjaan perangkat HTTP API](jobs-http-device-api.md).
**catatan**
Tindakan kebijakan eksekusi pekerjaan ini hanya berlaku untuk titik akhir HTTP TLS. Jika Anda menggunakan titik akhir MQTT, Anda harus menggunakan tindakan kebijakan MQTT yang ditentukan sebelumnya.
**AWS IoT Core tindakan kebijakan pada pesawat data**
| Tindakan kebijakan | Operasi API | Jenis sumber daya | Deskripsi |
| --- | --- | --- | --- |
| iotjobsdata:DescribeJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/iot/latest/developerguide/iot-data-plane-jobs.html) | Merupakan izin untuk mengambil eksekusi pekerjaan. iotjobsdata:DescribeJobExecutionIzin diperiksa setiap kali permintaan dibuat untuk mengambil eksekusi pekerjaan. |
| iotjobsdata:GetPendingJobExecutions | [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_GetPendingJobExecutions.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_GetPendingJobExecutions.html) | hal | Merupakan izin untuk mengambil daftar pekerjaan yang tidak dalam status terminal untuk suatu hal. iotjobsdata:GetPendingJobExecutionsIzin diperiksa setiap kali permintaan dibuat untuk mengambil daftar. |
| iotjobsdata:StartNextPendingJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_GetPendingJobExecutions.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_GetPendingJobExecutions.html) | hal | Merupakan izin untuk mendapatkan dan memulai eksekusi pekerjaan tertunda berikutnya untuk suatu hal. Yaitu, untuk memperbarui eksekusi pekerjaan dengan status QUEUED keIN\_PROGRESS. iotjobsdata:StartNextPendingJobExecutionIzin diperiksa setiap kali permintaan dibuat untuk memulai eksekusi pekerjaan tertunda berikutnya. |
| iotjobsdata:UpdateJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_UpdateJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_UpdateJobExecution.html) | hal | Merupakan izin untuk memperbarui eksekusi pekerjaan. iotjobsdata:UpdateJobExecutionIzin diperiksa setiap kali permintaan dibuat untuk memperbarui status eksekusi pekerjaan. |
### Contoh kebijakan dasar
Berikut ini menunjukkan contoh AWS IoT Core kebijakan yang memberikan izin untuk melakukan tindakan pada operasi API bidang data untuk sumber daya apa pun. Anda dapat membuat cakupan kebijakan Anda ke sumber daya tertentu, seperti hal IoT. Dalam contoh Anda, ganti:
+ {{region}}dengan Anda AWS Region seperti`us-east-1`.
+ {{account-id}}dengan Akun AWS nomor Anda, seperti `57EXAMPLE833`
+ {{thing-name}}dengan nama hal IoT, seperti. `MyIoTthing`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iotjobsdata:GetPendingJobExecutions",
"iotjobsdata:StartNextPendingJobExecution",
"iotjobsdata:DescribeJobExecution",
"iotjobsdata:UpdateJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:{{us-east-1}}:{{123456789012}}:thing/thing-123"
}
]
}
```
Contoh kapan Anda harus menggunakan kebijakan ini adalah ketika perangkat IoT Anda menggunakan AWS IoT Core kebijakan untuk mengakses salah satu operasi API ini, seperti contoh API berikut: `DescribeJobExecution`
```
GET /things/thingName/jobs/jobId?executionNumber=executionNumber&includeJobDocument=includeJobDocument&namespaceId=namespaceId HTTP/1.1
```