As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Autorizando usuários e serviços em nuvem a usar o Jobs AWS IoT
Para autorizar seus usuários e serviços em nuvem, você deve usar políticas do IAM no ambiente de gerenciamento e no plano de dados. As políticas devem ser usadas com o protocolo HTTPS e devem usar a autenticação AWS Signature Version 4 (porta 443) para autenticar os usuários.
**nota**
AWS IoT Core as políticas não devem ser usadas no plano de controle. Somente as políticas do IAM são usadas para autorizar usuários ou serviços em nuvem. Para obter mais informações sobre a política necessária a ser usada, consulte [Tipo de política necessária para AWS IoT empregos](iot-jobs-security.md#jobs-required-policy).
As políticas do IAM são documentos JSON que contêm declarações de política. As declarações de política usam os elementos *Efeito*, *Ação* e *Recurso* para especificar recursos, ações permitidas ou negadas, além das condições sob as quais as ações são permitidas ou negadas. Para obter mais informações, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) no *Guia do usuário do IAM*.
**Atenção**
Recomendamos que você não use permissões curinga, como `"Action": ["iot:*"]` em suas políticas ou AWS IoT Core políticas do IAM. Usar permissões curinga não é uma prática recomendada de segurança. Para obter mais informações, consulte [Política de AWS IoT excessivamente permissiva](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-iot-policy-permissive.html).
## Políticas do IAM no ambiente de gerenciamento
No ambiente de gerenciamento, as políticas do IAM usam o prefixo `iot:` com a ação para autorizar a operação correspondente da API de trabalhos. Por exemplo, a ação de política `iot:CreateJob` concede ao usuário permissão para usar a API [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html).
### Ações de políticas
A tabela a seguir mostra uma lista de ações da política do IAM e permissões para utilizar as ações da API. Para obter informações sobre tipos de recursos, consulte [Tipos de recursos definidos por AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-job). Para obter mais informações sobre AWS IoT ações, consulte [Ações definidas por AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html).
**Ações de política do IAM no ambiente de gerenciamento**
| Ação de política | Operação de API | Resource types | Description |
| --- | --- | --- | --- |
| iot:AssociateTargetsWithJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa a permissão para associar um grupo a um trabalho contínuo. A permissão iot:AssociateTargetsWithJob é verificada sempre que é feita uma solicitação para associar destinos. |
| iot:CancelJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html) | trabalho | Representa a permissão para cancelar um trabalho. A permissão iot:CancelJob é verificada sempre que é feita uma solicitação para cancelar um trabalho. |
| iot:CancelJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa a permissão para cancelar uma execução de trabalho. A permissão iot: CancelJobExecution é verificada sempre que é feita uma solicitação para cancelar uma execução de trabalho. |
| iot:CreateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa a permissão para criar um trabalho. A permissão iot: CreateJob é verificada sempre que é feita uma solicitação para criar um trabalho. |
| iot:CreateJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa a permissão para criar um modelo de trabalho. A permissão iot: CreateJobTemplate é verificada sempre que é feita uma solicitação para criar um modelo de trabalho. |
| iot:DeleteJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html) | trabalho | Representa a permissão para excluir um trabalho. A permissão iot: DeleteJob é verificada sempre que é feita uma solicitação para excluir um trabalho. |
| iot:DeleteJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html) | jobtemplate | Representa a permissão para excluir um modelo de trabalho. A permissão iot: CreateJobTemplate é verificada sempre que é feita uma solicitação para excluir um modelo de trabalho. |
| iot:DeleteJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa a permissão para excluir uma execução de trabalho. A permissão iot: DeleteJobExecution é verificada sempre que é feita uma solicitação para excluir uma execução de trabalho. |
| iot:DescribeJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html) | trabalho | Representa a permissão para descrever um trabalho. A permissão iot: DescribeJob é verificada sempre que é feita uma solicitação para descrever um trabalho. |
| iot:DescribeJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa a permissão para descrever uma execução de trabalho. A permissão iot: DescribeJobExecution é verificada sempre que é feita uma solicitação para descrever uma execução de trabalho. |
| iot:DescribeJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html) | jobtemplate | Representa a permissão para descrever um modelo de trabalho. A permissão iot: DescribeJobTemplate é verificada sempre que é feita uma solicitação para descrever um modelo de trabalho. |
| iot:DescribeManagedJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html) | jobtemplate | Representa a permissão para descrever um modelo de trabalho gerenciado. A permissão iot: DescribeManagedJobTemplate é verificada sempre que é feita uma solicitação para descrever um modelo de trabalho gerenciado. |
| iot:GetJobDocument | [https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html](https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html) | trabalho | Representa a permissão para obter o documento de trabalho de um trabalho. A permissão iot:GetJobDocument é verificada sempre que é feita uma solicitação para obter um documento de trabalho. |
| iot:ListJobExecutionsForJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html) | trabalho | Representa a permissão para listar as execuções de trabalho para um trabalho. A permissão iot:ListJobExecutionsForJob é verificada sempre que é feita uma solicitação para listar as execuções de trabalho para um trabalho. |
| iot:ListJobExecutionsForThing | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html) | objeto | Representa a permissão para listar as execuções de trabalho para um trabalho. A permissão iot:ListJobExecutionsForThing é verificada sempre que é feita uma solicitação para listar as execuções de trabalho para um objeto. |
| iot:ListJobs | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html) | nenhuma | Representa a permissão para listar os trabalhos. A permissão iot:ListJobs é verificada sempre que é feita uma solicitação para listar os trabalhos. |
| iot:ListJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html) | nenhuma | Representa a permissão para listar os modelos de trabalho. A permissão iot:ListJobTemplates é verificada sempre que é feita uma solicitação para listar os modelos de trabalho. |
| iot:ListManagedJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html) | nenhuma | Representa a permissão para listar os modelos de trabalho gerenciados. A permissão iot:ListManagedJobTemplates é verificada sempre que é feita uma solicitação para listar os modelos de trabalho gerenciados. |
| iot:UpdateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html) | trabalho | Representa a permissão para atualizar um trabalho. A permissão iot:UpdateJob é verificada sempre que é feita uma solicitação para atualizar um trabalho. |
| iot:TagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/iot/latest/developerguide/iam-policy-users-jobs.html) | Concede permissão para atribuir uma tag a um recurso específico. |
| iot:UntagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/iot/latest/developerguide/iam-policy-users-jobs.html) | Concede permissão para remover uma tag de um recurso específico. |
### Exemplos básicos de políticas do IAM
O exemplo a seguir mostra uma política do IAM que concede ao usuário permissão para realizar as seguintes ações para suo objeto ou grupo de objetos de IoT.
No exemplo, substitua:
+ *region*com o seu Região da AWS, como`us-east-1`.
+ *account-id*com seu Conta da AWS número, como`57EXAMPLE833`.
+ *thing-group-name*com o nome do seu grupo de coisas de IoT para o qual você está segmentando trabalhos, como. `FirmwareUpdateGroup`
+ *thing-name*com o nome da sua coisa de IoT para a qual você está segmentando trabalhos, como. `MyIoTThing`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thinggroup/thing-group-name"
},
{
"Action": [
"iot:DescribeJob",
"iot:CancelJob",
"iot:DeleteJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:job/*"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/thing-123",
"arn:aws:iot:us-east-1:123456789012:job/*"
]
}
]
}
```
### Exemplo de política do IAM para autorização baseada em IP
Você pode impedir que as *entidades principais* façam chamadas de API para o endpoint do seu ambiente de gerenciamento a partir de endereços IP específicos. Para especificar os endereços IP que podem ser permitidos, no elemento Condição da sua política do IAM, use a chave de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip).
O uso dessa chave de condição também pode impedir que outras AWS service (Serviço da AWS) pessoas façam essas chamadas de API em seu nome, como AWS CloudFormation. Para permitir o acesso a esses serviços, use a chave de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice)global com a SourceIp chave aws:. Isso garante que a restrição de acesso ao endereço IP de origem se aplique somente a solicitações feitas diretamente por uma entidade principal. Para obter mais informações, consulte [AWS: Nega acesso AWS com base no IP de origem](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html).
O exemplo a seguir mostra como permitir somente um endereço IP específico que pode fazer chamadas de API para o endpoint do ambiente de gerenciamento. A chave `aws:ViaAWSService` está definida como `true`, o que permite que outros serviços façam chamadas de API em seu nome.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "123.45.167.89"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
## Políticas do IAM no plano de dados
As políticas do IAM no plano de dados usam o prefixo `iotjobsdata:` para autorizar trabalhos e operações de API que os usuários podem realizar. No plano de dados, você pode conceder permissão ao usuário para usar a API [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html) usando a ação de política `iotjobsdata:DescribeJobExecution`.
**Atenção**
Não é recomendável usar políticas do IAM no plano de dados ao segmentar trabalhos de AWS IoT para seus dispositivos. Recomendamos que você use políticas do IAM no ambiente de gerenciamento para que os usuários criem e gerenciem trabalhos. No plano de dados, para autorizar dispositivos a recuperar execuções de trabalhos e atualizar o status de execução, use [AWS IoT Core políticas para o protocolo HTTPS](iot-data-plane-jobs.md#iot-jobs-data-http).
### Exemplos básicos de políticas do IAM
As operações de API que devem ser autorizadas geralmente são executadas digitando comandos da CLI. Veja a seguir um exemplo de um usuário realizando uma operação `DescribeJobExecution`.
No exemplo, substitua:
+ *region*com o seu Região da AWS, como`us-east-1`.
+ *account-id*com seu Conta da AWS número, como`57EXAMPLE833`.
+ *thing-name*com o nome da sua coisa de IoT para a qual você está segmentando trabalhos, como. `myRegisteredThing`
+ `job-id` é o identificador exclusivo do trabalho que é direcionado usando a API.
```
aws iot-jobs-data describe-job-execution \
--endpoint-url "https://account-id.jobs.iot.region.amazonaws.com" \
--job-id jobID --thing-name thing-name
```
Veja a seguir um exemplo de política do IAM que autoriza essa ação:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
}
}
```
### Exemplos de política do IAM para autorização baseada em IP
Você pode impedir que as *entidades principais* façam chamadas de API para o endpoint do seu plano de dados a partir de endereços IP específicos. Para especificar os endereços IP que podem ser permitidos, no elemento Condição da sua política do IAM, use a chave de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip).
O uso dessa chave de condição também pode impedir que outras AWS service (Serviço da AWS) pessoas façam essas chamadas de API em seu nome, como AWS CloudFormation. Para permitir o acesso a esses serviços, use a chave de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) com a chave de condição `aws:SourceIp`. Isso garante que a restrição de acesso ao endereço IP se aplique somente a solicitações feitas diretamente pela entidade principal. Para obter mais informações, consulte [AWS: Nega acesso AWS com base no IP de origem](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html).
O exemplo a seguir mostra como permitir somente um endereço IP específico que pode fazer chamadas de API para o endpoint do plano de dados.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iotjobsdata:*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "123.45.167.89"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
O exemplo a seguir mostra como impedir que endereços IP ou intervalos de endereços específicos façam chamadas de API para o endpoint do plano de dados.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"iotjobsdata:*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"123.45.167.89",
"192.0.2.0/24",
"203.0.113.0/24"
]
}
},
"Resource": [
"*"
]
}
]
}
```
### Exemplo de política do IAM para ambiente de gerenciamento e plano de dados
Se você executar uma operação de API no ambiente de gerenciamento e no plano de dados, a ação da política do ambiente de gerenciamento deverá usar o prefixo `iot:` e a ação da política do plano de dados deverá usar o prefixo `iotjobsdata:`.
Por exemplo, a API `DescribeJobExecution` pode ser usada tanto no ambiente de gerenciamento quanto no plano de dados. No plano de controle, a [DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html)API é usada para descrever a execução de um trabalho. No plano de dados, a [ DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html)API é usada para obter detalhes da execução de um trabalho.
A política do IAM a seguir autoriza o usuário a usar a API `DescribeJobExecution` no ambiente de gerenciamento e no plano de dados.
No exemplo, substitua:
+ *region*com o seu Região da AWS, como`us-east-1`.
+ *account-id*com seu Conta da AWS número, como`57EXAMPLE833`.
+ *thing-name*com o nome da sua coisa de IoT para a qual você está segmentando trabalhos, como. `MyIoTThing`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/thing-123",
"arn:aws:iot:us-east-1:123456789012:job/*"
]
}
]
}
```
## Autorize a marcação de recursos de IoT
Para um melhor controle sobre trabalhos e modelos de trabalho que você pode criar, modificar ou usar, você pode anexar tags aos trabalhos ou modelos de trabalho. As tags também ajudam você a discernir a propriedade, atribuir e alocar custos, colocando-os em grupos de cobrança e anexando tags a eles.
Quando um usuário quiser marcar seus trabalhos ou modelos de trabalho criados usando o Console de gerenciamento da AWS ou o AWS CLI, sua política do IAM deve conceder ao usuário permissões para marcá-los. Para conceder permissões, sua política do IAM; deve usar a ação `iot:TagResource`.
**nota**
Se sua política do IAM não incluir a ação `iot:TagResource`, qualquer [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) ou [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) com uma tag exibirá um erro `AccessDeniedException`.
Quando você quiser marcar seus trabalhos ou modelos de trabalho que você criou usando o Console de gerenciamento da AWS ou o AWS CLI, sua política do IAM deve conceder permissão para marcá-los. Para conceder permissões, sua política do IAM; deve usar a ação `iot:TagResource`.
Para obter informações gerais sobre a marcação de recursos, consulte [Marcando seus recursos AWS IoT](tagging-iot.md).
### Exemplo de política do IAM
Consulte os seguintes exemplos de políticas do IAM que concedem permissões de marcação:
*Exemplo 1*
Um usuário que executa o comando a seguir para criar um trabalho e marcá-lo em um ambiente específico.
Neste exemplo, substitua:
+ *region*com o seu Região da AWS, como`us-east-1`.
+ *account-id*com seu Conta da AWS número, como`57EXAMPLE833`.
+ *thing-name*com o nome da sua coisa de IoT para a qual você está segmentando trabalhos, como. `MyIoTThing`
```
aws iot create-job
--job-id test_job
--targets "arn:aws:iot:region:account-id:thing/thingOne"
--document-source "https://s3.amazonaws.com/amzn-s3-demo-bucket/job-document.json"
--description "test job description"
--tags Key=environment,Value=beta
```
Para este exemplo, você deve usar a seguinte política do IAM:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iot:CreateJob",
"iot:CreateJobTemplate",
"iot:TagResource"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:job/*",
"arn:aws:iot:us-east-1:123456789012:jobtemplate/*"
]
}
}
```