本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 授权用户和云服务使用 AWS IoT 作业
要向用户和云服务授权,您必须同时在控制面板和数据面板上使用 IAM 策略。这些策略必须与 HTTPS 协议一起使用,并且必须使用 AWS 签名版本 4 身份验证(端口 443)对用户进行身份验证。
**注意**
AWS IoT Core 不得在控制平面上使用策略。只有 IAM 策略用于向用户或云服务授权。有关使用所需策略类型的更多信息,请参阅 [AWS IoT 任务必需的策略类型](iot-jobs-security.md#jobs-required-policy)。
IAM 策略是包含策略声明的 JSON 文档。策略语句使用*效果*、*操作* 和*资源* 元素以指定资源、允许或拒绝的操作以及允许或拒绝操作的条件。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html)。
**警告**
我们建议您不要使用通配符权限,例如`"Action": ["iot:*"]`在 IAM 策略或 AWS IoT Core 策略中使用通配符权限。使用通配符权限不是推荐的安全最佳实践。有关更多信息,请参阅 [AWS IoT 策略过于宽容](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-iot-policy-permissive.html)。
## 控制面板上的 IAM 策略
在控制面板上,IAM 策略对操作使用 `iot:` 前缀,以便授权执行相应的任务 API 操作。例如,`iot:CreateJob` 策略操作授予用户使用 [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) API 的权限。
### 策略操作
下表显示了 IAM 策略操作和使用 API 操作的权限的列表。有关资源类型的信息,请参阅[由定义的资源类型 AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-job)。有关 AWS IoT 操作的更多信息,请参阅[由定义的操作 AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html)。
**控制面板上的 IAM 策略操作**
| 策略操作 | API 操作 | 资源类型 | 说明 |
| --- | --- | --- | --- |
| iot:AssociateTargetsWithJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/iam-policy-users-jobs.html) | 表示将组与连续任务关联的权限。每次请求关联目标时,都会检查 iot:AssociateTargetsWithJob 权限。 |
| iot:CancelJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html) | 作业 | 表示取消任务的权限。每次请求取消任务时,都会检查 iot:CancelJob 权限。 |
| iot:CancelJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/iam-policy-users-jobs.html) | 表示取消任务执行的权限。每次请求取消任务执行时,都会检查 iot: CancelJobExecution 权限。 |
| iot:CreateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/iam-policy-users-jobs.html) | 表示创建任务的权限。每次请求创建任务时,都会检查 iot: CreateJob 权限。 |
| iot:CreateJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/iam-policy-users-jobs.html) | 表示创建任务模板的权限。每次请求创建任务模板时,都会检查 iot: CreateJobTemplate 权限。 |
| iot:DeleteJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html) | 作业 | 表示删除任务的权限。每次请求删除任务时,都会检查 iot: DeleteJob 权限。 |
| iot:DeleteJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html) | jobtemplate | 表示删除任务模板的权限。每次请求删除任务模板时,都会检查 iot: CreateJobTemplate 权限。 |
| iot:DeleteJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/iam-policy-users-jobs.html) | 表示删除任务执行的权限。每次请求删除任务执行时,都会检查 iot: DeleteJobExecution 权限。 |
| iot:DescribeJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html) | 作业 | 表示描述任务的权限。每次请求描述任务时,都会检查 iot: DescribeJob 权限。 |
| iot:DescribeJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/iam-policy-users-jobs.html) | 表示描述任务执行的权限。每次请求描述任务执行时,都会检查 iot: DescribeJobExecution 权限。 |
| iot:DescribeJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html) | jobtemplate | 表示描述任务模板的权限。每次请求描述任务模板时,都会检查 iot: DescribeJobTemplate 权限。 |
| iot:DescribeManagedJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html) | jobtemplate | 表示描述托管式任务模板的权限。每次请求描述托管式任务模板时,都会检查 iot: DescribeManagedJobTemplate 权限。 |
| iot:GetJobDocument | [https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html](https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html) | 作业 | 表示获取任务的任务文档的权限。每次请求获取任务文档时,都会检查 iot:GetJobDocument 权限。 |
| iot:ListJobExecutionsForJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html) | 作业 | 表示列出任务的任务执行的权限。每次请求列出任务的任务执行时,都会检查 iot:ListJobExecutionsForJob 权限。 |
| iot:ListJobExecutionsForThing | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html) | thing | 表示列出任务的任务执行的权限。每次请求列出事物的任务执行时,都会检查 iot:ListJobExecutionsForThing 权限。 |
| iot:ListJobs | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html) | none | 表示列出任务的权限。每次请求列出任务时,都会检查 iot:ListJobs 权限。 |
| iot:ListJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html) | none | 表示列出任务模板的权限。每次请求列出任务模板时,都会检查 iot:ListJobTemplates 权限。 |
| iot:ListManagedJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html) | none | 表示列出托管式任务模板的权限。每次请求列出托管式任务模板时,都会检查 iot:ListManagedJobTemplates 权限。 |
| iot:UpdateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html) | 作业 | 表示更新任务的权限。每次请求更新任务时,都会检查 iot:UpdateJob 权限。 |
| iot:TagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/iam-policy-users-jobs.html) | 授予标记特定资源的权限。 |
| iot:UntagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/iam-policy-users-jobs.html) | 授予取消标记特定资源的权限。 |
### 基本 IAM 策略示例
下面的示例显示了 IAM 策略,该策略授予用户对物联网事物和事物组执行以下操作的权限。
在此示例中:
+ *region*和你的 AWS 区域,比如`us-east-1`。
+ *account-id*用你的 AWS 账户 电话号码,比如`57EXAMPLE833`。
+ *thing-group-name*上面写上你要定位工作的物联网事物组的名称,例如`FirmwareUpdateGroup`。
+ *thing-name*写上你瞄准工作的物联网事物的名称,例如`MyIoTThing`。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thinggroup/thing-group-name"
},
{
"Action": [
"iot:DescribeJob",
"iot:CancelJob",
"iot:DeleteJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:job/*"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/thing-123",
"arn:aws:iot:us-east-1:123456789012:job/*"
]
}
]
}
```
### 适用于基于 IP 的授权的 IAM 策略示例
您可以限制*主体* 从特定 IP 地址对控制面板端点进行 API 调用。要指定可以允许的 IP 地址,请在 IAM policy 的条件元素中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) 全局条件键。
使用此条件密钥还可以拒绝其他 AWS 服务人代表您进行这些 API 调用,例如 AWS CloudFormation。要允许访问这些服务,请使用带有 aws: 密钥的[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice)全局条件SourceIp 密钥。这可以确保源 IP 地址访问限制仅适用于由主体直接发出的请求。有关更多信息,请参阅 [AWS: AWS 根据源 IP 拒绝访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)。
以下示例说明如何仅允许能够对控制面板端点进行 API 调用的特定 IP 地址。`aws:ViaAWSService` 键设置为 `true`,这允许其它服务代表您进行 API 调用。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "123.45.167.89"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
## 数据面板上的 IAM 策略
数据面板上的 IAM 策略使用 `iotjobsdata:` 前缀以授权用户可以执行的任务 API 操作。在数据面板上,可以通过使用 `iotjobsdata:DescribeJobExecution` 策略操作授予用户使用 [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html) API 的权限。
**警告**
当设备的目标指向 AWS IoT Jobs 时,不建议在数据面板上使用 IAM 策略。我们建议您在控制面板上使用 IAM 策略,供用户创建和管理任务。在数据面板上,要授权设备检索任务执行和更新执行状态,请使用 [AWS IoT Core HTTPS 协议的策略](iot-data-plane-jobs.md#iot-jobs-data-http)。
### 基本 IAM 策略示例
必须授权的 API 操作通常由您键入 CLI 命令来执行。下面显示了用户执行 `DescribeJobExecution` 操作的示例。
在此示例中:
+ *region*和你的 AWS 区域,比如`us-east-1`。
+ *account-id*用你的 AWS 账户 电话号码,比如`57EXAMPLE833`。
+ *thing-name*写上你瞄准工作的物联网事物的名称,例如`myRegisteredThing`。
+ `job-id` 是使用 API 确定的目标任务的唯一标识符。
```
aws iot-jobs-data describe-job-execution \
--endpoint-url "https://account-id.jobs.iot.region.amazonaws.com" \
--job-id jobID --thing-name thing-name
```
下面显示了授权执行此操作的示例 IAM 策略:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
}
}
```
### 适用于基于 IP 的授权的 IAM 策略示例
您可以限制*主体* 从特定 IP 地址对数据面板端点进行 API 调用。要指定可以允许的 IP 地址,请在 IAM policy 的条件元素中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) 全局条件键。
使用此条件密钥还可以拒绝其他 AWS 服务人代表您进行这些 API 调用,例如 AWS CloudFormation。要允许访问这些服务,请将 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) 全局条件键与 `aws:SourceIp` 条件键一起使用。这可确保 IP 地址访问限制仅适用于主体直接发出的请求。有关更多信息,请参阅 [AWS: AWS 根据源 IP 拒绝访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)。
以下示例说明如何仅允许能够对数据面板端点进行 API 调用的特定 IP 地址。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iotjobsdata:*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "123.45.167.89"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
以下示例说明如何限制特定 IP 地址或地址范围,使其无法对数据面板端点进行 API 调用。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"iotjobsdata:*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"123.45.167.89",
"192.0.2.0/24",
"203.0.113.0/24"
]
}
},
"Resource": [
"*"
]
}
]
}
```
### 控制面板和数据面板的 IAM 策略示例
如果您同时在控制面板和数据面板上执行 API 操作,则控制面板策略操作必须使用 `iot:` 前缀,而数据面板策略操作必须使用 `iotjobsdata:` 前缀。
例如,`DescribeJobExecution` API 可以同时用于控制面板和数据面板中。在控制平面上,[DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html)API 用于描述任务执行。在数据层面上,[ DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html)API 用于获取任务执行的详细信息。
以下 IAM 策略授予用户同时在控制面板和数据面板上使用 `DescribeJobExecution` API 的权限。
在此示例中:
+ *region*和你的 AWS 区域,比如`us-east-1`。
+ *account-id*用你的 AWS 账户 电话号码,比如`57EXAMPLE833`。
+ *thing-name*写上你瞄准工作的物联网事物的名称,例如`MyIoTThing`。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/thing-123",
"arn:aws:iot:us-east-1:123456789012:job/*"
]
}
]
}
```
## 授权对 IoT 资源进行标记
为了更好地控制您可以创建、修改或使用的任务和任务模板,可以将标签附加到任务或任务模板。还可以通过将标签放在账单组中并向其附加标签,帮助您辨别所有权并分配和分摊成本。
当用户想要标记他们使用或创建的任务或任务模板时 AWS CLI,您的 IAM 策略必须向该用户授予对其进行标记的权限。 AWS 管理控制台 要授予权限,IAM 策略必须使用 `iot:TagResource` 操作。
**注意**
如果您的 IAM 策略不包含 `iot:TagResource` 操作,则任何带有标签的 [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) 或 [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) 都将返回 `AccessDeniedException` 错误。
当您想要为使用或创建的任务或任务模板添加标签时,您的 IAM 策略必须授予对它们进行标记的权限。 AWS 管理控制台 AWS CLI要授予权限,IAM 策略必须使用 `iot:TagResource` 操作。
有关标记实例的一般信息,请参阅[为资源添加 AWS IoT 标签](tagging-iot.md)。
### IAM 策略示例
请参阅以下授予标记权限的 IAM 策略示例:
*示例 1*
某位用户运行以下命令来创建任务并将其标记到特定环境。
在此示例中:
+ *region*和你的 AWS 区域,比如`us-east-1`。
+ *account-id*用你的 AWS 账户 电话号码,比如`57EXAMPLE833`。
+ *thing-name*写上你瞄准工作的物联网事物的名称,例如`MyIoTThing`。
```
aws iot create-job
--job-id test_job
--targets "arn:aws:iot:region:account-id:thing/thingOne"
--document-source "https://s3.amazonaws.com/amzn-s3-demo-bucket/job-document.json"
--description "test job description"
--tags Key=environment,Value=beta
```
对于本示例,您必须使用以下 IAM 策略:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iot:CreateJob",
"iot:CreateJobTemplate",
"iot:TagResource"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:job/*",
"arn:aws:iot:us-east-1:123456789012:jobtemplate/*"
]
}
}
```