本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS IoT SiteWise 如何使用 IAM
<a name="security_iam_service-with-iam"></a>

在您使用 AWS Identity and Access Management (IAM) 來管理 的存取權之前 AWS IoT SiteWise，您應該了解可使用哪些 IAM 功能 AWS IoT SiteWise。


|  IAM 功能  |  支援 AWS IoT SiteWise？  | 
| --- | --- | 
|  [具有資源層級許可的身分型政策](security_iam_service-with-iam-id-based-policies.md)  | 是 | 
|  [政策動作](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)  | 是 | 
|  [政策資源](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)  | 是 | 
|  [政策條件索引鍵](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)  | 是 | 
|  資源型政策  | 否 | 
|  存取控制清單 (ACL)  | 否 | 
|  [標籤型授權 (ABAC)](security_iam_service-with-iam-tags.md)  | 是 | 
|  [臨時憑證](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)  | 是 | 
|  [轉送存取工作階段 (FAS) ](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)  | 是 | 
|  [服務連結角色](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)  | 是 | 
|  [服務角色](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)  | 是 | 

若要全面了解 AWS IoT SiteWise 和其他 AWS 服務如何與 IAM 搭配使用，請參閱《IAM *使用者指南*》中的[AWS 與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

**Contents**
+ [AWS IoT SiteWise IAM 角色](security_iam_service-with-iam-roles.md)
  + [搭配 使用暫時登入資料 AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)
  + [轉送 的存取工作階段 (FAS) AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)
  + [服務連結角色](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)
  + [服務角色](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service)
  + [在 中選擇 IAM 角色 AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-choose)
+ [以 AWS IoT SiteWise 標籤為基礎的授權](security_iam_service-with-iam-tags.md)
+ [AWS IoT SiteWise 身分型政策](security_iam_service-with-iam-id-based-policies.md)
  + [政策動作](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)
    + [BatchPutAssetPropertyValue 授權](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action)
  + [政策資源](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)
  + [政策條件索引鍵](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)
  + [範例](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-examples)
+ [AWS IoT SiteWise 身分型政策範例](security_iam_id-based-policy-examples.md)
  + [政策最佳實務](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)
  + [使用 AWS IoT SiteWise 主控台](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)
  + [允許使用者檢視他們自己的許可](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-own-permissions)
  + [允許使用者在一個階層中將資料擷取至資產](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
  + [根據標籤檢視 AWS IoT SiteWise 資產](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)
+ [使用 中的政策管理存取權 AWS IoT SiteWise](security_iam_access-manage.md)
  + [身分型政策](security_iam_access-manage.md#security_iam_access-manage-id-based-policies)
  + [資源型政策](security_iam_access-manage.md#security_iam_access-manage-resource-based-policies)
  + [存取控制清單 (ACL)](security_iam_access-manage.md#security_iam_access-manage-acl)
  + [其他政策類型](security_iam_access-manage.md#security_iam_access-manage-other-policies)
  + [多種政策類型](security_iam_access-manage.md#security_iam_access-manage-multiple-policies)

# AWS IoT SiteWise IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您 AWS 帳戶中具備特定許可的實體。

## 搭配 使用暫時登入資料 AWS IoT SiteWise
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

您可以搭配聯合使用暫時憑證、擔任 IAM 角色，或是擔任跨帳戶角色。您取得暫時安全憑證的方式是透過呼叫 AWS STS API 作業 (例如，[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html))。

AWS IoT SiteWise 支援使用臨時登入資料。

SiteWise Monitor 支援聯合身分使用者存取入口網站。入口網站使用者使用其 IAM Identity Center 或 IAM 登入資料進行身分驗證。

**重要**  <a name="iam-portal-user-permissions"></a>
使用者或角色必須具有登入入口網站的`iotsitewise:DescribePortal`許可。

當使用者登入入口網站時，SiteWise Monitor 會產生工作階段政策，提供下列許可：
+ 您入口網站角色提供存取權 AWS IoT SiteWise 之帳戶中資產和資產資料的唯讀存取權。
+ 存取該入口網站中使用者具有管理員 (專案擁有者) 或唯讀 (專案檢視者) 存取權的專案。

如需聯合入口網站使用者許可的詳細資訊，請參閱[使用 的服務角色 AWS IoT SiteWise Monitor](monitor-service-role.md)。

## 轉送 的存取工作階段 (FAS) AWS IoT SiteWise
<a name="security_iam_service-with-iam-principal-permissions"></a>

**支援轉寄存取工作階段 (FAS)：**是

 轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務，結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊，請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。

## 服務連結角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)可讓 AWS 服務存取其他 服務中的資源，以代表您完成 動作。 服務連結角色會出現在您的帳戶中 AWS ，且由 服務所擁有。IAM 管理員可以檢視，但不能編輯服務連結角色的許可。

AWS IoT SiteWise 支援服務連結角色。如需建立或管理 AWS IoT SiteWise 服務連結角色的詳細資訊，請參閱[使用 的服務連結角色 AWS IoT SiteWise](using-service-linked-roles.md)。

## 服務角色
<a name="security_iam_service-with-iam-roles-service"></a>

此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。此角色可讓服務存取其他服務中的資源，以代表您完成動作。服務角色會出現在您的帳戶中 AWS ，並由該帳戶擁有。這表示 IAM 管理員可以變更此角色的許可。不過，這樣可能會破壞此服務的功能。

AWS IoT SiteWise 使用服務角色來允許 SiteWise Monitor 入口網站使用者代表您存取您的 AWS IoT SiteWise 部分資源。如需詳細資訊，請參閱[使用 的服務角色 AWS IoT SiteWise Monitor](monitor-service-role.md)。

您必須先擁有必要的許可，才能在其中建立 AWS IoT Events 警示模型 AWS IoT SiteWise。如需詳細資訊，請參閱[在 中設定事件警示的許可 AWS IoT SiteWise](alarms-iam-permissions.md)。

## 在 中選擇 IAM 角色 AWS IoT SiteWise
<a name="security_iam_service-with-iam-roles-choose"></a>

在 中建立`portal`資源時 AWS IoT SiteWise，您必須選擇一個角色，以允許 SiteWise Monitor 入口網站的聯合身分使用者 AWS IoT SiteWise 代表您存取 。如果您先前已建立服務角色，則 AWS IoT SiteWise 會為您提供可供選擇的角色清單。否則，您可以在建立入口網站時建立具有必要許可的角色。請務必選擇允許存取您的資產和資產資料的角色。如需詳細資訊，請參閱[使用 的服務角色 AWS IoT SiteWise Monitor](monitor-service-role.md)。

# 以 AWS IoT SiteWise 標籤為基礎的授權
<a name="security_iam_service-with-iam-tags"></a>

您可以將標籤連接至 AWS IoT SiteWise 資源，或在請求中將標籤傳遞至其中 AWS IoT SiteWise。如需根據標籤控制存取，請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵，在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中，提供標籤資訊。如需標記 AWS IoT SiteWise 資源的詳細資訊，請參閱 [標記您的 AWS IoT SiteWise 資源](tag-resources.md)。

若要檢視身分型政策範例，以根據該資源上的標籤來限制存取資源，請參閱 [根據標籤檢視 AWS IoT SiteWise 資產](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)。

# AWS IoT SiteWise 身分型政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

IAM 政策可讓您控制誰可以在其中執行動作 AWS IoT SiteWise。您可以決定是否允許哪些動作，並為這些動作設定特定條件。例如，您可以制定有關誰可以在 中查看或變更資訊的規則 AWS IoT SiteWise。 AWS IoT SiteWise 支援特定動作、資源和條件索引鍵。若要了解您在 JSON 政策中使用的所有元素，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

## 政策動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。

中的政策動作在動作之前 AWS IoT SiteWise 使用下列字首：`iotsitewise:`。例如，若要授予某人使用 `BatchPutAssetPropertyValue` API AWS IoT SiteWise 操作將資產屬性資料上傳至 的許可，請在其政策中包含 `iotsitewise:BatchPutAssetPropertyValue`動作。政策陳述式必須包含 `Action`或 `NotAction`元素。 AWS IoT SiteWise 會定義自己的一組動作，描述您可以使用此服務執行的任務。

若要在單一陳述式中指定多個  動作，請用逗號分隔，如下所示。

```
"Action": [
  "iotsitewise:action1",
  "iotsitewise:action2"
]
```

您也可以使用萬用字元 (\$1) 來指定多個動作。例如，如需指定開頭是 `Describe` 文字的所有動作，請包含以下動作：

```
"Action": "iotsitewise:Describe*"
```



若要查看 AWS IoT SiteWise 動作清單，請參閱《*IAM 使用者指南*》中的 [定義的動作 AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions)。

### BatchPutAssetPropertyValue 授權
<a name="security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action"></a>

AWS IoT SiteWise 以不尋常的方式授權存取 [BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html) 動作。對於大多數動作，當您允許或拒絕存取時，如果未授予許可，該動作會傳回錯誤。使用 `BatchPutAssetPropertyValue`，您可以將多個資料項目傳送至單一 API 請求中的不同資產和資產屬性。 AWS IoT SiteWise 會獨立授權每個資料項目。對於請求中授權失敗的任何個別項目， `AccessDeniedException`會在傳回的錯誤清單中 AWS IoT SiteWise 包含 。 會 AWS IoT SiteWise 接收授權和成功之任何項目的資料，即使相同請求中的另一個項目失敗。

**重要**  
在將資料擷取至資料串流之前，請執行下列動作：  
如果您使用屬性別名來識別資料串流，請授權`time-series`資源。
如果您使用資產 ID 來識別包含相關聯資產屬性的資產，請授權`asset`資源。

## 政策資源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可，使用萬用字元 (\$1) 表示該陳述式適用於所有資源。

```
"Resource": "*"
```



每個 IAM 政策陳述式都會套用到您使用其 ARN 指定的資源。ARN 一般的語法如下所示。

```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```

如需 ARNs 格式的詳細資訊，請參閱[使用 Amazon Resource Name (ARNs) 識別 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。

例如，若要在陳述式中指定 ID 為 `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` 的資產，請使用下列 ARN。

```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```

若要指定屬於特定帳戶的所有資料串流，請使用萬用字元 (\$1)：

```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```

若要指定屬於特定帳戶的所有資產，請使用萬用字元 (\$1)：

```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```

有些 AWS IoT SiteWise 動作無法在特定資源上執行，例如用於建立資源的動作。在這些情況下，您必須使用萬用字元 (\$1)。

```
"Resource": "*"
```

若要在單一陳述式中指定多項資源，請使用逗號分隔 ARN。

```
"Resource": [
  "resource1",
  "resource2"
]
```

若要查看 AWS IoT SiteWise 資源類型及其 ARNs的清單，請參閱《*IAM 使用者指南*》中的 [定義的資源類型 AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN，請參閱 [AWS IoT SiteWise定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions)。

## 政策條件索引鍵
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

`Condition` 元素會根據定義的條件，指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於)，來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵，請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

**重要**  
許多條件鍵均為資源專屬，而且部分 API 動作使用多個資源。若您撰寫的政策陳述式具備條件鍵，請使用陳述式的 `Resource` 元素來指定套用該條件鍵的資源。如果您未這麼做，該政策可能會導致使用者完全無法執行該動作，因為未套用條件鍵之資源的條件檢查會失敗。若您不希望指定資源，或者若已撰寫政策的 `Action` 元素來納入多個 API 動作，則您必須使用 `...IfExists` 條件類型，以確保未使用該條件鍵的資源，忽略該條件鍵。如需詳細資訊，請參閱 [...IAM 使用者指南中的 IfExists 條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists)。 **

AWS IoT SiteWise 會定義自己的一組條件金鑰，也支援使用一些全域條件金鑰。若要查看所有 AWS 全域條件索引鍵，請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。


**AWS IoT SiteWise 條件索引鍵**  

| 條件金鑰 | Description | 類型 | 
| --- | --- | --- | 
| iotsitewise:isAssociatedWithAssetProperty |  資料串流是否與資產屬性相關聯。使用此條件索引鍵，根據資料串流的相關聯資產屬性是否存在來定義許可。 範例值：`true`  | String | 
| iotsitewise:assetHierarchyPath |  資產的階層路徑，也就是資產 ID 的字串，每個都以正斜線分隔。使用此條件鍵可根據帳戶中所有資產階層的子集來定義許可。 範例值：`/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE`  | String | 
| iotsitewise:propertyId |  資產屬性的 ID。使用此條件鍵可根據資產模型的指定屬性來定義許可。此條件鍵適用於該模型的所有資產。 範例值：`a1b2c3d4-5678-90ab-cdef-33333EXAMPLE`  | String | 
| iotsitewise:childAssetId |  資產的 ID，此資產是其他資產相關聯的子系。使用此條件鍵可根據子資產定義許可。若要根據父資產來定義許可，請使用政策陳述式的資源區段。 範例值：`a1b2c3d4-5678-90ab-cdef-66666EXAMPLE`  | String | 
| iotsitewise:iam |  列出存取政策時的 IAM 身分 ARN。使用此條件金鑰來定義 IAM 身分的存取政策許可。 範例值：`arn:aws:iam::123456789012:user/JohnDoe`  | 字串、Null | 
| iotsitewise:propertyAlias |  識別資產屬性或資料串流的別名。使用此條件索引鍵根據別名定義許可。  | String | 
| iotsitewise:user |  列出存取政策時 IAM Identity Center 使用者的 ID。使用此條件金鑰來定義 IAM Identity Center 使用者的存取政策許可。 範例值：`a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE`  | 字串、Null | 
| iotsitewise:group |  列出存取政策時的 IAM Identity Center 群組 ID。使用此條件金鑰來定義 IAM Identity Center 群組的存取政策許可。 範例值：`a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE`  | 字串、Null | 
| iotsitewise:portal |  存取政策中入口網站的 ID。使用此條件鍵，根據入口網站定義存取政策許可。 範例值：`a1b2c3d4-5678-90ab-cdef-77777EXAMPLE`  | 字串、Null | 
| iotsitewise:project |  存取政策中專案的 ID，或儀表板的專案 ID。使用此條件鍵，根據專案定義儀表板或存取政策許可。 範例值：`a1b2c3d4-5678-90ab-cdef-88888EXAMPLE`  | 字串、Null | 



若要了解您可以使用條件索引鍵的動作和資源，請參閱 [定義的動作 AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions)。

## 範例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



若要檢視 AWS IoT SiteWise 身分型政策的範例，請參閱 [AWS IoT SiteWise 身分型政策範例](security_iam_id-based-policy-examples.md)。

# AWS IoT SiteWise 身分型政策範例
<a name="security_iam_id-based-policy-examples"></a>

根據預設，實體 （使用者和角色） 沒有建立或修改 AWS IoT SiteWise 資源的許可。他們也無法使用 AWS 管理主控台、 AWS Command Line Interface (AWS CLI) 或 AWS API 執行任務。若要調整許可， AWS Identity and Access Management (IAM) 管理員必須執行下列動作：

1. 建立 IAM 政策，授予使用者和角色對所需資源執行特定 API 操作的許可。

1. 將這些政策連接到需要這些許可的使用者或群組。

若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策，請參閱《IAM 使用者指南》**中的[在 JSON 標籤上建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。

**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用 AWS IoT SiteWise 主控台](#security_iam_id-based-policy-examples-console)
+ [允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions)
+ [允許使用者在一個階層中將資料擷取至資產](#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [根據標籤檢視 AWS IoT SiteWise 資產](#security_iam_id-based-policy-examples-view-asset-tags)

## 政策最佳實務
<a name="security_iam_service-with-iam-policy-best-practices"></a>

身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 AWS IoT SiteWise 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時，請遵循下列準則及建議事項：
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載，請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策，以進一步減少許可。如需更多資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時，請僅授予執行任務所需的許可。為實現此目的，您可以定義在特定條件下可以對特定資源採取的動作，這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊，請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策，以限制動作和資源的存取。例如，您可以撰寫政策條件，指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務，您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素：條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策，確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策，確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議，可協助您撰寫安全且實用的政策。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶，請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA，請將 MFA 條件新增至您的政策。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。

如需 IAM 中最佳實務的相關資訊，請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

## 使用 AWS IoT SiteWise 主控台
<a name="security_iam_id-based-policy-examples-console"></a>

若要存取 AWS IoT SiteWise 主控台，您需要一組基本許可。這些許可可讓您查看和管理帳戶中 AWS IoT SiteWise 資源的詳細資訊 AWS 。

如果您將政策設為太嚴格的政策，則對於具有該政策的使用者或角色 （實體），主控台可能無法如預期般運作。為了確保這些實體仍然可以使用 AWS IoT SiteWise 主控台，請將 [AWSIoTSiteWiseConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/policies/arn:aws:iam::aws:policy/AWSIoTSiteWiseConsoleFullAccess) 受管政策連接到這些實體，或定義這些實體的同等許可。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。

如果實體僅使用 AWS Command Line Interface (CLI) 或 AWS IoT SiteWise API，而不是主控台，則不需要這些最低許可。在這種情況下，只要讓他們存取 API 任務所需的特定動作即可。

## 允許使用者檢視他們自己的許可
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

此範例會示範如何建立政策，允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## 允許使用者在一個階層中將資料擷取至資產
<a name="security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy"></a>

在此範例中，您想要授予 AWS 帳戶中的使用者從根資產 開始，將資料寫入特定資產階層中所有資產屬性的存取權`a1b2c3d4-5678-90ab-cdef-22222EXAMPLE`。政策會將 `iotsitewise:BatchPutAssetPropertyValue` 許可授予使用者。此政策會使用 `iotsitewise:assetHierarchyPath` 條件鍵來限制對階層路徑符合資產或其子代之資產的存取。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PutAssetPropertyValuesForHierarchy",
      "Effect": "Allow",
      "Action": "iotsitewise:BatchPutAssetPropertyValue",
      "Resource": "arn:aws:iotsitewise:*:*:asset/*",
      "Condition": {
        "StringLike": {
          "iotsitewise:assetHierarchyPath": [
            "/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
            "/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
          ]
        }
      }
    }
  ]
}
```

------

## 根據標籤檢視 AWS IoT SiteWise 資產
<a name="security_iam_id-based-policy-examples-view-asset-tags"></a>

在身分型政策中使用條件，根據標籤控制對 AWS IoT SiteWise 資源的存取。此範例說明如何建立允許資產檢視的政策。但是，只有在資產標籤 `Owner` 數值是該使用者的使用者名稱時，才會授予該許可。此政策也會授予在 主控台上完成此動作的許可。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ListAllAssets",
      "Effect": "Allow",
      "Action": [
        "iotsitewise:ListAssets",
        "iotsitewise:ListAssociatedAssets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "DescribeAssetIfOwner",
      "Effect": "Allow",
      "Action": "iotsitewise:DescribeAsset",
      "Resource": "arn:aws:iotsitewise:*:*:asset/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Owner": "${aws:username}"
        }
      }
    }
  ]
}
```

------

將此政策連接到您帳戶中的使用者。如果名為 的使用者`richard-roe`嘗試檢視 AWS IoT SiteWise 資產，資產必須加上標籤 `Owner=richard-roe`或 `owner=richard-roe`。否則，Richard 會被拒絕存取。條件標籤金鑰名稱不區分大小寫。因此， 同時`Owner`符合 `Owner`和 `owner`。如需詳細資訊，請參閱*《IAM 使用者指南》*中的 [IAM JSON 政策元素：條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。

# 使用 中的政策管理存取權 AWS IoT SiteWise
<a name="security_iam_access-manage"></a>

您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS ， 會評估這些政策。大多數政策會以 JSON 文件 AWS 形式存放在 中。如需進一步了解 JSON 政策文件，請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。

管理員會使用政策，透過定義哪些**主體**可在哪些**條件**下對哪些**資源**執行**動作**，以指定可存取的範圍。

預設情況下，使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色，供使用者後續擔任。IAM 政策定義動作的許可，無論採用何種方式執行。

## 身分型政策
<a name="security_iam_access-manage-id-based-policies"></a>

身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作，以及適用的條件。如需了解如何建立身分型政策，請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

身分型政策可分為*內嵌政策* (直接內嵌於單一身分) 與*受管政策* (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇，請參閱《IAM 使用者指南》**中的[在受管政策與內嵌政策之間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。

## 資源型政策
<a name="security_iam_access-manage-resource-based-policies"></a>

資源型政策是附加到資源的 JSON 政策文件。範例包括 IAM *角色信任政策*與 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中，服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。

資源型政策是位於該服務中的內嵌政策。您無法在以資源為基礎的政策中使用來自 IAM 的 AWS 受管政策。

## 存取控制清單 (ACL)
<a name="security_iam_access-manage-acl"></a>

存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策，但它們不使用 JSON 政策文件格式。

Amazon S3 AWS WAF和 Amazon VPC 是支援 ACLs的服務範例。如需進一步了解 ACL，請參閱《Amazon Simple Storage Service 開發人員指南》**中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。

## 其他政策類型
<a name="security_iam_access-manage-other-policies"></a>

AWS 支援其他政策類型，可設定更多常見政策類型授予的最大許可：
+ **許可界限** — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊，請參閱《 IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCP)** — 為 AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊，請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **資源控制政策 (RCP)** — 設定您帳戶中資源可用許可的上限。如需詳細資訊，請參閱《AWS Organizations 使用者指南》**中的[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **工作階段政策** — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時，以參數形式傳遞的進階政策。如需詳細資訊，請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。

## 多種政策類型
<a name="security_iam_access-manage-multiple-policies"></a>

當多種類型的政策適用於請求時，產生的許可會更複雜而無法理解。若要了解如何 AWS 在涉及多種政策類型時決定是否允許請求，請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。