本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 授權使用者和雲端服務使用 AWS IoT 任務
若要授權使用者和雲端任務,您必須在控制平面和資料平面上都使用 IAM 政策。這些政策必須與 HTTPS 通訊協定一起使用,並且必須使用 AWS Signature 第 4 版身分驗證 (連接埠 443) 以驗證使用者。
**注意**
AWS IoT Core 政策不得用於控制平面。IAM 政策僅用於授權使用者或雲端服務。如需使用所需政策類型的詳細資訊,請參閱 [AWS IoT 任務的必要政策類型](iot-jobs-security.md#jobs-required-policy)。
IAM 政策是包含政策陳述式的 JSON 文件。政策聲明使用*效果*、*動作*以及*資源*元素來指定資源、允許或拒絕動作,以及在何種條件下允許或拒絕動作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html)。
**警告**
我們建議您不要使用萬用字元許可,例如在 IAM 政策`"Action": ["iot:*"]`中 AWS IoT Core 。使用萬用字元許可不是推薦的安全最佳實務。如需詳細資訊,請參閱[AWS IoT 過度寬鬆的政策](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-iot-policy-permissive.html)。
## 控制平面上的 IAM 政策
在控制平面上,IAM 政策使用 `iot:` 字首,以授權對應的任務 API 作業。例如 `iot:CreateJob` 政策動作會授予使用者許可使用 [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) API。
### 政策動作
下表顯示使用 API 動作的 IAM 政策動作和許可列表。如需資源類型的資訊,請參閱 [定義的資源類型 AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-job)。如需動作的詳細資訊 AWS IoT ,請參閱 [定義的動作 AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html)。
**控制平面上的 IAM 政策動作**
| 政策動作 | API 操作 | 資源類型 | Description |
| --- | --- | --- | --- |
| iot:AssociateTargetsWithJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/iam-policy-users-jobs.html) | 代表將群組與連續任務關聯的許可。每次發出關聯目標的要求時,就會檢查一次 iot:AssociateTargetsWithJob 許可。 |
| iot:CancelJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html) | job | 代表取消任務的許可。每次發出取消任務的要求時,就會檢查一次 iot:CancelJob 許可。 |
| iot:CancelJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/iam-policy-users-jobs.html) | 代表可取消任務執行的許可。每次發出取消任務執行的要求時,就會檢查一次 iot: CancelJobExecution 許可。 |
| iot:CreateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/iam-policy-users-jobs.html) | 代表建立任務的許可。每次發出建立任務的要求時,就會檢查一次 iot: CreateJob 許可。 |
| iot:CreateJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/iam-policy-users-jobs.html) | 代表建立任務範本的許可。每次發出建立任務範本的要求時,就會檢查一次 iot: CreateJobTemplate 許可。 |
| iot:DeleteJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html) | job | 代表刪除任務的許可。每次發出刪除任務的要求時,就會檢查一次 iot: DeleteJob 許可。 |
| iot:DeleteJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html) | jobtemplate | 代表刪除任務範本的許可。每次發出刪除任務範本的要求時,就會檢查一次 iot: CreateJobTemplate 許可。 |
| iot:DeleteJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/iam-policy-users-jobs.html) | 代表可刪除任務執行的許可。每次發出刪除任務執行的要求時,就會檢查一次 iot: DeleteJobExecution 許可。 |
| iot:DescribeJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html) | job | 代表描述任務的許可。每次發出描述任務的要求時,就會檢查一次 iot: DescribeJob 許可。 |
| iot:DescribeJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/iam-policy-users-jobs.html) | 代表描述任務執行的許可。每次發出描述任務執行的要求時,就會檢查一次 iot: DescribeJobExecution 許可。 |
| iot:DescribeJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html) | jobtemplate | 代表描述任務範本的許可。每次發出描述任務範本的要求時,就會檢查一次 iot: DescribeJobTemplate 許可。 |
| iot:DescribeManagedJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html) | jobtemplate | 代表描述受管任務範本的許可。每次發出描述受管任務範本的要求時,就會檢查一次 iot: DescribeManagedJobTemplate 許可。 |
| iot:GetJobDocument | [https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html](https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html) | job | 代表取得任務之任務文件的許可。每次發出取得任務文件的要求時,就會檢查一次 iot:GetJobDocument 許可。 |
| iot:ListJobExecutionsForJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html) | job | 代表列出任務之任務執行的許可。每次發出列出任務之任務執行的要求時,就會檢查一次 iot:ListJobExecutionsForJob 許可。 |
| iot:ListJobExecutionsForThing | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html) | 物件 | 代表列出任務之任務執行的許可。每次發出列出物件之任務執行的要求時,就會檢查一次 iot:ListJobExecutionsForThing 許可。 |
| iot:ListJobs | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html) | 無 | 代表可列出任務的許可。每次發出列出任務的要求時,就會檢查一次 iot:ListJobs 許可。 |
| iot:ListJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html) | 無 | 代表可列出任務範本的許可。每次發出列出任務範本的要求時,就會檢查一次 iot:ListJobTemplates 許可。 |
| iot:ListManagedJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html) | 無 | 代表可列出受管任務範本的許可。每次發出列出受管任務範本的要求時,就會檢查一次 iot:ListManagedJobTemplates 許可。 |
| iot:UpdateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html) | job | 代表可更新任務的許可。每次發出更新任務的要求時,就會檢查一次 iot:UpdateJob 許可。 |
| iot:TagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/iam-policy-users-jobs.html) | 准許標記指定的資源。 |
| iot:UntagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/iam-policy-users-jobs.html) | 准許取消標記指定的資源。 |
### 基本 IAM 政策範例
以下範例顯示一個 IAM 政策,該政策允許使用者對您的 IoT 物件和物件群組執行以下動作。
在該範例中,替換:
+ *區域* AWS 區域,例如 `us-east-1`。
+ *account-id* 與您的 AWS 帳戶 數字,例如 `57EXAMPLE833`。
+ *thing-group-name*換成您目標任務的 IoT 物件群組名稱,例如 `FirmwareUpdateGroup`。
+ *thing-name*換成您目標任務的 IoT 物件名稱,例如 `MyIoTThing`。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thinggroup/thing-group-name"
},
{
"Action": [
"iot:DescribeJob",
"iot:CancelJob",
"iot:DeleteJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:job/*"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/thing-123",
"arn:aws:iot:us-east-1:123456789012:job/*"
]
}
]
}
```
### 以 IP 為基礎的授權的 IAM 政策範例
您可以限制 *principals* (主體) 從特定 IP 地址對您的控制平面端點進行 API 呼叫。若要指定允許的 IP 地址,請在 IAM 政策的 Condition 元素中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) 全域條件金鑰。
使用此條件金鑰也可以拒絕代表您進行這些 API 呼叫存取其他 AWS 服務,例如 AWS CloudFormation。若要允許存取這些服務,請使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) 有 aws:SourceIp 金鑰的全域條件金鑰。這可確保來源 IP 地址存取限制僅適用於主體的直接請求。如需詳細資訊,請參閱[AWS: AWS 根據來源 IP 拒絕對 的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)。
下列範例顯示如何僅允許可對控制平面端點進行 API 呼叫的特定 IP 地址。此 `aws:ViaAWSService` 金鑰為 `true`,允許其他服務代表您進行 API 呼叫。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "123.45.167.89"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
## 資料平面上的 IAM 政策
資料平面上的 IAM 政策使用 `iotjobsdata:` 字首來授權使用者可以執行的任務 API 操作。在資料平面上,您可以使用 `iotjobsdata:DescribeJobExecution` 政策動作授予使用者使用 [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html) API 的許可。
**警告**
鎖定裝置的 AWS IoT 任務時,不推薦使用在資料平面上使用 IAM 政策。建議您在控制平面上使用 IAM 政策,以便使用者建立和管理任務。在資料平面上,若要授權裝置擷取任務執行並更新執行狀態,請使用 [AWS IoT Core HTTPS 通訊協定的 政策](iot-data-plane-jobs.md#iot-jobs-data-http)。
### 基本 IAM 政策範例
必須授權的 API 操作通常由您輸入 CLI 命令來執行。以下說明使用者執行 `DescribeJobExecution` 操作的範例。
在該範例中,替換:
+ *區域* AWS 區域,例如 `us-east-1`。
+ *account-id* 與您的 AWS 帳戶 數字,例如 `57EXAMPLE833`。
+ *thing-name*換成您目標任務的 IoT 物件名稱,例如 `myRegisteredThing`。
+ `job-id` 是使用 API 鎖定之任務的唯一識別符。
```
aws iot-jobs-data describe-job-execution \
--endpoint-url "https://account-id.jobs.iot.region.amazonaws.com" \
--job-id jobID --thing-name thing-name
```
以下顯示授權這個動作的 IAM 政策範例:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
}
}
```
### 以 IP 為基礎的授權的 IAM 政策範例
您可以限制 *principal* (主體) 從特定 IP 地址對資料平面端點進行 API 呼叫。若要指定允許的 IP 地址,請在 IAM 政策的 Condition 元素中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) 全域條件金鑰。
使用此條件金鑰也可以拒絕代表您進行這些 API 呼叫存取其他 AWS 服務,例如 AWS CloudFormation。若要允許存取這些服務,請使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) 有 `aws:SourceIp` 條件金鑰的全域條件金鑰。這可確保 IP 地址存取限制僅適用於主體直接發出的要求。如需詳細資訊,請參閱[AWS: AWS 根據來源 IP 拒絕對 的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)。
下列範例顯示如何僅允許可對資料平面端點進行 API 呼叫的特定 IP 地址。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iotjobsdata:*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "123.45.167.89"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
下列範例顯示如何限制特定 IP 地址或地址範圍,以便對資料平面端點進行 API 呼叫。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"iotjobsdata:*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"123.45.167.89",
"192.0.2.0/24",
"203.0.113.0/24"
]
}
},
"Resource": [
"*"
]
}
]
}
```
### 控制平面和資料平面的 IAM 政策範例
如果您同時在控制平面和資料平面上執行 API 操作,控制平面政策動作必須使用 `iot:` 字首,而且您的資料平面政策動作必須使用 `iotjobsdata:` 字首。
例如 `DescribeJobExecution` API 可以同時在控制平面和資料平面上使用。在控制平面上,[DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html) API 用於描述任務執行。在資料平面上,[DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html) API 用於取得任務執行的詳細資訊。
以下 IAM 政策授權使用者同時在控制平面和資料平面上使用 `DescribeJobExecution` API。
在該範例中,替換:
+ *區域* AWS 區域,例如 `us-east-1`。
+ *account-id* 與您的 AWS 帳戶 數字,例如 `57EXAMPLE833`。
+ *thing-name*換成您目標任務的 IoT 物件名稱,例如 `MyIoTThing`。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/thing-123",
"arn:aws:iot:us-east-1:123456789012:job/*"
]
}
]
}
```
## 授權對 IoT 資源進行標記
為了更妥善控制您可以建立、修改或使用的任務和任務範本,您可以將標籤連接到任務或任務範本。標籤也可以幫助您識別所有權,並將其放在計費群組中並附加標籤來指派和分配成本。
當使用者想要標記其使用 或 建立的任務 AWS 管理主控台 或任務範本時 AWS CLI,您的 IAM 政策必須授予使用者標記它們的許可。要授予權限,您的 IAM 政策必須使用 `iot:TagResource` 動作。
**注意**
如果您的 IAM 政策不包含 `iot:TagResource`動作,則[https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html)具有標籤的任何 [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html)或 都會傳回`AccessDeniedException`錯誤。
當您想要標記使用 或 建立的任務 AWS 管理主控台 或任務範本時 AWS CLI,IAM 政策必須授予標記這些任務的許可。要授予權限,您的 IAM 政策必須使用 `iot:TagResource` 動作。
如需標記資源的相關資訊,請參閱 [標記您的 AWS IoT 資源](tagging-iot.md)。
### IAM 政策範例
請參閱下列授予標記許可的 IAM 政策範例:
*範例 1*
執行下列命令以建立任務並將其標記至特定環境的使用者。
在此範例中,取代:
+ *區域* AWS 區域,例如 `us-east-1`。
+ *account-id* 與您的 AWS 帳戶 數字,例如 `57EXAMPLE833`。
+ *thing-name*換成您目標任務的 IoT 物件名稱,例如 `MyIoTThing`。
```
aws iot create-job
--job-id test_job
--targets "arn:aws:iot:region:account-id:thing/thingOne"
--document-source "https://s3.amazonaws.com/amzn-s3-demo-bucket/job-document.json"
--description "test job description"
--tags Key=environment,Value=beta
```
這個範例必須使用下列 IAM 政策:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iot:CreateJob",
"iot:CreateJobTemplate",
"iot:TagResource"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:job/*",
"arn:aws:iot:us-east-1:123456789012:jobtemplate/*"
]
}
}
```