翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# OTA 更新サービスロールを作成する
<a name="create-service-role"></a>

OTA 更新サービスは、ユーザーに代わって OTA アップデートジョブを作成および管理するためにこのロールを引き受けます。<a name="create-service-role-steps"></a>

**OTA サービスロールを作成するには**

1. [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam/) にサインインします。

1. ナビゲーションペインで、[**Roles**] を選択します。

1. **[Create role]** (ロールの作成) を選択します。

1. [**Select type of trusted entity**] (信頼されたエンティティの種類を選択) の下で、[**AWS Service**] (AWS サービス) を選択します。

1.  AWS サービスのリストから **IoT** を選択します。

1. [**ユースケースの選択**] で、[**IoT**] を選択します。

1. [**Next: Permissions (次へ: アクセス許可)**] を選択します。

1. [**次へ: タグ**] を選択します。

1. [**Next: Review**] (次へ: レビュー) を選択します。

1. ロールの名前と説明を入力し、[**ロールの作成**] を選択します。

IAM ロールの詳細については、[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を参照してください。

**重要**  
混乱した代理のセキュリティ問題に対処するには、「[AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/cross-service-confused-deputy-prevention.html) ガイド」の指示に従う必要があります。<a name="add-ota-permissions"></a>

**OTA サービスロールに OTA 更新アクセス許可を追加するには**

1. IAM コンソールページの検索ボックスに、ロールの名前を入力して、リストから選択します。

1. **ポリシーのアタッチ** を選択します。

1. [**検索**] ボックスに「AmazonFreeRTOSOTAUpdate」と入力し、フィルタリングされたポリシーの一覧で [**AmazonFreeRTOSOTAUpdate**] を選択してから、[**ポリシーのアタッチ**] を選択してポリシーをサービスロールにアタッチします。<a name="add-iam-permissions"></a>

**OTA サービスロールに必要な IAM アクセス許可を追加するには**

1. IAM コンソールページの検索ボックスに、ロールの名前を入力して、リストから選択します。

1. [**Add inline policy**] (インラインポリシーの追加) を選択します。

1. [**JSON**] タブを選択します。

1. 次のポリシードキュメントをコピーしてテキストボックスに貼り付けます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "iam:GetRole",
                   "iam:PassRole"
               ],
               "Resource": "arn:aws:iam::111122223333:role/your_role_name"
           }
       ]
   }
   ```

------

   *your\$1account\$1id* を AWS アカウント ID に置き換え、*your\$1role\$1name* を OTA サービスロールの名前に置き換えてください。

1. [**Review policy**] (ポリシーの確認) を選択します。

1. ポリシーの名前を入力し、[**Create policy**] (ポリシーの作成) を選択します。

**注記**  
Amazon S3 バケット名が 「afr-ota」で始まる場合、以下の手順は不要です。その場合は、 AWS 管理ポリシーに必要なアクセス許可が`AmazonFreeRTOSOTAUpdate`既に含まれています。<a name="add-s3-permissions"></a>

****OTA サービスロールに必要な Amazon S3 のアクセス許可を追加するには****

1. IAM コンソールページの検索ボックスに、ロールの名前を入力して、リストから選択します。

1. [**Add inline policy**] (インラインポリシーの追加) を選択します。

1. [**JSON**] タブを選択します。

1. 次のポリシードキュメントをコピーしてボックスに貼り付けます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObjectVersion",
                   "s3:GetObject",
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::example-bucket/*"
               ]
           }
       ]
   }
   ```

------

   このポリシーでは、Amazon S3 オブジェクトを読み取るための OTA サービスロールのアクセス許可が付与されます。*example-bucket* は、お使いのバケットの名前に置き換えてください。

1. [**Review policy**] (ポリシーの確認) を選択します。

1. ポリシーの名前を入力し、[**Create policy**] (ポリシーの作成) を選択します。