翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IoT FleetWise AWS IoT が IAM と連携する方法
<a name="security_iam_service-with-iam"></a>

IAM を使用して AWS IoT FleetWise へのアクセスを管理する前に、 AWS IoT FleetWise で使用できる IAM 機能について説明します。






**AWS IoT FleetWise で使用できる IAM 機能**  

| IAM 機能 | AWS IoT FleetWise のサポート | 
| --- | --- | 
|  [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)  |   あり  | 
|  [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)  |   なし   | 
|  [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions)  |   あり  | 
|  [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources)  |   あり  | 
|  [ポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   あり  | 
|  [ACL](#security_iam_service-with-iam-acls)  |   なし   | 
|  [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags)  |   部分的  | 
|  [一時認証情報](#security_iam_service-with-iam-roles-tempcreds)  |   あり  | 
|  [プリンシパルアクセス権限](#security_iam_service-with-iam-principal-permissions)  |   あり  | 
|  [サービスロール](#security_iam_service-with-iam-roles-service)  |   いいえ   | 
|  [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked)  |   いいえ   | 

 AWS IoT FleetWise およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

## AWS IoT FleetWise のアイデンティティベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

**アイデンティティベースのポリシーのサポート:** あり

アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

### AWS IoT FleetWise のアイデンティティベースのポリシーの例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



 AWS IoT FleetWise アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS IoT FleetWise のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。

## AWS IoT FleetWise 内のリソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**リソースベースのポリシーのサポート:** なし 

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。

クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。

## AWS IoT FleetWise のポリシーアクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**ポリシーアクションのサポート:** あり

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。



 AWS IoT FleetWise アクションのリストを確認するには、*「サービス認可リファレンス*」の[AWS IoT FleetWise で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions)」を参照してください。

 AWS IoT FleetWise のポリシーアクションは、アクションの前に次のプレフィックスを使用します。

```
iotfleetwise
```

単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。

```
"Action": [
      "iotfleetwise:action1",
      "iotfleetwise:action2"
]
```





ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

```
"Action": "iotfleetwise:List*"
```

 AWS IoT FleetWise アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS IoT FleetWise のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。

## AWS IoT FleetWise のポリシーリソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**ポリシーリソースのサポート:** あり

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。

```
"Resource": "*"
```

 AWS IoT FleetWise リソースタイプとその ARNs[AWS IoT FleetWise で定義されるリソース](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-resources-for-iam-policies)」を参照してください。 **各リソースの ARN を指定できるアクションについては、[AWS IoT FleetWise で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions)」を参照してください。





 AWS IoT FleetWise アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS IoT FleetWise のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。

## AWS IoT FleetWise のポリシー条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**サービス固有のポリシー条件キーのサポート:** あり

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

 AWS IoT FleetWise 条件キーのリストを確認するには、*「サービス認可リファレンス*[」の AWS IoT FleetWise の条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[AWS IoT FleetWise で定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions)」を参照してください。

 AWS IoT FleetWise アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS IoT FleetWise のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。

## AWS IoT FleetWise のアクセスコントロールリスト (ACLs)
<a name="security_iam_service-with-iam-acls"></a>

**ACL のサポート:** なし 

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

## AWS IoT FleetWise を使用した属性ベースのアクセスコントロール (ABAC)
<a name="security_iam_service-with-iam-tags"></a>

**ABAC (ポリシー内のタグ) のサポート:** 一部

属性ベースのアクセスコントロール (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。

タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。

サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。

ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。

**注記**  
AWS IoT FleetWise は`iam:PassRole`、 `CreateCampaign` API オペレーションに必要な のみをサポートします。

## AWS IoT FleetWise での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**一時的な認証情報のサポート:** あり

一時的な認証情報は AWS 、リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

## AWS IoT FleetWise のクロスサービスプリンシパルアクセス許可
<a name="security_iam_service-with-iam-principal-permissions"></a>

**転送アクセスセッション (FAS) のサポート:** あり

 転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。

## AWS IoT FleetWise のサービスロール
<a name="security_iam_service-with-iam-roles-service"></a>

**サービスロールのサポート:** なし 

 サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。

**警告**  
サービスロールのアクセス許可を変更すると、 AWS IoT FleetWise 機能が破損する可能性があります。 AWS IoT FleetWise が指示する場合にのみ、サービスロールを編集します。

## AWS IoT FleetWise のサービスにリンクされたロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**サービスにリンクされたロールのサポート:** なし 

 サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

サービスにリンクされたロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の「**サービスリンクロール**」列に `Yes` と記載されたサービスを見つけます。そのサービスのサービスリンクロールに関するドキュメントを参照するには、「**はい**」のリンクを選択します。

# AWS IoT FleetWise のサービスリンクロールの使用
<a name="using-service-linked-roles"></a>

AWS IoT FleetWise は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、AWS IoT Fleetwise に直接リンクされる一意のタイプの IAM ロールです。サービスリンクロールは AWS IoT FleetWise によって事前定義され、AWS IoT FleetWise から Amazon CloudWatch にメトリクスを送信するために必要なアクセス許可が含まれています。詳細については、「[Amazon CloudWatch で AWS IoT FleetWise をモニタリングする](monitoring-cloudwatch.md)」を参照してください。

サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がないため、AWS IoT FleetWise を簡単にセットアップできます。AWS IoT FleetWise は、サービスリンクロールのアクセス許可を定義します。特に定義されていない限り、AWS IoT FleetWise のみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。このアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可が誤って削除されることがなくなるため、AWS IoT FleetWise リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。そのサービスのサービスリンクロールに関するドキュメントを参照するには、「**はい**」のリンクを選択します。

## AWS IoT FleetWise のサービスリンクロールのアクセス許可
<a name="service-linked-role-permissions"></a>

AWS IoT FleetWise では、**AWSServiceRoleForIoTFleetWise** という名前のサービスリンクロールが使用されます。これは、AWS IoT FleetWise に用意されているすべてのアクセス許可に使用される AWS マネージドポリシーです。

サービスリンクロール AWSServiceRoleForIoTFleetWise は、次のサービスを信頼してそのロールを引き受けます。
+ `IoTFleetWise`

[AWSIoTFleetwiseServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTFleetwiseServiceRolePolicy.html) という名前のロールアクセス許可ポリシーにより、AWS IoT FleetWise は指定されたリソースに対して次のアクションを実行できます。
+ アクション: リソース `*` での `cloudwatch:PutMetricData`

このポリシーの変更については、[AWSIoTFleetwiseServiceRolePolicy ポリシーの更新](https://docs.aws.amazon.com/iot-fleetwise/latest/developerguide/managed-policy-updates.html)」を参照してください。

サービスにリンクされたロールには、次の CloudWatch 名前空間にメトリクスを発行するアクセス許可があります。
+ `AWS/IoTFleetWise` – サービス固有のメトリクスの場合
+ `AWS/Usage` – 使用状況メトリクスの場合

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド**」の「[サービスリンクロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## AWS IoT FleetWise のサービスリンクロールの作成
<a name="create-service-linked-role"></a>

サービスリンクロールを手動で作成する必要はありません。AWS IoT FleetWise コンソール、、 AWS CLIまたは AWS API にアカウントを登録すると、AWS IoT FleetWise によってサービスにリンクされたロールが作成されます。詳細については、「[AWS IoT FleetWise 設定を構成する](configure-settings.md)」を参照してください。

### AWS IoT FleetWise でのサービスリンクロールの作成 (コンソール)
<a name="create-service-linked-role-service-console"></a>

サービスリンクロールを手動で作成する必要はありません。AWS IoT FleetWise コンソール、CLI、または AWS API AWS にアカウントを登録すると、AWS IoT FleetWise によってサービスにリンクされたロールが作成されます。

### AWS IoT FleetWise のサービスリンクロールの編集
<a name="edit-service-linked-role"></a>

サービスリンクロール AWSServiceRoleForIoTFleetWise は、AWS IoT FleetWise で編集することはできません。作成済みのサービスリンクロールは、さまざまなエンティティによって参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

### サービスリンク役割のクリーンアップ
<a name="service-linked-role-review-before-delete"></a>

IAM を使用してサービスにリンクされた役割を削除するには最初に、その役割で使用されているリソースをすべて削除する必要があります。

**注記**  
リソースを削除しようとしたときに AWS IoT FleetWise でロールが使用されていると、削除に失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。コンソール、 AWS CLI、または AWS API を使用してservice-linked-roleを削除する方法については、*IAM ユーザーガイド*の[「サービスにリンクされたロールの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)」を参照してください。

このサービスリンクロールを削除した後で再作成する必要が生じた場合は、AWS IoT FleetWise にアカウントを登録できます。これで、AWS IoT FleetWise によってサービスリンクロールが自動的に再作成されます。