AWS IoT Core ポリシー

AWS IoT Core ポリシーは JSON ドキュメントです。IAM ポリシーと同じルールに従います。AWS IoT Core では、非常に多くの ID が同じポリシードキュメントを参照できるように、名前付きポリシーがサポートされています。名前付きポリシーは、簡単にロールバックされるようにバージョン管理されます。

AWS IoT Core ポリシーでは、AWS IoT Core のデータプレーンへのアクセスを管理できます。AWS IoT Core のデータプレーンは、AWS IoT Core メッセージブローカーへの接続、MQTT メッセージの送受信、デバイスのシャドウの取得または更新を可能にするオペレーションで構成されます。

AWS IoT Core ポリシーは、1 つ以上のポリシーステートメントを含む JSON ドキュメントです。各ステートメントには、次の内容が含まれます。

AWS IoT がポリシードキュメントをキャッシュする方法により、ポリシーに加えられた変更が有効になるまでに 6～8 分かかる場合があります。つまり、最近アクセス権が付与されたリソースにアクセスするには数分かかる場合があり、アクセスが取り消された後、数分間リソースにアクセスできる場合があります。

AWS IoT Core ポリシーは、X.509 証明書、Amazon Cognito ID、またはモノのグループにアタッチできます。モノのグループにアタッチされたポリシーは、そのグループ内のあらゆるものに適用されます。ポリシーを有効にするには、clientId とモノの名前が一致している必要があります。AWS IoT Coreポリシーは、IAM ポリシーと同じポリシーの評価ロジックに従います。デフォルトでは、すべてのポリシーが明示的に拒否されます。アイデンティティベースのポリシーまたはリソースベースのポリシーに対する明示的な許可は、このデフォルト設定を上書きします。ポリシー内の明示的な拒否は、すべての許可に優先します。詳細については、AWS Identity and Access Management ユーザーガイドの「ポリシーの評価論理」を参照してください。