翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
が IAM とAWS IoT連携する方法
IAM を使用して へのアクセスを管理する前にAWS IoT、使用できる IAM 機能を理解しておく必要がありますAWS IoT。AWS IoTおよびその他の AWSのサービスが IAM と連携する方法の概要については、IAM ユーザーガイドのAWS「IAM と連携する のサービス」を参照してください。
AWS IoT アイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。AWS IoT は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素のリファレンス」を参照してください。
アクション
管理者は JSON AWSポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
JSON ポリシーの Action 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
次の表に、IAM IoT アクション、関連する AWS IoTAPI、およびアクションが操作するリソースを示します。
| ポリシーアクション | AWS IoTAPI | リソース |
|---|---|---|
| iot:AcceptCertificateTransfer | AcceptCertificateTransfer |
注記ARN でAWS アカウント指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:AddThingToThingGroup | AddThingToThingGroup |
|
| iot:AssociateTargetsWithJob | AssociateTargetsWithJob | なし |
| iot:AttachPolicy | AttachPolicy |
または
|
| iot:AttachPrincipalPolicy | AttachPrincipalPolicy |
|
| iot:AttachSecurityProfile | AttachSecurityProfile |
|
| iot:AttachThingPrincipal | AttachThingPrincipal |
|
| iot:CancelCertificateTransfer | CancelCertificateTransfer |
注記ARN でAWS アカウント指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:CancelJob | CancelJob |
|
| iot:CancelJobExecution | CancelJobExecution |
|
| iot:ClearDefaultAuthorizer | ClearDefaultAuthorizer | なし |
| iot:CreateAuthorizer | CreateAuthorizer |
|
| iot:CreateCertificateFromCsr | CreateCertificateFromCsr | * |
| iot:CreateDimension | CreateDimension |
|
| iot:CreateJob | CreateJob |
|
| iot:CreateJobTemplate | CreateJobTemplate |
|
| iot:CreateKeysAndCertificate | CreateKeysAndCertificate | * |
| iot:CreatePolicy | CreatePolicy |
|
| iot:CreatePolicyVersion | CreatePolicyVersion |
注記これは IAM AWS IoTポリシーではなく、 ポリシーである必要があります。 |
| iot:CreateRoleAlias | CreateRoleAlias |
(パラメータ :roleAlias)
|
| iot:CreateSecurityProfile | CreateSecurityProfile |
|
| iot:CreateThing | CreateThing |
|
| iot:CreateThingGroup | CreateThingGroup |
作成されているグループと親グループ用、使用されている場合 |
| iot:CreateThingType | CreateThingType |
|
| iot:CreateTopicRule | CreateTopicRule |
|
| iot:DeleteAuthorizer | DeleteAuthorizer |
|
| iot:DeleteCACertificate | DeleteCACertificate |
|
| iot:DeleteCertificate | DeleteCertificate |
|
| iot:DeleteDimension | DeleteDimension |
|
| iot:DeleteJob | DeleteJob |
|
| iot:DeleteJobTemplate | DeleteJobTemplate |
|
| iot:DeleteJobExecution | DeleteJobExecution |
|
| iot:DeletePolicy | DeletePolicy |
|
| iot:DeletePolicyVersion | DeletePolicyVersion |
|
| iot:DeleteRegistrationCode | DeleteRegistrationCode | * |
| iot:DeleteRoleAlias | DeleteRoleAlias |
|
| iot:DeleteSecurityProfile | DeleteSecurityProfile |
|
| iot:DeleteThing | DeleteThing |
|
| iot:DeleteThingGroup | DeleteThingGroup |
|
| iot:DeleteThingType | DeleteThingType |
|
| iot:DeleteTopicRule | DeleteTopicRule |
|
| iot:DeleteV2LoggingLevel | DeleteV2LoggingLevel |
|
| iot:DeprecateThingType | DeprecateThingType |
|
| iot:DescribeAuthorizer | DescribeAuthorizer |
(パラメータ: authorizerName) なし |
| iot:DescribeCACertificate | DescribeCACertificate |
|
| iot:DescribeCertificate | DescribeCertificate |
|
| iot:DescribeDefaultAuthorizer | DescribeDefaultAuthorizer | なし |
| iot:DescribeEndpoint | DescribeEndpoint | * |
| iot:DescribeEventConfigurations | DescribeEventConfigurations | なし |
| iot:DescribeIndex | DescribeIndex |
|
| iot:DescribeJob | DescribeJob |
|
| iot:DescribeJobExecution | DescribeJobExecution | なし |
| iot:DescribeJobTemplate | DescribeJobTemplate |
|
| iot:DescribeRoleAlias | DescribeRoleAlias |
|
| iot:DescribeThing | DescribeThing |
|
| iot:DescribeThingGroup | DescribeThingGroup |
|
| iot:DescribeThingRegistrationTask | DescribeThingRegistrationTask | なし |
| iot:DescribeThingType | DescribeThingType |
|
| iot:DetachPolicy | DetachPolicy |
または
|
| iot:DetachPrincipalPolicy | DetachPrincipalPolicy |
|
| iot:DetachSecurityProfile | DetachSecurityProfile |
|
| iot:DetachThingPrincipal | DetachThingPrincipal |
|
| iot:DisableTopicRule | DisableTopicRule |
|
| iot:EnableTopicRule | EnableTopicRule |
|
| iot:GetEffectivePolicies | GetEffectivePolicies |
|
| iot:GetIndexingConfiguration | GetIndexingConfiguration | なし |
| iot:GetJobDocument | GetJobDocument |
|
| iot:GetLoggingOptions | GetLoggingOptions | * |
| iot:GetPolicy | GetPolicy |
|
| iot:GetPolicyVersion | GetPolicyVersion |
|
| iot:GetRegistrationCode | GetRegistrationCode | * |
| iot:GetTopicRule | GetTopicRule |
|
| iot:ListAttachedPolicies | ListAttachedPolicies |
または
|
| iot:ListAuthorizers | ListAuthorizers | なし |
| iot:ListCACertificates | ListCACertificates | * |
| iot:ListCertificates | ListCertificates | * |
| iot:ListCertificatesByCA | ListCertificatesByCA | * |
| iot:ListIndices | ListIndices | なし |
| iot:ListJobExecutionsForJob | ListJobExecutionsForJob | なし |
| iot:ListJobExecutionsForThing | ListJobExecutionsForThing | なし |
| iot:ListJobs | ListJobs |
thingGroupName パラメータが使用される場合 |
| iot:ListJobTemplates | ListJobs | なし |
| iot:ListOutgoingCertificates | ListOutgoingCertificates | * |
| iot:ListPolicies | ListPolicies | * |
| iot:ListPolicyPrincipals | ListPolicyPrincipals | * |
| iot:ListPolicyVersions | ListPolicyVersions |
|
| iot:ListPrincipalPolicies | ListPrincipalPolicies |
|
| iot:ListPrincipalThings | ListPrincipalThings |
|
| iot:ListRoleAliases | ListRoleAliases | なし |
| iot:ListTargetsForPolicy | ListTargetsForPolicy |
|
| iot:ListThingGroups | ListThingGroups | なし |
| iot:ListThingGroupsForThing | ListThingGroupsForThing |
|
| iot:ListThingPrincipals | ListThingPrincipals |
|
| iot:ListThingRegistrationTaskReports | ListThingRegistrationTaskReports | なし |
| iot:ListThingRegistrationTasks | ListThingRegistrationTasks | なし |
| iot:ListThingTypes | ListThingTypes | * |
| iot:ListThings | ListThings | * |
| iot:ListThingsInThingGroup | ListThingsInThingGroup |
|
| iot:ListTopicRules | ListTopicRules | * |
| iot:ListV2LoggingLevels | ListV2LoggingLevels | なし |
| iot:RegisterCACertificate | RegisterCACertificate | * |
| iot:RegisterCertificate | RegisterCertificate | * |
| iot:RegisterThing | RegisterThing | なし |
| iot:RejectCertificateTransfer | RejectCertificateTransfer |
|
| iot:RemoveThingFromThingGroup | RemoveThingFromThingGroup |
|
| iot:ReplaceTopicRule | ReplaceTopicRule |
|
| iot:SearchIndex | SearchIndex |
|
| iot:SetDefaultAuthorizer | SetDefaultAuthorizer |
|
| iot:SetDefaultPolicyVersion | SetDefaultPolicyVersion |
|
| iot:SetLoggingOptions | SetLoggingOptions |
|
| iot:SetV2LoggingLevel | SetV2LoggingLevel |
|
| iot:SetV2LoggingOptions | SetV2LoggingOptions |
|
| iot:StartThingRegistrationTask | StartThingRegistrationTask | なし |
| iot:StopThingRegistrationTask | StopThingRegistrationTask | なし |
| iot:TestAuthorization | TestAuthorization |
|
| iot:TestInvokeAuthorizer | TestInvokeAuthorizer | なし |
| iot:TransferCertificate | TransferCertificate |
|
| iot:UpdateAuthorizer | UpdateAuthorizer |
|
| iot:UpdateCACertificate | UpdateCACertificate |
|
| iot:UpdateCertificate | UpdateCertificate |
|
| iot:UpdateDimension | UpdateDimension |
|
| iot:UpdateEventConfigurations | UpdateEventConfigurations | なし |
| iot:UpdateIndexingConfiguration | UpdateIndexingConfiguration | なし |
| iot:UpdateRoleAlias | UpdateRoleAlias |
|
| iot:UpdateSecurityProfile | UpdateSecurityProfile |
|
| iot:UpdateThing | UpdateThing |
|
| iot:UpdateThingGroup | UpdateThingGroup |
|
| iot:UpdateThingGroupsForThing | UpdateThingGroupsForThing |
|
のポリシーアクションは、アクションの前にプレフィックス AWS IoTを使用しますiot:。たとえば、 ListThings API AWS アカウントを使用して に登録されているすべての IoT モノを一覧表示するアクセス許可をユーザーに付与するには、ポリシーに iot:ListThingsアクションを含めます。ポリシーステートメントには、 Actionまたは NotAction element を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションのセットAWS IoTを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
"Action": [ "ec2:action1", "ec2:action2"
ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
"Action": "iot:Describe*"
AWS IoTアクションのリストを確認するには、IAM ユーザーガイドの「 で定義されるアクションAWS IoT」を参照してください。
Device Advisor のアクション
次の表は、IAM IoT Device Advisor のアクション、関連する AWS IoT Device Advisor API、およびアクションで使用されるリソースを示しています。
| ポリシーアクション | AWS IoTAPI | リソース |
|---|---|---|
| iotdeviceadvisor:CreateSuiteDefinition | CreateSuiteDefinition |
なし |
| iotdeviceadvisor:DeleteSuiteDefinition | DeleteSuiteDefinition |
|
| iotdeviceadvisor:GetSuiteDefinition | GetSuiteDefinition |
|
| iotdeviceadvisor:GetSuiteRun | GetSuiteRun |
|
| iotdeviceadvisor:GetSuiteRunReport | GetSuiteRunReport |
|
| iotdeviceadvisor:ListSuiteDefinitions | ListSuiteDefinitions | なし |
| iotdeviceadvisor:ListSuiteRuns | ListSuiteRuns |
|
| iotdeviceadvisor:ListTagsForResource | ListTagsForResource |
|
| iotdeviceadvisor:StartSuiteRun | StartSuiteRun |
|
| iotdeviceadvisor:TagResource | TagResource |
|
| iotdeviceadvisor:UntagResource | UntagResource |
|
| iotdeviceadvisor:UpdateSuiteDefinition | UpdateSuiteDefinition |
|
| iotdeviceadvisor:StopSuiteRun | StopSuiteRun |
|
AWS IoTDevice Advisor のポリシーアクションは、アクションの前にプレフィックス を使用しますiotdeviceadvisor:。たとえば、ListSuiteDefinitions API AWS アカウントを使用して に登録されているすべてのスイート定義を一覧表示するアクセス許可をユーザーに付与するには、ポリシーに iotdeviceadvisor:ListSuiteDefinitionsアクションを含めます。
リソース
管理者は JSON AWSポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Resource JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。
"Resource": "*"
| ポリシーアクション | AWS IoTAPI | リソース |
|---|---|---|
| iot:AcceptCertificateTransfer | AcceptCertificateTransfer |
注記ARN でAWS アカウント指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:AddThingToThingGroup | AddThingToThingGroup |
|
| iot:AssociateTargetsWithJob | AssociateTargetsWithJob | なし |
| iot:AttachPolicy | AttachPolicy |
または
|
| iot:AttachPrincipalPolicy | AttachPrincipalPolicy |
|
| iot:AttachThingPrincipal | AttachThingPrincipal |
|
| iot:CancelCertificateTransfer | CancelCertificateTransfer |
注記ARN でAWS アカウント指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:CancelJob | CancelJob |
|
| iot:CancelJobExecution | CancelJobExecution |
|
| iot:ClearDefaultAuthorizer | ClearDefaultAuthorizer | なし |
| iot:CreateAuthorizer | CreateAuthorizer |
|
| iot:CreateCertificateFromCsr | CreateCertificateFromCsr | * |
| iot:CreateJob | CreateJob |
|
| iot:CreateJobTemplate | CreateJobTemplate |
|
| iot:CreateKeysAndCertificate | CreateKeysAndCertificate | * |
| iot:CreatePolicy | CreatePolicy |
|
| CreatePolicyVersion | iot:CreatePolicyVersion |
注記これは IAM AWS IoTポリシーではなく、 ポリシーである必要があります。 |
| iot:CreateRoleAlias | CreateRoleAlias |
(パラメータ :roleAlias)
|
| iot:CreateThing | CreateThing |
|
| iot:CreateThingGroup | CreateThingGroup |
作成されているグループと親グループ用、使用されている場合 |
| iot:CreateThingType | CreateThingType |
|
| iot:CreateTopicRule | CreateTopicRule |
|
| iot:DeleteAuthorizer | DeleteAuthorizer |
|
| iot:DeleteCACertificate | DeleteCACertificate |
|
| iot:DeleteCertificate | DeleteCertificate |
|
| iot:DeleteJob | DeleteJob |
|
| iot:DeleteJobExecution | DeleteJobExecution |
|
| iot:DeleteJobTemplate | DeleteJobTemplate |
|
| iot:DeletePolicy | DeletePolicy |
|
| iot:DeletePolicyVersion | DeletePolicyVersion |
|
| iot:DeleteRegistrationCode | DeleteRegistrationCode | * |
| iot:DeleteRoleAlias | DeleteRoleAlias |
|
| iot:DeleteThing | DeleteThing |
|
| iot:DeleteThingGroup | DeleteThingGroup |
|
| iot:DeleteThingType | DeleteThingType |
|
| iot:DeleteTopicRule | DeleteTopicRule |
|
| iot:DeleteV2LoggingLevel | DeleteV2LoggingLevel |
|
| iot:DeprecateThingType | DeprecateThingType |
|
| iot:DescribeAuthorizer | DescribeAuthorizer |
(パラメータ: authorizerName) なし |
| iot:DescribeCACertificate | DescribeCACertificate |
|
| iot:DescribeCertificate | DescribeCertificate |
|
| iot:DescribeDefaultAuthorizer | DescribeDefaultAuthorizer | なし |
| iot:DescribeEndpoint | DescribeEndpoint | * |
| iot:DescribeEventConfigurations | DescribeEventConfigurations | なし |
| iot:DescribeIndex | DescribeIndex |
|
| iot:DescribeJob | DescribeJob |
|
| iot:DescribeJobExecution | DescribeJobExecution | なし |
| iot:DescribeJobTemplate | DescribeJobTemplate |
|
| iot:DescribeRoleAlias | DescribeRoleAlias |
|
| iot:DescribeThing | DescribeThing |
|
| iot:DescribeThingGroup | DescribeThingGroup |
|
| iot:DescribeThingRegistrationTask | DescribeThingRegistrationTask | なし |
| iot:DescribeThingType | DescribeThingType |
|
| iot:DetachPolicy | DetachPolicy |
または
|
| iot:DetachPrincipalPolicy | DetachPrincipalPolicy |
|
| iot:DetachThingPrincipal | DetachThingPrincipal |
|
| iot:DisableTopicRule | DisableTopicRule |
|
| iot:EnableTopicRule | EnableTopicRule |
|
| iot:GetEffectivePolicies | GetEffectivePolicies |
|
| iot:GetIndexingConfiguration | GetIndexingConfiguration | なし |
| iot:GetJobDocument | GetJobDocument |
|
| iot:GetLoggingOptions | GetLoggingOptions | * |
| iot:GetPolicy | GetPolicy |
|
| iot:GetPolicyVersion | GetPolicyVersion |
|
| iot:GetRegistrationCode | GetRegistrationCode | * |
| iot:GetTopicRule | GetTopicRule |
|
| iot:ListAttachedPolicies | ListAttachedPolicies |
または
|
| iot:ListAuthorizers | ListAuthorizers | なし |
| iot:ListCACertificates | ListCACertificates | * |
| iot:ListCertificates | ListCertificates | * |
| iot:ListCertificatesByCA | ListCertificatesByCA | * |
| iot:ListIndices | ListIndices | なし |
| iot:ListJobExecutionsForJob | ListJobExecutionsForJob | なし |
| iot:ListJobExecutionsForThing | ListJobExecutionsForThing | なし |
| iot:ListJobs | ListJobs |
thingGroupName パラメータが使用される場合 |
| iot:ListJobTemplates | ListJobTemplates | なし |
| iot:ListOutgoingCertificates | ListOutgoingCertificates | * |
| iot:ListPolicies | ListPolicies | * |
| iot:ListPolicyPrincipals | ListPolicyPrincipals |
|
| iot:ListPolicyVersions | ListPolicyVersions |
|
| iot:ListPrincipalPolicies | ListPrincipalPolicies |
|
| iot:ListPrincipalThings | ListPrincipalThings |
|
| iot:ListRoleAliases | ListRoleAliases | なし |
| iot:ListTargetsForPolicy | ListTargetsForPolicy |
|
| iot:ListThingGroups | ListThingGroups | なし |
| iot:ListThingGroupsForThing | ListThingGroupsForThing |
|
| iot:ListThingPrincipals | ListThingPrincipals |
|
| iot:ListThingRegistrationTaskReports | ListThingRegistrationTaskReports | なし |
| iot:ListThingRegistrationTasks | ListThingRegistrationTasks | なし |
| iot:ListThingTypes | ListThingTypes | * |
| iot:ListThings | ListThings | * |
| iot:ListThingsInThingGroup | ListThingsInThingGroup |
|
| iot:ListTopicRules | ListTopicRules | * |
| iot:ListV2LoggingLevels | ListV2LoggingLevels | なし |
| iot:RegisterCACertificate | RegisterCACertificate | * |
| iot:RegisterCertificate | RegisterCertificate | * |
| iot:RegisterThing | RegisterThing | なし |
| iot:RejectCertificateTransfer | RejectCertificateTransfer |
|
| iot:RemoveThingFromThingGroup | RemoveThingFromThingGroup |
|
| iot:ReplaceTopicRule | ReplaceTopicRule |
|
| iot:SearchIndex | SearchIndex |
|
| iot:SetDefaultAuthorizer | SetDefaultAuthorizer |
|
| iot:SetDefaultPolicyVersion | SetDefaultPolicyVersion |
|
| iot:SetLoggingOptions | SetLoggingOptions | * |
| iot:SetV2LoggingLevel | SetV2LoggingLevel | * |
| iot:SetV2LoggingOptions | SetV2LoggingOptions | * |
| iot:StartThingRegistrationTask | StartThingRegistrationTask | なし |
| iot:StopThingRegistrationTask | StopThingRegistrationTask | なし |
| iot:TestAuthorization | TestAuthorization |
|
| iot:TestInvokeAuthorizer | TestInvokeAuthorizer | なし |
| iot:TransferCertificate | TransferCertificate |
|
| iot:UpdateAuthorizer | UpdateAuthorizer |
|
| iot:UpdateCACertificate | UpdateCACertificate |
|
| iot:UpdateCertificate | UpdateCertificate |
|
| iot:UpdateEventConfigurations | UpdateEventConfigurations | なし |
| iot:UpdateIndexingConfiguration | UpdateIndexingConfiguration | なし |
| iot:UpdateRoleAlias | UpdateRoleAlias |
|
| iot:UpdateThing | UpdateThing |
|
| iot:UpdateThingGroup | UpdateThingGroup |
|
| iot:UpdateThingGroupsForThing | UpdateThingGroupsForThing |
|
ARN の形式の詳細については、「Amazon リソースネーム (ARNsAWS「サービス名前空間」を参照してください。
リソースを作成するためのアクションなど、一部のAWS IoTアクションは、特定のリソースで実行できません。このような場合はワイルドカード *を使用する必要があります。
"Resource": "*"
AWS IoTリソースタイプとその ARNs「 で定義されるリソースAWS IoT」を参照してください。 どのアクションで各リソースの ARN を指定できるかについては、「AWS IoT で定義されるアクション」を参照してください。
Device Advisor のリソース
AWS IoTDevice Advisor IAM ポリシーのリソースレベルの制限を定義するには、スイート定義とスイート実行に次のリソース ARN 形式を使用します。
- スイート定義リソース ARN 形式
-
arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id - スイート実行リソース ARN 形式
-
arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id
条件キー
管理者は JSON AWSポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Condition 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの条件演算子を使用して条件式を作成し、ポリシーの条件とリクエスト内の値を一致させることができます。すべてのAWSグローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS「グローバル条件コンテキストキー」を参照してください。
AWS IoTは独自の条件キーのセットを定義し、いくつかのグローバル条件キーの使用もサポートしています。すべてのAWSグローバル条件キーを確認するには、IAM ユーザーガイドのAWS「グローバル条件コンテキストキー」を参照してください。
| AWS IoT条件キー | 説明 | タイプ |
|---|---|---|
aws:RequestTag/${ |
ユーザーが AWS IoT に対して行うリクエストに含まれるタグキー。 | String |
aws:ResourceTag/${ |
AWS IoTリソースにアタッチされたタグのタグキーコンポーネント。 | String |
aws:TagKeys |
リクエスト内のリソースに関連付けられているすべてのタグキー名のリスト。 | String |
AWS IoT条件キーのリストを確認するには、IAM ユーザーガイドの「 の条件キーAWS IoT」を参照してください。条件キーを使用できるアクションとリソースについては、「 で定義されるアクションAWS IoT」を参照してください。
例
AWS IoTアイデンティティベースのポリシーの例を表示するには、「」を参照してくださいAWS IoTアイデンティティベースのポリシーの例。
AWS IoT リソースベースのポリシー
リソースベースのポリシーは、指定されたプリンシパルがAWS IoTリソースに対して実行できるアクションと条件を指定する JSON ポリシードキュメントです。
AWS IoTは IAM リソースベースのポリシーをサポートしていません。ただし、AWS IoTリソースベースのポリシーをサポートしています。詳細については、「AWS IoT Coreポリシー」を参照してください。
AWS IoT タグに基づく認可
AWS IoTリソースにタグをアタッチするか、 へのリクエストでタグを渡すことができますAWS IoT。タグに基づいてアクセスを制御するには、iot:ResourceTag/、key-nameaws:RequestTag/、または key-nameaws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。詳細については、「IAM ポリシーでのタグの使用」を参照してください。AWS IoTリソースのタグ付けの詳細については、「」を参照してくださいAWS IoTリソースのタグ付け。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「タグに基づく AWS IoT リソースの表示」を参照してください。
AWS IoTIAM ロール
IAM ロールは、特定のアクセス許可AWS アカウントを持つ 内のエンティティです。
での一時的な認証情報の使用AWS IoT
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole や GetFederationToken などの AWS STSAPI オペレーションを呼び出します。
AWS IoTでは、一時的な認証情報の使用がサポートされています。
サービスリンクロール
サービスにリンクされたロールを使用すると、 AWSサービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
AWS IoTは、サービスにリンクされたロールをサポートしていません。
サービス役割
この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
