翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# が IAM と AWS IoT 連携する方法
IAM を使用して へのアクセスを管理する前に AWS IoT、使用できる IAM 機能を理解しておく必要があります AWS IoT。 AWS IoT およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [AWS IoT ID ベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [AWS IoT リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [AWS IoT タグに基づく認可](#security_iam_service-with-iam-tags)
+ [AWS IoT IAM ロール](#security_iam_service-with-iam-roles)
## AWS IoT ID ベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。 AWS IoT は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
次の表に、IAM IoT アクション、関連付けられた AWS IoT API、およびアクションが操作するリソースを示します。
****
| ポリシーアクション | AWS IoT API | リソース |
| --- | --- | --- |
| iot:AcceptCertificateTransfer | AcceptCertificateTransfer | `arn:aws:iot:region:account-id:cert/cert-id` ARN で AWS アカウント 指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:AddThingToThingGroup | AddThingToThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:AssociateTargetsWithJob | AssociateTargetsWithJob | なし |
| iot:AttachPolicy | AttachPolicy | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` または `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:AttachPrincipalPolicy | AttachPrincipalPolicy | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:AttachSecurityProfile | AttachSecurityProfile | `arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name` |
| iot:AttachThingPrincipal | AttachThingPrincipal | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:CancelCertificateTransfer | CancelCertificateTransfer | `arn:aws:iot:region:account-id:cert/cert-id` ARN で AWS アカウント 指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:CancelJob | CancelJob | `arn:aws:iot:region:account-id:job/job-id` |
| iot:CancelJobExecution | CancelJobExecution | `arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:ClearDefaultAuthorizer | ClearDefaultAuthorizer | なし |
| iot:CreateAuthorizer | CreateAuthorizer | `arn:aws:iot:region:account-id:authorizer/authorizer-function-name` |
| iot:CreateCertificateFromCsr | CreateCertificateFromCsr | \$1 |
| iot:CreateDimension | CreateDimension | `arn:aws:iot:region:account-id:dimension/dimension-name` |
| iot:CreateJob | CreateJob | `arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name` `arn:aws:iot:region:account-id:jobtemplate/job-template-id` |
| iot:CreateJobTemplate | CreateJobTemplate | `arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:jobtemplate/job-template-id` |
| iot:CreateKeysAndCertificate | CreateKeysAndCertificate | \$1 |
| iot:CreatePolicy | CreatePolicy | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:CreatePolicyVersion | CreatePolicyVersion | `arn:aws:iot:region:account-id:policy/policy-name` これは IAM AWS IoT ポリシーではなく、 ポリシーである必要があります。 |
| iot:CreateRoleAlias | CreateRoleAlias | (パラメータ :roleAlias) `arn:aws:iot:region:account-id:rolealias/role-alias-name` |
| iot:CreateSecurityProfile | CreateSecurityProfile | `arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name` |
| iot:CreateThing | CreateThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:CreateThingGroup | CreateThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` 作成されているグループと親グループ用、使用されている場合 |
| iot:CreateThingType | CreateThingType | `arn:aws:iot:region:account-id:thingtype/thing-type-name` |
| iot:CreateTopicRule | CreateTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:DeleteAuthorizer | DeleteAuthorizer | `arn:aws:iot:region:account-id:authorizer/authorizer-name` |
| iot:DeleteCACertificate | DeleteCACertificate | `arn:aws:iot:region:account-id:cacert/cert-id` |
| iot:DeleteCertificate | DeleteCertificate | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:DeleteDimension | DeleteDimension | `arn:aws:iot:region:account-id:dimension/dimension-name` |
| iot:DeleteJob | DeleteJob | `arn:aws:iot:region:account-id:job/job-id` |
| iot:DeleteJobTemplate | DeleteJobTemplate | `arn:aws:iot:region:account-id:job/job-template-id` |
| iot:DeleteJobExecution | DeleteJobExecution | `arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:DeletePolicy | DeletePolicy | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:DeletePolicyVersion | DeletePolicyVersion | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:DeleteRegistrationCode | DeleteRegistrationCode | \$1 |
| iot:DeleteRoleAlias | DeleteRoleAlias | `arn:aws:iot:region:account-id:rolealias/role-alias-name` |
| iot:DeleteSecurityProfile | DeleteSecurityProfile | `arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name` |
| iot:DeleteThing | DeleteThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:DeleteThingGroup | DeleteThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:DeleteThingType | DeleteThingType | `arn:aws:iot:region:account-id:thingtype/thing-type-name` |
| iot:DeleteTopicRule | DeleteTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:DeleteV2LoggingLevel | DeleteV2LoggingLevel | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:DeprecateThingType | DeprecateThingType | `arn:aws:iot:region:account-id:thingtype/thing-type-name` |
| iot:DescribeAuthorizer | DescribeAuthorizer | `arn:aws:iot:region:account-id:authorizer/authorizer-function-name` (パラメータ: authorizerName) なし |
| iot:DescribeCACertificate | DescribeCACertificate | `arn:aws:iot:region:account-id:cacert/cert-id` |
| iot:DescribeCertificate | DescribeCertificate | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:DescribeDefaultAuthorizer | DescribeDefaultAuthorizer | なし |
| iot:DescribeEndpoint | DescribeEndpoint | \$1 |
| iot:DescribeEventConfigurations | DescribeEventConfigurations | なし |
| iot:DescribeIndex | DescribeIndex | `arn:aws:iot:region:account-id:index/index-name` |
| iot:DescribeJob | DescribeJob | `arn:aws:iot:region:account-id:job/job-id` |
| iot:DescribeJobExecution | DescribeJobExecution | なし |
| iot:DescribeJobTemplate | DescribeJobTemplate | `arn:aws:iot:region:account-id:job/job-template-id` |
| iot:DescribeRoleAlias | DescribeRoleAlias | `arn:aws:iot:region:account-id:rolealias/role-alias-name` |
| iot:DescribeThing | DescribeThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:DescribeThingGroup | DescribeThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:DescribeThingRegistrationTask | DescribeThingRegistrationTask | なし |
| iot:DescribeThingType | DescribeThingType | `arn:aws:iot:region:account-id:thingtype/thing-type-name` |
| iot:DetachPolicy | DetachPolicy | `arn:aws:iot:region:account-id:cert/cert-id` または `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:DetachPrincipalPolicy | DetachPrincipalPolicy | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:DetachSecurityProfile | DetachSecurityProfile | `arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name` |
| iot:DetachThingPrincipal | DetachThingPrincipal | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:DisableTopicRule | DisableTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:EnableTopicRule | EnableTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:GetEffectivePolicies | GetEffectivePolicies | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:GetIndexingConfiguration | GetIndexingConfiguration | なし |
| iot:GetJobDocument | GetJobDocument | `arn:aws:iot:region:account-id:job/job-id` |
| iot:GetLoggingOptions | GetLoggingOptions | \$1 |
| iot:GetPolicy | GetPolicy | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:GetPolicyVersion | GetPolicyVersion | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:GetRegistrationCode | GetRegistrationCode | \$1 |
| iot:GetTopicRule | GetTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:ListAttachedPolicies | ListAttachedPolicies | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` または `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:ListAuthorizers | ListAuthorizers | なし |
| iot:ListCACertificates | ListCACertificates | \$1 |
| iot:ListCertificates | ListCertificates | \$1 |
| iot:ListCertificatesByCA | ListCertificatesByCA | \$1 |
| iot:ListIndices | ListIndices | なし |
| iot:ListJobExecutionsForJob | ListJobExecutionsForJob | なし |
| iot:ListJobExecutionsForThing | ListJobExecutionsForThing | なし |
| iot:ListJobs | ListJobs | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` thingGroupName パラメータが使用される場合 |
| iot:ListJobTemplates | ListJobs | なし |
| iot:ListOutgoingCertificates | ListOutgoingCertificates | \$1 |
| iot:ListPolicies | ListPolicies | \$1 |
| iot:ListPolicyPrincipals | ListPolicyPrincipals | \$1 |
| iot:ListPolicyVersions | ListPolicyVersions | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:ListPrincipalPolicies | ListPrincipalPolicies | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:ListPrincipalThings | ListPrincipalThings | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:ListRoleAliases | ListRoleAliases | なし |
| iot:ListTargetsForPolicy | ListTargetsForPolicy | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:ListThingGroups | ListThingGroups | なし |
| iot:ListThingGroupsForThing | ListThingGroupsForThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:ListThingPrincipals | ListThingPrincipals | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:ListThingRegistrationTaskReports | ListThingRegistrationTaskReports | なし |
| iot:ListThingRegistrationTasks | ListThingRegistrationTasks | なし |
| iot:ListThingTypes | ListThingTypes | \$1 |
| iot:ListThings | ListThings | \$1 |
| iot:ListThingsInThingGroup | ListThingsInThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:ListTopicRules | ListTopicRules | \$1 |
| iot:ListV2LoggingLevels | ListV2LoggingLevels | なし |
| iot:RegisterCACertificate | RegisterCACertificate | \$1 |
| iot:RegisterCertificate | RegisterCertificate | \$1 |
| iot:RegisterThing | RegisterThing | なし |
| iot:RejectCertificateTransfer | RejectCertificateTransfer | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:RemoveThingFromThingGroup | RemoveThingFromThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:ReplaceTopicRule | ReplaceTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:SearchIndex | SearchIndex | `arn:aws:iot:region:account-id:index/index-id` |
| iot:SetDefaultAuthorizer | SetDefaultAuthorizer | `arn:aws:iot:region:account-id:authorizer/authorizer-function-name` |
| iot:SetDefaultPolicyVersion | SetDefaultPolicyVersion | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:SetLoggingOptions | SetLoggingOptions | `arn:aws:iot:region:account-id:role/role-name` |
| iot:SetV2LoggingLevel | SetV2LoggingLevel | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:SetV2LoggingOptions | SetV2LoggingOptions | `arn:aws:iot:region:account-id:role/role-name` |
| iot:StartThingRegistrationTask | StartThingRegistrationTask | なし |
| iot:StopThingRegistrationTask | StopThingRegistrationTask | なし |
| iot:TestAuthorization | TestAuthorization | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:TestInvokeAuthorizer | TestInvokeAuthorizer | なし |
| iot:TransferCertificate | TransferCertificate | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:UpdateAuthorizer | UpdateAuthorizer | `arn:aws:iot:region:account-id:authorizerfunction/authorizer-function-name` |
| iot:UpdateCACertificate | UpdateCACertificate | `arn:aws:iot:region:account-id:cacert/cert-id` |
| iot:UpdateCertificate | UpdateCertificate | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:UpdateDimension | UpdateDimension | `arn:aws:iot:region:account-id:dimension/dimension-name` |
| iot:UpdateEventConfigurations | UpdateEventConfigurations | なし |
| iot:UpdateIndexingConfiguration | UpdateIndexingConfiguration | なし |
| iot:UpdateRoleAlias | UpdateRoleAlias | `arn:aws:iot:region:account-id:rolealias/role-alias-name` |
| iot:UpdateSecurityProfile | UpdateSecurityProfile | `arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name` |
| iot:UpdateThing | UpdateThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:UpdateThingGroup | UpdateThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:UpdateThingGroupsForThing | UpdateThingGroupsForThing | `arn:aws:iot:region:account-id:thing/thing-name` `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
のポリシーアクションは、アクションの前にプレフィックス AWS IoT を使用します`iot:`。たとえば、 `ListThings` API AWS アカウント を使用して に登録されているすべての IoT モノを一覧表示するアクセス許可をユーザーに付与するには、ポリシーに `iot:ListThings`アクションを含めます。ポリシーステートメントには、 `Action`または `NotAction` element を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションのセット AWS IoT を定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"ec2:action1",
"ec2:action2"
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "iot:Describe*"
```
AWS IoT アクションのリストを確認するには、*IAM ユーザーガイド*の[「 で定義されるアクション AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-actions-as-permissions)」を参照してください。
#### Device Advisor のアクション
次の表は、IAM IoT Device Advisor のアクション、関連する AWS IoT Device Advisor API、およびアクションで使用されるリソースを示しています。
****
| ポリシーアクション | AWS IoT API | リソース |
| --- | --- | --- |
| iotdeviceadvisor:CreateSuiteDefinition | CreateSuiteDefinition | なし |
| iotdeviceadvisor:DeleteSuiteDefinition | DeleteSuiteDefinition | `arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` |
| iotdeviceadvisor:GetSuiteDefinition | GetSuiteDefinition | `arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` |
| iotdeviceadvisor:GetSuiteRun | GetSuiteRun | `arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-run-id` |
| iotdeviceadvisor:GetSuiteRunReport | GetSuiteRunReport | `arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id` |
| iotdeviceadvisor:ListSuiteDefinitions | ListSuiteDefinitions | なし |
| iotdeviceadvisor:ListSuiteRuns | ListSuiteRuns | `arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` |
| iotdeviceadvisor:ListTagsForResource | ListTagsForResource | `arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` `arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id` |
| iotdeviceadvisor:StartSuiteRun | StartSuiteRun | `arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` |
| iotdeviceadvisor:TagResource | TagResource | `arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` `arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id` |
| iotdeviceadvisor:UntagResource | UntagResource | `arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` `arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id` |
| iotdeviceadvisor:UpdateSuiteDefinition | UpdateSuiteDefinition | `arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` |
| iotdeviceadvisor:StopSuiteRun | StopSuiteRun | `arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id` |
AWS IoT Device Advisor のポリシーアクションは、アクションの前にプレフィックス を使用します`iotdeviceadvisor:`。たとえば、ListSuiteDefinitions API AWS アカウント を使用して に登録されているすべてのスイート定義を一覧表示するアクセス許可をユーザーに付与するには、ポリシーに `iotdeviceadvisor:ListSuiteDefinitions`アクションを含めます。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
**AWS IoT リソース**
| ポリシーアクション | AWS IoT API | リソース |
| --- | --- | --- |
| iot:AcceptCertificateTransfer | AcceptCertificateTransfer | `arn:aws:iot:region:account-id:cert/cert-id` ARN で AWS アカウント 指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:AddThingToThingGroup | AddThingToThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:AssociateTargetsWithJob | AssociateTargetsWithJob | なし |
| iot:AttachPolicy | AttachPolicy | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` または `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:AttachPrincipalPolicy | AttachPrincipalPolicy | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:AttachThingPrincipal | AttachThingPrincipal | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:CancelCertificateTransfer | CancelCertificateTransfer | `arn:aws:iot:region:account-id:cert/cert-id` ARN で AWS アカウント 指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:CancelJob | CancelJob | `arn:aws:iot:region:account-id:job/job-id` |
| iot:CancelJobExecution | CancelJobExecution | `arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:ClearDefaultAuthorizer | ClearDefaultAuthorizer | なし |
| iot:CreateAuthorizer | CreateAuthorizer | `arn:aws:iot:region:account-id:authorizer/authorizer-function-name` |
| iot:CreateCertificateFromCsr | CreateCertificateFromCsr | \$1 |
| iot:CreateJob | CreateJob | `arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name` `arn:aws:iot:region:account-id:jobtemplate/job-template-id` |
| iot:CreateJobTemplate | CreateJobTemplate | `arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:jobtemplate/job-template-id` |
| iot:CreateKeysAndCertificate | CreateKeysAndCertificate | \$1 |
| iot:CreatePolicy | CreatePolicy | `arn:aws:iot:region:account-id:policy/policy-name` |
| CreatePolicyVersion | iot:CreatePolicyVersion | `arn:aws:iot:region:account-id:policy/policy-name` これは IAM AWS IoT ポリシーではなく、 ポリシーである必要があります。 |
| iot:CreateRoleAlias | CreateRoleAlias | (パラメータ :roleAlias) `arn:aws:iot:region:account-id:rolealias/role-alias-name` |
| iot:CreateThing | CreateThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:CreateThingGroup | CreateThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` 作成されているグループと親グループ用、使用されている場合 |
| iot:CreateThingType | CreateThingType | `arn:aws:iot:region:account-id:thingtype/thing-type-name` |
| iot:CreateTopicRule | CreateTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:DeleteAuthorizer | DeleteAuthorizer | `arn:aws:iot:region:account-id:authorizer/authorizer-name` |
| iot:DeleteCACertificate | DeleteCACertificate | `arn:aws:iot:region:account-id:cacert/cert-id` |
| iot:DeleteCertificate | DeleteCertificate | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:DeleteJob | DeleteJob | `arn:aws:iot:region:account-id:job/job-id` |
| iot:DeleteJobExecution | DeleteJobExecution | `arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:DeleteJobTemplate | DeleteJobTemplate | `arn:aws:iot:region:account-id:jobtemplate/job-template-id` |
| iot:DeletePolicy | DeletePolicy | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:DeletePolicyVersion | DeletePolicyVersion | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:DeleteRegistrationCode | DeleteRegistrationCode | \$1 |
| iot:DeleteRoleAlias | DeleteRoleAlias | `arn:aws:iot:region:account-id:rolealias/role-alias-name` |
| iot:DeleteThing | DeleteThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:DeleteThingGroup | DeleteThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:DeleteThingType | DeleteThingType | `arn:aws:iot:region:account-id:thingtype/thing-type-name` |
| iot:DeleteTopicRule | DeleteTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:DeleteV2LoggingLevel | DeleteV2LoggingLevel | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:DeprecateThingType | DeprecateThingType | `arn:aws:iot:region:account-id:thingtype/thing-type-name` |
| iot:DescribeAuthorizer | DescribeAuthorizer | `arn:aws:iot:region:account-id:authorizer/authorizer-function-name` (パラメータ: authorizerName) なし |
| iot:DescribeCACertificate | DescribeCACertificate | `arn:aws:iot:region:account-id:cacert/cert-id` |
| iot:DescribeCertificate | DescribeCertificate | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:DescribeDefaultAuthorizer | DescribeDefaultAuthorizer | なし |
| iot:DescribeEndpoint | DescribeEndpoint | \$1 |
| iot:DescribeEventConfigurations | DescribeEventConfigurations | なし |
| iot:DescribeIndex | DescribeIndex | `arn:aws:iot:region:account-id:index/index-name` |
| iot:DescribeJob | DescribeJob | `arn:aws:iot:region:account-id:job/job-id` |
| iot:DescribeJobExecution | DescribeJobExecution | なし |
| iot:DescribeJobTemplate | DescribeJobTemplate | `arn:aws:iot:region:account-id:jobtemplate/job-template-id` |
| iot:DescribeRoleAlias | DescribeRoleAlias | `arn:aws:iot:region:account-id:rolealias/role-alias-name` |
| iot:DescribeThing | DescribeThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:DescribeThingGroup | DescribeThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:DescribeThingRegistrationTask | DescribeThingRegistrationTask | なし |
| iot:DescribeThingType | DescribeThingType | `arn:aws:iot:region:account-id:thingtype/thing-type-name` |
| iot:DetachPolicy | DetachPolicy | `arn:aws:iot:region:account-id:cert/cert-id` または `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:DetachPrincipalPolicy | DetachPrincipalPolicy | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:DetachThingPrincipal | DetachThingPrincipal | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:DisableTopicRule | DisableTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:EnableTopicRule | EnableTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:GetEffectivePolicies | GetEffectivePolicies | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:GetIndexingConfiguration | GetIndexingConfiguration | なし |
| iot:GetJobDocument | GetJobDocument | `arn:aws:iot:region:account-id:job/job-id` |
| iot:GetLoggingOptions | GetLoggingOptions | \$1 |
| iot:GetPolicy | GetPolicy | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:GetPolicyVersion | GetPolicyVersion | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:GetRegistrationCode | GetRegistrationCode | \$1 |
| iot:GetTopicRule | GetTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:ListAttachedPolicies | ListAttachedPolicies | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` または `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:ListAuthorizers | ListAuthorizers | なし |
| iot:ListCACertificates | ListCACertificates | \$1 |
| iot:ListCertificates | ListCertificates | \$1 |
| iot:ListCertificatesByCA | ListCertificatesByCA | \$1 |
| iot:ListIndices | ListIndices | なし |
| iot:ListJobExecutionsForJob | ListJobExecutionsForJob | なし |
| iot:ListJobExecutionsForThing | ListJobExecutionsForThing | なし |
| iot:ListJobs | ListJobs | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` thingGroupName パラメータが使用される場合 |
| iot:ListJobTemplates | ListJobTemplates | なし |
| iot:ListOutgoingCertificates | ListOutgoingCertificates | \$1 |
| iot:ListPolicies | ListPolicies | \$1 |
| iot:ListPolicyPrincipals | ListPolicyPrincipals | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:ListPolicyVersions | ListPolicyVersions | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:ListPrincipalPolicies | ListPrincipalPolicies | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:ListPrincipalThings | ListPrincipalThings | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:ListRoleAliases | ListRoleAliases | なし |
| iot:ListTargetsForPolicy | ListTargetsForPolicy | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:ListThingGroups | ListThingGroups | なし |
| iot:ListThingGroupsForThing | ListThingGroupsForThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:ListThingPrincipals | ListThingPrincipals | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:ListThingRegistrationTaskReports | ListThingRegistrationTaskReports | なし |
| iot:ListThingRegistrationTasks | ListThingRegistrationTasks | なし |
| iot:ListThingTypes | ListThingTypes | \$1 |
| iot:ListThings | ListThings | \$1 |
| iot:ListThingsInThingGroup | ListThingsInThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:ListTopicRules | ListTopicRules | \$1 |
| iot:ListV2LoggingLevels | ListV2LoggingLevels | なし |
| iot:RegisterCACertificate | RegisterCACertificate | \$1 |
| iot:RegisterCertificate | RegisterCertificate | \$1 |
| iot:RegisterThing | RegisterThing | なし |
| iot:RejectCertificateTransfer | RejectCertificateTransfer | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:RemoveThingFromThingGroup | RemoveThingFromThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:ReplaceTopicRule | ReplaceTopicRule | `arn:aws:iot:region:account-id:rule/rule-name` |
| iot:SearchIndex | SearchIndex | `arn:aws:iot:region:account-id:index/index-id` |
| iot:SetDefaultAuthorizer | SetDefaultAuthorizer | `arn:aws:iot:region:account-id:authorizer/authorizer-function-name` |
| iot:SetDefaultPolicyVersion | SetDefaultPolicyVersion | `arn:aws:iot:region:account-id:policy/policy-name` |
| iot:SetLoggingOptions | SetLoggingOptions | \$1 |
| iot:SetV2LoggingLevel | SetV2LoggingLevel | \$1 |
| iot:SetV2LoggingOptions | SetV2LoggingOptions | \$1 |
| iot:StartThingRegistrationTask | StartThingRegistrationTask | なし |
| iot:StopThingRegistrationTask | StopThingRegistrationTask | なし |
| iot:TestAuthorization | TestAuthorization | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:TestInvokeAuthorizer | TestInvokeAuthorizer | なし |
| iot:TransferCertificate | TransferCertificate | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:UpdateAuthorizer | UpdateAuthorizer | `arn:aws:iot:region:account-id:authorizerfunction/authorizer-function-name` |
| iot:UpdateCACertificate | UpdateCACertificate | `arn:aws:iot:region:account-id:cacert/cert-id` |
| iot:UpdateCertificate | UpdateCertificate | `arn:aws:iot:region:account-id:cert/cert-id` |
| iot:UpdateEventConfigurations | UpdateEventConfigurations | なし |
| iot:UpdateIndexingConfiguration | UpdateIndexingConfiguration | なし |
| iot:UpdateRoleAlias | UpdateRoleAlias | `arn:aws:iot:region:account-id:rolealias/role-alias-name` |
| iot:UpdateThing | UpdateThing | `arn:aws:iot:region:account-id:thing/thing-name` |
| iot:UpdateThingGroup | UpdateThingGroup | `arn:aws:iot:region:account-id:thinggroup/thing-group-name` |
| iot:UpdateThingGroupsForThing | UpdateThingGroupsForThing | `arn:aws:iot:region:account-id:thing/thing-name` |
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
リソースを作成するためのアクションなど、一部の AWS IoT アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
AWS IoT リソースタイプとその ARNs[「 で定義されるリソース AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-resources-for-iam-policies)」を参照してください。 **どのアクションで各リソースの ARN を指定できるかについては、「[AWS IoTで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-actions-as-permissions)」を参照してください。
#### Device Advisor のリソース
AWS IoT Device Advisor IAM ポリシーのリソースレベルの制限を定義するには、スイート定義とスイート実行に次のリソース ARN 形式を使用します。
スイート定義リソース ARN 形式
`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id`
スイート実行リソース ARN 形式
`arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id`
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
AWS IoT は独自の条件キーのセットを定義し、いくつかのグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_condition-keys.html)」を参照してください。
**AWS IoT 条件キー**
| AWS IoT 条件キー | 説明 | タイプ |
| --- | --- | --- |
| aws:RequestTag/\$1\$1tag-key\$1 | ユーザーが AWS IoTに対して行うリクエストに含まれるタグキー。 | String |
| aws:ResourceTag/\$1\$1tag-key\$1 | AWS IoT リソースにアタッチされたタグのタグキーコンポーネント。 | String |
| aws:TagKeys | リクエスト内のリソースに関連付けられているすべてのタグキー名のリスト。 | String |
AWS IoT 条件キーのリストを確認するには、*IAM ユーザーガイド*の「 [の条件キー AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[「 で定義されるアクション AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-actions-as-permissions)」を参照してください。
### 例
AWS IoT アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS IoT アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。
## AWS IoT リソースベースのポリシー
リソースベースのポリシーは、指定されたプリンシパルが AWS IoT リソースに対して実行できるアクションと条件を指定する JSON ポリシードキュメントです。
AWS IoT は IAM リソースベースのポリシーをサポートしていません。ただし、 AWS IoT リソースベースのポリシーをサポートしています。詳細については、「[AWS IoT Core ポリシー](iot-policies.md)」を参照してください。
## AWS IoT タグに基づく認可
AWS IoT リソースにタグをアタッチするか、 へのリクエストでタグを渡すことができます AWS IoT。タグに基づいてアクセスを制御するには、`iot:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html)でタグ情報を提供します。詳細については、「[IAM ポリシーでのタグの使用](tagging-iot-iam.md)」を参照してください。 AWS IoT リソースのタグ付けの詳細については、「」を参照してください[AWS IoT リソースのタグ付け](tagging-iot.md)。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「[タグに基づく AWS IoT リソースの表示](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-thing-tags)」を参照してください。
## AWS IoT IAM ロール
[IAM ロール](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles.html)は、特定のアクセス許可 AWS アカウント を持つ 内のエンティティです。
### での一時的な認証情報の使用 AWS IoT
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
AWS IoT では、一時的な認証情報の使用がサポートされています。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
AWS IoT は、サービスにリンクされたロールをサポートしていません。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。