サポート終了通知: 2025 年 12 月 15 日に、 AWS はサポートを終了します AWS IoT Analytics。2025 年 12 月 15 日以降、 AWS IoT Analytics コンソールまたは AWS IoT Analytics リソースにアクセスできなくなります。詳細については、[AWS IoT Analytics 「サポート終了](https://docs.aws.amazon.com/iotanalytics/latest/userguide/iotanalytics-end-of-support.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS IoT Analytics アイデンティティベースのポリシーの例
デフォルトでは、 ユーザーおよびロールには、 AWS IoT Analytics リソースを作成または変更する権限はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス許可が必要なユーザーまたはグループにそのポリシーをアタッチします。
これらの JSON ポリシードキュメント例を使用して IAM のアイデンティティベースのポリシーを作成する方法については、*IAM ユーザーガイド*の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#iam-policy-best-practices)
+ [AWS IoT Analytics コンソールの使用](#iam-id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#iam-view-permissions)
+ [1 つの AWS IoT Analytics 入力へのアクセス](#iam-access-one-input)
+ [タグに基づく AWS IoT Analytics チャネルの表示](#iam-view-input-tags)
## ポリシーに関するベストプラクティス
アイデンティティベースポリシーは非常に強力です。アカウント内の AWS IoT Analytics リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションを実行すると、 AWS アカウントに追加料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーの使用を開始する** - の使用 AWS IoT Analytics をすばやく開始するには、 AWS 管理ポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントですでに有効になっており、 AWSによって管理および更新されています。詳細については、*IAM* [ユーザーガイドの「 AWS 管理ポリシーでアクセス許可の使用を開始する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)」を参照してください。
+ **最小特権 - を付与する** - カスタムポリシーを作成するときは、タスクの実行に必要な許可のみを付与します。最小限の許可からスタートし、必要に応じて追加の許可を付与します。この方法は、寛容過ぎる許可から始めて、後から厳しくしようとするよりも安全です。詳細については、*IAM ユーザーガイド*の「[最小特権を認める](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)」を参照してください。
+ 機密性の高いオペレーションのために **MFA を有効にする**追加のセキュリティとして、機密性の高いリソースや API オペレーションにアクセスする際に Multi-Factor Authentication (MFA)を使用することを ユーザーに要求します。詳細については、*IAM ユーザーガイド*の「[AWSでの多要素認証 MFAの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。
+ **追加のセキュリティとしてポリシー条件を使用する** - 実行可能な範囲内で、アイデンティティベースのポリシーでリソースへのアクセスを許可する条件を定義します。例えば、要求が発生しなければならない許容 IP アドレスの範囲を指定するための条件を記述できます。条件を記述して、指定された日付または時間範囲内のリクエストのみを許可したり、SSL または MFA の使用を要求したりすることもできます。詳細については、*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
## AWS IoT Analytics コンソールの使用
AWS IoT Analytics コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の AWS IoT Analytics リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ ユーザーまたはロールに対してコンソールが意図したとおりに機能しません。
これらのエンティティが引き続き AWS IoT Analytics コンソールを使用できるようにするには、エンティティに次の AWS 管理ポリシーもアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotanalytics:BatchPutMessage",
"iotanalytics:CancelPipelineReprocessing",
"iotanalytics:CreateChannel",
"iotanalytics:CreateDataset",
"iotanalytics:CreateDatasetContent",
"iotanalytics:CreateDatastore",
"iotanalytics:CreatePipeline",
"iotanalytics:DeleteChannel",
"iotanalytics:DeleteDataset",
"iotanalytics:DeleteDatasetContent",
"iotanalytics:DeleteDatastore",
"iotanalytics:DeletePipeline",
"iotanalytics:DescribeChannel",
"iotanalytics:DescribeDataset",
"iotanalytics:DescribeDatastore",
"iotanalytics:DescribeLoggingOptions",
"iotanalytics:DescribePipeline",
"iotanalytics:GetDatasetContent",
"iotanalytics:ListChannels",
"iotanalytics:ListDatasetContents",
"iotanalytics:ListDatasets",
"iotanalytics:ListDatastores",
"iotanalytics:ListPipelines",
"iotanalytics:ListTagsForResource",
"iotanalytics:PutLoggingOptions",
"iotanalytics:RunPipelineActivity",
"iotanalytics:SampleChannelData",
"iotanalytics:StartPipelineReprocessing",
"iotanalytics:TagResource",
"iotanalytics:UntagResource",
"iotanalytics:UpdateChannel",
"iotanalytics:UpdateDataset",
"iotanalytics:UpdateDatastore",
"iotanalytics:UpdatePipeline"
],
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:channel/your-channel-name",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/your-datasetName",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:datastore/your-datastoreName",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:pipeline/your-pipelineName"
}
]
}
```
------
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザー ID にアタッチされたインラインおよび管理ポリシーの表示を ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam:*:*:user/username"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
## 1 つの AWS IoT Analytics 入力へのアクセス
この例では、チャネルの 1 つである AWS IoT Analytics AWS アカウント へのアクセス権を のユーザーに付与します`exampleChannel`。また、ユーザーに対してチャネルの追加、更新、削除の実行も許可します。
このポリシーでは、ユーザーに `iotanalytics:ListChannels, iotanalytics:DescribeChannel, iotanalytics:CreateChannel, iotanalytics:DeleteChannel, and iotanalytics:UpdateChannel` アクセス許可を付与します。コンソールを使用して、ユーザーにアクセス許可を付与しテストする Amazon S3 サービス例の解説については、「[チュートリアル例: ユーザーポリシーを使用したバケットへのアクセスの制御](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListChannelsInConsole",
"Effect":"Allow",
"Action":[
"iotanalytics:ListChannels"
],
"Resource":"arn:aws:iotanalytics:*:*:*"
},
{
"Sid":"ViewSpecificChannelInfo",
"Effect":"Allow",
"Action":[
"iotanalytics:DescribeChannel"
],
"Resource":"arn:aws:iotanalytics:*:*:exampleChannel"
},
{
"Sid":"ManageChannels",
"Effect":"Allow",
"Action":[
"iotanalytics:CreateChannel",
"iotanalytics:DeleteChannel",
"iotanalytics:DescribeChannel",
"iotanalytics:ListChannels",
"iotanalytics:UpdateChannel"
],
"Resource":"arn:aws:iotanalytics:*:*:exampleChannel/*"
}
]
}
```
------
## タグに基づく AWS IoT Analytics チャネルの表示
アイデンティティベースのポリシーの条件を使用して、タグに基づいて AWS IoT Analytics リソースへのアクセスを制御できます。この例では、`channel` を表示できるポリシーを作成する方法を示します。ただし、アクセス許可は、`channel` タグ `Owner` にそのユーザーのユーザー名の値がある場合のみ付与されます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス権限も付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListChannelsInConsole",
"Effect": "Allow",
"Action": "iotanalytics:ListChannels",
"Resource": "*"
},
{
"Sid": "ViewChannelsIfOwner",
"Effect": "Allow",
"Action": "iotanalytics:ListChannels",
"Resource": "arn:aws:iotanalytics:*:*:channel/*",
"Condition": {
"StringEquals": {"iotanalytics:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
このポリシーをアカウントの ユーザーにアタッチできます。という名前のユーザーが を表示`richard-roe`しようとする場合 AWS IoT Analytics `channel`、 には というタグを付ける`channel`必要があります`Owner=richard-roe or owner=richard-roe`。それ以外の場合、そのユーザーのアクセスは拒否されます。条件キー名では大文字と小文字は区別されないため、条件タグキー `Owner` は `Owner` と `owner` に一致します。詳細については、*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。