サポート終了通知: 2025 年 12 月 15 日に、 AWS はサポートを終了します AWS IoT Analytics。2025 年 12 月 15 日以降、 AWS IoT Analytics コンソールまたは AWS IoT Analytics リソースにアクセスできなくなります。詳細については、[AWS IoT Analytics 「サポート終了](https://docs.aws.amazon.com/iotanalytics/latest/userguide/iotanalytics-end-of-support.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# が IAM と AWS IoT Analytics 連携する方法
<a name="security_iam_service-with-iam"></a>

IAM を使用して へのアクセスを管理する前に AWS IoT Analytics、使用できる IAM 機能を理解しておく必要があります AWS IoT Analytics。 AWS IoT Analytics およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

**Topics**
+ [AWS IoT Analytics ID ベースのポリシー](#iam-id-based-policies)
+ [AWS IoT Analytics リソースベースのポリシー](#iam-resource-based-policies)
+ [AWS IoT Analytics タグに基づく認可](#iam-tags)
+ [AWS IoT Analytics IAM ロール](#iam-roles)

## AWS IoT Analytics ID ベースのポリシー
<a name="iam-id-based-policies"></a>

IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。 は、特定のアクション、リソース、および条件キー AWS IoT Analytics をサポートします。JSON ポリシーで使用するすべての要素については「*IAM ユーザーガイド*」の「[IAM JSON ポリシーエレメントのリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

### アクション
<a name="id-based-policies-actions"></a>

IAM アイデンティティベースのポリシーの `Action` エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

のポリシーアクションは、アクションの前に次のプレフィックス AWS IoT Analytics を使用します。たとえば、API `iotanalytics:` オペレーションで AWS IoT Analytics `CreateChannel`チャネルを作成する AWS IoT Analytics アクセス許可をユーザーに付与するには、ポリシーに `iotanalytics:BatchPuMessage`アクションを含めます。ポリシーステートメントには、 `Action`または `NotAction` element を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションのセット AWS IoT Analytics を定義します。

単一のステートメントに複数の アクションを指定するには、次のようにコンマで区切ります。

```
"Action": [
    "iotanalytics:action1",
    "iotanalytics:action2"
    ]
```

ワイルドカード \$1を使用して複数のアクションを指定することができます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

```
"Action": "iotanalytics:Describe*"
```

 AWS IoT Analytics アクションのリストを確認するには、*IAM ユーザーガイド*の「 [で定義されるアクション AWS IoT Analytics](https://docs.aws.amazon.com/iotanalytics/latest/userguide/list_awsiotanalytics.html#awsiotanalytics-actions-as-permissions)」を参照してください。

### リソース
<a name="iam-id-based-policies-resources"></a>

`Resource` エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、`Resource` または `NotResource` エレメントを含める必要があります。ARN を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード \$1を使用して、リソースを指定します。

 AWS IoT Analytics データセットリソースには次の ARN があります。

```
arn:${Partition}:iotanalytics:${Region}:${Account}:dataset/${DatasetName}
```

ARN の形式の詳細については、「[Amazon リソースネーム ARNと AWS のサービスの名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。

たとえば、ステートメントで `Foobar` データセットを指定するには、次の ARN を使用します。

```
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/Foobar"
```

特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード \$1を使用します。

```
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/*"
```

リソースを作成するためのアクションなど、一部の AWS IoT Analytics アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。

```
"Resource": "*"
```

一部の AWS IoT Analytics API アクションには、複数のリソースが含まれます。たとえば、`CreatePipeline` はチャネルとデータセットを参照するため、IAM ユーザーはチャネルとデータセットを使用する権限を持っている必要があります。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

```
"Resource": [
    "resource1",
    "resource2"
     ]
```

 AWS IoT Analytics リソースタイプとその ARNs「 [で定義されるリソース AWS IoT Analytics](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotanalytics.html#awsiotanalytics-resources-for-iam-policies)」を参照してください。 **どのアクションで各リソースの ARN を指定できるかについては、「[AWS IoT Analyticsで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotanalytics.html#awsiotanalytics-actions-as-permissions)」を参照してください。

### 条件キー
<a name="id-based-policies-conditionkeys"></a>

`Condition` エレメント または`Condition` *ブロック*を使用すると、ステートメントが有効な条件を指定できます。`Condition` エレメントはオプションです。イコールや以下などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用する条件表現を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の `Condition` エレメントを指定する場合、または 1 つの `Condition` エレメントに複数のキーを指定する場合、 AWS が論理 `AND` 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、 AWS では `OR` 論理演算子を使用して条件を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、ユーザー名でタグ付けされている場合のみ、リソースにアクセスするユーザーアクセス許可を付与できます。詳細については、「*IAM ユーザーガイド*」の「[IAM ポリシーエレメント。可変およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

AWS IoT Analytics はサービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「 グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

### 例
<a name="iam-id-based-policies-examples"></a>

 AWS IoT Analytics アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS IoT Analytics アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。

## AWS IoT Analytics リソースベースのポリシー
<a name="iam-resource-based-policies"></a>

AWS IoT Analytics はリソースベースのポリシーをサポートしていません。詳細なリソースベースポリシーページの例を表示するには、*AWS Lambda デベロッパーガイド*の「[AWS Lambdaのリソースベースのポリシーを使用する](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)」を参照してください。

## AWS IoT Analytics タグに基づく認可
<a name="iam-tags"></a>

 AWS IoT Analytics リソースにタグをアタッチしたり、リクエストでタグを渡すことができます AWS IoT Analytics。タグに基づいてアクセスを制御するには、`iotanalytics:ResourceTag/{key-name}, aws:RequestTag/{key-name}` または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を指定します。 AWS IoT Analytics リソースのタグ付けの詳細については、[「リソースの AWS IoT Analytics タグ付け](https://docs.aws.amazon.com/iotanalytics/latest/userguide/tagging.html#aws-iot-analytics-tagging)」を参照してください。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、[「タグに基づく AWS IoT Analytics チャネルの表示](https://docs.aws.amazon.com/iotanalytics/latest/userguide/security.html#security-iam-id-based-policy-examples-view-input-tags)」を参照してください。

## AWS IoT Analytics IAM ロール
<a name="iam-roles"></a>

[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は、特定の権限を持つ、 AWS アカウント 内のエンティティです。

### での一時的な認証情報の使用 AWS IoT Analytics
<a name="iam-assume-roles"></a>

テンポラリ認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。テンポラリセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) または [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS Security Token Service AWS STS API オペレーションを呼び出します。

AWS IoT Analytics は一時的な認証情報の使用をサポートしていません。

### サービスリンクロール
<a name="iam-service-linked-roles"></a>

[サービスラインロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスが他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

AWS IoT Analytics は、サービスにリンクされたロールをサポートしていません。

### サービス役割
<a name="iam-service-roles"></a>

この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

AWS IoT Analytics はサービスロールをサポートします。