対象者 ID とアクセスの管理の詳細が IAM と AWS IoT Events 連携する方法

サポート終了通知: 2026 年 5 月 20 日、 AWS はのサポートを終了します AWS IoT Events。2026 年 5 月 20 日以降、 AWS IoT Events コンソールまたは AWS IoT Events リソースにアクセスできなくなります。詳細については、AWS IoT Events 「サポート終了」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の ID とアクセスの管理 AWS IoT Events

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つ AWS サービスです。IAM 管理者は、誰を認証 (サインイン) し、誰に AWS IoT Events リソースの使用を許可する (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS サービスです。

トピック

対象者

AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。

サービスユーザー - 機能にアクセスできない場合は、管理者に許可をリクエストします (「AWS IoT Events ID とアクセスのトラブルシューティング」を参照)
サービス管理者 - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「が IAM と AWS IoT Events 連携する方法」を参照)
IAM 管理者 - アクセスを管理するポリシーを記述します (「AWS IoT Events アイデンティティベースのポリシーの例」を参照)

ID とアクセスの管理の詳細

の ID とアクセスの管理の詳細については AWS IoT Events、次のページを参照してください。

が IAM と AWS IoT Events 連携する方法

IAM を使用してへのアクセスを管理する前に AWS IoT Events、使用できる IAM 機能を理解しておく必要があります AWS IoT Events。 AWS IoT Events およびその他の AWS のサービスが IAM と連携する方法の概要については、「IAM ユーザーガイド」のAWS 「IAM と連携するのサービス」を参照してください。

AWS IoT Events ID ベースのポリシー

IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。 AWS IoT Events は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシーエレメントのリファレンス」を参照してください。

アクション

IAM アイデンティティベースのポリシーの Action エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

のポリシーアクションは、アクションの前にプレフィックス AWS IoT Events を使用しますiotevents:。たとえば、API オペレーションを使用して AWS IoT Events AWS IoT Events CreateInput入力を作成するアクセス許可を付与するには、ポリシーに iotevents:CreateInputアクションを含めます。API オペレーションで AWS IoT Events BatchPutMessage入力を送信するアクセス許可を付与するには、ポリシーに iotevents-data:BatchPutMessageアクションを含めます。ポリシーステートメントには、 Actionまたは NotAction element を含める必要があります。は、このサービスで実行できるタスクを記述する独自のアクションのセット AWS IoT Events を定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。


"Action": [
      "iotevents:action1",
      "iotevents:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには次のアクションを含めます。


"Action": "iotevents:Describe*"

AWS IoT Events アクションのリストを確認するには、IAM ユーザーガイドの「で定義されるアクション AWS IoT Events」を参照してください。

リソース

Resource エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード *を使用して、リソースを指定します。

AWS IoT Events ディテクターモデルリソースには次の ARN があります。


arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}

ARN の形式の詳細については、「Amazon AWS リソースネーム (ARNs) でリソースを識別する」を参照してください。

例えば、ステートメントで Foobar ディテクターモデルを指定するには、次の ARN を使用します。


"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"

特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード (*) を使用します。


"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"

リソースを作成するためのアクションなど、一部の AWS IoT Events アクションは、特定のリソースで実行できません。このような場合はワイルドカード *を使用する必要があります。


"Resource": "*"

一部の AWS IoT Events API アクションには、複数のリソースが含まれます。例えば CreateDetectorModel は、条件ステートメント内の入力を参照するため、ユーザーには入力およびディテクターモデルを使用する権限が必要です。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。


"Resource": [
      "resource1",
      "resource2"

AWS IoT Events リソースタイプとその ARNs「で定義されるリソース AWS IoT Events」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、AWS IoT Eventsで定義されるアクションを参照してください。

条件キー

Condition エレメントまたはCondition ブロックを使用すると、ステートメントが有効な条件を指定できます。Condition エレメントはオプションです。イコールや以下などの条件演算子を使用する条件表現を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、 AWS が論理 AND 演算を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、ユーザー名でタグ付けされている場合のみ、リソースにアクセスするユーザーアクセス許可を付与できます。詳細については、「IAM ユーザーガイド」の「IAM ポリシーエレメント。可変およびタグ」を参照してください。

AWS IoT Events はサービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「グローバル条件コンテキストキー」を参照してください。

例

AWS IoT Events アイデンティティベースのポリシーの例を表示するには、「」を参照してくださいAWS IoT Events アイデンティティベースのポリシーの例。

AWS IoT Events リソースベースのポリシー

AWS IoT Events はリソースベースのポリシーをサポートしていません。」詳細なリソースベースのポリシーページの例を表示するには、https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html を参照してください。

AWS IoT Events タグに基づく認可

AWS IoT Events リソースにタグをアタッチしたり、リクエストでタグを渡すことができます AWS IoT Events。タグに基づいてアクセスを制御するにはiotevents:ResourceTag/key-name、aws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。 AWS IoT Events リソースのタグ付けの詳細については、「AWS IoT Events リソースのタグ付け」を参照してください。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「タグに基づいて入力を表示する AWS IoT Events」を参照してください。

AWS IoT Events IAM ロール

IAM ロールは、特定のアクセス許可 AWS アカウントを持つ内のエンティティです。

での一時的な認証情報の使用 AWS IoT Events

一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole や GetFederationToken などの AWS Security Token Service (AWS STS) API オペレーションを呼び出します。

AWS IoT Events は一時的な認証情報の使用をサポートしていません。

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWS サービスは他のサービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

AWS IoT Events は、サービスにリンクされたロールをサポートしていません。

サービス役割

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

AWS IoT Events はサービスロールをサポートします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティ

アイデンティティを使用した認証