サポート終了通知: 2026 年 5 月 20 日、 AWS は のサポートを終了します AWS IoT Events。2026 年 5 月 20 日以降、 AWS IoT Events コンソールまたは AWS IoT Events リソースにアクセスできなくなります。詳細については、[AWS IoT Events 「サポート終了](https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-end-of-support.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の ID とアクセスの管理 AWS IoT Events
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つ AWS サービスです。IAM 管理者は、誰を*認証* (サインイン) し、誰に AWS IoT Events リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS サービスです。

**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](security_iam_authentication.md)
+ [ポリシーを使用したアクセスの管理](security_iam_access-manage.md)
+ [ID とアクセスの管理の詳細](#security_iam_learn-more)
+ [が IAM と AWS IoT Events 連携する方法](#security_iam_service-with-iam)
+ [AWS IoT Events アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [のサービス間の混乱した代理の防止 AWS IoT Events](cross-service-confused-deputy-prevention.md)
+ [AWS IoT Events ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)

## オーディエンス
<a name="security_iam_audience"></a>

 AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS IoT Events ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[が IAM と AWS IoT Events 連携する方法](#security_iam_service-with-iam)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[AWS IoT Events アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照)

## ID とアクセスの管理の詳細
<a name="security_iam_learn-more"></a>

の ID とアクセスの管理の詳細については AWS IoT Events、次のページに進みます。
+ [が IAM と AWS IoT Events 連携する方法](#security_iam_service-with-iam)
+ [AWS IoT Events ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)

## が IAM と AWS IoT Events 連携する方法
<a name="security_iam_service-with-iam"></a>

IAM を使用して へのアクセスを管理する前に AWS IoT Events、使用できる IAM 機能を理解しておく必要があります AWS IoT Events。 AWS IoT Events およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

**Topics**
+ [AWS IoT Events ID ベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [AWS IoT Events リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [AWS IoT Events タグに基づく認可](#security_iam_service-with-iam-tags)
+ [AWS IoT Events IAM ロール](#security_iam_service-with-iam-roles)

### AWS IoT Events ID ベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。 AWS IoT Events は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーエレメントのリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

#### アクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

IAM アイデンティティベースのポリシーの `Action` エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連付けられた AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

のポリシーアクションは、アクションの前にプレフィックス AWS IoT Events を使用します`iotevents:`。たとえば、API オペレーションを使用して AWS IoT Events AWS IoT Events `CreateInput`入力を作成するアクセス許可を付与するには、ポリシーに `iotevents:CreateInput`アクションを含めます。API オペレーションを使用して AWS IoT Events `BatchPutMessage`入力を送信するアクセス許可を付与するには、ポリシーに `iotevents-data:BatchPutMessage`アクションを含めます。ポリシーステートメントには、 `Action`または `NotAction` element を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションのセット AWS IoT Events を定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

```
"Action": [
      "iotevents:action1",
      "iotevents:action2"
```

ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

```
"Action": "iotevents:Describe*"
```



 AWS IoT Events アクションのリストを確認するには、*IAM ユーザーガイド*の[「 で定義されるアクション AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions)」を参照してください。

#### リソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

`Resource` エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、`Resource` または `NotResource` エレメントを含める必要があります。ARN を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード \$1を使用して、リソースを指定します。



 AWS IoT Events ディテクターモデルリソースには次の ARN があります。

```
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
```

ARN の形式の詳細については、[「Amazon AWS リソースネーム (ARNs) を使用してリソースを識別する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)」を参照してください。

例えば、ステートメントで `Foobar` ディテクターモデルを指定するには、次の ARN を使用します。

```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
```

特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード (\$1) を使用します。

```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
```

リソースを作成するためのアクションなど、一部の AWS IoT Events アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。

```
"Resource": "*"
```

一部の AWS IoT Events API アクションには、複数のリソースが含まれます。例えば `CreateDetectorModel` は、条件ステートメント内の入力を参照するため、ユーザーには入力およびディテクターモデルを使用する権限が必要です。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

```
"Resource": [
      "resource1",
      "resource2"
```

 AWS IoT Events リソースタイプとその ARNs[「 で定義されるリソース AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-resources-for-iam-policies)」を参照してください。 **どのアクションで各リソースの ARN を指定できるかについては、[AWS IoT Eventsで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions)を参照してください。

#### 条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

`Condition` エレメント または`Condition` *ブロック*を使用すると、ステートメントが有効な条件を指定できます。`Condition` エレメントはオプションです。イコールや以下などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用する条件表現を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の `Condition` エレメントを指定する場合、または 1 つの `Condition` エレメントに複数のキーを指定する場合、 AWS が論理 `AND` 演算を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理`OR`オペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、ユーザー名でタグ付けされている場合のみ、リソースにアクセスするユーザーアクセス許可を付与できます。詳細については、「*IAM ユーザーガイド*」の「[IAM ポリシーエレメント。可変およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

AWS IoT Events はサービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

#### 例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



 AWS IoT Events アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS IoT Events アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。

### AWS IoT Events リソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>

AWS IoT Events はリソースベースのポリシーをサポートしていません。」 詳細なリソースベースのポリシーページの例を表示するには、[https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) を参照してください。

### AWS IoT Events タグに基づく認可
<a name="security_iam_service-with-iam-tags"></a>

 AWS IoT Events リソースにタグをアタッチしたり、リクエストでタグを渡すことができます AWS IoT Events。タグに基づいてアクセスを管理するには、`iotevents:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。 AWS IoT Events リソースのタグ付けの詳細については、「[AWS IoT Events リソースのタグ付け](tagging-iotevents.md)」を参照してください。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「[タグに基づいて AWS IoT Events 入力を表示する](security_iam_id-based-policy-examples-view-input-tags.md)」を参照してください。

### AWS IoT Events IAM ロール
<a name="security_iam_service-with-iam-roles"></a>

[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可 AWS アカウント を持つ 内のエンティティです。

#### での一時的な認証情報の使用 AWS IoT Events
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS Security Token Service (AWS STS) API オペレーションを呼び出します。

AWS IoT Events は一時的な認証情報の使用をサポートしていません。

#### サービスリンクロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

AWS IoT Events は、サービスにリンクされたロールをサポートしていません。

#### サービス役割
<a name="security_iam_service-with-iam-roles-service"></a>

この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

AWS IoT Events はサービスロールをサポートします。