サポート終了通知: 2026 年 5 月 20 日、 AWS は のサポートを終了します AWS IoT Events。2026 年 5 月 20 日以降、 AWS IoT Events コンソールまたは AWS IoT Events リソースにアクセスできなくなります。詳細については、[AWS IoT Events 「サポート終了](https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-end-of-support.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS IoT Events アイデンティティベースのポリシーの例
デフォルトでは、ユーザーとロールには AWS IoT Events リソースを作成または変更するアクセス許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス許可が必要なユーザーまたはグループにそのポリシーをアタッチします。
これらの JSON ポリシードキュメント例を使用して IAM のアイデンティティベースのポリシーを作成する方法については、『*IAM ユーザーガイド*』の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](security_iam_service-with-iam-policy-best-practices.md)
+ [AWS IoT Events コンソールの使用](security_iam_id-based-policy-examples-console.md)
+ [ユーザーが で独自のアクセス許可を表示できるようにする AWS IoT Events](security_iam_id-based-policy-examples-view-own-permissions.md)
+ [1 つの AWS IoT Events 入力にアクセスする](security_iam_id-based-policy-examples-access-one-input.md)
+ [タグに基づいて AWS IoT Events 入力を表示する](security_iam_id-based-policy-examples-view-input-tags.md)
# ポリシーに関するベストプラクティス
アイデンティティベースポリシーは非常に強力です。アカウント内の AWS IoT Events リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを使用して開始**する – AWS IoT Events の使用をすばやく開始するには、 AWS 管理ポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントで既に有効になっており、 AWSによって管理および更新されています。詳細については、*IAM* [ユーザーガイドの「 AWS 管理ポリシーでアクセス許可の使用を開始する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)」を参照してください。
+ **最小特権を付与する** - カスタムポリシーを作成するときは、タスクを実行するために必要なアクセス許可のみを付与します。最小限の許可からスタートし、必要に応じて追加の許可を付与します。この方法は、寛容過ぎる許可から始めて、後から厳しくしようとするよりも安全です。詳細については、*IAM ユーザーガイド*の「[最小特権を認める](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)」を参照してください。
+ **機密性の高いオペレーションに MFA を有効にする** - セキュリティを強化するには、ユーザーが多要素認証 (MFA) を使用して機密性の高リソースまたは API オペレーションにアクセスすることを義務付けます。詳細については、*IAM ユーザーガイド*の「[AWSでの多要素認証 (MFA) の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。
+ **追加セキュリティに対するポリシー条件を使用する** - 実行可能な範囲内で、アイデンティティベースのポリシーがリソースにアクセスできる条件を定義します。例えば、あるリクエストの送信が許可される IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。詳細については、*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
# AWS IoT Events コンソールの使用
AWS IoT Events コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の AWS IoT Events リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
これらのエンティティが引き続き AWS IoT Events コンソールを使用できるようにするには、エンティティに次の AWS 管理ポリシーもアタッチします。詳細については、*IAM ユーザーガイド*」の「[ユーザーへの許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:BatchPutMessage",
"iotevents:BatchUpdateDetector",
"iotevents:CreateDetectorModel",
"iotevents:CreateInput",
"iotevents:DeleteDetectorModel",
"iotevents:DeleteInput",
"iotevents:DescribeDetector",
"iotevents:DescribeDetectorModel",
"iotevents:DescribeInput",
"iotevents:DescribeLoggingOptions",
"iotevents:ListDetectorModelVersions",
"iotevents:ListDetectorModels",
"iotevents:ListDetectors",
"iotevents:ListInputs",
"iotevents:ListTagsForResource",
"iotevents:PutLoggingOptions",
"iotevents:TagResource",
"iotevents:UntagResource",
"iotevents:UpdateDetectorModel",
"iotevents:UpdateInput",
"iotevents:UpdateInputRouting"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/your-detector-model-name",
"Resource": "arn:aws:iotevents:us-east-1:123456789012:input/your-input-name"
}
]
}
```
------
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
# ユーザーが で独自のアクセス許可を表示できるようにする AWS IoT Events
この例では、ユーザー ID にアタッチされたインラインおよび管理ポリシーの表示を ユーザーに許可するポリシーを作成する方法を示します。ユーザーに独自の IAM アクセス許可の表示を許可すると、セキュリティ意識向上とセルフサービス機能に役立ちます。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
# 1 つの AWS IoT Events 入力にアクセスする
AWS IoT Events 入力へのきめ細かなアクセスコントロールは、マルチユーザー環境またはマルチチーム環境でセキュリティを維持する上で重要です。このセクションでは、他のユーザーへのアクセスを制限しながら、特定の AWS IoT Events 入力へのアクセスを許可する IAM ポリシーを作成する方法を示します。
この例では、 AWS IoT Events 入力の 1 つである AWS アカウント へのアクセスを のユーザーに許可できます`exampleInput`。また、入力の追加、更新、削除をユーザーに許可することもできます。
このポリシーは、`iotevents:ListInputs`、`iotevents:DescribeInput`、`iotevents:CreateInput`、`iotevents:DeleteInput`、`iotevents:UpdateInput` アクセス許可をユーザーに付与します。ユーザーにアクセス許可を付与し、コンソールを使用してテストする Amazon Simple Storage Service (Amazon S3) のチュートリアルの例については、[「ユーザーポリシーを使用したバケットへのアクセスの制御](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListInputsInConsole",
"Effect":"Allow",
"Action":[
"iotevents:ListInputs"
],
"Resource":"arn:aws:iotevents:us-east-2:123456789012:input/*"
},
{
"Sid":"ViewSpecificInputInfo",
"Effect":"Allow",
"Action":[
"iotevents:DescribeInput"
],
"Resource":"arn:aws:iotevents:us-east-1:123456789012:input/inputName"
},
{
"Sid":"ManageInputs",
"Effect":"Allow",
"Action":[
"iotevents:CreateInput",
"iotevents:DeleteInput",
"iotevents:DescribeInput",
"iotevents:ListInputs",
"iotevents:UpdateInput"
],
"Resource":"arn:aws:iotevents:us-east-1:123456789012:input/*"
}
]
}
```
------
# タグに基づいて AWS IoT Events 入力を表示する
タグは AWS IoT Events リソースの整理に役立ちます。アイデンティティベースのポリシーの条件を使用して、タグに基づいて AWS IoT Events リソースへのアクセスを制御できます。この例は、*入力*の表示を許可するポリシーを作成する方法を示しています。ただし、許可は、*入力*タグ `Owner` がそのユーザーのユーザー名の値を持っている場合にのみ付与されます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListInputsInConsole",
"Effect": "Allow",
"Action": "iotevents:ListInputs",
"Resource": "*"
},
{
"Sid": "ViewInputsIfOwner",
"Effect": "Allow",
"Action": "iotevents:ListInputs",
"Resource": "arn:aws:iotevents:*:*:input/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
このポリシーをアカウントの ユーザーにアタッチできます。という名前のユーザーが AWS IoT Events *入力*を表示`richard-roe`しようとする場合、*入力*には `Owner=richard-roe`または のタグを付ける必要があります`owner=richard-roe`。それ以外の場合、アクセスは拒否されます。条件キー名では大文字と小文字が区別されないため、条件タグキー `Owner` は `Owner` と `owner` の両方に一致します。詳細については、*IAM ユーザーガイド*の[IAM JSON ポリシー要素: 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)を参照してください。