AWS IoT Greengrass Version 1 は、2023 年 6 月 30 日に延長ライフフェーズに入りました。詳細については、「AWS IoT Greengrass V1 メンテナンスポリシー」を参照してください。この日以降、 AWS IoT Greengrass V1 は機能、機能強化、バグ修正、またはセキュリティパッチを提供する更新をリリースしません。で実行されるデバイスは中断 AWS IoT Greengrass V1 されず、引き続き運用され、クラウドに接続されます。への移行 AWS IoT Greengrass Version 2を強くお勧めします。これにより、重要な新機能が追加され、追加のプラットフォーム がサポートされます。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
と の AWS IoT Greengrass 連携方法 IAM
IAM を使用して へのアクセスを管理する前に AWS IoT Greengrass、 で使用できるIAM機能を理解しておく必要があります AWS IoT Greengrass。
IAM 機能 |
Greengrass によってサポートされていますか。 |
|---|---|
| あり | |
| なし | |
| なし | |
| あり | |
| あり | |
| なし | |
| あり |
他の AWS のサービスが と連携する方法の概要についてはIAM、「 ユーザーガイド」のAWS 「 と連携する のサービスIAMIAM」を参照してください。
のアイデンティティベースのポリシー AWS IoT Greengrass
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションを許可または拒否する条件を指定できます。 は、特定のアクション、リソース、および条件キー AWS IoT Greengrass をサポートします。ポリシーで使用するすべての要素については、「 ユーザーガイド」の「 IAMJSONポリシー要素リファレンスIAM」を参照してください。
アクション
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
JSON ポリシーの Action要素は、ポリシーでアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS APIオペレーションと同じです。一致するAPIオペレーションを持たないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。
このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。
のポリシーアクションは、アクションの前に greengrass: プレフィックス AWS IoT Greengrass を使用します。例えば、 ListGroupsAPIオペレーションを使用して 内のグループを一覧表示できるようにするには AWS アカウント、ポリシーに greengrass:ListGroupsアクションを含めます。ポリシーステートメントには、Action 要素または NotAction 要素のいずれかを含める必要があります。 AWS IoT Greengrass は、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。
1 つのステートメントで複数のアクションを指定するには、次のようにアクションをカンマで区切って全体を括弧 ([ ]) で囲って表示します。
"Action": [ "greengrass:action1", "greengrass:action2", "greengrass:action3" ]
ワイルドカード (*) を使用して、複数のアクションを指定できます。例えば、List という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
"Action": "greengrass:List*"
注記
サービスに対して使用可能なすべてのアクションを指定するには、ワイルドカードを使用しないことをお勧めします。ベストプラクティスとして、ポリシー内で最小限の特権と狭い範囲のアクセス許可を付与する必要があります。詳細については、「最小限のアクセス許可を付与する」を参照してください。
AWS IoT Greengrass アクションの完全なリストについては、「 ユーザーガイド」の「 で定義されるアクション AWS IoT GreengrassIAM」を参照してください。
リソース
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Policy ResourceJSON要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。
"Resource": "*"
次の表に、ポリシーステートメントの Resource要素ARNsで使用できる AWS IoT Greengrass リソースを示します。 AWS IoT Greengrass アクションでサポートされているリソースレベルのアクセス許可のマッピングについては、 ユーザーガイドの「 で定義されるアクション AWS IoT GreengrassIAM」を参照してください。
| リソース | ARN |
|---|---|
| Group |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}
|
| GroupVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}/versions/${VersionId}
|
| CertificateAuthority |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}/certificateauthorities/${CertificateAuthorityId}
|
| Deployment |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}/deployments/${DeploymentId}
|
| BulkDeployment |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/bulk/deployments/${BulkDeploymentId}
|
| ConnectorDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/connectors/${ConnectorDefinitionId}
|
| ConnectorDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/connectors/${ConnectorDefinitionId}/versions/${VersionId}
|
| CoreDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/cores/${CoreDefinitionId}
|
| CoreDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/cores/${CoreDefinitionId}/versions/${VersionId}
|
| DeviceDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/devices/${DeviceDefinitionId}
|
| DeviceDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/devices/${DeviceDefinitionId}/versions/${VersionId}
|
| FunctionDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/functions/${FunctionDefinitionId}
|
| FunctionDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/functions/${FunctionDefinitionId}/versions/${VersionId}
|
| LoggerDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/loggers/${LoggerDefinitionId}
|
| LoggerDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/loggers/${LoggerDefinitionId}/versions/${VersionId}
|
| ResourceDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/resources/${ResourceDefinitionId}
|
| ResourceDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/resources/${ResourceDefinitionId}/versions/${VersionId}
|
| SubscriptionDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/subscriptions/${SubscriptionDefinitionId}
|
| SubscriptionDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/subscriptions/${SubscriptionDefinitionId}/versions/${VersionId}
|
| ConnectivityInfo |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/things/${ThingName}/connectivityInfo
|
次のサンプルResource要素は、 ARNの米国西部 (オレゴン) リージョンにあるグループの を指定します AWS アカウント 123456789012。
"Resource": "arn:aws:greengrass:us-west-2:123456789012:/greengrass/groups/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
または、特定の AWS アカウント の に属するすべてのグループを指定するには AWS リージョン、グループ ID の代わりにワイルドカードを使用します。
"Resource": "arn:aws:greengrass:us-west-2:123456789012:/greengrass/groups/*"
一部の AWS IoT Greengrass アクション (一部のリストオペレーションなど) は、特定のリソースで実行できません。このような場合は、ワイルドカードのみを使用する必要があります。
"Resource": "*"
ステートメントARNsで複数のリソースを指定するには、次のように角括弧 ([]) でリストし、カンマで区切ります。
"Resource": [ "resource-arn1", "resource-arn2", "resource-arn3" ]
ARN 形式の詳細については、「」の「Amazon リソースネーム (ARNs) と AWS サービス名前空間」を参照してくださいAmazon Web Services 全般のリファレンス。
条件キー
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。
Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば、IAMユーザー名でタグ付けされている場合にのみ、リソースにアクセスするアクセス許可をIAMユーザーに付与できます。詳細については、「 ユーザーガイド」のIAM「ポリシー要素: 変数とタグIAM」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、「 ユーザーガイド」のAWS 「 グローバル条件コンテキストキーIAM」を参照してください。
AWS IoT Greengrass は、次のグローバル条件キーをサポートします。
| キー | 説明 |
|---|---|
aws:CurrentTime |
現在の日時の日付/時刻条件を確認してアクセスをフィルタリングします。 |
aws:EpochTime |
エポックまたは Unix 時間の現在の日時の日付/時刻条件を確認してアクセスをフィルタリングします。 |
aws:MultiFactorAuthAge |
リクエストで多要素認証 () によって検証されたセキュリティ認証情報が を使用して発行されたまでの時間 (秒単位MFA) をチェックして、アクセスをフィルタリングしますMFA。 |
aws:MultiFactorAuthPresent |
現在のリクエストを行った一時的なセキュリティ認証情報を検証するために多要素認証 (MFA) が使用されたかどうかをチェックして、アクセスをフィルタリングします。 |
aws:RequestTag/${TagKey} |
各必須タグで許可されている値のセットに基づいて作成リクエストをフィルタリングします。 |
aws:ResourceTag/${TagKey} |
リソースに関連付けられているタグ値に基づいてアクションをフィルタリングします。 |
aws:SecureTransport |
リクエストが を使用して送信されたかどうかをチェックして、アクセスをフィルタリングしますSSL。 |
aws:TagKeys |
リクエスト内の必須のタグの存在に基づいて作成リクエストをフィルタリングします。 |
aws:UserAgent |
リクエスタのクライアントアプリケーションによってアクセスをフィルタリングします。 |
詳細については、「 ユーザーガイド」のAWS 「 グローバル条件コンテキストキーIAM」を参照してください。
例
AWS IoT Greengrass アイデンティティベースのポリシーの例を表示するには、「」を参照してくださいAWS IoT Greengrass のアイデンティティベースのポリシーの例。
のリソースベースのポリシー AWS IoT Greengrass
AWS IoT Greengrass は、リソースベースのポリシー をサポートしていません。
アクセスコントロールリスト (ACLs)
AWS IoT Greengrass は をサポートしていませんACLs。
AWS IoT Greengrass タグに基づく認可
サポートされている AWS IoT Greengrass リソースにタグをアタッチするか、 へのリクエストでタグを渡すことができます AWS IoT Greengrass。タグに基づいてアクセスを管理するには、aws:ResourceTag/${TagKey}、aws:RequestTag/${TagKey}、または aws:TagKeys の条件キーを使用して、ポリシーの [Condition element] (条件要素) でタグ情報を提供します。詳細については、「AWS IoT Greengrass リソースのタグ付け」を参照してください。
IAM の ロール AWS IoT Greengrass
IAM ロールは、特定のアクセス許可 AWS アカウント を持つ 内のエンティティです。
での一時的な認証情報の使用 AWS IoT Greengrass
一時的な認証情報は、フェデレーションでサインインしたり、 IAM ロールを引き受けたり、クロスアカウントロールを引き受けたりするために使用されます。一時的なセキュリティ認証情報を取得するには、 AssumeRoleや などのオペレーションを呼び出し AWS STS APIますGetFederationToken。
Greengrass コアでは、グループロールの一時的な認証情報がユーザー定義の Lambda 関数とコネクタで使用できるようになります。Lambda 関数が を使用している場合は AWS SDK、 が認証情報 AWS SDKを取得するためにロジックを追加する必要はありません。
サービスリンクロール
AWS IoT Greengrass は、サービスにリンクされたロール をサポートしていません。
サービスロール
この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAMアカウントに表示され、アカウントによって所有されます。つまり、IAM管理者はこのロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
AWS IoT Greengrass はサービスロールを使用して、ユーザーに代わって一部の AWS リソースにアクセスします。詳細については、「Greengrass サービスロール」を参照してください。
AWS IoT Greengrass コンソールでの IAMロールの選択
AWS IoT Greengrass コンソールでは、アカウントのロールのリストから Greengrass サービスロールまたは Greengrass グループIAMロールを選択する必要がある場合があります。
-
Greengrass サービスロールを使用すると AWS IoT Greengrass 、 はユーザーに代わって他の サービスの AWS リソースにアクセスできます。通常、サービスロールはコンソールで作成および設定できるため、サービスロールを選択する必要はありません。詳細については、「Greengrass サービスロール」を参照してください。
-
Greengrass グループロールは、グループ内の Greengrass Lambda 関数とコネクタが AWS リソースにアクセスできるようにするために使用されます。また、ストリームを AWS サービスにエクスポートし、 CloudWatch ログを書き込む AWS IoT Greengrass アクセス許可を付与することもできます。詳細については、「Greengrass グループのロール」を参照してください。
