翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の ID とアクセスの管理 AWS IoT Greengrass
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に AWS IoT Greengrass リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**注記**
このトピックでは、IAM の概念と機能について説明します。でサポートされている IAM 機能の詳細については AWS IoT Greengrass、「」を参照してください[が IAM と AWS IoT Greengrass 連携する方法](security_iam_service-with-iam.md)。
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[のアイデンティティとアクセスの問題のトラブルシューティング AWS IoT Greengrass](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[が IAM と AWS IoT Greengrass 連携する方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[のアイデンティティベースのポリシーの例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
## 関連情報
+ [が IAM と AWS IoT Greengrass 連携する方法](security_iam_service-with-iam.md)
+ [のアイデンティティベースのポリシーの例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
+ [のアイデンティティとアクセスの問題のトラブルシューティング AWS IoT Greengrass](security_iam_troubleshoot.md)
# が IAM と AWS IoT Greengrass 連携する方法
IAM を使用して へのアクセスを管理する前に AWS IoT Greengrass、 で使用できる IAM の機能を理解しておく必要があります AWS IoT Greengrass。
| IAM 機能 | Greengrass によってサポートされていますか。 |
| --- | --- |
| [リソースレベルのアクセス許可を持つアイデンティティベースポリシー](#security_iam_service-with-iam-id-based-policies) | はい |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | いいえ |
| [アクセスコントロールリスト (ACL) ](#security_iam_service-with-iam-acls) | いいえ |
| [タグベースの承認](#security_iam_service-with-iam-tags) | はい |
| [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds) | はい |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | いいえ |
| [サービスロール](#security_iam_service-with-iam-roles-service-linked) | はい |
他の AWS のサービスが IAM と連携する方法の概要については、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## のアイデンティティベースのポリシー AWS IoT Greengrass
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。 は、特定のアクション、リソース、および条件キー AWS IoT Greengrass をサポートします。ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[[IAM JSON policy elements reference]](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) (IAM JSON ポリシーエレメントのリファレンス)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
のポリシーアクションは、アクションの前に `greengrass:` プレフィックス AWS IoT Greengrass を使用します。たとえば、API `ListCoreDevices`オペレーションを使用してコアデバイスをリストできるようにするには AWS アカウント、ポリシーに `greengrass:ListCoreDevices`アクションを含めます。ポリシーステートメントには、 `Action`または `NotAction` element を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションのセット AWS IoT Greengrass を定義します。
1 つのステートメントで複数のアクションを指定するには、次のようにアクションをカンマで区切って全体を括弧 (`[` `]`) で囲って表示します。
```
"Action": [
"greengrass:action1",
"greengrass:action2",
"greengrass:action3"
]
```
ワイルドカード (`*`) を使用して、複数のアクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "greengrass:List*"
```
**注記**
サービスに対して使用可能なすべてのアクションを指定するには、ワイルドカードを使用しないことをお勧めします。ベストプラクティスとして、ポリシー内で最小限の特権と狭い範囲のアクセス許可を付与する必要があります。詳細については、「[最小限のアクセス許可を付与する](security-best-practices.md#least-privilege)」を参照してください。
AWS IoT Greengrass アクションの完全なリストについては、*IAM ユーザーガイド*の[「 で定義されるアクション AWS IoT Greengrass](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
次の表に、ポリシーステートメントの `Resource` 要素で使用できる AWS IoT Greengrass リソース ARN を示します。 AWS IoT Greengrass アクションでサポートされているリソースレベルのアクセス許可のマッピングについては、*IAM ユーザーガイド*の[「 で定義されるアクション AWS IoT Greengrass](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)」を参照してください。
一部の AWS IoT Greengrass アクション (一部のリストオペレーションなど) は、特定のリソースで実行できません。このような場合は、ワイルドカードのみを使用する必要があります。
```
"Resource": "*"
```
ステートメントで複数のリソース ARN を指定するには、次のようにアクションをカンマで区切って全体を括弧 (`[` `]`) で囲って表示します。
```
"Resource": [
"resource-arn1",
"resource-arn2",
"resource-arn3"
]
```
ARN 形式の詳細については、[ARNs) と AWS サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください*Amazon Web Services 全般のリファレンス*。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
### 例
AWS IoT Greengrass アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)。
## のリソースベースのポリシー AWS IoT Greengrass
AWS IoT Greengrass は[リソースベースのポリシー](security-iam.md#security_iam_access-manage-resource-based-policies)をサポートしていません。
## アクセスコントロールリスト (ACL)
AWS IoT Greengrass は [ACLs](security-iam.md#security_iam_access-manage-acl) をサポートしていません。
## AWS IoT Greengrass タグに基づく認可
サポートされている AWS IoT Greengrass リソースにタグをアタッチするか、リクエストでタグを渡すことができます AWS IoT Greengrass。タグに基づいてアクセスを管理するには、`aws:ResourceTag/${TagKey}`、`aws:RequestTag/${TagKey}`、または `aws:TagKeys` の条件キーを使用して、ポリシーの [[Condition element]](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (条件要素) でタグ情報を提供します。詳細については、「[AWS IoT Greengrass Version 2 リソースにタグを付ける](tag-resources.md)」を参照してください。
## の IAM ロール AWS IoT Greengrass
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は、特定の権限を持つ、 AWS アカウント 内のエンティティです。
### での一時的な認証情報の使用 AWS IoT Greengrass
一時的な認証情報は、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けるために使用されます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) または [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
Greengrass コアでは、[[device role]](device-service-role.md) (デバイスロール) の一時的な認証情報が Greengrass コンポーネントで利用可能になります。コンポーネントが AWS SDK を使用している場合は、 AWS SDK がユーザーに代わってこれを行うため、認証情報を取得するためのロジックを追加する必要はありません。
### サービスリンクロール
AWS IoT Greengrass は、[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)をサポートしていません。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
AWS IoT Greengrass コアデバイスはサービスロールを使用して、Greengrass コンポーネントと Lambda 関数がユーザーに代わって一部の AWS リソースにアクセスできるようにします。詳細については、「[コアデバイスが AWS サービスとやり取りできるように認可する](device-service-role.md)」を参照してください。
AWS IoT Greengrass はサービスロールを使用して、ユーザーに代わって一部の AWS リソースにアクセスします。詳細については、「[Greengrass サービスロール](greengrass-service-role.md)」を参照してください。
# のアイデンティティベースのポリシーの例 AWS IoT Greengrass
デフォルトでは、IAM ユーザーおよびロールには、 AWS IoT Greengrass リソースを作成または変更するアクセス許可はありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、アカウント内の AWS IoT Greengrass リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド*の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)を参照してください。
## ポリシーの例
以下のお客様定義のポリシーは、一般的なシナリオのアクセス許可を付与します。
**Topics**
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
これらの JSON ポリシードキュメント例を使用して IAM のアイデンティティベースのポリシーを作成する方法については、『*IAM ユーザーガイド*』の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
### 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# コアデバイスが AWS サービスとやり取りできるように認可する
AWS IoT Greengrass コアデバイスは、 AWS IoT Core 認証情報プロバイダーを使用して サービスへの AWS 呼び出しを承認します。 AWS IoT Core 認証情報プロバイダーを使用すると、デバイスは X.509 証明書を一意のデバイス ID として使用して AWS リクエストを認証できます。これにより、 AWS アクセスキー ID とシークレットアクセスキーを AWS IoT Greengrass コアデバイスに保存する必要がなくなります。詳細については、「 *AWS IoT Core デベロッパーガイド*[」の「 AWS サービスへの直接呼び出しの承認](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)」を参照してください。
AWS IoT Greengrass Core ソフトウェアを実行するときに、コアデバイスが必要とする AWS リソースをプロビジョニングすることを選択できます。これには、コアデバイスが AWS IoT Core 認証情報プロバイダーを通じて引き受ける AWS Identity and Access Management (IAM) ロールが含まれます。`--provision true` 引数を使用して、コアデバイスが一時的な AWS 認証情報を取得できるようにするロールとポリシーを設定します。この引数は、この IAM AWS IoT ロールを指すロールエイリアスも設定します。使用する IAM ロールと AWS IoT ロールエイリアスの名前を指定できます。これらの他の名前パラメータなしで `--provision true` を指定した場合、Greengrass コアデバイスは次のデフォルトリソースを作成して使用します。
+ IAM ロール: `GreengrassV2TokenExchangeRole`
この役割には、`GreengrassV2TokenExchangeRoleAccess` という名前のポリシーと、`credentials.iot.amazonaws.com` がロールを継承することができる信頼関係があります。ポリシーには、コアデバイスに対する最低限のアクセス許可が含まれます。
**重要**
このポリシーには、S3 バケット内のファイルへのアクセスは含まれません。コアデバイスが S3 バケットからコンポーネントアーティファクトを取得できるように、ロールにアクセス許可を追加する必要があります。詳細については、「[コンポーネントのアーティファクトの S3 バケットへのアクセスを許可する](#device-service-role-access-s3-bucket)」を参照してください。
+ AWS IoT ロールエイリアス: `GreengrassV2TokenExchangeRoleAlias`
このロールエイリアスは IAM ロールを参照します。
詳細については、「[ステップ 3: AWS IoT Greengrass Core ソフトウェアをインストールする](install-greengrass-v2.md)」を参照してください。
既存のコアデバイスにロールエイリアスを設定することもできます。設定するには、[Greengrass nucleus コンポーネント](greengrass-nucleus-component.md)の `iotRoleAlias` 設定パラメータを設定します。
この IAM ロールの一時的な AWS 認証情報を取得して、カスタムコンポーネントで AWS オペレーションを実行できます。詳細については、「[AWS サービスとやり取り](interact-with-aws-services.md)」を参照してください。
**Topics**
+ [コアデバイスに対するサービスロールのアクセス許可](#device-service-role-permissions)
+ [コンポーネントのアーティファクトの S3 バケットへのアクセスを許可する](#device-service-role-access-s3-bucket)
## コアデバイスに対するサービスロールのアクセス許可
このロールにより、次のサービスがロールを継承できます。
+ `credentials.iot.amazonaws.com`
AWS IoT Greengrass Core ソフトウェアを使用してこのロールを作成する場合、次のアクセス許可ポリシーを使用して、コアデバイスがログに接続して送信できるようにします AWS。ポリシーの名前は、デフォルトで `Access` で終わる IAM ロールの名前になります。例えば、デフォルトの IAM ロール名を使用した場合には、このポリシーの名前は `GreengrassV2TokenExchangeRoleAccess` になります。
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ v2.4.x ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.4.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"iot:Connect",
"iot:Publish",
"iot:Subscribe",
"iot:Receive",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
## コンポーネントのアーティファクトの S3 バケットへのアクセスを許可する
コアデバイスのロールは、デフォルトではコアデバイスが S3 バケットにアクセスすることを許可しません。S3 バケットにアーティファクトを持つコンポーネントをデプロイするには、コアデバイスがコンポーネントアーティファクトをダウンロードすることを許可する `s3:GetObject` アクセス許可を追加する必要があります。コアデバイスに新しいポリシーを追加することで、このアクセス許可を付与できます。
**Amazon S3 のコンポーネントアーティファクトへのアクセスを許可するポリシーを追加するには**
1. `component-artifact-policy.json` という名前のファイルを作成して、次の JSON をファイルにコピーします。このポリシーは、S3 バケット内のすべてのファイルへのアクセスを許可します。amzn-s3-demo-bucket を S3 バケットの名前に置き換えて、コアデバイスにアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. 次のコマンドを実行して、`component-artifact-policy.json` のポリシードキュメントからポリシーを作成します。
------
#### [ Linux or Unix ]
```
aws iam create-policy \
--policy-name MyGreengrassV2ComponentArtifactPolicy \
--policy-document file://component-artifact-policy.json
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-policy ^
--policy-name MyGreengrassV2ComponentArtifactPolicy ^
--policy-document file://component-artifact-policy.json
```
------
#### [ PowerShell ]
```
aws iam create-policy `
--policy-name MyGreengrassV2ComponentArtifactPolicy `
--policy-document file://component-artifact-policy.json
```
------
出力のポリシーメタデータから、ポリシーの Amazon リソースネーム (ARN) をコピーします。この ARN を使用して、次の手順で、このポリシーをコアデバイスのロールにアタッチします。
1. 次のコマンドを実行して、ポリシーをコアデバイスのロールにアタッチします。*GreengrassV2TokenExchangeRole* を AWS IoT Greengrass Core ソフトウェアの実行時に指定したロールの名前に置き換えます。その後、ポリシー ARN を、前のステップで書き留めた ARN に置き換えます。
------
#### [ Linux or Unix ]
```
aws iam attach-role-policy \
--role-name GreengrassV2TokenExchangeRole \
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam attach-role-policy ^
--role-name GreengrassV2TokenExchangeRole ^
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ PowerShell ]
```
aws iam attach-role-policy `
--role-name GreengrassV2TokenExchangeRole `
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
コマンドに出力がない場合は成功したことを意味しており、コアデバイスがこの S3 バケットにアップロードしたアーティファクトにアクセスできるようになります。
# インストーラがリソースをプロビジョニングするための最小限の IAM ポリシー
AWS IoT Greengrass Core ソフトウェアをインストールすると、デバイスの AWS IoT モノや IAM ロールなどの必要な AWS リソースをプロビジョニングできます。ローカル開発ツールをデバイスにデプロイすることもできます。インストーラには、 でこれらのアクションを実行できるように AWS 認証情報が必要です AWS アカウント。詳細については、「[AWS IoT Greengrass Core ソフトウェアをインストールします。](install-greengrass-core-v2.md)」を参照してください。
次のポリシーの例には、インストーラがこれらのリソースをプロビジョニングするため、必要な最小限の一連のアクションが含まれています。これらの権限は、インストーラの `--provision` 引数を指定する場合は必要です。*account-id* を AWS アカウント ID に置き換えて、*GreengrassV2TokenExchangeRole* を `--tes-role-name` [インストーラ因数](configure-installer.md)で指定したトークン交換ロールの名前に置き換えます。
**注記**
`DeployDevTools` ポリシーステートメントは、インストーラの `--deploy-dev-tools` 引数を指定する場合のみ必要です。
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.5.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
# Greengrass サービスロール
Greengrass サービスロールは、 がユーザーに代わって のサービスからリソースにアクセス AWS IoT Greengrass することを許可する AWS Identity and Access Management (IAM) AWS サービスロールです。このロールにより、 AWS IoT Greengrass はクライアントデバイスの ID を検証し、コアデバイス接続情報を管理できます。
**注記**
AWS IoT Greengrass V1 は、このロールを使用して重要なタスクも実行します。詳細については、「AWS IoT Greengrass V1 デベロッパーガイド」の「[Greengrass サービスロール](https://docs.aws.amazon.com/greengrass/v1/developerguide/service-role.html)」を参照してください。
AWS IoT Greengrass が リソースにアクセスできるようにするには、Greengrass サービスロールを に関連付け AWS アカウント 、信頼されたエンティティ AWS IoT Greengrass として を指定する必要があります。ロールには、[AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) 管理ポリシー、または使用する AWS IoT Greengrass 機能に対する同等のアクセス許可を定義するカスタムポリシーを含める必要があります。 は、このポリシー AWS を維持し、 AWS IoT Greengrass が AWS リソースにアクセスするために使用する一連のアクセス許可を定義します。詳細については、「[AWS マネージドポリシー: AWSGreengrassResourceAccessRolePolicy](security-iam-aws-managed-policies.md#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)」を参照してください。
同じ Greengrass サービスロールを 全体で再利用できますが AWS リージョン、使用するすべての AWS リージョン でアカウントに関連付ける必要があります AWS IoT Greengrass。サービスロールが現在の で設定されていない場合 AWS リージョン、コアデバイスはクライアントデバイスの検証に失敗し、接続情報の更新に失敗します。
以下のセクションでは、 AWS マネジメントコンソール または を使用して Greengrass サービスロールを作成および管理する方法を説明します AWS CLI。
**Topics**
+ [Greengrass サービスロールを管理する (コンソール)](#manage-greengrass-service-role-console)
+ [Greengrass サービスロールを管理する (CLI)](#manage-service-role-cli)
+ [関連情報](#service-role-see-also)
**注記**
サービスレベルのアクセスを承認するサービスロールに加えて、Greengrass コアデバイスにトークン交換サービスを割り当てます。トークン交換ロールは、コアデバイスの Greengrass コンポーネントと Lambda 関数が AWS サービスにアクセスする方法を制御する別の IAM ロールです。詳細については、「[コアデバイスが AWS サービスとやり取りできるように認可する](device-service-role.md)」を参照してください。
## Greengrass サービスロールを管理する (コンソール)
AWS IoT コンソールを使用すると、Greengrass サービスロールを簡単に管理できます。たとえば、コアデバイスに対してクライアントデバイスの検出を設定すると、コンソールでユーザーの AWS アカウント が現在の AWS リージョンの Greengrass サービスロールに添付されているかどうかの確認が行われます。アタッチされていない場合、コンソールによるサービスロールの作成および設定が可能です。詳細については、「[Greengrass サービスロールを作成する (コンソール)](#create-greengrass-service-role-console)」を参照してください。
コンソールは以下のロール管理タスクに使用できます。
**Topics**
+ [Greengrass サービスロールを見つける (コンソール)](#get-greengrass-service-role-console)
+ [Greengrass サービスロールを作成する (コンソール)](#create-greengrass-service-role-console)
+ [Greengrass サービスロールを変更する (コンソール)](#update-greengrass-service-role-console)
+ [Greengrass サービスロールをデタッチする (コンソール)](#remove-greengrass-service-role-console)
**注記**
コンソールにサインインするユーザーには、サービスロールを表示、作成、または変更するためのアクセス許可が必要です。
### Greengrass サービスロールを見つける (コンソール)
以下のステップを使用して、現在の で が AWS IoT Greengrass 使用するサービスロールを見つけます AWS リージョン。
1. [AWS IoT コンソール](https://console.aws.amazon.com/iot)に移動します。
1. ナビゲーションペインで **[設定]** を選択します。
1. [**Greengrass service role (Greengrass サービスロール)**] セクションまでスクロールして、サービスロールとそのポリシーを表示します。
サービスロールが表示されない場合は、コンソールでサービスロールの作成または設定が可能です。詳細については、「[Greengrass サービスロールを作成する](#create-greengrass-service-role-console)」を参照してください。
### Greengrass サービスロールを作成する (コンソール)
コンソールによるデフォルトの Greengrass サービスロールの作成と設定が可能です。このロールには以下のプロパティがあります。
| プロパティ | 値 |
| --- | --- |
| 名前 | Greengrass\$1ServiceRole |
| 信頼されたエンティティ | AWS service: greengrass |
| ポリシー | [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) |
**注記**
このロールを[AWS IoT Greengrass V1 デバイスセットアップスクリプト](https://docs.aws.amazon.com/greengrass/v1/developerguide/quick-start.html)で作成する場合、ロール名は `GreengrassServiceRole_random-string` になります。
コアデバイスのクライアントデバイス検出を設定すると、コンソールは Greengrass サービスロールが現在の AWS アカウント の に関連付けられているかどうかを確認します AWS リージョン。そうでない場合、コンソールは がユーザーに代わって AWS のサービス AWS IoT Greengrass を読み書きすることを許可するように求めます。
許可を付与すると、コンソールでは、 AWS アカウントに `Greengrass_ServiceRole` という名前のロールがあるかどうかの確認が行われます。
+ ロールが存在する場合、コンソールはサービスロールを現在の AWS アカウント の にアタッチします AWS リージョン。
+ ロールが存在しない場合、コンソールはデフォルトの Greengrass サービスロールを作成し、それを現在の AWS アカウント の にアタッチします AWS リージョン。
**注記**
カスタムロールポリシーを使用してサービスロールを作成する場合は、IAM コンソールを使用してロールを作成または変更します。詳細については、*IAM ユーザーガイド*の「 [AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」または[「ロールの変更](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)」を参照してください。使用する機能およびリソースの `AWSGreengrassResourceAccessRolePolicy` マネージドポリシーと同等のアクセス許可が、ロールによって付与されることを確認します。また、信頼ポリシーには、`aws:SourceArn` および `aws:SourceAccount` グローバル条件コンテキストキーも含めて、混乱した代理によるセキュリティ問題を防止することをお勧めします。条件コンテキストキーを使用すると、指定したアカウントと Greengrass ワークスペースからのリクエストのみを許可するようにアクセスを制限できます。混乱した代理に関する問題の詳細については、「[サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)」を参照してください。
サービスロールを作成する場合は、 AWS IoT コンソールに戻り、ロールを にアタッチします AWS アカウント。これは、**[Settings]** (設定) ページの **[Greengrass service role]** (Greengrass サービスロール) で行えます。
### Greengrass サービスロールを変更する (コンソール)
コンソール AWS アカウント で AWS リージョン 現在選択されている で にアタッチする別の Greengrass サービスロールを選択するには、次の手順に従います。
1. [AWS IoT コンソール](https://console.aws.amazon.com/iot)に移動します。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[Greengrass service role]** (Greengrass サービスロール) で、**[Choose different role]** (別のロールの選択) を選択します。
**Greengrass サービスロールの更新**ダイアログボックスが開き、信頼 AWS アカウント されたエンティティ AWS IoT Greengrass として を定義する の IAM ロールが表示されます。
1. アタッチする Greengrass サービスロールを選択します。
1. **[Attach role]** (ロールをアタッチする)を選択します。
### Greengrass サービスロールをデタッチする (コンソール)
次の手順を使用して、現在の の AWS アカウントから Greengrass サービスロールをデタッチします AWS リージョン。これにより、 が現在の AWS のサービスにアクセス AWS IoT Greengrass するためのアクセス許可が取り消されます AWS リージョン。
**重要**
サービスロールをデタッチすると、アクティブなオペレーションが中断される場合があります。
1. [AWS IoT コンソール](https://console.aws.amazon.com/iot)に移動します。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[Greengrass service role]** (Greengrass サービスロール) で、**[Detach role]** (ロールのデタッチ) を選択します。
1. 確認ダイアログボックスで、[**Detach**] (デタッチ) を選択します。
**注記**
ロールが不要になった場合は、IAM コンソールで削除できます。詳細については、「IAM ユーザーガイド」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」を参照してください。
他のロールでは、 AWS IoT Greengrass が リソースにアクセスできる場合があります。ユーザーに代わってアクセス権限を引き受けることを AWS IoT Greengrass に許可するロールをすべて見つけるには、IAM コンソールの **[Roles]** (ロール) ページにある **[Trusted entities]** (信頼済みエンティティ) 列で、**[AWS service: greengrass]** ( サービス: greengrass) を含むロールを探します。
## Greengrass サービスロールを管理する (CLI)
次の手順では、 AWS Command Line Interface がインストールされ、 を使用するように設定されていることを前提としています AWS アカウント。詳細については、「*AWS Command Line Interface ユーザーガイド*」の「[Installing, updating, and uninstalling the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)」と「[Configuring settings for the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)」を参照してください。
は、次のロール管理タスク AWS CLI に使用できます。
**Topics**
+ [Greengrass サービスロールを取得する (CLI)](#get-service-role)
+ [Greengrass サービスロールを作成する (CLI)](#create-service-role)
+ [Greengrass サービスロールを削除する (CLI)](#remove-service-role)
### Greengrass サービスロールを取得する (CLI)
Greengrass サービスロールが AWS リージョン内の AWS アカウント に関連付けられているかどうか調べるには、以下の手順を使用します。
+ サービスロールを取得します。*region* を に置き換えます AWS リージョン (例: `us-west-2`)。
```
aws greengrassv2 get-service-role-for-account --region region
```
Greengrass サービスロールが既にアカウントに関連付けられている場合、リクエストに対して以下のロールメタデータが返されます。
```
{
"associatedAt": "timestamp",
"roleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
リクエストしてもロールメタデータが返されない場合は、サービスロールを作成し (存在しない場合)、 AWS リージョン内でアカウントに関連付ける必要があります。
### Greengrass サービスロールを作成する (CLI)
次のステップを使用してロールを作成し、 AWS アカウントに関連付けます。
**IAM を使用して、サービスロールを作成するには**
1. がロールを引き受け AWS IoT Greengrass ることができる信頼ポリシーを持つロールを作成します。この例では、`Greengrass_ServiceRole` という名前のロールを作成しますが、別の名前を使用できます。また、信頼ポリシーには、`aws:SourceArn` および `aws:SourceAccount` グローバル条件コンテキストキーも含めて、*混乱した代理*によるセキュリティ問題を防止することをお勧めします。条件コンテキストキーを使用すると、指定したアカウントと Greengrass ワークスペースからのリクエストのみを許可するようにアクセスを制限できます。混乱した代理に関する問題の詳細については、「[サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)」を参照してください。
------
#### [ Linux or Unix ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
#### [ PowerShell ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
1. 出力のロールメタデータからロールの ARN をコピーします。ARN を使用して、ロールをアカウントに関連付けます。
1. `AWSGreengrassResourceAccessRolePolicy` ポリシーをロールにアタッチします。
```
aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
```
**サービスロールを に関連付けるには AWS アカウント**
+ ロールとアカウントを関連付けます。*role-arn* をサービスロール ARN に置き換え、*region* を に置き換えます AWS リージョン (例: `us-west-2`)。
```
aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region
```
成功すると、リクエストは、以下のようなレスポンスを返します。
```
{
"associatedAt": "timestamp"
}
```
### Greengrass サービスロールを削除する (CLI)
次のステップを使用して、Greengrass サービスロールの関連付けを AWS アカウントから解除します。
+ アカウントからサービスロールの関連付けを解除します。*region* を に置き換えます AWS リージョン (例: `us-west-2`)。
```
aws greengrassv2 disassociate-service-role-from-account --region region
```
成功すると、以下のレスポンスが返されます。
```
{
"disassociatedAt": "timestamp"
}
```
**注記**
サービスロールを使用していない場合は、削除する必要があります AWS リージョン。最初に、[https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) を使用して `AWSGreengrassResourceAccessRolePolicy` マネージドポリシーをロールからデタッチし、次に [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) を使用してロールを削除します。詳細については、「IAM ユーザーガイド」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」を参照してください。
## 関連情報
+ *IAM ユーザーガイド*の [AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ 「IAM ユーザーガイド」の「[ロールの修正](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)」
+ 「IAM ユーザーガイド」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」
+ AWS IoT Greengrass コマンド*AWS CLI リファレンスの コマンド*
+ [associate-service-role-to-account](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/associate-service-role-to-account.html)
+ [disassociate-service-role-from-account](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/disassociate-service-role-from-account.html)
+ [get-service-role-for-account](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/get-service-role-for-account.html)
+ AWS CLI コマンドリファレンスで使用可能な IAM コマンド
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)
# AWS の 管理ポリシー AWS IoT Greengrass
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を提供するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
**Topics**
+ [AWS マネージドポリシー: AWSGreengrassFullAccess](#aws-managed-policies-AWSGreengrassFullAccess)
+ [AWS マネージドポリシー: AWSGreengrassReadOnlyAccess](#aws-managed-policies-AWSGreengrassReadOnlyAccess)
+ [AWS マネージドポリシー: AWSGreengrassResourceAccessRolePolicy](#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)
+ [AWS IoT Greengrass AWS 管理ポリシーの更新](#aws-managed-policy-updates)
## AWS マネージドポリシー: AWSGreengrassFullAccess
`AWSGreengrassFullAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、プリンシパルにすべての AWS IoT Greengrass アクションへのフルアクセスを許可する管理者権限を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `greengrass` – プリンシパルに AWS IoT Greengrass のすべてのアクションへのフルアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSGreengrassReadOnlyAccess
`AWSGreengrassReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーにより、プリンシパルは AWS IoT Greengrassの情報を表示できるが、変更できないようにする読み取り専用のアクセス許可が付与されます。例えば、これらのアクセス許可を持つプリンシパルは、Greengrass コアデバイスにデプロイされたコンポーネントのリストを表示できますが、そのデバイスで実行されるコンポーネントを変更するためのデプロイを作成することはできません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `greengrass` - プリンシパルは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、`List` または `Get` で始まる API オペレーションが含まれます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSGreengrassResourceAccessRolePolicy
`AWSGreengrassResourceAccessRolePolicy` ポリシーを IAM エンティティにアタッチできます。 は、ユーザーに代わって がアクションを実行できるようにするサービスロール AWS IoT Greengrass にもこのポリシー AWS IoT Greengrass をアタッチします。詳細については、「[Greengrass サービスロール](greengrass-service-role.md)」を参照してください。
このポリシーは、 が Lambda 関数の取得、 AWS IoT デバイスシャドウの管理、Greengrass クライアントデバイスの検証などの重要なタスク AWS IoT Greengrass を実行できるようにする管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `greengrass` - Greengrass リソースを管理します。
+ `iot` (`*Shadow`) – AWS IoT 名前に次の特別な識別子を持つシャドウを管理します。これらのアクセス許可は、 AWS IoT Greengrass がコアデバイスと通信できるようにするために必要です。
+ `*-gci` – このシャドウ AWS IoT Greengrass を使用してコアデバイス接続情報を保存し、クライアントデバイスがコアデバイスを検出して接続できるようにします。
+ `*-gcm` – AWS IoT Greengrass V1 はこのシャドウを使用して、Greengrass グループの認証機関 (CA) 証明書がローテーションされたことをコアデバイスに通知します。
+ `*-gda` – AWS IoT Greengrass V1 はこのシャドウを使用して、コアデバイスにデプロイを通知します。
+ `GG_*` – 未使用。
+ `iot` (`DescribeThing` と `DescribeCertificate`) – AWS IoT モノと証明書に関する情報を取得します。これらのアクセス許可は、 AWS IoT Greengrass がコアデバイスに接続するクライアントデバイスを検証するために必要です。詳細については、「[ローカル IoT デバイスとやり取りする](interact-with-local-iot-devices.md)」を参照してください。
+ `lambda` – AWS Lambda 関数に関する情報を取得します。このアクセス許可は、 AWS IoT Greengrass V1 が Lambda 関数を Greengrass コアにデプロイできるようにするために必要です。詳細については、*AWS IoT Greengrass 「 V1 デベロッパーガイド*」の[AWS IoT Greengrass 「コアで Lambda 関数を実行する](https://docs.aws.amazon.com/greengrass/v1/developerguide/lambda-functions.html)」を参照してください。
+ `secretsmanager` – 名前が で始まる AWS Secrets Manager シークレットの値を取得します`greengrass-`。このアクセス許可は、 AWS IoT Greengrass V1 が Secrets Manager シークレットを Greengrass コアにデプロイできるようにするために必要です。詳細については、*AWS IoT Greengrass 「 V1 * [デベロッパーガイド」の AWS IoT Greengrass 「コアにシークレットをデプロイする](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html)」を参照してください。
+ `s3` - 名前に `greengrass` または `sagemaker` が含まれる S3 バケットからファイルオブジェクトを取得します。これらのアクセス許可は、 AWS IoT Greengrass V1 が S3 バケットに保存する機械学習リソースをデプロイできるようにするために必要です。詳細については、*AWS IoT Greengrass 「 V1 デベロッパーガイド*」の[「機械学習リソース](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html#ml-resources)」を参照してください。
+ `sagemaker` - Amazon SageMaker AI 機械学習推論モデルに関する情報を取得します。このアクセス許可は、 AWS IoT Greengrass V1 が ML モデルを Greengrass コアにデプロイできるようにするために必要です。詳細については、*AWS IoT Greengrass 「 V1 * [デベロッパーガイド」の「機械学習推論](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html)の実行」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}
```
------
## AWS IoT Greengrass AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始した時点 AWS IoT Greengrass からの の AWS マネージドポリシーの更新に関する詳細を表示できます。このページの変更に関する自動アラートについては、[AWS IoT Greengrass V2 ドキュメント履歴ページの](document-history.md) RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| AWS IoT Greengrass が変更の追跡を開始しました | AWS IoT Greengrass は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 7 月 2 日 |
# サービス間の混乱した代理の防止
混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、 AWS では、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルで、すべてのサービスのデータを保護するために役立つツールを提供しています。
リソースポリシーで [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、 がリソースに別のサービス AWS IoT Greengrass に付与するアクセス許可を制限することをお勧めします。両方のグローバル条件コンテキストキーを同じポリシーステートメントで使用する場合は、`aws:SourceAccount` 値と、`aws:SourceArn` 値に含まれるアカウントが、同じアカウント ID を示している必要があります。
`aws:SourceArn` の値は、`sts:AssumeRole` リクエストに関連付けられている Greengrass のカスタマーリソースである必要があります。
混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して `aws:SourceArn` グローバル条件コンテキストキーを使用することです。リソースの完全な ARN が不明な場合や、複数のリソースを指定する場合は、`aws:SourceArn` グローバルコンテキスト条件キーを使用して、ARN の未知部分をワイルドカード (`*`) で表します。例えば、`arn:aws:greengrass::account-id:*` です。
`aws:SourceArn` と `aws:SourceAccount` グローバル条件コンテキストキーを使用するポリシーの例については、「[Greengrass サービスロールを作成する](greengrass-service-role.md#create-service-role)」を参照してください。
# のアイデンティティとアクセスの問題のトラブルシューティング AWS IoT Greengrass
次の情報は、 および IAM の使用時に発生する可能性がある一般的な問題の診断 AWS IoT Greengrass と修復に役立ちます。
**Topics**
+ [でアクションを実行する権限がありません AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [iam: PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [管理者として、他のユーザーにアクセスを許可したい AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [自分の 以外のユーザーに自分の AWS IoT Greengrass リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
一般的なトラブルシューティングヘルプについては、「[トラブルシューティング AWS IoT Greengrass V2](troubleshooting.md)」を参照してください。
## でアクションを実行する権限がありません AWS IoT Greengrass
アクションを実行する権限がないというエラーが表示された場合、管理者に問い合わせてサポートを依頼する必要があります。お客様のユーザー名とパスワードを発行したのが、担当の管理者です。
以下の例のエラーは、`mateojackson` IAM ユーザーがコアデバイスの詳細を表示しようとしているが、`greengrass:GetCoreDevice` アクセス許可がない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDevice on resource: arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore
```
この場合、Mateo は、`greengrass:GetCoreDevice` アクションを使用して `arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore` リソースへのアクセスが許可されるように、管理者にポリシーの更新を依頼します。
以下は、 AWS IoT Greengrassを操作するときに発生する可能性がある一般的な IAM の問題です。
## iam: PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して AWS IoT Greengrassにロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡す権限が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して AWS IoT Greengrassでアクションを実行しようとする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 管理者として、他のユーザーにアクセスを許可したい AWS IoT Greengrass
他のユーザーにアクセスを許可するには AWS IoT Greengrass、アクセスを必要とするユーザーまたはアプリケーションにアクセス許可を付与する必要があります。 AWS IAM アイデンティティセンター を使用してユーザーとアプリケーションを管理する場合は、アクセスレベルを定義するアクセス許可セットをユーザーまたはグループに割り当てます。アクセス許可セットは、ユーザーまたはアプリケーションに関連付けられている IAM ロールに自動的に IAM ポリシーを作成して割り当てます。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)」を参照してください。
IAM アイデンティティセンターを使用していない場合は、アクセスを必要としているユーザーまたはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。次に、 AWS IoT Greengrassの適切なアクセス許可を付与するポリシーを、そのエンティティにアタッチする必要があります。アクセス許可が付与されたら、ユーザーまたはアプリケーション開発者に認証情報を提供します。これらの認証情報を使用して AWSにアクセスします。IAM ユーザー、グループ、ポリシー、アクセス許可の作成の詳細については、「*IAM ユーザーガイド*」の「[IAM アイデンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」と「[IAM のポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。
## 自分の 以外のユーザーに自分の AWS IoT Greengrass リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外のユーザーが AWS リソースにアクセスするために使用できる IAM ロールを作成できます。ロールを引き受けるように信頼されたユーザーを指定することができます。詳細については、[「IAM ユーザーガイド」の「自分が所有 AWS アカウント している別の の IAM ユーザーへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)を提供する」および[「第三者が所有する へのアクセスを提供する AWS アカウント](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。 **
AWS IoT Greengrass は、リソースベースのポリシーまたはアクセスコントロールリスト (ACLs) に基づくクロスアカウントアクセスをサポートしていません。