AWS IoT ルールを使用したクロスアカウントリソースへのアクセス - AWS IoT Core

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IoT ルールを使用したクロスアカウントリソースへのアクセス

クロスアカウントアクセスの AWS IoT ルールを設定して、あるアカウントのMQTTトピックに取り込まれたデータを別のアカウントの Amazon SQSや Lambda などの AWS サービスにルーティングできます。次に、あるアカウントの MQTTトピックから別のアカウントの宛先へのクロスアカウントデータインジェストの AWS IoT ルールを設定する方法について説明します。

クロスアカウントルールは、宛先リソースのリソースベースのアクセス許可を使用して設定できます。したがって、リソースベースのアクセス許可をサポートする送信先のみが、 AWS IoT ルールを使用したクロスアカウントアクセスに対して有効にできます。サポートされている送信先には、Amazon SQS、Amazon SNS、Amazon S3、および が含まれます AWS Lambda。

注記

Amazon を除くサポートされている送信先についてはSQS、ルールアクションがそのリソースとやり取りできるように、別のサービスのリソース AWS リージョン と同じ でルールを定義する必要があります。 AWS IoT ルールアクションの詳細については、AWS IoT 「 ルールアクション」を参照してください。ルールのSQSアクションの詳細については、「」を参照してくださいSQS

前提条件

Amazon のクロスアカウント設定 SQS

シナリオ: アカウント A はMQTTメッセージからアカウント B の Amazon SQSキューにデータを送信します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: sqs:SendMessage
2222-2222-2222 アカウント B Amazon SQSキュー
  • ARN: arn:aws:sqs:region:2222-2222-2222:ExampleQueue

  • URL: https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue

注記

送信先の Amazon SQSキューは、AWS IoT ルール AWS リージョン と同じ に存在する必要はありません。ルールのSQSアクションの詳細については、「」を参照してくださいSQS

アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーに、ルールの Amazon リソースネーム (ARN) iot:CreateTopicRuleをリソースとする へのアクセス許可と、ロールの としてリソースを使用するiam:PassRoleアクションのアクセス許可が必要ですARN。

  1. アカウント A の IAM ユーザーを使用して を設定します AWS CLI

  2. AWS IoT ルールエンジンを信頼する IAMロールを作成し、アカウント B の Amazon SQSキューへのアクセスを許可するポリシーをアタッチします。「必要なアクセス権を付与 AWS IoT する」の「コマンドとポリシードキュメントの例」を参照してください。

  3. トピックにアタッチされたルールを作成するには、 create-topic-rule コマンドを実行します。

    aws iot create-topic-rule --rule-name myRule --topic-rule-payload file://./my-rule.json

    以下は、iot/testトピックに送信されたすべてのメッセージを指定された Amazon SQSキューに挿入するルールを含むペイロードファイルの例です。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon SQSキューにメッセージを追加するアクセス許可ARNを付与 AWS IoT します。

    { "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "sqs": { "queueUrl": "https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue", "roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role", "useBase64": false } } ] }

    AWS IoT ルールで Amazon SQSアクションを定義する方法の詳細については、AWS IoT 「 ルールアクション - Amazon SQS」を参照してください。

アカウント B のタスクを実行する
  1. アカウント B の IAM ユーザーを使用して を設定します AWS CLI

  2. Amazon SQSキューリソースのアクセス許可をアカウント A に付与するには、add-permission コマンドを実行します。

    aws sqs add-permission --queue-url https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue --label SendMessagesToMyQueue --aws-account-ids 1111-1111-1111 --actions SendMessage

Amazon のクロスアカウント設定 SNS

シナリオ: アカウント A は、 MQTT メッセージからアカウント B の Amazon SNSトピックにデータを送信します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: sns:Publish
2222-2222-2222 アカウント B Amazon SNSトピックARN: arn:aws:sns:region:2222-2222-2222:ExampleTopic
アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーにリソースARNとして ルールiot:CreateTopicRuleを使用する に対するアクセス許可と、ロールとして リソースを使用する iam:PassRoleアクションに対するアクセス許可が必要ですARN。

  1. アカウント A の IAM ユーザーを使用して を設定します AWS CLI

  2. AWS IoT ルールエンジンを信頼する IAMロールを作成し、アカウント B の Amazon SNSトピックへのアクセスを許可するポリシーをアタッチします。コマンドとポリシードキュメントの例については、「必要なアクセス権 AWS IoT の付与」を参照してください。

  3. トピックにアタッチされたルールを作成するには、 create-topic-rule コマンドを実行します。

    aws iot create-topic-rule --rule-name myRule --topic-rule-payload file://./my-rule.json

    以下は、トピックに送信されたすべてのメッセージを指定された Amazon iot/testトピックに挿入するルールを含むペイロードファイルの例ですSNS。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon SNSトピックにメッセージを送信するアクセス許可ARNを付与 AWS IoT します。

    { "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "sns": { "targetArn": "arn:aws:sns:region:2222-2222-2222:ExampleTopic", "roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role" } } ] }

    AWS IoT ルールで Amazon SNSアクションを定義する方法の詳細については、AWS IoT 「 ルールアクション - Amazon SNS」を参照してください。

アカウント B のタスクを実行する
  1. アカウント B の IAM ユーザーを使用して を設定します AWS CLI

  2. Amazon SNSトピックリソースに対するアクセス許可をアカウント A に付与するには、add-permission コマンドを実行します。

    aws sns add-permission --topic-arn arn:aws:sns:region:2222-2222-2222:ExampleTopic --label Publish-Permission --aws-account-id 1111-1111-1111 --action-name Publish

Amazon S3 のクロスアカウント設定

シナリオ: アカウント A は、 MQTT メッセージからアカウント B の Amazon S3 バケットにデータを送信します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: s3:PutObject
2222-2222-2222 アカウント B Amazon S3 バケットARN: arn:aws:s3:::amzn-s3-demo-bucket
アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーに ルールiot:CreateTopicRuleをリソースARNとする に対するアクセス許可と、リソースをロールとする iam:PassRole アクションに対するアクセス許可が必要ですARN。

  1. アカウント A の IAM ユーザーを使用して を設定します AWS CLI

  2. AWS IoT ルールエンジンを信頼し、アカウント B の Amazon S3 バケットへのアクセスを許可するポリシーをアタッチする IAMロールを作成します。コマンドとポリシードキュメントの例については、「必要なアクセス権 AWS IoT の付与」を参照してください。

  3. ターゲット S3 バケットにアタッチされたルールを作成するには、 create-topic-rule コマンドを実行します。

    aws iot create-topic-rule --rule-name my-rule --topic-rule-payload file://./my-rule.json

    次のペイロードファイル例では、iot/test トピックに送信されたすべてのメッセージを指定の Amazon S3 バケットに挿入するルールが指定されています。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon S3 バケットにメッセージを追加する AWS IoT アクセス許可ARNを付与します。

    { "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "s3": { "bucketName": "amzn-s3-demo-bucket", "key": "${topic()}/${timestamp()}", "roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role" } } ] }

    AWS IoT ルールで Amazon S3 アクションを定義する方法の詳細については、AWS IoT 「 ルールアクション - Amazon S3」を参照してください。

アカウント B のタスクを実行する
  1. アカウント B の IAM ユーザーを使用して を設定します AWS CLI

  2. アカウント A のプリンシパルを信頼するバケットポリシーを作成します。

    次のペイロードファイル例では、別のアカウントのプリンシパルを信頼するバケットポリシーを定義します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AddCannedAcl", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::1111-1111-1111:root" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }

    詳しくは、バケットポリシーの例を参照してください。

  3. 指定されたバケットにバケットポリシーをアタッチするには、 put-bucket-policy コマンドを実行します。

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://./amzn-s3-demo-bucket-policy.json
  4. クロスアカウントアクセスが機能するように、パブリックアクセスをすべてブロックが正しく設定されていることを確認してください。詳しくは、Amazon S3 のセキュリティベストプラクティスを参照してください。

のクロスアカウント設定 AWS Lambda

シナリオ: アカウント A はアカウント B の AWS Lambda 関数を呼び出し、 MQTT メッセージを渡します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: lambda:InvokeFunction
2222-2222-2222 アカウント B Lambda 関数 ARN: arn:aws:lambda:region:2222-2222-2222:function:example-function
アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーに、 ルールiot:CreateTopicRuleをリソースARNとする に対するアクセス許可と、 リソースをロールとする iam:PassRole アクションに対するアクセス許可が必要ですARN。

  1. アカウント A の IAM ユーザーを使用して を設定します AWS CLI

  2. create-topic-rule コマンドを実行して、アカウント B の Lambda 関数へのクロスアカウントアクセスを定義するルールを作成します。

    aws iot create-topic-rule --rule-name my-rule --topic-rule-payload file://./my-rule.json

    次のペイロードファイル例では、iot/test トピックに送信されたすべてのメッセージを指定の Lambda 関数に挿入するルールが指定されています。SQL ステートメントはメッセージをフィルタリングし、ロールは Lambda 関数にデータを渡すアクセス AWS IoT 許可ARNを付与します。

    { "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "lambda": { "functionArn": "arn:aws:lambda:region:2222-2222-2222:function:example-function" } } ] }

    ルールで AWS Lambda AWS IoT アクションを定義する方法の詳細については、AWS IoT 「ルールアクション - Lambda」を参照してください。

アカウント B のタスクを実行する
  1. アカウント B の IAM ユーザーを使用して を設定します AWS CLI

  2. Lambda の add-permission コマンドを実行して、Lambda 関数をアクティブ化するアクセス許可を AWS IoT ルールに付与します。次のコマンドを実行するには、IAMユーザーに lambda:AddPermission アクションのアクセス許可が必要です。

    aws lambda add-permission --function-name example-function --region us-east-1 --principal iot.amazonaws.com --source-arn arn:aws:iot:region:1111-1111-1111:rule/example-rule --source-account 1111-1111-1111 --statement-id "unique_id" --action "lambda:InvokeFunction"

    オプション:

    --プリンシパル

    このフィールドは AWS IoT 、Lambda 関数を呼び出すアクセス許可を ( で表されるiot.amazonaws.com) に付与します。

    --source-arn

    このフィールドは、 AWS IoT の arn:aws:iot:region:1111-1111-1111:rule/example-rule のみがこのLambda 関数をトリガーし、同じアカウントまたは異なるアカウント内の他のルールはこの Lambda 関数をアクティブ化できないことを確認します。

    --source-account

    このフィールドは、 が1111-1111-1111アカウントに代わってのみこの Lambda 関数を AWS IoT アクティブ化することを確認します。

    メモ

    AWS Lambda 関数のコンソールの [Configuration] (設定) の下に「ルールが見つかりませんでした」というエラーメッセージが表示される場合は、エラーメッセージを無視して、接続のテストに進みます。