Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

AWS IoT ルールを使用したクロスアカウントリソースへのアクセス

PDF
フォーカスモード
AWS IoT ルールを使用したクロスアカウントリソースへのアクセス - AWS IoT Core
前提条件Amazon のクロスアカウント設定 SQSAmazon のクロスアカウント設定 SNSAmazon S3 のクロスアカウント設定のクロスアカウント設定 AWS Lambda

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウントアクセスの AWS IoT ルールを設定して、あるアカウントのMQTTトピックに取り込まれたデータを別のアカウントの Amazon SQSや Lambda などの AWS サービスにルーティングできます。次に、あるアカウントの MQTTトピックから別のアカウントの宛先へのクロスアカウントデータインジェストの AWS IoT ルールを設定する方法について説明します。

クロスアカウントルールは、宛先リソースのリソースベースのアクセス許可を使用して設定できます。したがって、リソースベースのアクセス許可をサポートする送信先のみが、 AWS IoT ルールを使用したクロスアカウントアクセスに対して有効にできます。サポートされている送信先には、Amazon SQS、Amazon SNS、Amazon S3、および が含まれます AWS Lambda。

注記

Amazon を除くサポートされている送信先についてはSQS、ルールアクションがそのリソースとやり取りできるように、別のサービスのリソース AWS リージョン と同じ でルールを定義する必要があります。 AWS IoT ルールアクションの詳細については、AWS IoT 「 ルールアクション」を参照してください。ルールのSQSアクションの詳細については、「」を参照してくださいSQS

前提条件

Amazon のクロスアカウント設定 SQS

シナリオ: アカウント A はMQTTメッセージからアカウント B の Amazon SQSキューにデータを送信します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: sqs:SendMessage
2222-2222-2222 アカウント B Amazon SQSキュー

  • ARN: arn:aws:sqs:region:2222-2222-2222:ExampleQueue

  • URL: https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue
注記

送信先の Amazon SQSキューは、AWS IoT ルール AWS リージョン と同じ に存在する必要はありません。ルールのSQSアクションの詳細については、「」を参照してくださいSQS

アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーに、ルールの Amazon リソースネーム (ARN) iot:CreateTopicRuleをリソースとする へのアクセス許可と、ロールの としてリソースを使用するiam:PassRoleアクションのアクセス許可が必要ですARN。

  1. アカウント A の IAM ユーザーを使用して を設定します AWS CLI

  2. AWS IoT ルールエンジンを信頼する IAMロールを作成し、アカウント B の Amazon SQSキューへのアクセスを許可するポリシーをアタッチします。「必要なアクセス権を付与 AWS IoT する」の「コマンドとポリシードキュメントの例」を参照してください。

  3. トピックにアタッチされたルールを作成するには、 create-topic-rule コマンドを実行します。

    aws iot create-topic-rule --rule-name myRule --topic-rule-payload file://./my-rule.json

    以下は、iot/testトピックに送信されたすべてのメッセージを指定された Amazon SQSキューに挿入するルールを含むペイロードファイルの例です。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon SQSキューにメッセージを追加するアクセス許可ARNを付与 AWS IoT します。

    {
	"sql": "SELECT * FROM 'iot/test'",
	"ruleDisabled": false,
	"awsIotSqlVersion": "2016-03-23",
	"actions": [
		{
			"sqs": {
				"queueUrl": "https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue",
				"roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role",
				"useBase64": false
			}
		}
	]
}

    AWS IoT ルールで Amazon SQSアクションを定義する方法の詳細については、AWS IoT 「 ルールアクション - Amazon SQS」を参照してください。

アカウント B のタスクを実行する

  1. アカウント B の IAM ユーザーを使用して を設定します AWS CLI

  2. Amazon SQSキューリソースのアクセス許可をアカウント A に付与するには、add-permission コマンドを実行します。

    aws sqs add-permission --queue-url https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue --label SendMessagesToMyQueue --aws-account-ids 1111-1111-1111 --actions SendMessage

Amazon のクロスアカウント設定 SNS

シナリオ: アカウント A は、 MQTT メッセージからアカウント B の Amazon SNSトピックにデータを送信します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: sns:Publish
2222-2222-2222 アカウント B Amazon SNSトピックARN: arn:aws:sns:region:2222-2222-2222:ExampleTopic
アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーにリソースARNとして ルールiot:CreateTopicRuleを使用する に対するアクセス許可と、ロールとして リソースを使用する iam:PassRoleアクションに対するアクセス許可が必要ですARN。

  1. アカウント A の IAM ユーザーを使用して を設定します AWS CLI

  2. AWS IoT ルールエンジンを信頼する IAMロールを作成し、アカウント B の Amazon SNSトピックへのアクセスを許可するポリシーをアタッチします。コマンドとポリシードキュメントの例については、「必要なアクセス権 AWS IoT の付与」を参照してください。

  3. トピックにアタッチされたルールを作成するには、 create-topic-rule コマンドを実行します。

    aws iot create-topic-rule --rule-name myRule --topic-rule-payload file://./my-rule.json

    以下は、トピックに送信されたすべてのメッセージを指定された Amazon iot/testトピックに挿入するルールを含むペイロードファイルの例ですSNS。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon SNSトピックにメッセージを送信するアクセス許可ARNを付与 AWS IoT します。

    {
	"sql": "SELECT * FROM 'iot/test'",
	"ruleDisabled": false,
	"awsIotSqlVersion": "2016-03-23",
	"actions": [
		{
			"sns": {
				"targetArn": "arn:aws:sns:region:2222-2222-2222:ExampleTopic",
				"roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role"
			}
		}
	]
}

    AWS IoT ルールで Amazon SNSアクションを定義する方法の詳細については、AWS IoT 「 ルールアクション - Amazon SNS」を参照してください。

アカウント B のタスクを実行する

  1. アカウント B の IAM ユーザーを使用して を設定します AWS CLI

  2. Amazon SNSトピックリソースに対するアクセス許可をアカウント A に付与するには、add-permission コマンドを実行します。

    aws sns add-permission --topic-arn arn:aws:sns:region:2222-2222-2222:ExampleTopic --label Publish-Permission --aws-account-id 1111-1111-1111 --action-name Publish

Amazon S3 のクロスアカウント設定

シナリオ: アカウント A は、 MQTT メッセージからアカウント B の Amazon S3 バケットにデータを送信します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: s3:PutObject
2222-2222-2222 アカウント B Amazon S3 バケットARN: arn:aws:s3:::amzn-s3-demo-bucket
アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーに ルールiot:CreateTopicRuleをリソースARNとする に対するアクセス許可と、リソースをロールとする iam:PassRole アクションに対するアクセス許可が必要ですARN。

  1. アカウント A の IAM ユーザーを使用して を設定します AWS CLI

  2. AWS IoT ルールエンジンを信頼し、アカウント B の Amazon S3 バケットへのアクセスを許可するポリシーをアタッチする IAMロールを作成します。コマンドとポリシードキュメントの例については、「必要なアクセス権 AWS IoT の付与」を参照してください。

  3. ターゲット S3 バケットにアタッチされたルールを作成するには、 create-topic-rule コマンドを実行します。

    aws iot create-topic-rule --rule-name my-rule --topic-rule-payload file://./my-rule.json

    次のペイロードファイル例では、iot/test トピックに送信されたすべてのメッセージを指定の Amazon S3 バケットに挿入するルールが指定されています。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon S3 バケットにメッセージを追加する AWS IoT アクセス許可ARNを付与します。

    {
	"sql": "SELECT * FROM 'iot/test'",
	"ruleDisabled": false,
	"awsIotSqlVersion": "2016-03-23",
	"actions": [
		{
			"s3": {
				"bucketName": "amzn-s3-demo-bucket",
				"key": "${topic()}/${timestamp()}",
				"roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role"
			}
		}
	]
}

    AWS IoT ルールで Amazon S3 アクションを定義する方法の詳細については、AWS IoT 「 ルールアクション - Amazon S3」を参照してください。

アカウント B のタスクを実行する

  1. アカウント B の IAM ユーザーを使用して を設定します AWS CLI

  2. アカウント A のプリンシパルを信頼するバケットポリシーを作成します。

    次のペイロードファイル例では、別のアカウントのプリンシパルを信頼するバケットポリシーを定義します。

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AddCannedAcl",
			"Effect": "Allow",
			"Principal": {
				"AWS": [
					"arn:aws:iam::1111-1111-1111:root"
				]
			},
			"Action": "s3:PutObject",
			"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
		}
	]
}

    詳しくは、バケットポリシーの例を参照してください。

  3. 指定されたバケットにバケットポリシーをアタッチするには、 put-bucket-policy コマンドを実行します。

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://./amzn-s3-demo-bucket-policy.json

  4. クロスアカウントアクセスが機能するように、パブリックアクセスをすべてブロックが正しく設定されていることを確認してください。詳しくは、Amazon S3 のセキュリティベストプラクティスを参照してください。

のクロスアカウント設定 AWS Lambda

シナリオ: アカウント A はアカウント B の AWS Lambda 関数を呼び出し、 MQTT メッセージを渡します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: lambda:InvokeFunction
2222-2222-2222 アカウント B Lambda 関数 ARN: arn:aws:lambda:region:2222-2222-2222:function:example-function
アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーに、 ルールiot:CreateTopicRuleをリソースARNとする に対するアクセス許可と、 リソースをロールとする iam:PassRole アクションに対するアクセス許可が必要ですARN。

  1. アカウント A の IAM ユーザーを使用して を設定します AWS CLI

  2. create-topic-rule コマンドを実行して、アカウント B の Lambda 関数へのクロスアカウントアクセスを定義するルールを作成します。

    aws iot create-topic-rule --rule-name my-rule --topic-rule-payload file://./my-rule.json

    次のペイロードファイル例では、iot/test トピックに送信されたすべてのメッセージを指定の Lambda 関数に挿入するルールが指定されています。SQL ステートメントはメッセージをフィルタリングし、ロールは Lambda 関数にデータを渡すアクセス AWS IoT 許可ARNを付与します。

    {
	"sql": "SELECT * FROM 'iot/test'",
	"ruleDisabled": false,
	"awsIotSqlVersion": "2016-03-23",
	"actions": [
		{
			"lambda": {
				"functionArn": "arn:aws:lambda:region:2222-2222-2222:function:example-function"
			}
		}
	]
}

    ルールで AWS Lambda AWS IoT アクションを定義する方法の詳細については、AWS IoT 「ルールアクション - Lambda」を参照してください。

アカウント B のタスクを実行する

  1. アカウント B の IAM ユーザーを使用して を設定します AWS CLI

  2. Lambda の add-permission コマンドを実行して、Lambda 関数をアクティブ化するアクセス許可を AWS IoT ルールに付与します。次のコマンドを実行するには、IAMユーザーに lambda:AddPermission アクションのアクセス許可が必要です。

    aws lambda add-permission --function-name example-function --region us-east-1 --principal iot.amazonaws.com --source-arn arn:aws:iot:region:1111-1111-1111:rule/example-rule --source-account 1111-1111-1111 --statement-id "unique_id" --action "lambda:InvokeFunction"

    オプション:

    --プリンシパル

    このフィールドは AWS IoT 、Lambda 関数を呼び出すアクセス許可を ( で表されるiot.amazonaws.com) に付与します。

    --source-arn

    このフィールドは、 AWS IoT の arn:aws:iot:region:1111-1111-1111:rule/example-rule のみがこのLambda 関数をトリガーし、同じアカウントまたは異なるアカウント内の他のルールはこの Lambda 関数をアクティブ化できないことを確認します。

    --source-account

    このフィールドは、 が1111-1111-1111アカウントに代わってのみこの Lambda 関数を AWS IoT アクティブ化することを確認します。

    メモ

    AWS Lambda 関数のコンソールの [Configuration] (設定) の下に「ルールが見つかりませんでした」というエラーメッセージが表示される場合は、エラーメッセージを無視して、接続のテストに進みます。

このページの内容

Related resources

AWS IoT Core API リファレンス
AWS CLI の コマンド AWS IoT Core
SDK とツール 

Related resources

AWS IoT Core API リファレンス
AWS CLI の コマンド AWS IoT Core
SDK とツール 
プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.