翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS IoT ルールを使用したクロスアカウントリソースへのアクセス
クロスアカウントアクセスの AWS IoT ルールを設定して、あるアカウントのMQTTトピックに取り込まれたデータを別のアカウントの Amazon SQSや Lambda などの AWS サービスにルーティングできます。次に、あるアカウントの MQTTトピックから別のアカウントの宛先へのクロスアカウントデータインジェストの AWS IoT ルールを設定する方法について説明します。
クロスアカウントルールは、宛先リソースのリソースベースのアクセス許可を使用して設定できます。したがって、リソースベースのアクセス許可をサポートする送信先のみが、 AWS IoT ルールを使用したクロスアカウントアクセスに対して有効にできます。サポートされている送信先には、Amazon SQS、Amazon SNS、Amazon S3、および が含まれます AWS Lambda。
注記
Amazon を除くサポートされている送信先についてはSQS、ルールアクションがそのリソースとやり取りできるように、別のサービスのリソース AWS リージョン と同じ でルールを定義する必要があります。 AWS IoT ルールアクションの詳細については、AWS IoT 「 ルールアクション」を参照してください。ルールのSQSアクションの詳細については、「」を参照してくださいSQS。
前提条件
-
AWS IoT ルールに詳しいこと
-
AWS CLI がインストールされていること
Amazon のクロスアカウント設定 SQS
シナリオ: アカウント A はMQTTメッセージからアカウント B の Amazon SQSキューにデータを送信します。
| AWS アカウント | アカウントの呼び方 | 説明 |
|---|---|---|
|
アカウント A | ルールアクション: sqs:SendMessage |
|
アカウント B | Amazon SQSキュー
|
注記
送信先の Amazon SQSキューは、AWS IoT ルール AWS リージョン と同じ に存在する必要はありません。ルールのSQSアクションの詳細については、「」を参照してくださいSQS。
アカウント A のタスクを実行する
メモ
次のコマンドを実行するには、IAMユーザーに、ルールの Amazon リソースネーム (ARN) iot:CreateTopicRuleをリソースとする へのアクセス許可と、ロールの としてリソースを使用するiam:PassRoleアクションのアクセス許可が必要ですARN。
-
アカウント A の IAM ユーザーを使用して を設定します AWS CLI。
-
AWS IoT ルールエンジンを信頼する IAMロールを作成し、アカウント B の Amazon SQSキューへのアクセスを許可するポリシーをアタッチします。「必要なアクセス権を付与 AWS IoT する」の「コマンドとポリシードキュメントの例」を参照してください。
-
トピックにアタッチされたルールを作成するには、 create-topic-rule コマンドを実行します。
aws iot create-topic-rule --rule-namemyRule--topic-rule-payload file://./my-rule.json以下は、
iot/testトピックに送信されたすべてのメッセージを指定された Amazon SQSキューに挿入するルールを含むペイロードファイルの例です。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon SQSキューにメッセージを追加するアクセス許可ARNを付与 AWS IoT します。{ "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "sqs": { "queueUrl": "https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue", "roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role", "useBase64": false } } ] }AWS IoT ルールで Amazon SQSアクションを定義する方法の詳細については、AWS IoT 「 ルールアクション - Amazon SQS」を参照してください。
アカウント B のタスクを実行する
-
アカウント B の IAM ユーザーを使用して を設定します AWS CLI。
-
Amazon SQSキューリソースのアクセス許可をアカウント A に付与するには、add-permission コマンドを実行します。
aws sqs add-permission --queue-urlhttps://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue--labelSendMessagesToMyQueue--aws-account-ids1111-1111-1111--actions SendMessage
Amazon のクロスアカウント設定 SNS
シナリオ: アカウント A は、 MQTT メッセージからアカウント B の Amazon SNSトピックにデータを送信します。
| AWS アカウント | アカウントの呼び方 | 説明 |
|---|---|---|
|
アカウント A | ルールアクション: sns:Publish |
|
アカウント B | Amazon SNSトピックARN: |
アカウント A のタスクを実行する
メモ
次のコマンドを実行するには、IAMユーザーにリソースARNとして ルールiot:CreateTopicRuleを使用する に対するアクセス許可と、ロールとして リソースを使用する iam:PassRoleアクションに対するアクセス許可が必要ですARN。
-
アカウント A の IAM ユーザーを使用して を設定します AWS CLI。
-
AWS IoT ルールエンジンを信頼する IAMロールを作成し、アカウント B の Amazon SNSトピックへのアクセスを許可するポリシーをアタッチします。コマンドとポリシードキュメントの例については、「必要なアクセス権 AWS IoT の付与」を参照してください。
-
トピックにアタッチされたルールを作成するには、 create-topic-rule コマンドを実行します。
aws iot create-topic-rule --rule-namemyRule--topic-rule-payload file://./my-rule.json以下は、トピックに送信されたすべてのメッセージを指定された Amazon
iot/testトピックに挿入するルールを含むペイロードファイルの例ですSNS。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon SNSトピックにメッセージを送信するアクセス許可ARNを付与 AWS IoT します。{ "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "sns": { "targetArn": "arn:aws:sns:region:2222-2222-2222:ExampleTopic", "roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role" } } ] }AWS IoT ルールで Amazon SNSアクションを定義する方法の詳細については、AWS IoT 「 ルールアクション - Amazon SNS」を参照してください。
アカウント B のタスクを実行する
-
アカウント B の IAM ユーザーを使用して を設定します AWS CLI。
-
Amazon SNSトピックリソースに対するアクセス許可をアカウント A に付与するには、add-permission コマンドを実行します。
aws sns add-permission --topic-arnarn:aws:sns:region:2222-2222-2222:ExampleTopic--labelPublish-Permission--aws-account-id1111-1111-1111--action-name Publish
Amazon S3 のクロスアカウント設定
シナリオ: アカウント A は、 MQTT メッセージからアカウント B の Amazon S3 バケットにデータを送信します。
| AWS アカウント | アカウントの呼び方 | 説明 |
|---|---|---|
|
アカウント A | ルールアクション: s3:PutObject |
|
アカウント B | Amazon S3 バケットARN: |
アカウント A のタスクを実行する
メモ
次のコマンドを実行するには、IAMユーザーに ルールiot:CreateTopicRuleをリソースARNとする に対するアクセス許可と、リソースをロールとする iam:PassRole アクションに対するアクセス許可が必要ですARN。
-
アカウント A の IAM ユーザーを使用して を設定します AWS CLI。
-
AWS IoT ルールエンジンを信頼し、アカウント B の Amazon S3 バケットへのアクセスを許可するポリシーをアタッチする IAMロールを作成します。コマンドとポリシードキュメントの例については、「必要なアクセス権 AWS IoT の付与」を参照してください。
-
ターゲット S3 バケットにアタッチされたルールを作成するには、 create-topic-rule コマンドを実行します。
aws iot create-topic-rule --rule-namemy-rule--topic-rule-payload file://./my-rule.json次のペイロードファイル例では、
iot/testトピックに送信されたすべてのメッセージを指定の Amazon S3 バケットに挿入するルールが指定されています。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon S3 バケットにメッセージを追加する AWS IoT アクセス許可ARNを付与します。{ "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "s3": { "bucketName": "amzn-s3-demo-bucket", "key": "${topic()}/${timestamp()}", "roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role" } } ] }AWS IoT ルールで Amazon S3 アクションを定義する方法の詳細については、AWS IoT 「 ルールアクション - Amazon S3」を参照してください。
アカウント B のタスクを実行する
-
アカウント B の IAM ユーザーを使用して を設定します AWS CLI。
-
アカウント A のプリンシパルを信頼するバケットポリシーを作成します。
次のペイロードファイル例では、別のアカウントのプリンシパルを信頼するバケットポリシーを定義します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AddCannedAcl", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::1111-1111-1111:root" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }詳しくは、バケットポリシーの例を参照してください。
-
指定されたバケットにバケットポリシーをアタッチするには、 put-bucket-policy コマンドを実行します。
aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://./amzn-s3-demo-bucket-policy.json -
クロスアカウントアクセスが機能するように、パブリックアクセスをすべてブロックが正しく設定されていることを確認してください。詳しくは、Amazon S3 のセキュリティベストプラクティスを参照してください。
のクロスアカウント設定 AWS Lambda
シナリオ: アカウント A はアカウント B の AWS Lambda 関数を呼び出し、 MQTT メッセージを渡します。
| AWS アカウント | アカウントの呼び方 | 説明 |
|---|---|---|
|
アカウント A | ルールアクション: lambda:InvokeFunction |
|
アカウント B | Lambda 関数 ARN: |
アカウント A のタスクを実行する
メモ
次のコマンドを実行するには、IAMユーザーに、 ルールiot:CreateTopicRuleをリソースARNとする に対するアクセス許可と、 リソースをロールとする iam:PassRole アクションに対するアクセス許可が必要ですARN。
-
アカウント A の IAM ユーザーを使用して を設定します AWS CLI。
-
create-topic-rule コマンドを実行して、アカウント B の Lambda 関数へのクロスアカウントアクセスを定義するルールを作成します。
aws iot create-topic-rule --rule-namemy-rule--topic-rule-payload file://./my-rule.json次のペイロードファイル例では、
iot/testトピックに送信されたすべてのメッセージを指定の Lambda 関数に挿入するルールが指定されています。SQL ステートメントはメッセージをフィルタリングし、ロールは Lambda 関数にデータを渡すアクセス AWS IoT 許可ARNを付与します。{ "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "lambda": { "functionArn": "arn:aws:lambda:region:2222-2222-2222:function:example-function" } } ] }ルールで AWS Lambda AWS IoT アクションを定義する方法の詳細については、AWS IoT 「ルールアクション - Lambda」を参照してください。
アカウント B のタスクを実行する
-
アカウント B の IAM ユーザーを使用して を設定します AWS CLI。
-
Lambda の add-permission コマンドを実行して、Lambda 関数をアクティブ化するアクセス許可を AWS IoT ルールに付与します。次のコマンドを実行するには、IAMユーザーに
lambda:AddPermissionアクションのアクセス許可が必要です。aws lambda add-permission --function-nameexample-function--regionus-east-1--principal iot.amazonaws.com --source-arnarn:aws:iot:region:1111-1111-1111:rule/example-rule--source-account1111-1111-1111--statement-id"unique_id"--action "lambda:InvokeFunction"オプション:
--プリンシパル
このフィールドは AWS IoT 、Lambda 関数を呼び出すアクセス許可を ( で表される
iot.amazonaws.com) に付与します。--source-arn
このフィールドは、 AWS IoT の
arn:aws:iot:region:1111-1111-1111:rule/example-ruleのみがこのLambda 関数をトリガーし、同じアカウントまたは異なるアカウント内の他のルールはこの Lambda 関数をアクティブ化できないことを確認します。--source-account
このフィールドは、 が
1111-1111-1111アカウントに代わってのみこの Lambda 関数を AWS IoT アクティブ化することを確認します。メモ
AWS Lambda 関数のコンソールの [Configuration] (設定) の下に「ルールが見つかりませんでした」というエラーメッセージが表示される場合は、エラーメッセージを無視して、接続のテストに進みます。
