AWS IoT ルールを使用したクロスアカウントリソースへのアクセス - AWS IoT Core

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IoT ルールを使用したクロスアカウントリソースへのアクセス

クロスアカウントアクセスの AWS IoT ルールを設定して、あるアカウントのMQTTトピックに取り込まれたデータを別のアカウントの Amazon SQSや Lambda などの AWS サービスにルーティングできます。次に、あるアカウントのMQTTトピックから別のアカウントの宛先へのクロスアカウントデータ取り込みの AWS IoT ルールを設定する方法について説明します。

クロスアカウントルールは、宛先リソースのリソースベースのアクセス許可を使用して設定できます。したがって、 AWS IoT ルールによるクロスアカウントアクセスでは、リソースベースのアクセス許可をサポートする送信先のみを有効にできます。サポートされている送信先には、Amazon SQS、Amazon SNS、Amazon S3、および が含まれます AWS Lambda。

注記

サポートされている送信先については、Amazon を除きSQS、ルールアクションがそのリソースとやり取りできるように、別のサービスのリソース AWS リージョン と同じ でルールを定義する必要があります。 AWS IoT ルールアクションの詳細については、AWS IoT 「 ルールアクション」を参照してください。ルールのSQSアクションの詳細については、「」を参照してくださいSQS

前提条件

Amazon のクロスアカウント設定 SQS

シナリオ: アカウント A はMQTTメッセージからアカウント B の Amazon SQSキューにデータを送信します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: sqs:SendMessage
2222-2222-2222 アカウント B Amazon SQSキュー
  • ARN: arn:aws:sqs:region:2222-2222-2222:ExampleQueue

  • URL: https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue

注記

送信先 Amazon SQSキューは、AWS IoT ルール AWS リージョン と同じ にある必要はありません。ルールのSQSアクションの詳細については、「」を参照してくださいSQS

アカウント A のタスクを実行する
注記

次のコマンドを実行するには、IAMユーザーにルールの Amazon リソースネーム (ARN) iot:CreateTopicRuleをリソースとする に対するアクセス許可と、リソースをロールの とするiam:PassRoleアクションに対するアクセス許可が必要ですARN。

  1. アカウント A のIAMユーザーを使用して を設定します AWS CLI

  2. AWS IoT ルールエンジンを信頼し、アカウント B の Amazon SQSキューへのアクセスを許可するポリシーをアタッチするIAMロールを作成します。「必要なアクセスを許可する」の「コマンドとポリシードキュメントの例 AWS IoT」を参照してください。

  3. トピックにアタッチされたルールを作成するには、 create-topic-rule コマンド を実行します。

    aws iot create-topic-rule --rule-name myRule --topic-rule-payload file://./my-rule.json

    以下は、iot/testトピックに送信されたすべてのメッセージを指定された Amazon SQSキューに挿入するルールを含むペイロードファイルの例です。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon SQSキューにメッセージを追加するアクセス許可ARNを付与 AWS IoT します。

    { "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "sqs": { "queueUrl": "https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue", "roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role", "useBase64": false } } ] }

    AWS IoT ルールで Amazon SQSアクションを定義する方法の詳細については、「 AWS IoT ルールアクション - Amazon SQS」を参照してください。

アカウント B のタスクを実行する
  1. アカウント B のIAMユーザーを使用して を設定します AWS CLI

  2. Amazon SQSキューリソースのアクセス許可をアカウント A に付与するには、add-permission コマンド を実行します。

    aws sqs add-permission --queue-url https://sqs.region.amazonaws.com/2222-2222-2222/ExampleQueue --label SendMessagesToMyQueue --aws-account-ids 1111-1111-1111 --actions SendMessage

Amazon のクロスアカウント設定 SNS

シナリオ: アカウント A はMQTTメッセージからアカウント B の Amazon SNSトピックにデータを送信します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: sns:Publish
2222-2222-2222 アカウント B Amazon SNSトピック ARN: arn:aws:sns:region:2222-2222-2222:ExampleTopic
アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーにリソースARNとして ルールiot:CreateTopicRuleを持つ に対するアクセス許可と、ロールとして リソースを持つ iam:PassRoleアクションに対するアクセス許可が必要ですARN。

  1. アカウント A のIAMユーザーを使用して を設定します AWS CLI

  2. AWS IoT ルールエンジンを信頼し、アカウント B の Amazon SNSトピックへのアクセスを許可するポリシーをアタッチするIAMロールを作成します。コマンドとポリシードキュメントの例については、「必要なアクセス AWS IoT の許可」を参照してください。

  3. トピックにアタッチされたルールを作成するには、 create-topic-rule コマンド を実行します。

    aws iot create-topic-rule --rule-name myRule --topic-rule-payload file://./my-rule.json

    以下は、iot/testトピックに送信されたすべてのメッセージを指定された Amazon SNSトピックに挿入するルールを含むペイロードファイルの例です。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon SNSトピックにメッセージを送信する AWS IoT アクセス許可ARNを付与します。

    { "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "sns": { "targetArn": "arn:aws:sns:region:2222-2222-2222:ExampleTopic", "roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role" } } ] }

    AWS IoT ルールで Amazon SNSアクションを定義する方法の詳細については、「 AWS IoT ルールアクション - Amazon SNS」を参照してください。

アカウント B のタスクを実行する
  1. アカウント B のIAMユーザーを使用して を設定します AWS CLI

  2. アカウント A に Amazon SNSトピックリソースに対するアクセス許可を付与するには、add-permission コマンド を実行します。

    aws sns add-permission --topic-arn arn:aws:sns:region:2222-2222-2222:ExampleTopic --label Publish-Permission --aws-account-id 1111-1111-1111 --action-name Publish

Amazon S3 のクロスアカウント設定

シナリオ: アカウント A はMQTTメッセージからアカウント B の Amazon S3 バケットにデータを送信します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: s3:PutObject
2222-2222-2222 アカウント B Amazon S3 バケット ARN: arn:aws:s3:::amzn-s3-demo-bucket
アカウント A のタスクを実行する
注記

次のコマンドを実行するには、IAMユーザーに をリソースARNとしてルールiot:CreateTopicRuleで使用するアクセス許可と、 をロールとしてリソースを使用するiam:PassRoleアクションを行うアクセス許可が必要ですARN。

  1. アカウント A のIAMユーザーを使用して を設定します AWS CLI

  2. AWS IoT ルールエンジンを信頼し、アカウント B の Amazon S3 バケットへのアクセスを許可するポリシーをアタッチするIAMロールを作成します。コマンドとポリシードキュメントの例については、AWS IoT 「必要なアクセスの許可」を参照してください。

  3. ターゲット S3 バケットにアタッチされたルールを作成するには、 create-topic-rule コマンド を実行します。

    aws iot create-topic-rule --rule-name my-rule --topic-rule-payload file://./my-rule.json

    次のペイロードファイル例では、iot/test トピックに送信されたすべてのメッセージを指定の Amazon S3 バケットに挿入するルールが指定されています。SQL ステートメントはメッセージをフィルタリングし、ロールは Amazon S3 バケットにメッセージを追加する AWS IoT アクセス許可ARNを付与します。

    { "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "s3": { "bucketName": "amzn-s3-demo-bucket", "key": "${topic()}/${timestamp()}", "roleArn": "arn:aws:iam::1111-1111-1111:role/my-iot-role" } } ] }

    AWS IoT ルールで Amazon S3 アクションを定義する方法の詳細については、AWS IoT 「ルールアクション - Amazon S3」を参照してください。

アカウント B のタスクを実行する
  1. アカウント B のIAMユーザーを使用して を設定します AWS CLI

  2. アカウント A のプリンシパルを信頼するバケットポリシーを作成します。

    次のペイロードファイル例では、別のアカウントのプリンシパルを信頼するバケットポリシーを定義します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AddCannedAcl", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::1111-1111-1111:root" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }

    詳しくは、バケットポリシーの例を参照してください。

  3. 指定されたバケットにバケットポリシーをアタッチするには、 put-bucket-policy コマンド を実行します。

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://./amzn-s3-demo-bucket-policy.json
  4. クロスアカウントアクセスが機能するように、パブリックアクセスをすべてブロックが正しく設定されていることを確認してください。詳しくは、Amazon S3 のセキュリティベストプラクティスを参照してください。

のクロスアカウント設定 AWS Lambda

シナリオ: アカウント A はアカウント B の AWS Lambda 関数を呼び出し、MQTTメッセージを渡します。

AWS アカウント アカウントの呼び方 説明
1111-1111-1111 アカウント A ルールアクション: lambda:InvokeFunction
2222-2222-2222 アカウント B Lambda 関数 ARN: arn:aws:lambda:region:2222-2222-2222:function:example-function
アカウント A のタスクを実行する
メモ

次のコマンドを実行するには、IAMユーザーにリソースARNとしてルール iot:CreateTopicRule を使用する に対するアクセス許可と、ロール としてリソース を使用するiam:PassRoleアクションに対するアクセス許可が必要ですARN。

  1. アカウント A のIAMユーザーを使用して を設定します AWS CLI

  2. create-topic-rule コマンドを実行して、アカウント B の Lambda 関数へのクロスアカウントアクセスを定義するルールを作成します。

    aws iot create-topic-rule --rule-name my-rule --topic-rule-payload file://./my-rule.json

    次のペイロードファイル例では、iot/test トピックに送信されたすべてのメッセージを指定の Lambda 関数に挿入するルールが指定されています。SQL ステートメントはメッセージをフィルタリングし、ロールは Lambda 関数にデータを渡す AWS IoT アクセス許可ARNを付与します。

    { "sql": "SELECT * FROM 'iot/test'", "ruleDisabled": false, "awsIotSqlVersion": "2016-03-23", "actions": [ { "lambda": { "functionArn": "arn:aws:lambda:region:2222-2222-2222:function:example-function" } } ] }

    AWS IoT ルールで AWS Lambda アクションを定義する方法の詳細については、AWS IoT ルールアクション - Lambda を参照してください。

アカウント B のタスクを実行する
  1. アカウント B のIAMユーザーを使用して を設定します AWS CLI

  2. Lambda の add-permission コマンドを実行して、Lambda 関数をアクティブ化するアクセス許可を AWS IoT ルールに付与します。次のコマンドを実行するには、IAMユーザーに lambda:AddPermission アクションのアクセス許可が必要です。

    aws lambda add-permission --function-name example-function --region us-east-1 --principal iot.amazonaws.com --source-arn arn:aws:iot:region:1111-1111-1111:rule/example-rule --source-account 1111-1111-1111 --statement-id "unique_id" --action "lambda:InvokeFunction"

    オプション:

    --プリンシパル

    このフィールドは AWS IoT 、Lambda 関数を呼び出すアクセス許可 ( によって表されますiot.amazonaws.com) を付与します。

    --source-arn

    このフィールドは、 AWS IoT の arn:aws:iot:region:1111-1111-1111:rule/example-rule のみがこのLambda 関数をトリガーし、同じアカウントまたは異なるアカウント内の他のルールはこの Lambda 関数をアクティブ化できないことを確認します。

    --source-account

    このフィールドは、 が1111-1111-1111アカウントに代わってのみこの Lambda 関数を AWS IoT アクティブ化することを確認します。

    メモ

    AWS Lambda 関数のコンソールの [Configuration] (設定) の下に「ルールが見つかりませんでした」というエラーメッセージが表示される場合は、エラーメッセージを無視して、接続のテストに進みます。