Authorization

認可とは、認証された ID にアクセス許可を付与するプロセスです。 AWS IoT Core および IAMポリシー AWS IoT Core を使用して、 のアクセス許可を付与します。このトピックでは、 AWS IoT Core ポリシーについて説明します。IAM ポリシーの詳細については、「の Identity and Access Management AWS IoT」および「と AWS IoT の連携方法 IAM」を参照してください。

AWS IoT Core ポリシーは、認証された ID が実行できる操作を決定します。認証済みの ID は、デバイス、モバイルアプリケーション、ウェブアプリケーション、デスクトップアプリケーションで使用されます。認証された ID は、コマンドを入力する AWS IoT Core CLIユーザーでもかまいません。ID は、それらの AWS IoT Core オペレーションのアクセス許可を付与するポリシーがある場合にのみ、オペレーションを実行できます。

AWS IoT Core ポリシーと IAMポリシーはどちらも、アイデンティティ (プリンシパルとも呼ばれます) が実行できるオペレーションを制御する AWS IoT Core ために で使用されます。使用するポリシータイプは、認証に使用している ID のタイプによって異なります AWS IoT Core。

AWS IoT Core オペレーションは 2 つのグループに分けられます。

使用するポリシーのタイプは、コントロールプレーン とデータプレーン のどちらを使用しているかによって異なりますAPI。

次の表に、ID タイプ、使用しているプロトコル、認可時に使用することのできるポリシータイプを示します。

AWS IoT Core ポリシーは、X.509 証明書、Amazon Cognito ID、またはモノのグループにアタッチされます。 IAMポリシーは、 IAM ユーザー、グループ、またはロールにアタッチされます。 AWS IoT コンソールまたは AWS IoT Core CLI を使用して (証明書、Amazon Cognito ID、またはモノのグループに) ポリシーをアタッチする場合は、 AWS IoT Core ポリシーを使用します。それ以外の場合は、モノのグループにアタッチされた IAM policy. AWS IoT Core policies を使用して、そのモノのグループ内のすべてのモノに適用されます。 AWS IoT Core ポリシーを有効にするには、 clientIdとモノの名前が一致している必要があります。

ポリシーベースの権限付与は強力なツールになります。これにより、デバイス、ユーザー、アプリケーションが AWS IoT Coreでできることを完全に制御できます。例えば、証明書 AWS IoT Core を使用して に接続するデバイスがあるとします。デバイスにすべてのMQTTトピックへのアクセスを許可することも、単一のトピックへのアクセスを制限することもできます。別の例では、ユーザーがCLIコマンドラインでコマンドを入力しているとします。ポリシーを使用すると、ユーザーの任意のコマンドまたは AWS IoT Core リソースへのアクセスを許可または拒否できます。また、 AWS IoT Core リソースへのアプリケーションのアクセスを制御することもできます。

AWS IoT がポリシードキュメントをキャッシュする方法によっては、ポリシーに加えられた変更が有効になるまでに数分かかる場合があります。つまり、最近アクセス権が付与されたリソースにアクセスするには数分かかる場合があり、アクセスが取り消された後、数分間リソースにアクセスできる場合があります。

AWS トレーニングと認定

での認可の詳細については AWS IoT Core、 AWS トレーニングと認定ウェブサイトの「認証と認可の詳細 AWS IoT Core」コースを受講してください。