認可

認可とは、認証された ID にアクセス許可を付与するプロセスです。 AWS IoT Core および IAMポリシー AWS IoT Core の使用許可を付与します。このトピックでは、 AWS IoT Core ポリシーについて説明します。IAM ポリシーの詳細については、のアイデンティティとアクセスの管理 AWS IoT「」および「」を参照してくださいと AWS IoT の仕組み IAM。

AWS IoT Core ポリシーは、認証された ID ができることを決定します。認証済みの ID は、デバイス、モバイルアプリケーション、ウェブアプリケーション、デスクトップアプリケーションで使用されます。認証された ID は、ユーザー入力 AWS IoT Core CLIコマンドである場合もあります。ID は、それらの AWS IoT Core オペレーションに対するアクセス許可を付与するポリシーがある場合にのみ、オペレーションを実行できます。

AWS IoT Core ポリシーとIAMポリシーはどちらも、アイデンティティ (プリンシパル とも呼ばれます) が実行できるオペレーションを制御する AWS IoT Core ために使用されます。使用するポリシータイプは、 での認証に使用する ID のタイプによって異なります AWS IoT Core。

AWS IoT Core オペレーションは 2 つのグループに分けられます。

使用するポリシーのタイプは、コントロールプレーン とデータプレーン のどちらを使用しているかによって異なりますAPI。

次の表に、ID タイプ、使用しているプロトコル、認可時に使用することのできるポリシータイプを示します。

AWS IoT Core ポリシーは、X.509 証明書、Amazon Cognito ID、またはモノのグループにアタッチされます。IAM ポリシーは、IAMユーザー、グループ、またはロールにアタッチされます。 AWS IoT コンソールまたは AWS IoT Core CLI を使用してポリシーをアタッチする場合 (証明書、Amazon Cognito Identity、またはモノのグループに）、 AWS IoT Core ポリシーを使用します。それ以外の場合は、モノのグループにアタッチされた IAM policy. AWS IoT Core policies を使用して、そのモノのグループ内のすべてのモノに適用されます。 AWS IoT Core ポリシーを有効にするには、 clientIdとモノの名前が一致している必要があります。

ポリシーベースの権限付与は強力なツールになります。これにより、デバイス、ユーザー、アプリケーションが AWS IoT Coreでできることを完全に制御できます。例えば、証明書 AWS IoT Core を使用して に接続するデバイスを考えてみましょう。デバイスにすべてのMQTTトピックへのアクセスを許可することも、単一のトピックへのアクセスを制限することもできます。別の例では、ユーザーがCLIコマンドラインでコマンドを入力することを検討します。ポリシーを使用すると、ユーザーの任意のコマンドまたは AWS IoT Core リソースへのアクセスを許可または拒否できます。また、 AWS IoT Core リソースへのアプリケーションのアクセスを制御することもできます。

AWS IoT がポリシードキュメントをキャッシュする方法によっては、ポリシーに加えられた変更が有効になるまでに数分かかる場合があります。つまり、最近アクセス権が付与されたリソースにアクセスするには数分かかる場合があり、アクセスが取り消された後、数分間リソースにアクセスできる場合があります。

AWS トレーニングと認定

での承認の詳細については AWS IoT Core、 AWS トレーニングと認証ウェブサイトの「Deep Dive into AWS IoT Core Authentication and Authorization」コースを受講してください。