翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティの準備

このセクションでは、 AWS IoT Device Management ソフトウェアパッケージカタログの主なセキュリティ要件について説明します。

リソースベースの認証

Software Package Catalog では、リソースベースの認可を使用して、フリートのソフトウェアを更新する際のセキュリティを強化します。つまり、ソフトウェアパッケージとパッケージバージョンに対して create、、delete、、および listアクションを実行する権限を付与し、 Resourcesセクションでデプロイする特定のソフトウェアパッケージとパッケージバージョンを参照する AWS Identity and Access Management （IAM) read updateポリシーを作成する必要があります。予約済みの名前付きシャドウを更新するには、これらの権限も必要です。各エンティティに Amazon リソースネーム (ARN) を含めることで、ソフトウェアパッケージとパッケージバージョンを参照します。

ソフトウェアパッケージとパッケージバージョンをARNs次のように構造化します。

例えば、次のような名前のソフトウェアパッケージとパッケージバージョンがあるとします。

ポリシーは以下の例のようになります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:createPackage",
                "iot:createPackageVersion",
                "iot:updatePackage",
                "iot:updatePackageVersion"
            ],
            "Resource": [
               "arn:aws:iot:us-east-1:111122223333:package/samplePackage",
               "arn:aws:iot:us-east-1:111122223333:package/samplePackage/version/1.0.0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:GetThingShadow",
                "iot:UpdateThingShadow"
            ],
            "Resource": "arn:aws:iot:us-east-1:111122223333:thing/myThing/$package"
        }
    ]
}

AWS IoT パッケージバージョンをデプロイするジョブ権限

セキュリティ上の理由から、パッケージとパッケージバージョンをデプロイする権限を付与し、デプロイが許可されている特定のパッケージとパッケージバージョンに名前を付けることが重要です。これを行うには、パッケージバージョンでジョブをデプロイするアクセス許可を付与するIAMロールとポリシーを作成します。ポリシーでは、リソースとしてターゲットパッケージのバージョンを指定する必要があります。

IAM ポリシー

IAM ポリシーは、 Resourceセクションで名前が付けられたパッケージとバージョンを含むジョブを作成する権利を付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:CreateJob",
                "iot:CreateJobTemplate"
            ],
            "Resource":[
                "arn:aws:iot:*:111122223333:job/<jobId>",
                "arn:aws:iot:*:111122223333:thing/<thingName>/$package",
                "arn:aws:iot:*:111122223333:thinggroup/<thingGroupName>",
                "arn:aws:iot:*:111122223333:jobtemplate/<jobTemplateName>",
                "arn:aws:iot:*:111122223333:package/<packageName>/version/<versionName>"
            ]
        }
    ]
}

arn:aws:iot:<regionCode>:111122223333:package/<packageName>/version/$null

AWS IoT 予約された名前付きシャドウを更新するジョブ権限

ジョブが正常に完了したときに、ジョブがモノの予約名シャドウを更新できるようにするには、IAMロールとポリシーを作成する必要があります。 AWS IoT コンソールでこれを行うには 2 つの方法があります。1 つ目は、コンソールでソフトウェアパッケージを作成するときです。[パッケージ管理の依存関係を有効にする] ダイアログボックスが表示されたら、既存のロールを使用するか、新しいロールを作成するかを選択できます。または、 AWS IoT コンソールで [設定] を選択し、[インデックス作成の管理] を選択し、次に [デバイスパッケージとバージョンのインデックス作成の管理] を選択します。

[ロールを作成] オプションを使用すると、生成されるロールの名前は aws-iot-role-update-shadows で始まり、次のポリシーが含まれています。

ロールのセットアップ

ユーザーポリシーの設定

AWS IoT Amazon S3 からダウンロードするジョブのアクセス許可

ジョブドキュメントは Amazon S3 に保存されます。 AWS IoT Jobs 経由でディスパッチするときに、このファイルを参照します。ファイル () をダウンロードする権限を AWS IoT Jobs に提供する必要がありますs3:GetObject。また、Amazon S3 と Jobs の間に信頼関係を設定する必要があります。 AWS IoT これらのポリシーを作成する手順については、「ジョブの管理」の「署名付きURLs」を参照してください。 https://docs.aws.amazon.com/iot/latest/developerguide/create-manage-jobs.html

パッケージバージョンのソフトウェア部品表を更新するアクセス許可

Draft、、またはDeprecatedライフサイクル状態のパッケージバージョンのソフトウェア部品表を更新するには、Amazon S3 で新しいソフトウェア部品表を検索しPublished、 でパッケージバージョンを更新するための AWS Identity and Access Management ロールとポリシーが必要です AWS IoT Core。

まず、更新されたソフトウェア部品表をバージョニングされた Amazon S3 バケットに配置し、 sbomsパラメータを含む UpdatePackageVersionAPIオペレーションを呼び出します。次に、承認されたプリンシパルが作成したIAMロールを引き受け、Amazon S3 で更新されたソフトウェア部品表を見つけ、ソフトウェアパッケージカタログ AWS IoT Core の でパッケージ検証を更新します。

この更新を実行するには、次のポリシーが必要です。

ポリシー

AWS サービスのIAMロールの作成の詳細については、AWS 「サービス にアクセス許可を委任するロールの作成」を参照してください。

Amazon S3 バケットの作成とオブジェクトのアップロードの詳細については、「バケットの作成」と「オブジェクトのアップロード」を参照してください。