翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
と IAM の AWS IoT 連携方法
IAM を使用して へのアクセスを管理する前に AWS IoT、使用できる IAM 機能を理解しておく必要があります AWS IoT。 AWS IoT およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、「IAM ユーザーガイド」のAWS 「IAM と連携する のサービス」を参照してください。
AWS IoT アイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。 AWS IoT は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素のリファレンス」を参照してください。
アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
JSON ポリシーの Action 要素には、ポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションのない許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。
このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。
次の表に、IAM IoT アクション、関連する AWS IoT API、およびアクションが操作するリソースを示します。
| ポリシーアクション | AWS IoT API | リソース |
|---|---|---|
| iot:AcceptCertificateTransfer | AcceptCertificateTransfer |
注記ARN で AWS アカウント 指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:AddThingToThingGroup | AddThingToThingGroup |
|
| iot:AssociateTargetsWithJob | AssociateTargetsWithJob | なし |
| iot:AttachPolicy | AttachPolicy |
or
|
| iot:AttachPrincipalPolicy | AttachPrincipalPolicy |
|
| iot:AttachSecurityProfile | AttachSecurityProfile |
|
| iot:AttachThingPrincipal | AttachThingPrincipal |
|
| iot:CancelCertificateTransfer | CancelCertificateTransfer |
注記ARN で AWS アカウント 指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:CancelJob | CancelJob |
|
| iot:CancelJobExecution | CancelJobExecution |
|
| iot:ClearDefaultAuthorizer | ClearDefaultAuthorizer | なし |
| iot:CreateAuthorizer | CreateAuthorizer |
|
| iot:CreateCertificateFromCsr | CreateCertificateFromCsr | * |
| iot:CreateDimension | CreateDimension |
|
| iot:CreateJob | CreateJob |
|
| iot:CreateJobTemplate | CreateJobTemplate |
|
| iot:CreateKeysAndCertificate | CreateKeysAndCertificate | * |
| iot:CreatePolicy | CreatePolicy |
|
| iot:CreatePolicyVersion | CreatePolicyVersion |
注記これは、IAM AWS IoT ポリシーではなく、 ポリシーである必要があります。 |
| iot:CreateRoleAlias | CreateRoleAlias |
(パラメータ :roleAlias)
|
| iot:CreateSecurityProfile | CreateSecurityProfile |
|
| iot:CreateThing | CreateThing |
|
| iot:CreateThingGroup | CreateThingGroup |
作成されているグループと親グループ用、使用されている場合 |
| iot:CreateThingType | CreateThingType |
|
| iot:CreateTopicRule | CreateTopicRule |
|
| iot:DeleteAuthorizer | DeleteAuthorizer |
|
| iot:DeleteCACertificate | DeleteCACertificate |
|
| iot:DeleteCertificate | DeleteCertificate |
|
| iot:DeleteDimension | DeleteDimension |
|
| iot:DeleteJob | DeleteJob |
|
| iot:DeleteJobTemplate | DeleteJobTemplate |
|
| iot:DeleteJobExecution | DeleteJobExecution |
|
| iot:DeletePolicy | DeletePolicy |
|
| iot:DeletePolicyVersion | DeletePolicyVersion |
|
| iot:DeleteRegistrationCode | DeleteRegistrationCode | * |
| iot:DeleteRoleAlias | DeleteRoleAlias |
|
| iot:DeleteSecurityProfile | DeleteSecurityProfile |
|
| iot:DeleteThing | DeleteThing |
|
| iot:DeleteThingGroup | DeleteThingGroup |
|
| iot:DeleteThingType | DeleteThingType |
|
| iot:DeleteTopicRule | DeleteTopicRule |
|
| iot:DeleteV2LoggingLevel | DeleteV2LoggingLevel |
|
| iot:DeprecateThingType | DeprecateThingType |
|
| iot:DescribeAuthorizer | DescribeAuthorizer |
(パラメータ: authorizerName) なし |
| iot:DescribeCACertificate | DescribeCACertificate |
|
| iot:DescribeCertificate | DescribeCertificate |
|
| iot:DescribeDefaultAuthorizer | DescribeDefaultAuthorizer | なし |
| iot:DescribeEndpoint | DescribeEndpoint | * |
| iot:DescribeEventConfigurations | DescribeEventConfigurations | なし |
| iot:DescribeIndex | DescribeIndex |
|
| iot:DescribeJob | DescribeJob |
|
| iot:DescribeJobExecution | DescribeJobExecution | なし |
| iot:DescribeJobTemplate | DescribeJobTemplate |
|
| iot:DescribeRoleAlias | DescribeRoleAlias |
|
| iot:DescribeThing | DescribeThing |
|
| iot:DescribeThingGroup | DescribeThingGroup |
|
| iot:DescribeThingRegistrationTask | DescribeThingRegistrationTask | なし |
| iot:DescribeThingType | DescribeThingType |
|
| iot:DetachPolicy | DetachPolicy |
or
|
| iot:DetachPrincipalPolicy | DetachPrincipalPolicy |
|
| iot:DetachSecurityProfile | DetachSecurityProfile |
|
| iot:DetachThingPrincipal | DetachThingPrincipal |
|
| iot:DisableTopicRule | DisableTopicRule |
|
| iot:EnableTopicRule | EnableTopicRule |
|
| iot:GetEffectivePolicies | GetEffectivePolicies |
|
| iot:GetIndexingConfiguration | GetIndexingConfiguration | なし |
| iot:GetJobDocument | GetJobDocument |
|
| iot:GetLoggingOptions | GetLoggingOptions | * |
| iot:GetPolicy | GetPolicy |
|
| iot:GetPolicyVersion | GetPolicyVersion |
|
| iot:GetRegistrationCode | GetRegistrationCode | * |
| iot:GetTopicRule | GetTopicRule |
|
| iot:ListAttachedPolicies | ListAttachedPolicies |
or
|
| iot:ListAuthorizers | ListAuthorizers | なし |
| iot:ListCACertificates | ListCACertificates | * |
| iot:ListCertificates | ListCertificates | * |
| iot:ListCertificatesByCA | ListCertificatesByCA | * |
| iot:ListIndices | ListIndices | なし |
| iot:ListJobExecutionsForJob | ListJobExecutionsForJob | なし |
| iot:ListJobExecutionsForThing | ListJobExecutionsForThing | なし |
| iot:ListJobs | ListJobs |
thingGroupName パラメータが使用される場合 |
| iot:ListJobTemplates | ListJobs | なし |
| iot:ListOutgoingCertificates | ListOutgoingCertificates | * |
| iot:ListPolicies | ListPolicies | * |
| iot:ListPolicyPrincipals | ListPolicyPrincipals | * |
| iot:ListPolicyVersions | ListPolicyVersions |
|
| iot:ListPrincipalPolicies | ListPrincipalPolicies |
|
| iot:ListPrincipalThings | ListPrincipalThings |
|
| iot:ListRoleAliases | ListRoleAliases | なし |
| iot:ListTargetsForPolicy | ListTargetsForPolicy |
|
| iot:ListThingGroups | ListThingGroups | なし |
| iot:ListThingGroupsForThing | ListThingGroupsForThing |
|
| iot:ListThingPrincipals | ListThingPrincipals |
|
| iot:ListThingRegistrationTaskReports | ListThingRegistrationTaskReports | なし |
| iot:ListThingRegistrationTasks | ListThingRegistrationTasks | なし |
| iot:ListThingTypes | ListThingTypes | * |
| iot:ListThings | ListThings | * |
| iot:ListThingsInThingGroup | ListThingsInThingGroup |
|
| iot:ListTopicRules | ListTopicRules | * |
| iot:ListV2LoggingLevels | ListV2LoggingLevels | なし |
| iot:RegisterCACertificate | RegisterCACertificate | * |
| iot:RegisterCertificate | RegisterCertificate | * |
| iot:RegisterThing | RegisterThing | なし |
| iot:RejectCertificateTransfer | RejectCertificateTransfer |
|
| iot:RemoveThingFromThingGroup | RemoveThingFromThingGroup |
|
| iot:ReplaceTopicRule | ReplaceTopicRule |
|
| iot:SearchIndex | SearchIndex |
|
| iot:SetDefaultAuthorizer | SetDefaultAuthorizer |
|
| iot:SetDefaultPolicyVersion | SetDefaultPolicyVersion |
|
| iot:SetLoggingOptions | SetLoggingOptions |
|
| iot:SetV2LoggingLevel | SetV2LoggingLevel |
|
| iot:SetV2LoggingOptions | SetV2LoggingOptions |
|
| iot:StartThingRegistrationTask | StartThingRegistrationTask | なし |
| iot:StopThingRegistrationTask | StopThingRegistrationTask | なし |
| iot:TestAuthorization | TestAuthorization |
|
| iot:TestInvokeAuthorizer | TestInvokeAuthorizer | なし |
| iot:TransferCertificate | TransferCertificate |
|
| iot:UpdateAuthorizer | UpdateAuthorizer |
|
| iot:UpdateCACertificate | UpdateCACertificate |
|
| iot:UpdateCertificate | UpdateCertificate |
|
| iot:UpdateDimension | UpdateDimension |
|
| iot:UpdateEventConfigurations | UpdateEventConfigurations | なし |
| iot:UpdateIndexingConfiguration | UpdateIndexingConfiguration | なし |
| iot:UpdateRoleAlias | UpdateRoleAlias |
|
| iot:UpdateSecurityProfile | UpdateSecurityProfile |
|
| iot:UpdateThing | UpdateThing |
|
| iot:UpdateThingGroup | UpdateThingGroup |
|
| iot:UpdateThingGroupsForThing | UpdateThingGroupsForThing |
|
のポリシーアクションは、アクションの前にプレフィックス AWS IoT を使用しますiot:。例えば、 ListThings API AWS アカウント を使用して に登録されているすべての IoT モノを一覧表示するアクセス許可を付与するには、ポリシーに iot:ListThingsアクションを含めます。ポリシーステートメントには、 Actionまたは NotAction element を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションのセット AWS IoT を定義します。
単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:
"Action": [ "ec2:action1", "ec2:action2"
ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
"Action": "iot:Describe*"
AWS IoT アクションのリストを確認するには、「IAM ユーザーガイド」の「 で定義されるアクション AWS IoT」を参照してください。
Device Advisor のアクション
次の表は、IAM IoT Device Advisor のアクション、関連する AWS IoT Device Advisor API、およびアクションで使用されるリソースを示しています。
| ポリシーアクション | AWS IoT API | リソース |
|---|---|---|
| iotdeviceadvisor:CreateSuiteDefinition | CreateSuiteDefinition |
なし |
| iotdeviceadvisor:DeleteSuiteDefinition | DeleteSuiteDefinition |
|
| iotdeviceadvisor:GetSuiteDefinition | GetSuiteDefinition |
|
| iotdeviceadvisor:GetSuiteRun | GetSuiteRun |
|
| iotdeviceadvisor:GetSuiteRunReport | GetSuiteRunReport |
|
| iotdeviceadvisor:ListSuiteDefinitions | ListSuiteDefinitions | なし |
| iotdeviceadvisor:ListSuiteRuns | ListSuiteRuns |
|
| iotdeviceadvisor:ListTagsForResource | ListTagsForResource |
|
| iotdeviceadvisor:StartSuiteRun | StartSuiteRun |
|
| iotdeviceadvisor:TagResource | TagResource |
|
| iotdeviceadvisor:UntagResource | UntagResource |
|
| iotdeviceadvisor:UpdateSuiteDefinition | UpdateSuiteDefinition |
|
| iotdeviceadvisor:StopSuiteRun | StopSuiteRun |
|
AWS IoT Device Advisor のポリシーアクションは、アクションの前にプレフィックス を使用しますiotdeviceadvisor:。例えば、ListSuiteDefinitions API AWS アカウント を使用して に登録されているすべてのスイート定義を一覧表示するアクセス許可を付与するには、ポリシーに iotdeviceadvisor:ListSuiteDefinitionsアクションを含めます。
リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。
Resource JSON ポリシー要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。
"Resource": "*"
| ポリシーアクション | AWS IoT API | リソース |
|---|---|---|
| iot:AcceptCertificateTransfer | AcceptCertificateTransfer |
注記ARN で AWS アカウント 指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:AddThingToThingGroup | AddThingToThingGroup |
|
| iot:AssociateTargetsWithJob | AssociateTargetsWithJob | なし |
| iot:AttachPolicy | AttachPolicy |
or
|
| iot:AttachPrincipalPolicy | AttachPrincipalPolicy |
|
| iot:AttachThingPrincipal | AttachThingPrincipal |
|
| iot:CancelCertificateTransfer | CancelCertificateTransfer |
注記ARN で AWS アカウント 指定された は、証明書が転送されるアカウントである必要があります。 |
| iot:CancelJob | CancelJob |
|
| iot:CancelJobExecution | CancelJobExecution |
|
| iot:ClearDefaultAuthorizer | ClearDefaultAuthorizer | なし |
| iot:CreateAuthorizer | CreateAuthorizer |
|
| iot:CreateCertificateFromCsr | CreateCertificateFromCsr | * |
| iot:CreateJob | CreateJob |
|
| iot:CreateJobTemplate | CreateJobTemplate |
|
| iot:CreateKeysAndCertificate | CreateKeysAndCertificate | * |
| iot:CreatePolicy | CreatePolicy |
|
| CreatePolicyVersion | iot:CreatePolicyVersion |
注記これは、IAM AWS IoT ポリシーではなく、 ポリシーである必要があります。 |
| iot:CreateRoleAlias | CreateRoleAlias |
(パラメータ :roleAlias)
|
| iot:CreateThing | CreateThing |
|
| iot:CreateThingGroup | CreateThingGroup |
作成されているグループと親グループ用、使用されている場合 |
| iot:CreateThingType | CreateThingType |
|
| iot:CreateTopicRule | CreateTopicRule |
|
| iot:DeleteAuthorizer | DeleteAuthorizer |
|
| iot:DeleteCACertificate | DeleteCACertificate |
|
| iot:DeleteCertificate | DeleteCertificate |
|
| iot:DeleteJob | DeleteJob |
|
| iot:DeleteJobExecution | DeleteJobExecution |
|
| iot:DeleteJobTemplate | DeleteJobTemplate |
|
| iot:DeletePolicy | DeletePolicy |
|
| iot:DeletePolicyVersion | DeletePolicyVersion |
|
| iot:DeleteRegistrationCode | DeleteRegistrationCode | * |
| iot:DeleteRoleAlias | DeleteRoleAlias |
|
| iot:DeleteThing | DeleteThing |
|
| iot:DeleteThingGroup | DeleteThingGroup |
|
| iot:DeleteThingType | DeleteThingType |
|
| iot:DeleteTopicRule | DeleteTopicRule |
|
| iot:DeleteV2LoggingLevel | DeleteV2LoggingLevel |
|
| iot:DeprecateThingType | DeprecateThingType |
|
| iot:DescribeAuthorizer | DescribeAuthorizer |
(パラメータ: authorizerName) なし |
| iot:DescribeCACertificate | DescribeCACertificate |
|
| iot:DescribeCertificate | DescribeCertificate |
|
| iot:DescribeDefaultAuthorizer | DescribeDefaultAuthorizer | なし |
| iot:DescribeEndpoint | DescribeEndpoint | * |
| iot:DescribeEventConfigurations | DescribeEventConfigurations | なし |
| iot:DescribeIndex | DescribeIndex |
|
| iot:DescribeJob | DescribeJob |
|
| iot:DescribeJobExecution | DescribeJobExecution | なし |
| iot:DescribeJobTemplate | DescribeJobTemplate |
|
| iot:DescribeRoleAlias | DescribeRoleAlias |
|
| iot:DescribeThing | DescribeThing |
|
| iot:DescribeThingGroup | DescribeThingGroup |
|
| iot:DescribeThingRegistrationTask | DescribeThingRegistrationTask | なし |
| iot:DescribeThingType | DescribeThingType |
|
| iot:DetachPolicy | DetachPolicy |
or
|
| iot:DetachPrincipalPolicy | DetachPrincipalPolicy |
|
| iot:DetachThingPrincipal | DetachThingPrincipal |
|
| iot:DisableTopicRule | DisableTopicRule |
|
| iot:EnableTopicRule | EnableTopicRule |
|
| iot:GetEffectivePolicies | GetEffectivePolicies |
|
| iot:GetIndexingConfiguration | GetIndexingConfiguration | なし |
| iot:GetJobDocument | GetJobDocument |
|
| iot:GetLoggingOptions | GetLoggingOptions | * |
| iot:GetPolicy | GetPolicy |
|
| iot:GetPolicyVersion | GetPolicyVersion |
|
| iot:GetRegistrationCode | GetRegistrationCode | * |
| iot:GetTopicRule | GetTopicRule |
|
| iot:ListAttachedPolicies | ListAttachedPolicies |
or
|
| iot:ListAuthorizers | ListAuthorizers | なし |
| iot:ListCACertificates | ListCACertificates | * |
| iot:ListCertificates | ListCertificates | * |
| iot:ListCertificatesByCA | ListCertificatesByCA | * |
| iot:ListIndices | ListIndices | なし |
| iot:ListJobExecutionsForJob | ListJobExecutionsForJob | なし |
| iot:ListJobExecutionsForThing | ListJobExecutionsForThing | なし |
| iot:ListJobs | ListJobs |
thingGroupName パラメータが使用される場合 |
| iot:ListJobTemplates | ListJobTemplates | なし |
| iot:ListOutgoingCertificates | ListOutgoingCertificates | * |
| iot:ListPolicies | ListPolicies | * |
| iot:ListPolicyPrincipals | ListPolicyPrincipals |
|
| iot:ListPolicyVersions | ListPolicyVersions |
|
| iot:ListPrincipalPolicies | ListPrincipalPolicies |
|
| iot:ListPrincipalThings | ListPrincipalThings |
|
| iot:ListRoleAliases | ListRoleAliases | なし |
| iot:ListTargetsForPolicy | ListTargetsForPolicy |
|
| iot:ListThingGroups | ListThingGroups | なし |
| iot:ListThingGroupsForThing | ListThingGroupsForThing |
|
| iot:ListThingPrincipals | ListThingPrincipals |
|
| iot:ListThingRegistrationTaskReports | ListThingRegistrationTaskReports | なし |
| iot:ListThingRegistrationTasks | ListThingRegistrationTasks | なし |
| iot:ListThingTypes | ListThingTypes | * |
| iot:ListThings | ListThings | * |
| iot:ListThingsInThingGroup | ListThingsInThingGroup |
|
| iot:ListTopicRules | ListTopicRules | * |
| iot:ListV2LoggingLevels | ListV2LoggingLevels | なし |
| iot:RegisterCACertificate | RegisterCACertificate | * |
| iot:RegisterCertificate | RegisterCertificate | * |
| iot:RegisterThing | RegisterThing | なし |
| iot:RejectCertificateTransfer | RejectCertificateTransfer |
|
| iot:RemoveThingFromThingGroup | RemoveThingFromThingGroup |
|
| iot:ReplaceTopicRule | ReplaceTopicRule |
|
| iot:SearchIndex | SearchIndex |
|
| iot:SetDefaultAuthorizer | SetDefaultAuthorizer |
|
| iot:SetDefaultPolicyVersion | SetDefaultPolicyVersion |
|
| iot:SetLoggingOptions | SetLoggingOptions | * |
| iot:SetV2LoggingLevel | SetV2LoggingLevel | * |
| iot:SetV2LoggingOptions | SetV2LoggingOptions | * |
| iot:StartThingRegistrationTask | StartThingRegistrationTask | なし |
| iot:StopThingRegistrationTask | StopThingRegistrationTask | なし |
| iot:TestAuthorization | TestAuthorization |
|
| iot:TestInvokeAuthorizer | TestInvokeAuthorizer | なし |
| iot:TransferCertificate | TransferCertificate |
|
| iot:UpdateAuthorizer | UpdateAuthorizer |
|
| iot:UpdateCACertificate | UpdateCACertificate |
|
| iot:UpdateCertificate | UpdateCertificate |
|
| iot:UpdateEventConfigurations | UpdateEventConfigurations | なし |
| iot:UpdateIndexingConfiguration | UpdateIndexingConfiguration | なし |
| iot:UpdateRoleAlias | UpdateRoleAlias |
|
| iot:UpdateThing | UpdateThing |
|
| iot:UpdateThingGroup | UpdateThingGroup |
|
| iot:UpdateThingGroupsForThing | UpdateThingGroupsForThing |
|
ARN の形式の詳細については、「Amazon リソースネーム (ARNs) と AWS サービス名前空間」を参照してください。
リソースを作成するためのアクションなど、一部の AWS IoT アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード *を使用する必要があります。
"Resource": "*"
AWS IoT リソースタイプとその ARNs「 で定義されるリソース AWS IoT」を参照してください。 どのアクションで各リソースの ARN を指定できるかについては、「AWS IoTで定義されるアクション」を参照してください。
Device Advisor のリソース
AWS IoT Device Advisor IAM ポリシーのリソースレベルの制限を定義するには、スイート定義とスイート実行に次のリソース ARN 形式を使用します。
- スイート定義リソース ARN 形式
-
arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id - スイート実行リソース ARN 形式
-
arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id
条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。
Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、「IAM ユーザーガイド」の「IAM ポリシーの要素: 変数およびタグ」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「 グローバル条件コンテキストキー」を参照してください。
AWS IoT は独自の条件キーのセットを定義し、一部のグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「グローバル条件コンテキストキー」を参照してください。
| AWS IoT 条件キー | 説明 | タイプ |
|---|---|---|
aws:RequestTag/${ |
ユーザーが AWS IoTに対して行うリクエストに含まれるタグキー。 | String |
aws:ResourceTag/${ |
AWS IoT リソースにアタッチされたタグのタグキーコンポーネント。 | String |
aws:TagKeys |
リクエスト内のリソースに関連付けられているすべてのタグキー名のリスト。 | String |
AWS IoT 条件キーのリストを確認するには、「IAM ユーザーガイド」の「 の条件キー AWS IoT」を参照してください。条件キーを使用できるアクションとリソースについては、「 で定義されるアクション AWS IoT」を参照してください。
例
AWS IoT アイデンティティベースのポリシーの例を表示するには、「」を参照してくださいAWS IoT アイデンティティベースのポリシーの例。
AWS IoT リソースベースのポリシー
リソースベースのポリシーは、指定されたプリンシパルが AWS IoT リソースに対して実行できるアクションと条件を指定する JSON ポリシードキュメントです。
AWS IoT は IAM リソースベースのポリシーをサポートしていません。ただし、 AWS IoT リソースベースのポリシーをサポートしています。詳細については、「AWS IoT Core ポリシー」を参照してください。
AWS IoT タグに基づく認可
AWS IoT リソースにタグをアタッチするか、 へのリクエストでタグを渡すことができます AWS IoT。タグに基づいてアクセスを制御するには、iot:ResourceTag/、key-nameaws:RequestTag/、または key-nameaws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。詳細については、「IAM ポリシーでのタグの使用」を参照してください。 AWS IoT リソースのタグ付けの詳細については、「」を参照してくださいAWS IoT リソースのタグ付け。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「タグに基づく AWS IoT リソースの表示」を参照してください。
AWS IoT IAM ロール
IAM ロールは、特定のアクセス許可 AWS アカウント を持つ 内のエンティティです。
での一時的な認証情報の使用 AWS IoT
一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole や GetFederationToken などの AWS STS API オペレーションを呼び出します。
AWS IoT では、一時的な認証情報の使用がサポートされています。
サービスにリンクされたロール
サービスにリンクされたロールを使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
AWS IoT は、サービスにリンクされたロールをサポートしていません。
サービスロール
この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールは、IAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者は、このロールの権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
