のアイデンティティとアクセスの管理 AWS IoT Events - AWS IoT Events
対象者ID とアクセス管理の詳細と AWS IoT Events の仕組み IAM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のアイデンティティとアクセスの管理 AWS IoT Events

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つ AWS サービスです。IAM 管理者は、誰を認証 (サインイン) し、誰に AWS IoT Events リソースの使用を許可する (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS サービスです。

トピック

対象者

AWS Identity and Access Management (IAM) の使用方法は、 で行う作業によって異なります AWS IoT Events。

サービスユーザー – AWS IoT Events サービスを使用してジョブを実行する場合、管理者は必要な認証情報とアクセス許可を提供します。より多くの AWS IoT Events 機能を使用して作業を行う際には、追加のアクセス許可が必要になる場合があります。アクセスの管理方法を理解すると、管理者から適切な権限をリクエストするのに役に立ちます。 AWS IoT Events機能にアクセスできない場合は、「AWS IoT Events ID とアクセスのトラブルシューティング」を参照してください。

サービス管理者 – 社内の AWS IoT Events リソースを担当している場合は、 へのフルアクセスがある可能性があります AWS IoT Events。サービスユーザーがどの AWS IoT Events 機能やリソースにアクセスできるかを判断するのは、お客様の仕事です。その後、IAM管理者にリクエストを送信して、サービスユーザーのアクセス許可を変更する必要があります。このページの情報を確認して、 の基本概念を理解しますIAM。会社IAMで を使用する方法の詳細については AWS IoT Events、「」を参照してくださいと AWS IoT Events の仕組み IAM

IAM 管理者 - IAM管理者の場合は、 へのアクセスを管理するためのポリシーの作成方法の詳細を知りたい場合があります AWS IoT Events。で使用できる AWS IoT Events ID ベースのポリシーの例を表示するにはIAM、「」を参照してくださいAWS IoT Events ID ベースのポリシーの例

ID とアクセス管理の詳細

の ID とアクセスの管理の詳細については AWS IoT Events、次のページを参照してください。

と AWS IoT Events の仕組み IAM

IAM を使用して へのアクセスを管理する前に AWS IoT Events、 で使用できるIAM機能を理解しておく必要があります AWS IoT Events。 AWS IoT Events およびその他の AWS のサービスが とどのように連携するかの概要を確認するにはIAM、 IAM ユーザーガイドAWS 「 と連携する のサービスIAM」を参照してください。

AWS IoT Events ID ベースのポリシー

IAM ID ベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。 AWS IoT Events は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、 IAM ユーザーガイドIAMJSON「ポリシー要素リファレンス」を参照してください。

アクション

IAM ID ベースのポリシーの Action要素は、ポリシーによって許可または拒否される特定のアクションを記述します。ポリシーアクションは通常、関連付けられた AWS APIオペレーションと同じ名前になります。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

のポリシーアクションは、アクションの前に次のプレフィックス AWS IoT Events を使用します: iotevents:。例えば、 APIオペレーションで AWS IoT Events AWS IoT Events CreateInput入力を作成するアクセス許可を誰かに付与するには、そのポリシーに iotevents:CreateInputアクションを含めます。API オペレーションで AWS IoT Events BatchPutMessage入力を送信するアクセス許可をユーザーに付与するには、ポリシーに iotevents-data:BatchPutMessageアクションを含めます。ポリシーステートメントには、 Actionまたは NotAction element を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションセット AWS IoT Events を定義します。

単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:

"Action": [
      "iotevents:action1",
      "iotevents:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "iotevents:Describe*"

AWS IoT Events アクションのリストを確認するには、 IAM ユーザーガイド「 で定義されるアクション AWS IoT Events」を参照してください。

リソース

Resource エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN またはワイルドカード (*) を使用してリソースを指定し、ステートメントがすべてのリソースに適用されることを示します。

AWS IoT Events ディテクターモデルリソースには、次の がありますARN。

arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}

の形式の詳細についてはARNs、「Amazon AWS リソースネーム (ARNs) でリソースを識別する」を参照してください。

例えば、ステートメントでFoobarディテクターモデルを指定するには、次の を使用しますARN。

"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"

特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"

リソースを作成するためのアクションなど、一部の AWS IoT Events アクションは、特定のリソースに対して実行できません。このような場合は、ワイルドカード *を使用する必要があります。

"Resource": "*"

一部の AWS IoT Events APIアクションには、複数のリソースが含まれます。例えば CreateDetectorModel は、条件ステートメント内の入力を参照するため、ユーザーには入力およびディテクターモデルを使用する権限が必要です。1 つのステートメントで複数のリソースを指定するには、 をカンマARNsで区切ります。

"Resource": [
      "resource1",
      "resource2"

AWS IoT Events リソースタイプとその のリストを確認するにはARNs、 IAM ユーザーガイド「 で定義されるリソース AWS IoT Events」を参照してください。各リソースARNの を指定できるアクションについては、「 で定義されるアクション AWS IoT Events」を参照してください。

条件キー

Condition エレメント またはCondition ブロックを使用すると、ステートメントが有効な条件を指定できます。Condition エレメントはオプションです。イコールや以下などの条件演算子を使用する条件表現を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、 AWS が論理 AND 演算を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、ユーザー名でタグ付けされている場合のみ、リソースにアクセスするユーザーアクセス許可を付与できます。詳細については、IAM「 ユーザーガイド」のIAM「ポリシー要素: 変数とタグ」を参照してください。

AWS IoT Events はサービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、IAM「 ユーザーガイド」のAWS 「グローバル条件コンテキストキー」を参照してください。

AWS IoT Events ID ベースのポリシーの例を表示するには、「」を参照してくださいAWS IoT Events ID ベースのポリシーの例

AWS IoT Events リソースベースのポリシー

AWS IoT Events はリソースベースのポリシーをサポートしていません。」 詳細なリソースベースのポリシーページの例を表示するには、https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html を参照してください。

AWS IoT Events タグに基づく認可

AWS IoT Events リソースにタグをアタッチしたり、 へのリクエストでタグを渡すことができます AWS IoT Events。タグに基づいてアクセスを管理するには、iotevents:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの 条件要素でタグ情報を提供します。 AWS IoT Events リソースのタグ付けの詳細については、「AWS IoT Events リソースのタグ付け」を参照してください。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「 タグに基づいて入力を表示する AWS IoT Events」を参照してください。

AWS IoT Events IAM ロール

IAM ロールは、特定のアクセス許可 AWS アカウント を持つ 内のエンティティです。

での一時的な認証情報の使用 AWS IoT Events

一時的な認証情報を使用して、フェデレーションでサインインしたり、IAMロールを引き受けたり、クロスアカウントロールを引き受けたりすることができます。AssumeRole や などの AWS Security Token Service (AWS STS) APIオペレーションを呼び出すことで、一時的なセキュリティ認証情報を取得しますGetFederationToken

AWS IoT Events は一時的な認証情報の使用をサポートしていません。

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWS サービスが他のサービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスにリンクされたロールはIAMアカウントに表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

AWS IoT Events は、サービスにリンクされたロールをサポートしていません。

サービスロール

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAMアカウントに表示され、アカウントによって所有されます。つまり、IAM管理者はこのロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

AWS IoT Events はサービスロールをサポートします。