翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
認証
承認とは、認証された ID にアクセス許可を付与するプロセスです。IAM AWS IoT Core AWS IoT Core ポリシーを使用する際にアクセス権限を付与します。このトピックでは、 AWS IoT Core ポリシーについて説明します。IAM ポリシーの詳細については、の ID とアクセス管理 AWS IoT および IAM AWS IoT との連携の仕組み を参照してください。
AWS IoT Core 認証された ID で何ができるかはポリシーによって決まります。認証済みの ID は、デバイス、モバイルアプリケーション、ウェブアプリケーション、デスクトップアプリケーションで使用されます。認証されたIDは、 AWS IoT Core CLI コマンドを入力するユーザーでもかまいません。ID AWS IoT Core が操作を実行できるのは、その操作に対する権限を付与するポリシーがある場合のみです。
AWS IoT Core ポリシーと IAM ポリシーの両方を使用して、アイデンティティ (プリンシパルとも呼ばれる) が実行できる操作を制御します。 AWS IoT Core 使用するポリシータイプは、認証に使用する ID の種類によって異なります。 AWS IoT Core
AWS IoT Core 操作は次の 2 つのグループに分けられます。
-
コントロールプレーン API では、証明書、モノ、ルールなどの作成または更新などの管理タスクを行うことができます。
-
データプレーン API では、データとの間でデータを送受信できます AWS IoT Core。
使用するポリシーのタイプは、コントロールプレーン API とデータプレーン API のどちらを使用しているかによって異なります。
次の表に、ID タイプ、使用しているプロトコル、認証時に使用することのできるポリシータイプを示します。
AWS IoT Core データプレーン API とポリシータイプ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| プロトコルと認証メカニズム | SDK | ID のタイプ | ポリシータイプ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| TLS/TCP を介した MQTT、TLS 相互認証 (ポート 8883 または 443)†) | AWS IoT デバイス SDK | X.509 証明書 | AWS IoT Core ポリシー | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS 経由の MQTT WebSocket、 AWS SigV4 認証 (ポート 443) | AWS モバイル SDK | 認証された Amazon Cognito ID | IAM とポリシー AWS IoT Core | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 認証されていない Amazon Cognito ID | IAM ポリシー | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IAM、またはフェデレーテッド ID | IAM ポリシー | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS、 AWS シグネチャバージョン 4 認証 (ポート 443) | AWS CLI | Amazon Cognito、IAM、またはフェデレーテッド ID | IAM ポリシー | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS、TLS 相互認証 (ポート 8443) | SDK はサポートしていません | X.509 証明書 | AWS IoT Core ポリシー | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| カスタム認証を介した HTTPS (ポート 443) | AWS IoT デバイス SDK | カスタムオーソライザー | カスタムオーソライザーポリシー | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core コントロールプレーン API とポリシータイプ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| プロトコルと認証メカニズム | SDK | ID のタイプ | ポリシータイプ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS AWS シグネチャバージョン 4 認証 (ポート 443) | AWS CLI | Amazon Cognito ID | IAM ポリシー | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IAM、またはフェデレーテッド ID | IAM ポリシー | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core ポリシーは X.509 証明書、Amazon Cognito アイデンティティ、またはモノグループにアタッチされます。IAM ポリシーは、IAM ユーザー、グループ、ロールにアタッチされます。 AWS IoT コンソールまたは AWS IoT Core CLI を使用してポリシーを (証明書、Amazon Cognito ID、またはモノグループに) アタッチする場合は、 AWS IoT Core ポリシーを使用します。それ以外の場合は IAM ポリシーを使用します。 AWS IoT Core モノグループにアタッチされたポリシーは、そのモノグループ内のあらゆるモノに適用されます。 AWS IoT Core ポリシーを有効にするには、Thing clientId の名前とが一致する必要があります。
ポリシーベースの権限付与は強力なツールになります。これにより、デバイス、ユーザー、アプリケーションが AWS IoT Coreでできることを完全に制御できます。たとえば、 AWS IoT Core 証明書を使って接続するデバイスを考えてみましょう。この場合、デバイスを使用して、すべての MQTT トピックへのアクセスを許可するか、1 つのトピックにアクセスを制限できます。または、コマンドラインで CLI コマンドを入力することもできます。ポリシーを使用することで、 AWS IoT Core そのユーザーに任意のコマンドやリソースへのアクセスを許可または拒否できます。また、 AWS IoT Core リソースへのアプリケーションのアクセスを制御することもできます。
AWS IoT がポリシードキュメントをキャッシュする方法によっては、ポリシーに加えられた変更が有効になるまでに数分かかる場合があります。つまり、最近アクセス権が付与されたリソースにアクセスするには数分かかる場合があり、アクセスが取り消された後、数分間リソースにアクセスできる場合があります。
AWS トレーニングと認定
での認証について詳しくは AWS IoT Core、 AWS トレーニングと認定 Web サイトの「AWS IoT Core
認証と承認の詳細
