モノのポリシー変数

モノのポリシー変数を使用すると、 AWS IoT Core モノの名前、モノのタイプ、モノの属性値などのモノのプロパティに基づいてアクセス許可を付与または拒否する ポリシー。モノのポリシー変数を使用して、同じポリシーを適用して多くの を制御できます。 AWS IoT Core デバイス。デバイスのプロビジョニングの詳細については、「デバイスプロビジョニング」を参照してください。モノの名前は、モノが に接続したときに送信されるMQTTConnectメッセージのクライアント ID から取得されます。 AWS IoT Core.

でモノのポリシー変数を使用する場合は、次の点に注意してください。 AWS IoT Core ポリシー。

• を使用してAttachThingPrincipalAPI、証明書またはプリンシパル (認証された Amazon Cognito ID) をモノにアタッチします。

• モノの名前をモノのポリシー変数に置き換える場合、MQTT接続メッセージまたはTLS接続clientIdの の値はモノの名前と完全に一致する必要があります。

以下のモノのポリシー変数が利用可能です。

• iot:Connection.Thing.ThingName

  これは、 内のモノの名前に解決されます。 AWS IoT Core ポリシーが評価されている レジストリ。 AWS IoT Core は、デバイスが認証時に提示する証明書を使用して、接続の検証に使用するモノを決定します。このポリシー変数は、デバイスがMQTTMQTT WebSocket プロトコル経由で接続する場合にのみ使用できます。

• iot:Connection.Thing.ThingTypeName

  これは、ポリシーが評価されているモノと関連付けられるモノのタイプに解決されます。MQTT/WebSocket 接続のクライアント ID は、モノの名前と同じである必要があります。このポリシー変数は、 MQTTまたは WebSocketプロトコルMQTT経由で接続する場合にのみ使用できます。

• iot:Connection.Thing.Attributes[attributeName]

  これは、ポリシーが評価されているモノと関連付けられる指定した属性値に解決されます。モノには最大 50 個の属性を指定できます。各属性はポリシー変数として使用できます。iot:Connection.Thing.Attributes[attributeName]ここで、attributeName は属性の名前です。MQTT/WebSocket connection のクライアント ID は、モノの名前と同じである必要があります。このポリシー変数は、 MQTTまたは WebSocket プロトコルMQTT経由で接続する場合にのみ使用できます。

• iot:Connection.Thing.IsAttached

  iot:Connection.Thing.IsAttached: ["true"] は、両方が に登録されているデバイスのみを適用します。 AWS IoT プリンシパルにアタッチされた と は、ポリシー内のアクセス許可にアクセスできます。この変数を使用して、デバイスが に接続できないようにすることができます。 AWS IoT Core で IoT モノにアタッチされていない証明書を提示する場合 AWS IoT Core registry.この変数には、 を使用してレジストリ内の証明書または Amazon Cognito ID に接続モノがアタッチされているfalseことを示す値trueまたは AttachThingPrincipal がありますAPI。モノの名前はクライアント ID として使用されます。