翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の AWS IoT Greengrass 管理ポリシー
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS マネージドポリシーは、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。AWS のすべてのお客様が使用できるようになることを避けるためです。ユースケース別にカスタマーマネージドポリシーを定義することで、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービスを起動するか、既存のサービスで新しい API 操作が使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。
トピック
AWS マネージドポリシー: AWSGreengrassFullAccess
AWSGreengrassFullAccess ポリシーは IAM ID にアタッチできます。
このポリシーは、プリンシパルにすべての AWS IoT Greengrass アクションへのフルアクセスを許可する管理者権限を付与します。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
greengrass– プリンシパルに AWS IoT Greengrass のすべてのアクションへのフルアクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:*" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSGreengrassReadOnlyAccess
AWSGreengrassReadOnlyAccess ポリシーは IAM ID にアタッチできます。
このポリシーにより、プリンシパルは AWS IoT Greengrass の情報を表示できるが、変更できないようにする読み取り専用のアクセス許可が付与されます。例えば、これらのアクセス許可を持つプリンシパルは、Greengrass コアデバイスにデプロイされたコンポーネントのリストを表示できますが、そのデバイスで実行されるコンポーネントを変更するためのデプロイを作成することはできません。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
greengrass- プリンシパルは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、ListまたはGetで始まる API オペレーションが含まれます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:List*", "greengrass:Get*" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSGreengrassResourceAccessRolePolicy
AWSGreengrassResourceAccessRolePolicy ポリシーを IAM エンティティにアタッチできます。AWS IoT Greengrass はまた、AWS IoT Greengrass がユーザーに代わりアクションを実行することを可能にするサービスロールをこのポリシーにアタッチします。詳細については、「Greengrass サービスロール」を参照してください。
このポリシーにより、Lambda 関数の取得、AWS IoT デバイスシャドウの管理、Greengrass クライアントデバイスの検証など、AWS IoT Greengrass に重要なタスクの実行を許可する管理者権限が付与されます。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
greengrass- Greengrass リソースを管理します。 -
iot(*Shadow) - 名前に次の特別な識別子が含まれる AWS IoT シャドウを管理します。これらのアクセス許可は、AWS IoT Greengrass がコアデバイスと通信できるようにするために必要です。-
*-gci– AWS IoT Greengrass は、このシャドウを使用してコアデバイスの接続情報を保存し、クライアントデバイスがコアデバイスを検出して接続できるようにします。 -
*-gcm– AWS IoT Greengrass V1 は、このシャドウを使用して、Greengrass グループの認証局 (CA) 証明書がローテーションされたことをコアデバイスに通知します。 -
*-gda– AWS IoT Greengrass V1 は、このシャドウを使用して、コアデバイスにデプロイを通知します。 -
GG_*– 未使用。
-
-
iot(DescribeThingおよびDescribeCertificate) - AWS IoT モノおよび証明書に関する情報を取得します。これらのアクセス許可は、AWS IoT Greengrass がコアデバイスに接続するクライアントデバイスを検証できるようにするために必要です。詳細については、「ローカル IoT デバイスとやり取りする」を参照してください。 -
lambda- AWS Lambda 関数に関する情報を取得します。このアクセス許可は、AWS IoT Greengrass V1 がLambda 関数を Greengrass コアにデプロイできるようにするために必要です。詳細については、「AWS IoT Greengrass V1 デベロッパーガイド」の「AWS IoT Greengrass コアの Lambda 関数の実行」を参照してください。 -
secretsmanager- 名前がgreengrass-で始まる AWS Secrets Manager シークレットの値を取得します。このアクセス許可は、AWS IoT Greengrass V1 が Secrets Manager シークレットを Greengrass コアにデプロイできるようにするために必要です。詳細については、[AWS IoT Greengrass V1 Developer Guide] (デベロッパーガイド) の[Deploy secrets to the AWS IoT Greengrass core] (Core にシークレットをデプロイする) を参照してください。 -
s3- 名前にgreengrassまたはsagemakerが含まれる S3 バケットからファイルオブジェクトを取得します。これらのアクセス許可は、S3 バケットに保存する機械学習リソースを AWS IoT Greengrass V1 がデプロイできるようにするために必要です。詳細については、「AWS IoT Greengrass V1 デベロッパーガイド」の「機械学習リソース」を参照してください。 -
sagemaker- Amazon SageMaker 機械学習推論モデルに関する情報を取得します。このアクセス許可は、AWS IoT Greengrass V1 が ML モデルを Greengrass コアにデプロイできるようにするために必要です。詳細については、「AWS IoT Greengrass V1 デベロッパーガイド」の「[Perform machine learning inference] (機械学習の推論を実行する)」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGreengrassAccessToShadows", "Action": [ "iot:DeleteThingShadow", "iot:GetThingShadow", "iot:UpdateThingShadow" ], "Effect": "Allow", "Resource": [ "arn:aws:iot:*:*:thing/GG_*", "arn:aws:iot:*:*:thing/*-gcm", "arn:aws:iot:*:*:thing/*-gda", "arn:aws:iot:*:*:thing/*-gci" ] }, { "Sid": "AllowGreengrassToDescribeThings", "Action": [ "iot:DescribeThing" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:thing/*" }, { "Sid": "AllowGreengrassToDescribeCertificates", "Action": [ "iot:DescribeCertificate" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:cert/*" }, { "Sid": "AllowGreengrassToCallGreengrassServices", "Action": [ "greengrass:*" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetLambdaFunctions", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetGreengrassSecrets", "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*" }, { "Sid": "AllowGreengrassAccessToS3Objects", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::*Greengrass*", "arn:aws:s3:::*GreenGrass*", "arn:aws:s3:::*greengrass*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowGreengrassAccessToS3BucketLocation", "Action": [ "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs", "Action": [ "sagemaker:DescribeTrainingJob" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:*:*:training-job/*" ] } ] }
AWS IoT Greengrass マネージドポリシーの AWS 更新
このサービスがこれらの変更の追跡を開始した時点から、AWS IoT Greengrass の AWS のマネージドポリシーの更新に関する詳細を表示できます。このページの変更に関する自動通知については、AWS IoT Greengrass V2 ドキュメントの履歴ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AWS IoT Greengrass は変更の追跡を開始しました |
AWS IoT Greengrass が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 7 月 2 日 |
