翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API オペレーションが利用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
トピック
AWS マネージドポリシー: AWSGreengrassFullAccess
AWSGreengrassFullAccess ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、プリンシパルにすべての AWS IoT Greengrass アクションへのフルアクセスを許可する管理者権限を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
greengrass– プリンシパルに AWS IoT Greengrass のすべてのアクションへのフルアクセスを許可します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}AWS マネージドポリシー: AWSGreengrassReadOnlyAccess
AWSGreengrassReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。
このポリシーにより、プリンシパルは AWS IoT Greengrassの情報を表示できるが、変更できないようにする読み取り専用のアクセス許可が付与されます。例えば、これらのアクセス許可を持つプリンシパルは、Greengrass コアデバイスにデプロイされたコンポーネントのリストを表示できますが、そのデバイスで実行されるコンポーネントを変更するためのデプロイを作成することはできません。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
greengrass- プリンシパルは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、ListまたはGetで始まる API オペレーションが含まれます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}AWS マネージドポリシー: AWSGreengrassResourceAccessRolePolicy
AWSGreengrassResourceAccessRolePolicy ポリシーを IAM エンティティにアタッチできます。 は、ユーザーに代わって がアクションを実行することを許可するサービスロール AWS IoT Greengrass にもこのポリシー AWS IoT Greengrass をアタッチします。詳細については、「Greengrass サービスロール」を参照してください。
このポリシーは、 が Lambda 関数の取得、 AWS IoT デバイスシャドウの管理、Greengrass クライアントデバイスの検証などの重要なタスク AWS IoT Greengrass を実行できるようにする管理アクセス許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
greengrass- Greengrass リソースを管理します。 -
iot(*Shadow) – AWS IoT 名前に次の特別な識別子を持つシャドウを管理します。これらのアクセス許可は、 AWS IoT Greengrass がコアデバイスと通信できるようにするために必要です。-
*-gci- このシャドウ AWS IoT Greengrass を使用してコアデバイスの接続情報を保存し、クライアントデバイスがコアデバイスを検出して接続できるようにします。 -
*-gcm– このシャドウ AWS IoT Greengrass V1 を使用して、Greengrass グループの認証局 (CA) 証明書がローテーションされたことをコアデバイスに通知します。 -
*-gda– このシャドウ AWS IoT Greengrass V1 を使用して、コアデバイスにデプロイを通知します。 -
GG_*– 未使用。
-
-
iot(DescribeThingおよびDescribeCertificate) – AWS IoT モノと証明書に関する情報を取得します。これらのアクセス許可は、 がコアデバイスに接続するクライアントデバイス AWS IoT Greengrass を検証できるようにするために必要です。詳細については、「ローカル IoT デバイスとやり取りする」を参照してください。 -
lambda– AWS Lambda 関数に関する情報を取得します。このアクセス許可は、 AWS IoT Greengrass V1 が Lambda 関数を Greengrass コアにデプロイできるようにするために必要です。詳細については、「AWS IoT Greengrass V1 デベロッパーガイド」の「AWS IoT Greengrass コアの Lambda 関数の実行」を参照してください。 -
secretsmanager– 名前が で始まる AWS Secrets Manager シークレットの値を取得しますgreengrass-。このアクセス許可は、 AWS IoT Greengrass V1 が Secrets Manager シークレットを Greengrass コアにデプロイできるようにするために必要です。詳細については、「 デベロッパーガイド」の AWS IoT Greengrass 「コアにシークレットをデプロイする」を参照してください。 AWS IoT Greengrass V1 -
s3- 名前にgreengrassまたはsagemakerが含まれる S3 バケットからファイルオブジェクトを取得します。これらのアクセス許可は、 AWS IoT Greengrass V1 が S3 バケットに保存する機械学習リソースをデプロイできるようにするために必要です。詳細については、「AWS IoT Greengrass V1 デベロッパーガイド」の「機械学習リソース」を参照してください。 -
sagemaker– Amazon SageMaker AI 機械学習推論モデルに関する情報を取得します。このアクセス許可は、 AWS IoT Greengrass V1 が ML モデルを Greengrass コアにデプロイできるようにするために必要です。詳細については、「AWS IoT Greengrass V1 デベロッパーガイド」の「[Perform machine learning inference] (機械学習の推論を実行する)」を参照してください。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}AWS IoT GreengrassAWS 管理ポリシーの更新
の AWS マネージドポリシーの更新に関する詳細は、このサービスがこれらの変更の追跡を開始した時点 AWS IoT Greengrass から確認できます。このページの変更に関する自動通知については、AWS IoT Greengrass V2 ドキュメントの履歴ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AWS IoT Greengrass が変更の追跡を開始しました |
AWS IoT Greengrass が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 7 月 2 日 |
