翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS IoT SiteWise ID ベースのポリシー
IAM ポリシーを使用すると、 で誰が何をできるかを制御できます AWS IoT SiteWise。どのアクションを許可するかしないかを決定し、これらのアクションに特定の条件を設定できます。例えば、 で情報を表示または変更できるユーザーに関するルールを作成できます AWS IoT SiteWise。 は、特定のアクション、リソース、および条件キー AWS IoT SiteWise をサポートします。JSON ポリシーで使用するすべての要素については、「 ユーザーガイド」の「 IAMJSONポリシー要素リファレンスIAM」を参照してください。
ポリシーアクション
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
JSON ポリシーの Action
要素は、ポリシーでアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS APIオペレーションと同じです。一致するAPIオペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。
このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。
のポリシーアクションは、アクションの前にプレフィックス AWS IoT SiteWise を使用しますiotsitewise:
。例えば、 BatchPutAssetPropertyValue
APIオペレーション AWS IoT SiteWise を使用して にアセットプロパティデータをアップロードするアクセス許可を付与するには、ポリシーに iotsitewise:BatchPutAssetPropertyValue
アクションを含めます。ポリシーステートメントには、 Action
または NotAction
element. AWS IoT SiteWise defines のいずれかを含める必要があります。このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数の アクションを指定するには、次のようにコンマで区切ります。
"Action": [ "iotsitewise:
action1
", "iotsitewise:action2
" ]
ワイルドカード *を使用して複数のアクションを指定することができます。例えば、Describe
という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
"Action": "iotsitewise:Describe*"
AWS IoT SiteWise アクションのリストを確認するには、「 ユーザーガイド」の「 で定義されるアクション AWS IoT SiteWiseIAM」を参照してください。
BatchPutAssetPropertyValue 認証
AWS IoT SiteWise は、異常な方法でBatchPutAssetPropertyValueアクションへのアクセスを許可します。ほとんどのアクションでは、アクセスを許可または拒否すると、アクセス許可が付与されていない場合、そのアクションはエラーを返します。ではBatchPutAssetPropertyValue
、1 回のAPIリクエストで複数のデータ入力を異なるアセットやアセットプロパティに送信できます。 AWS IoT SiteWise は各データ入力を個別に承認します。リクエストで認証に失敗した個々のエントリの場合、 はエラーの返されたリストAccessDeniedException
に AWS IoT SiteWise を含めます。 は、同じリクエスト内の別のエントリが失敗した場合でも、 が許可および成功するすべてのエントリのデータ AWS IoT SiteWise を受け取ります。
重要
データストリームにデータを取り込む前に、次の操作を行います。
-
プロパティエイリアスを使用してデータストリームを識別する
time-series
場合は、リソースを承認します。 -
アセット ID を使用して、関連付けられたアセットプロパティを含むアセットを識別する場合は、
asset
リソースを承認します。
ポリシーリソース
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Policy Resource
JSON要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource
または NotResource
要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。
"Resource": "*"
各IAMポリシーステートメントは、 を使用して指定したリソースに適用されますARNs。ARN には次の一般的な構文があります。
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
の形式の詳細についてはARNs、「Amazon リソースネーム (ARNs)」および AWS 「サービス名前空間」を参照してください。
例えば、 ステートメントa1b2c3d4-5678-90ab-cdef-22222EXAMPLE
で ID を持つアセットを指定するには、次の を使用しますARN。
"Resource": "arn:aws:iotsitewise:
region
:123456789012
:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
特定のアカウントに属するすべてのデータストリームを指定する場合は、ワイルドカード (*) を使用します。
"Resource": "arn:aws:iotsitewise:
region
:123456789012
:time-series/*"
特定のアカウントに属するすべてのアセットを指定するには、ワイルドカード (*) を使用します。
"Resource": "arn:aws:iotsitewise:
region
:123456789012
:asset/*"
リソースを作成するための AWS IoT SiteWise アクションなど、一部のアクションは、特定のリソースで実行できません。このような場合は、ワイルドカード *を使用する必要があります。
"Resource": "*"
1 つのステートメントで複数のリソースを指定するには、 をカンマARNsで区切ります。
"Resource": [ "
resource1
", "resource2
" ]
AWS IoT SiteWise リソースタイプとその のリストを確認するにはARNs、「 IAMユーザーガイド」の「 で定義されるリソース AWS IoT SiteWise」を参照してください。各リソースARNの を指定できるアクションについては、「 で定義されるアクション AWS IoT SiteWise」を参照してください。
ポリシー条件キー
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。
Condition
要素 (または Condition
ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition
要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の Condition
要素を指定する場合、または 1 つの Condition
要素に複数のキーを指定する場合、 AWS では AND
論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理OR
オペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば、IAMユーザー名でタグ付けされている場合にのみ、リソースにアクセスするアクセス許可をIAMユーザーに付与できます。詳細については、「 ユーザーガイド」のIAM「ポリシー要素: 変数とタグIAM」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、「 ユーザーガイド」のAWS 「 グローバル条件コンテキストキーIAM」を参照してください。
重要
多くの条件キーはリソースに固有であり、一部のAPIアクションでは複数のリソースを使用します。条件キーを使用してポリシーステートメントを作成する場合は、ポリシーステートメントの Resource
要素で、条件キーが適用されるリソースを指定します。指定しない場合、そのポリシーはユーザーに対してすべてのアクションの実行を禁止する可能性があります。これは、条件キーが適用されないリソースに対して条件チェックが失敗するためです。リソースを指定しない場合、またはポリシーの Action
要素に複数のAPIアクションを含めるように書き込んだ場合は、 ...IfExists
条件タイプを使用して、それを使用しないリソースに対して 条件キーが無視されるようにする必要があります。詳細については、「 IAMユーザーガイド」の「...IfExists conditions」を参照してください。
AWS IoT SiteWise は独自の条件キーのセットを定義し、一部のグローバル条件キーの使用もサポートします。すべての AWS グローバル条件キーを確認するには、「 ユーザーガイド」のAWS 「 グローバル条件コンテキストキーIAM」を参照してください。
AWS IoT SiteWise 条件キー | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
条件キー | 説明 | 型 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:isAssociatedWithAssetProperty |
データストリームがアセットプロパティと関連付けられているかどうか。この条件キーを使用して、データストリームの関連するアセットプロパティの存在に基づくアクセス許可を定義することができます。 値の例: |
文字列 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:assetHierarchyPath |
アセットの階層パス。それぞれがスラッシュでIDs区切られたアセットの文字列です。この条件キーを使用して、アカウント内のすべてのアセットの階層のサブセットに基づいたアクセス許可を定義します。 値の例: |
文字列 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:propertyId |
アセットプロパティの ID。この条件キーを使用して、アセットモデルの指定されたプロパティに基づいたアクセス許可を定義します。この条件キーは、そのモデルのすべてのアセットに適用されます。 値の例: |
文字列 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:childAssetId |
別のアセットに子として関連付けられているアセットの ID。この条件キーを使用して、子アセットに基づいたアクセス許可を定義します。親アセットに基づいてアクセス許可を定義するには、ポリシーステートメントのリソースセクションを使用します。 値の例: |
文字列 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:iam |
アクセスポリシーを一覧表示するときの IAM ID ARNの 。この条件キーを使用して、IAMID のアクセスポリシーのアクセス許可を定義します。 値の例: |
文字列、Null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:propertyAlias |
アセットプロパティまたはデータストリームを識別するエイリアス。この条件キーを使用して、エイリアスに基づくアクセス許可を定義します。 |
文字列 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:user |
アクセスポリシーを一覧表示するときの IAM Identity Center ユーザーの ID。この条件キーを使用して、IAMIdentity Center ユーザーのアクセスポリシー許可を定義します。 値の例: |
文字列、Null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:group |
アクセスポリシーを一覧表示するときの IAM Identity Center グループの ID。この条件キーを使用して、IAMIdentity Center グループのアクセスポリシー許可を定義します。 値の例: |
文字列、Null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:portal |
アクセスポリシー内のポータルの ID。この条件キーを使用して、ポータルに基づいたアクセスポリシー許可を定義します。 値の例: |
文字列、Null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:project |
アクセスポリシー内のプロジェクトの ID、またはダッシュボードのプロジェクトの ID。この条件キーを使用して、ポータルに基づいたダッシュボードまたはアクセスポリシー許可を定義します。 値の例: |
文字列、Null |
条件キーを使用できるアクションとリソースについては、「 で定義されるアクション AWS IoT SiteWise」を参照してください。
例
AWS IoT SiteWise アイデンティティベースのポリシーの例を表示するには、「」を参照してくださいAWS IoT SiteWise アイデンティティベースのポリシーの例。