翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Authorization
認可とは、認証された ID にアクセス許可を付与するプロセスです。AWS IoT Coreおよび IAM ポリシーAWS IoT Coreを使用して、 でアクセス許可を付与します。このトピックでは、AWS IoT Core ポリシーについて説明します。IAM ポリシーの詳細については、の ID とアクセスの管理AWS IoT および が IAM とAWS IoT連携する方法 を参照してください。
AWS IoT Coreポリシーは、認証された ID ができることを決定します。認証済みの ID は、デバイス、モバイルアプリケーション、ウェブアプリケーション、デスクトップアプリケーションで使用されます。認証された ID は、AWS IoT CoreCLI コマンドを入力するユーザーでもかまいません。ID は、それらのAWS IoT Coreオペレーションのアクセス許可を付与するポリシーがある場合にのみ、オペレーションを実行できます。
AWS IoT Coreポリシーと IAM ポリシーはどちらも、アイデンティティ (プリンシパルとも呼ばれる) が実行できるオペレーションを制御するAWS IoT Coreために とともに使用されます。使用するポリシータイプは、認証に使用する ID のタイプによって異なりますAWS IoT Core。
AWS IoT Coreオペレーションは 2 つのグループに分けられます。
-
コントロールプレーン API では、証明書、モノ、ルールなどの作成または更新などの管理タスクを行うことができます。
-
データプレーン API を使用すると、 との間でデータを送受信できますAWS IoT Core。
使用するポリシーのタイプは、コントロールプレーン API とデータプレーン API のどちらを使用しているかによって異なります。
次の表に、ID タイプ、使用しているプロトコル、認可時に使用することのできるポリシータイプを示します。
| プロトコルと認証メカニズム | SDK | ID のタイプ | ポリシータイプ |
|---|---|---|---|
| TLS/TCP を介した MQTT、TLS 相互認証 (ポート 8883 または 443)†) | AWS IoTデバイス SDK | X.509 証明書 | AWS IoT Coreポリシー |
| MQTT over HTTPS/WebSocket、AWSSigV4 認証 (ポート 443) | AWSモバイル SDK | 認証された Amazon Cognito ID | IAM および AWS IoT Coreポリシー |
| 認証されていない Amazon Cognito ID | IAM ポリシー | ||
| IAM、またはフェデレーテッド ID | IAM ポリシー | ||
| HTTPS、AWS署名バージョン 4 認証 (ポート 443) | AWS CLI | Amazon Cognito、IAM、またはフェデレーテッド ID | IAM ポリシー |
| HTTPS、TLS 相互認証 (ポート 8443) | SDK はサポートしていません | X.509 証明書 | AWS IoT Coreポリシー |
| カスタム認証を介した HTTPS (ポート 443) | AWS IoTデバイス SDK | カスタムオーソライザー | カスタムオーソライザーポリシー |
| プロトコルと認証メカニズム | SDK | ID のタイプ | ポリシータイプ |
|---|---|---|---|
| HTTPS AWS署名バージョン 4 認証 (ポート 443) | AWS CLI | Amazon Cognito ID | IAM ポリシー |
| IAM、またはフェデレーテッド ID | IAM ポリシー |
AWS IoT Coreポリシーは、X.509 証明書、Amazon Cognito ID、またはモノのグループにアタッチされます。IAM ポリシーは、IAM ユーザー、グループ、ロールにアタッチされます。AWS IoTコンソールまたは CLI AWS IoT Coreを使用して (証明書、Amazon Cognito Identity、またはモノのグループに) ポリシーをアタッチする場合は、 AWS IoT Coreポリシーを使用します。それ以外の場合は、モノのグループにアタッチされた IAM policy.AWS IoT Corepolicies が、そのモノのグループ内のすべてのモノに適用されます。AWS IoT Coreポリシーを有効にするには、 clientIdとモノの名前が一致している必要があります。
ポリシーベースの権限付与は強力なツールになります。これにより、デバイス、ユーザー、アプリケーションが AWS IoT Core でできることを完全に制御できます。たとえば、証明書AWS IoT Coreを使用して に接続するデバイスを考えてみましょう。この場合、デバイスを使用して、すべての MQTT トピックへのアクセスを許可するか、1 つのトピックにアクセスを制限できます。または、コマンドラインで CLI コマンドを入力することもできます。ポリシーを使用すると、ユーザーの任意のコマンドまたはAWS IoT Coreリソースへのアクセスを許可または拒否できます。また、AWS IoT Core リソースへのアプリケーションのアクセスを制御することもできます。
AWS IoT がポリシードキュメントをキャッシュする方法によっては、ポリシーに加えられた変更が有効になるまでに数分かかる場合があります。つまり、最近アクセス権が付与されたリソースにアクセスするには数分かかる場合があり、アクセスが取り消された後、数分間リソースにアクセスできる場合があります。
AWSトレーニングと認定
での認可についてはAWS IoT Core、AWS「トレーニングと認定」ウェブサイトの「認証と認可の詳細AWS IoT Core
