コンソールにサインインする
AWS IoT
開発者ガイド

AWS ドキュメント » AWS IoT » 開発者ガイド » AWS IoT のセキュリティと ID » 承認 » IAM IoT ポリシー

IAM IoT ポリシー

AWS Identity and Access Management では、コントロールプレーン API やデータプレーン API など、AWS IoT によって定義されている各オペレーションのポリシーアクションを定義します。

AWS IoTAPI アクセス許可

以下の表で、AWS IoT API、必要な IAM アクセス許可、リソース API の操作を示します。

API 必要なアクセス許可 (ポリシーアクション) リソース
AcceptCertificateTransfer iot:AcceptCertificateTransfer

arn:aws:iot:region:account-id:cert/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。
AddThingToThingGroup iot:AddThingToThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

arn:aws:iot:region:account-id:thing/thing-name

AssociateTargetsWithJob iot:AssociateTargetsWithJob なし
AttachPolicy iot:AttachPolicy

arn:aws:iot:region:account-id:thinggroup/thing-group-name

または

arn:aws:iot:region:account-id:cert/cert-id

AttachPrincipalPolicy iot:AttachPrincipalPolicy

arn:aws:iot:region:account-id:cert/cert-id

AttachThingPrincipal iot:AttachThingPrincipal

arn:aws:iot:region:account-id:cert/cert-id

CancelCertificateTransfer iot:CancelCertificateTransfer

arn:aws:iot:region:account-id:cert/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。
CancelJob iot:CancelJob

arn:aws:iot:region:account-id:job/job-id

CancelJobExecution iot:CancelJobExecution

arn:aws:iot:region:account-id:job/job-id

arn:aws:iot:region:account-id:thing/thing-name

ClearDefaultAuthorizer iot:ClearDefaultAuthorizer なし
CreateAuthorizer iot:CreateAuthorizer

arn:aws:iot:region:account-id:authorizer/authorizer-function-name

CreateCertificateFromCsr iot:CreateCertificateFromCsr *
CreateJob iot:CreateJob

arn:aws:iot:region:account-id:job/job-id

CreateKeysAndCertificate iot:CreateKeysAndCertificate *
CreatePolicy iot:CreatePolicy *
CreatePolicyVersion iot:CreatePolicyVersion

arn:aws:iot:region:account-id:policy/policy-name

注記

これは、AWS IoT ポリシーではなく、IAM ポリシーである必要があります。
CreateRoleAlias iot:CreateRoleAlias

(パラメータ: roleAlias)

arn:aws:iot:region:account-id:rolealias/role-alias-name

CreateThing iot:CreateThing

arn:aws:iot:region:account-id:thing/thing-name

CreateThingGroup iot:CreateThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

作成されているグループと親グループ用、使用されている場合
CreateThingType iot:CreateThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

CreateTopicRule iot:CreateTopicRule

arn:aws:iot:region:account-id:rule/rule-name

DeleteAuthorizer iot:DeleteAuthorizer

arn:aws:iot:region:account-id:authorizer/authorizer-name

DeleteCACertificate iot:DeleteCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

DeleteCertificate iot:DeleteCertificate

arn:aws:iot:region:account-id:cert/cert-id

DeleteJob iot:DeleteJob

arn:aws:iot:region:account-id:job/job-id
DeleteJobExecution iot:DeleteJobExecution

arn:aws:iot:region:account-id:job/job-id

arn:aws:iot:region:account-id:thing/thing-name
DeletePolicy iot:DeletePolicy

arn:aws:iot:region:account-id:policy/policy-name

DeletePolicyVersion iot:DeletePolicyVersion

arn:aws:iot:region:account-id:policy/policy-name

DeleteRegistrationCode iot:DeleteRegistrationCode *
DeleteRoleAlias iot:DeleteRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

DeleteThing iot:DeleteThing

arn:aws:iot:region:account-id:thing/thing-name

DeleteThingGroup iot:DeleteThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

DeleteThingType iot:DeleteThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

DeleteTopicRule iot:DeleteTopicRule

arn:aws:iot:region:account-id:rule/rule-name

DeleteV2LoggingLevel iot:DeleteV2LoggingLevel

arn:aws:iot:region:account-id:thinggroup/thing-group-name

DeprecateThingType iot:DeprecateThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

DescribeAuthorizer iot:DescribeAuthorizer

arn:aws:iot:region:account-id:authorizer/authorizer-function-name

(パラメータ: authorizerName)

なし
DescribeCACertificate iot:DescribeCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

DescribeCertificate iot:DescribeCertificate

arn:aws:iot:region:account-id:cert/cert-id

DescribeDefaultAuthorizer iot:DescribeDefaultAuthorizer なし
DescribeEndpoint iot:DescribeEndpoint *
DescribeEventConfigurations iot:DescribeEventConfigurations なし
DescribeIndex iot:DescribeIndex

>arn:aws:iot:region:account-id:index/index-name

DescribeJob iot:DescribeJob

arn:aws:iot:region:account-id:job/job-id

DescribeJobExecution iot:DescribeJobExecution なし
DescribeRoleAlias iot:DescribeRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

DescribeThing iot:DescribeThing

arn:aws:iot:region:account-id:thing/thing-name

DescribeThingGroup iot:DescribeThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

DescribeThingRegistrationTask iot:DescribeThingRegistrationTask なし
DescribeThingType iot:DescribeThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

DetachPolicy iot:DetachPolicy

arn:aws:iot:region:account-id:cert/cert-id

または

arn:aws:iot:region:account-id:thinggroup/thing-group-name

DetachPrincipalPolicy iot:DetachPrincipalPolicy

arn:aws:iot:region:account-id:cert/cert-id

DetachThingPrincipal iot:DetachThingPrincipal

arn:aws:iot:region:account-id:cert/cert-id

DisableTopicRule iot:DisableTopicRule

arn:aws:iot:region:account-id:rule/rule-name

EnableTopicRule iot:EnableTopicRule

arn:aws:iot:region:account-id:rule/rule-name

GetEffectivePolicies iot:GetEffectivePolicies

arn:aws:iot:region:account-id:cert/cert-id

GetIndexingConfiguration iot:GetIndexingConfiguration なし
GetJobDocument iot:GetJobDocument

arn:aws:iot:region:account-id:job/job-id

GetLoggingOptions iot:GetLoggingOptions *
GetPolicy iot:GetPolicy

arn:aws:iot:region:account-id:policy/policy-name

GetPolicyVersion iot:GetPolicyVersion

arn:aws:iot:region:account-id:policy/policy-name

GetRegistrationCode iot:GetRegistrationCode *
GetTopicRule iot:GetTopicRule

arn:aws:iot:region:account-id:rule/rule-name

ListAttachedPolicies iot:ListAttachedPolicies

arn:aws:iot:region:account-id:thinggroup/thing-group-name

または

arn:aws:iot:region:account-id:cert/cert-id

ListAuthorizers iot:ListAuthorizers なし
ListCACertificates iot:ListCACertificates *
ListCertificates iot:ListCertificates *
ListCertificatesByCA iot:ListCertificatesByCA *
ListIndices iot:ListIndices なし
ListJobExecutionsForJob iot:ListJobExecutionsForJob なし
ListJobExecutionsForThing iot:ListJobExecutionsForThing なし
ListJobs iot:ListJobs

arn:aws:iot:region:account-id:thinggroup/thing-group-name

thingGroupName パラメータが使用されている場合。

ListOutgoingCertificates iot:ListOutgoingCertificates *
ListPolicies iot:ListPolicies *
ListPolicyPrincipals iot:ListPolicyPrincipals

arn:aws:iot:region:account-id:policy/policy-name

ListPolicyVersions iot:ListPolicyVersions

arn:aws:iot:region:account-id:policy/policy-name

ListPrincipalPolicies iot:ListPrincipalPolicies

arn:aws:iot:region:account-id:cert/cert-id

ListPrincipalThings iot:ListPrincipalThings

arn:aws:iot:region:account-id:cert/cert-id

ListRoleAliases iot:ListRoleAliases なし
ListTargetsForPolicy iot:ListTargetsForPolicy

arn:aws:iot:region:account-id:policy/policy-name

ListThingGroups iot:ListThingGroups なし
ListThingGroupsForThing iot:ListThingGroupsForThing

arn:aws:iot:region:account-id:thing/thing-name

ListThingPrincipals iot:ListThingPrincipals

arn:aws:iot:region:account-id:thing/thing-name

ListThingRegistrationTaskReports iot:ListThingRegistrationTaskReports なし
ListThingRegistrationTasks iot:ListThingRegistrationTasks なし
ListThingTypes iot:ListThingTypes *
ListThings iot:ListThings *
ListThingsInThingGroup iot:ListThingsInThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

ListTopicRules iot:ListTopicRules *
ListV2LoggingLevels iot:ListV2LoggingLevels なし
RegisterCACertificate iot:RegisterCACertificate *
RegisterCertificate iot:RegisterCertificate *
RegisterThing iot:RegisterThing なし
RejectCertificateTransfer iot:RejectCertificateTransfer

arn:aws:iot:region:account-id:cert/cert-id

RemoveThingFromThingGroup iot:RemoveThingFromThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

arn:aws:iot:region:account-id:thing/thing-name

ReplaceTopicRule iot:ReplaceTopicRule

arn:aws:iot:region:account-id:rule/rule-name

SearchIndex iot:SearchIndex

arn:aws:iot:region:account-id:index/index-id

SetDefaultAuthorizer iot:SetDefaultAuthorizer

arn:aws:iot:region:account-id:authorizer/authorizer-function-name

SetDefaultPolicyVersion iot:SetDefaultPolicyVersion

arn:aws:iot:region:account-id:policy/policy-name

SetLoggingOptions iot:SetLoggingOptions

arn:aws:iot:region:account-id:role/role-name

SetV2LoggingLevel iot:SetV2LoggingLevel

arn:aws:iot:region:account-id:thinggroup/thing-group-name

SetV2LoggingOptions iot:SetV2LoggingOptions

arn:aws:iot:region:account-id:role/role-name

StartThingRegistrationTask iot:StartThingRegistrationTask なし
StopThingRegistrationTask iot:StopThingRegistrationTask なし
TestAuthorization iot:TestAuthorization

arn:aws:iot:region:account-id:cert/cert-id

TestInvokeAuthorizer iot:TestInvokeAuthorizer なし
TransferCertificate iot:TransferCertificate

arn:aws:iot:region:account-id:cert/cert-id

UpdateAuthorizer iot:UpdateAuthorizer

arn:aws:iot:region:account-id:authorizerfunction/authorizer-function-name

UpdateCACertificate iot:UpdateCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

UpdateCertificate iot:UpdateCertificate

arn:aws:iot:region:account-id:cert/cert-id

UpdateEventConfigurations iot:UpdateEventConfigurations なし
UpdateIndexingConfiguration iot:UpdateIndexingConfiguration なし
UpdateRoleAlias iot:UpdateRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

UpdateThing iot:UpdateThing

arn:aws:iot:region:account-id:thing/thing-name

UpdateThingGroup iot:UpdateThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

UpdateThingGroupsForThing iot:UpdateThingGroupsForThing

arn:aws:iot:region:account-id:thing/thing-name

IAM 管理ポリシー

AWS IoT には、そのまま使用することも、IAM カスタムポリシーを作成するための開始点として使用できる IAM ポリシーテンプレートが用意されています。これらのテンプレートでは、設定およびデータオペレーションへのアクセスを許可します。設定オペレーションでは、モノ、証明書、ポリシー、ルールを作成できます。データオペレーションでは、MQTT または HTTP プロトコルを介してデータを送信します。以下の表では、これらのテンプレートについて説明しています。

ポリシーテンプレート 説明
AWSIotLogging

関連付けられた ID が CloudWatch ログを設定できるようにします。このポリシーは CloudWatch ログ記録用のロールにアタッチされます。
AWSIoTConfigAccess 関連付けられた ID がすべての AWS IoT 設定オペレーションにアクセスできるようにします。このポリシーは、データの処理とストレージに影響を与える可能性があります。
AWSIoTConfigReadOnlyAccess 関連付けられた ID が読み取り専用設定オペレーションを呼び出せるようにします。
AWSIoTDataAccess 関連付けられた ID にすべての AWS IoT データオペレーションへのフルアクセスを許可します。データオペレーションでは、MQTT または HTTP プロトコルを介してデータを送信します。
AWSIoTFullAccess 関連付けられた ID にすべての AWS IoT 設定およびメッセージングオペレーションへのフルアクセスを許可します。
AWSIotLogging

関連付けられた ID に Amazon CloudWatch Logs グループと、グループへの strean ログの作成を許可します。このポリシーは CloudWatch ログ記録用のロールにアタッチされます。

AWSIoTOTAUpdate

関連付けられた ID に、AWS IoT ジョブと AWS IoT コード署名ジョブの作成のアクセスを許可します。
AWSIoTRuleActions 関連付けられた ID が AWS IoT ルールのアクションでサポートされているすべての AWS サービスにアクセスできるようにします。
AWSIoTThingsRegistration StartThingRegistrationTask API を使用して、関連付けられた ID がモノを一括登録することを許可します。このポリシーは、データの処理とストレージに影響を与える可能性があります。