IAM IoT ポリシー
AWS Identity and Access Management では、コントロールプレーン API やデータプレーン API など、AWS IoT によって定義されている各オペレーションのポリシーアクションを定義します。
AWS IoT API のアクセス権限
以下の表で、AWS IoT API、必要な IAM アクセス権限、リソース API の操作を示します。
| API | 必要なアクセス権限 (ポリシーアクション) | リソース |
|---|---|---|
| AcceptCertificateTransfer | iot:AcceptCertificateTransfer |
arn:aws:iot: 注記 ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。 |
| AddLoggingRole | iot:AddLoggingRole | なし |
| AddThingToThingGroup | iot:AddThingToThingGroup |
arn:aws:iot: arn:aws:iot: |
| AssociateTargetsWithJob | iot:AssociateTargetsWithJob | なし |
| AttachPolicy | iot:AttachPolicy |
arn:aws:iot: または arn:aws:iot: |
| AttachPrincipalPolicy | iot:AttachPrincipalPolicy |
arn:aws:iot: |
| AttachThingPrincipal | iot:AttachThingPrincipal |
arn:aws:iot: |
| CancelCertificateTransfer | iot:CancelCertificateTransfer |
arn:aws:iot: 注記 ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。 |
| CancelJob | iot:CancelJob |
arn:aws:iot: |
| CancelJobExecution | iot:CancelJobExecution |
arn:aws:iot: arn:aws:iot: |
| ClearDefaultAuthorizer | iot:ClearDefaultAuthorizer | なし |
| CreateAuthorizer | iot:CreateAuthorizer |
arn:aws:iot: |
| CreateCertificateFromCsr | iot:CreateCertificateFromCsr | * |
| CreateJob | iot:CreateJob |
arn:aws:iot: |
| CreateKeysAndCertificate | iot:CreateKeysAndCertificate | * |
| CreateMessageSchema | iot:CreateMessageSchema | なし |
| CreatePolicy | iot:CreatePolicy | * |
| CreatePolicyVersion | iot:CreatePolicyVersion |
arn:aws:iot: 注記 これは、IAM ポリシーではなく、AWS IoT ポリシーである必要があります。 |
| CreateRoleAlias | iot:CreateRoleAlias |
(パラメータ :roleAlias) arn:aws:iot: |
| CreateThing | iot:CreateThing |
arn:aws:iot: |
| CreateThingGroup | iot:CreateThingGroup |
arn:aws:iot: 作成されているグループと親グループ用、使用されている場合 |
| CreateThingType | iot:CreateThingType |
arn:aws:iot: |
| CreateTopicRule | iot:CreateTopicRule |
arn:aws:iot: |
| DeleteAuthorizer | iot:DeleteAuthorizer |
arn:aws:iot: |
| DeleteCACertificate | iot:DeleteCACertificate |
arn:aws:iot: |
| DeleteCertificate | iot:DeleteCertificate |
arn:aws:iot: |
| DeleteJob | iot:DeleteJob |
|
| DeleteJobExecution | iot:DeleteJobExecution |
|
| DeleteLoggingLevel | iot:DeleteLoggingLevel |
arn:aws:iot: |
| DeleteLoggingRole | iot:DeleteLoggingRole | なし |
| DeleteMessageSchema | iot:DeleteMessageSchema | なし |
| DeletePolicy | iot:DeletePolicy |
arn:aws:iot: |
| DeletePolicyVersion | iot:DeletePolicyVersion |
arn:aws:iot: |
| DeleteRegistrationCode | iot:DeleteRegistrationCode | * |
| DeleteRoleAlias | iot:DeleteRoleAlias |
arn:aws:iot: |
| DeleteThing | iot:DeleteThing |
arn:aws:iot: |
| DeleteThingGroup | iot:DeleteThingGroup |
arn:aws:iot: |
| DeleteThingType | iot:DeleteThingType |
arn:aws:iot: |
| DeleteTopicRule | iot:DeleteTopicRule |
arn:aws:iot: |
| DeleteV2LoggingLevel | iot:DeleteV2LoggingLevel |
arn:aws:iot: |
| DeprecateThingType | iot:DeprecateThingType |
arn:aws:iot: |
| DescribeAuthorizer | iot:DescribeAuthorizer |
arn:aws:iot: (パラメータ :authorizerName) なし |
| DescribeCACertificate | iot:DescribeCACertificate |
arn:aws:iot: |
| DescribeCertificates | iot:DescribeCertificate |
arn:aws:iot: |
| DescribeDefaultAuthorizer | iot:DescribeDefaultAuthorizer | なし |
| DescribeEndpoint | iot:DescribeEndpoint | * |
| DescribeEventConfigurations | iot:DescribeEventConfigurations | なし |
| DescribeIndex | iot:DescribeIndex |
arn:aws:iot: |
| DescribeJob | iot:DescribeJob |
arn:aws:iot: |
| DescribeJobExecution | iot:DescribeJobExecution | なし |
| DescribeRoleAlias | iot:DescribeRoleAlias |
arn:aws:iot: |
| DescribeThing | iot:DescribeThing |
arn:aws:iot: |
| DescribeThingGroup | iot:DescribeThingGroup |
arn:aws:iot: |
| DescribeThingRegistrationTask | iot:DescribeThingRegistrationTask | なし |
| DescribeThingType | iot:DescribeThingType |
arn:aws:iot: |
| DetachPolicy | iot:DetachPolicy |
arn:aws:iot: または arn:aws:iot: |
| DetachPrincipalPolicy | iot:DetachPrincipalPolicy |
arn:aws:iot: |
| DetachThingPrincipal | iot:DetachThingPrincipal |
arn:aws:iot: |
| DisableTopicRule | iot:DisableTopicRule |
arn:aws:iot: |
| EnableTopicRule | iot:EnableTopicRule |
arn:aws:iot: |
| GetEffectivePolicies | iot:GetEffectivePolicies |
arn:aws:iot: |
| GetIndexingConfiguration | iot:GetIndexingConfiguration | なし |
| GetJobDocument | iot:GetJobDocument |
arn:aws:iot: |
| GetLoggingOptions | iot:GetLoggingOptions | * |
| GetLoggingOptionsV2 | iot:GetLoggingOptionsV2 | なし |
| GetLoggingRole | iot:GetLoggingRole | なし |
| GetMessageSchema | iot:GetMessageSchema | なし |
| GetPolicy | iot:GetPolicy |
arn:aws:iot: |
| GetPolicyVersion | iot:GetPolicyVersion |
arn:aws:iot: |
| GetRegistrationCode | iot:GetRegistrationCode | * |
| GetTopicRule | iot:GetTopicRule |
arn:aws:iot: |
| GetV2LoggingOptions | iot:GetV2LoggingOptions | なし |
| ListAttachedPolicies | iot:ListAttachedPolicies |
arn:aws:iot: または arn:aws:iot: |
| ListAuthorizers | iot:ListAuthorizers | なし |
| ListCACertificates | iot:ListCACertificates | * |
| ListCertificates | iot:ListCertificates | * |
| ListCertificatesByCA | iot:ListCertificatesByCA | * |
| ListIndices | iot:ListIndices | なし |
| ListJobExecutionsForJob | iot:ListJobExecutionsForJob | なし |
| ListJobExecutionsForThing | iot:ListJobExecutionsForThing | なし |
| ListJobs | iot:ListJobs |
arn:aws:iot: thingGroupName パラメータが使用される場合 |
| ListLoggingLevels | iot:ListLoggingLevels | なし |
| ListMessageSchemas | iot:ListMessageSchemas | なし |
| ListOutgoingCertificates | iot:ListOutgoingCertificates | * |
| ListPolicies | iot:ListPolicies | * |
| ListPolicyPrincipals | iot:ListPolicyPrincipals |
arn:aws:iot: |
| ListPolicyVersions | iot:ListPolicyVersions |
arn:aws:iot: |
| ListPrincipalPolicies | iot:ListPrincipalPolicies |
arn:aws:iot: |
| ListPrincipalThings | iot:ListPrincipalThings |
arn:aws:iot: |
| ListRoleAliases | iot:ListRoleAliases | なし |
| ListTargetsForPolicy | iot:ListTargetsForPolicy |
arn:aws:iot: |
| ListThingGroups | iot:ListThingGroups | なし |
| ListThingGroupsForThing | iot:ListThingGroupsForThing |
arn:aws:iot: |
| ListThingPrincipals | iot:ListThingPrincipals |
arn:aws:iot: |
| ListThingRegistrationTaskReports | iot:ListThingRegistrationTaskReports | なし |
| ListThingRegistrationTasks | iot:ListThingRegistrationTasks | なし |
| ListThingTypes | iot:ListThingTypes | * |
| ListThings | iot:ListThings | * |
| ListThingsInThingGroup | iot:ListThingsInThingGroup |
arn:aws:iot: |
| ListTopicRules | iot:ListTopicRules | * |
| ListV2LoggingLevels | iot:ListV2LoggingLevels | なし |
| RegisterCACertificate | iot:RegisterCACertificate | * |
| RegisterCertificate | iot:RegisterCertificate | * |
| RegisterThing | iot:RegisterThing | なし |
| RejectCertificateTransfer | iot:RejectCertificateTransfer |
arn:aws:iot: |
| RemoveThingFromThingGroup | iot:RemoveThingFromThingGroup |
arn:aws:iot: arn:aws:iot: |
| ReplaceTopicRule | iot:ReplaceTopicRule |
arn:aws:iot: |
| SearchIndex | iot:SearchIndex |
arn:aws:iot: |
| SetDefaultAuthorizer | iot:SetDefaultAuthorizer |
arn:aws:iot: |
| SetDefaultPolicyVersion | iot:SetDefaultPolicyVersion |
arn:aws:iot: |
| SetLoggingLevel | iot:SetLoggingLevel | なし |
| SetLoggingOptions | iot:SetLoggingOptions |
arn:aws:iot: |
| SetLoggingOptionsV2 | iot:SetLoggingOptionsV2 |
arn:aws:iot: |
| SetV2LoggingLevel | iot:SetV2LoggingLevel |
arn:aws:iot: |
| SetV2LoggingOptions | iot:SetV2LoggingOptions |
arn:aws:iot: |
| StartThingRegistrationTask | iot:StartThingRegistrationTask | なし |
| StopThingRegistrationTask | iot:StopThingRegistrationTask | なし |
| TestAuthorization | iot:TestAuthorization |
arn:aws:iot: |
| TestInvokeAuthorizer | iot:TestInvokeAuthorizer | なし |
| TransferCertificate | iot:TransferCertificate |
arn:aws:iot: |
| UpdateAuthorizer | iot:UpdateAuthorizer |
arn:aws:iot: |
| UpdateCACertificate | iot:UpdateCACertificate |
arn:aws:iot: |
| UpdateCertificate | iot:UpdateCertificate |
arn:aws:iot: |
| UpdateEventConfigurations | iot:UpdateEventConfigurations | なし |
| UpdateIndexingConfiguration | iot:UpdateIndexingConfiguration | なし |
| UpdateMessageSchema | iot:UpdateMessageSchema | なし |
| UpdateRoleAlias | iot:UpdateRoleAlias |
arn:aws:iot: |
| UpdateThing | iot:UpdateThing |
arn:aws:iot: |
| UpdateThingGroup | iot:UpdateThingGroup |
arn:aws:iot: |
| UpdateThingGroupsForThing | iot:UpdateThingGroupsForThing |
arn:aws:iot: |
IAM ポリシーテンプレート
AWS IoT には、一連の IAM ポリシーテンプレートが用意されており、そのまま使用することも、カスタム IAM ポリシーを作成するためのひな形としても使用できます。これらのテンプレートでは、設定およびデータオペレーションへのアクセスを許可します。設定オペレーションでは、モノ、証明書、ポリシー、ルールを作成できます。データオペレーションでは、MQTT または HTTP プロトコルを介してデータを送信します。以下の表では、これらのテンプレートについて説明しています。
| ポリシーテンプレート | 説明 |
|---|---|
| AWSIotLogging |
関連付けられた ID が CloudWatch ログを設定できるようにします。このポリシーは CloudWatch ログ記録用のロールにアタッチされます。 |
| AWSIoTConfigAccess | 関連付けられた ID がすべての AWS IoT 設定オペレーションにアクセスできるようにします。このポリシーは、データの処理とストレージに影響を与える可能性があります。 |
| AWSIoTConfigReadOnlyAccess | 関連付けられた ID が読み取り専用設定オペレーションを呼び出せるようにします。 |
| AWSIoTDataAccess | 関連付けられた ID にすべての AWS IoT データオペレーションへのフルアクセスを許可します。データオペレーションでは、MQTT または HTTP プロトコルを介してデータを送信します。 |
| AWSIoTFullAccess | 関連付けられた ID にすべての AWS IoT 設定およびデータオペレーションへのフルアクセスを許可します。 |
|
AWSIoTOTAUpdate |
関連付けられた ID に、AWS IoT の作成ジョブと AWS IoT のコード署名ジョブへのアクセスを許可します。 |
| AWSIoTRuleActions | 関連付けられた ID が AWS IoT ルールのアクションでサポートされているすべての AWS サービスにアクセスできるようにします。 |
| AWSIoTThingsRegistration | StartThingRegistrationTask を使用して、関連付けられた ID がモノを一括登録することを許可します。このポリシーは、データの処理とストレージに影響を与える可能性があります。 |
