メニュー
AWS IoT
開発者ガイド

IAM IoT ポリシー

AWS Identity and Access Management では、コントロールプレーン API やデータプレーン API など、AWS IoT によって定義されている各オペレーションのポリシーアクションを定義します。

AWS IoT API のアクセス権限

以下の表で、AWS IoT API、必要な IAM アクセス権限、リソース API の操作を示します。

API 必要なアクセス権限 (ポリシーアクション) リソース
AcceptCertificateTransfer iot:AcceptCertificateTransfer

arn:aws:iot:region:account-id:cert/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

AddLoggingRole iot:AddLoggingRole なし
AddThingToThingGroup iot:AddThingToThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

arn:aws:iot:region:account-id:thing/thing-name

AssociateTargetsWithJob iot:AssociateTargetsWithJob なし
AttachPolicy iot:AttachPolicy

arn:aws:iot:region:account-id:thinggroup/thing-group-name

または

arn:aws:iot:region:account-id:cert/cert-id

AttachPrincipalPolicy iot:AttachPrincipalPolicy

arn:aws:iot:region:account-id:cert/cert-id

AttachThingPrincipal iot:AttachThingPrincipal

arn:aws:iot:region:account-id:cert/cert-id

CancelCertificateTransfer iot:CancelCertificateTransfer

arn:aws:iot:region:account-id:cert/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

CancelJob iot:CancelJob

arn:aws:iot:region:account-id:job/job-id

CancelJobExecution iot:CancelJobExecution

arn:aws:iot:region:account-id:job/job-id

arn:aws:iot:region:account-id:thing/thing-name

ClearDefaultAuthorizer iot:ClearDefaultAuthorizer なし
CreateAuthorizer iot:CreateAuthorizer

arn:aws:iot:region:account-id:authorizer/authorizer-function-name

CreateCertificateFromCsr iot:CreateCertificateFromCsr *
CreateJob iot:CreateJob

arn:aws:iot:region:account-id:job/job-id

CreateKeysAndCertificate iot:CreateKeysAndCertificate *
CreateMessageSchema iot:CreateMessageSchema なし
CreatePolicy iot:CreatePolicy *
CreatePolicyVersion iot:CreatePolicyVersion

arn:aws:iot:region:account-id:policy/policy-name

注記

これは、IAM ポリシーではなく、AWS IoT ポリシーである必要があります。

CreateRoleAlias iot:CreateRoleAlias

(パラメータ :roleAlias)

arn:aws:iot:region:account-id:rolealias/role-alias-name

CreateThing iot:CreateThing

arn:aws:iot:region:account-id:thing/thing-name

CreateThingGroup iot:CreateThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

作成されているグループと親グループ用、使用されている場合

CreateThingType iot:CreateThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

CreateTopicRule iot:CreateTopicRule

arn:aws:iot:region:account-id:rule/rule-name

DeleteAuthorizer iot:DeleteAuthorizer

arn:aws:iot:region:account-id:authorizer/authorizer-name

DeleteCACertificate iot:DeleteCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

DeleteCertificate iot:DeleteCertificate

arn:aws:iot:region:account-id:cert/cert-id

DeleteJob iot:DeleteJob

arn:aws:iot:region:account-id:job/job-id

DeleteJobExecution iot:DeleteJobExecution

arn:aws:iot:region:account-id:job/job-id

arn:aws:iot:region:account-id:thing/thing-name

DeleteLoggingLevel iot:DeleteLoggingLevel

arn:aws:iot:region:account-id:thinggroup/thing-group-name

DeleteLoggingRole iot:DeleteLoggingRole なし
DeleteMessageSchema iot:DeleteMessageSchema なし
DeletePolicy iot:DeletePolicy

arn:aws:iot:region:account-id:policy/policy-name

DeletePolicyVersion iot:DeletePolicyVersion

arn:aws:iot:region:account-id:policy/policy-name

DeleteRegistrationCode iot:DeleteRegistrationCode *
DeleteRoleAlias iot:DeleteRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

DeleteThing iot:DeleteThing

arn:aws:iot:region:account-id:thing/thing-name

DeleteThingGroup iot:DeleteThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

DeleteThingType iot:DeleteThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

DeleteTopicRule iot:DeleteTopicRule

arn:aws:iot:region:account-id:rule/rule-name

DeleteV2LoggingLevel iot:DeleteV2LoggingLevel

arn:aws:iot:region:account-id:thinggroup/thing-group-name

DeprecateThingType iot:DeprecateThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

DescribeAuthorizer iot:DescribeAuthorizer

arn:aws:iot:region:account-id:authorizer/authorizer-function-name

(パラメータ :authorizerName)

なし
DescribeCACertificate iot:DescribeCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

DescribeCertificates iot:DescribeCertificate

arn:aws:iot:region:account-id:cert/cert-id

DescribeDefaultAuthorizer iot:DescribeDefaultAuthorizer なし
DescribeEndpoint iot:DescribeEndpoint *
DescribeEventConfigurations iot:DescribeEventConfigurations なし
DescribeIndex iot:DescribeIndex

arn:aws:iot:region:account-id:index/index-name

DescribeJob iot:DescribeJob

arn:aws:iot:region:account-id:job/job-id

DescribeJobExecution iot:DescribeJobExecution なし
DescribeRoleAlias iot:DescribeRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

DescribeThing iot:DescribeThing

arn:aws:iot:region:account-id:thing/thing-name

DescribeThingGroup iot:DescribeThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

DescribeThingRegistrationTask iot:DescribeThingRegistrationTask なし
DescribeThingType iot:DescribeThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

DetachPolicy iot:DetachPolicy

arn:aws:iot:region:account-id:cert/cert-id

または

arn:aws:iot:region:account-id:thinggroup/thing-group-name

DetachPrincipalPolicy iot:DetachPrincipalPolicy

arn:aws:iot:region:account-id:cert/cert-id

DetachThingPrincipal iot:DetachThingPrincipal

arn:aws:iot:region:account-id:cert/cert-id

DisableTopicRule iot:DisableTopicRule

arn:aws:iot:region:account-id:rule/rule-name

EnableTopicRule iot:EnableTopicRule

arn:aws:iot:region:account-id:rule/rule-name

GetEffectivePolicies iot:GetEffectivePolicies

arn:aws:iot:region:account-id:cert/cert-id

GetIndexingConfiguration iot:GetIndexingConfiguration なし
GetJobDocument iot:GetJobDocument

arn:aws:iot:region:account-id:job/job-id

GetLoggingOptions iot:GetLoggingOptions *
GetLoggingOptionsV2 iot:GetLoggingOptionsV2 なし
GetLoggingRole iot:GetLoggingRole なし
GetMessageSchema iot:GetMessageSchema なし
GetPolicy iot:GetPolicy

arn:aws:iot:region:account-id:policy/policy-name

GetPolicyVersion iot:GetPolicyVersion

arn:aws:iot:region:account-id:policy/policy-name

GetRegistrationCode iot:GetRegistrationCode *
GetTopicRule iot:GetTopicRule

arn:aws:iot:region:account-id:rule/rule-name

GetV2LoggingOptions iot:GetV2LoggingOptions なし
ListAttachedPolicies iot:ListAttachedPolicies

arn:aws:iot:region:account-id:thinggroup/thing-group-name

または

arn:aws:iot:region:account-id:cert/cert-id

ListAuthorizers iot:ListAuthorizers なし
ListCACertificates iot:ListCACertificates *
ListCertificates iot:ListCertificates *
ListCertificatesByCA iot:ListCertificatesByCA *
ListIndices iot:ListIndices なし
ListJobExecutionsForJob iot:ListJobExecutionsForJob なし
ListJobExecutionsForThing iot:ListJobExecutionsForThing なし
ListJobs iot:ListJobs

arn:aws:iot:region:account-id:thinggroup/thing-group-name

thingGroupName パラメータが使用される場合

ListLoggingLevels iot:ListLoggingLevels なし
ListMessageSchemas iot:ListMessageSchemas なし
ListOutgoingCertificates iot:ListOutgoingCertificates *
ListPolicies iot:ListPolicies *
ListPolicyPrincipals iot:ListPolicyPrincipals

arn:aws:iot:region:account-id:policy/policy-name

ListPolicyVersions iot:ListPolicyVersions

arn:aws:iot:region:account-id:policy/policy-name

ListPrincipalPolicies iot:ListPrincipalPolicies

arn:aws:iot:region:account-id:cert/cert-id

ListPrincipalThings iot:ListPrincipalThings

arn:aws:iot:region:account-id:cert/cert-id

ListRoleAliases iot:ListRoleAliases なし
ListTargetsForPolicy iot:ListTargetsForPolicy

arn:aws:iot:region:account-id:policy/policy-name

ListThingGroups iot:ListThingGroups なし
ListThingGroupsForThing iot:ListThingGroupsForThing

arn:aws:iot:region:account-id:thing/thing-name

ListThingPrincipals iot:ListThingPrincipals

arn:aws:iot:region:account-id:thing/thing-name

ListThingRegistrationTaskReports iot:ListThingRegistrationTaskReports なし
ListThingRegistrationTasks iot:ListThingRegistrationTasks なし
ListThingTypes iot:ListThingTypes *
ListThings iot:ListThings *
ListThingsInThingGroup iot:ListThingsInThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

ListTopicRules iot:ListTopicRules *
ListV2LoggingLevels iot:ListV2LoggingLevels なし
RegisterCACertificate iot:RegisterCACertificate *
RegisterCertificate iot:RegisterCertificate *
RegisterThing iot:RegisterThing なし
RejectCertificateTransfer iot:RejectCertificateTransfer

arn:aws:iot:region:account-id:cert/cert-id

RemoveThingFromThingGroup iot:RemoveThingFromThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

arn:aws:iot:region:account-id:thing/thing-name

ReplaceTopicRule iot:ReplaceTopicRule

arn:aws:iot:region:account-id:rule/rule-name

SearchIndex iot:SearchIndex

arn:aws:iot:region:account-id:index/index-id

SetDefaultAuthorizer iot:SetDefaultAuthorizer

arn:aws:iot:region:account-id:authorizer/authorizer-function-name

SetDefaultPolicyVersion iot:SetDefaultPolicyVersion

arn:aws:iot:region:account-id:policy/policy-name

SetLoggingLevel iot:SetLoggingLevel なし
SetLoggingOptions iot:SetLoggingOptions

arn:aws:iot:region:account-id:role/role-name

SetLoggingOptionsV2 iot:SetLoggingOptionsV2

arn:aws:iot:region:account-id:role/role-name

SetV2LoggingLevel iot:SetV2LoggingLevel

arn:aws:iot:region:account-id:thinggroup/thing-group-name

SetV2LoggingOptions iot:SetV2LoggingOptions

arn:aws:iot:region:account-id:role/role-name

StartThingRegistrationTask iot:StartThingRegistrationTask なし
StopThingRegistrationTask iot:StopThingRegistrationTask なし
TestAuthorization iot:TestAuthorization

arn:aws:iot:region:account-id:cert/cert-id

TestInvokeAuthorizer iot:TestInvokeAuthorizer なし
TransferCertificate iot:TransferCertificate

arn:aws:iot:region:account-id:cert/cert-id

UpdateAuthorizer iot:UpdateAuthorizer

arn:aws:iot:region:account-id:authorizerfunction/authorizer-function-name

UpdateCACertificate iot:UpdateCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

UpdateCertificate iot:UpdateCertificate

arn:aws:iot:region:account-id:cert/cert-id

UpdateEventConfigurations iot:UpdateEventConfigurations なし
UpdateIndexingConfiguration iot:UpdateIndexingConfiguration なし
UpdateMessageSchema iot:UpdateMessageSchema なし
UpdateRoleAlias iot:UpdateRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

UpdateThing iot:UpdateThing

arn:aws:iot:region:account-id:thing/thing-name

UpdateThingGroup iot:UpdateThingGroup

arn:aws:iot:region:account-id:thinggroup/thing-group-name

UpdateThingGroupsForThing iot:UpdateThingGroupsForThing

arn:aws:iot:region:account-id:thing/thing-name

IAM ポリシーテンプレート

AWS IoT には、一連の IAM ポリシーテンプレートが用意されており、そのまま使用することも、カスタム IAM ポリシーを作成するためのひな形としても使用できます。これらのテンプレートでは、設定およびデータオペレーションへのアクセスを許可します。設定オペレーションでは、モノ、証明書、ポリシー、ルールを作成できます。データオペレーションでは、MQTT または HTTP プロトコルを介してデータを送信します。以下の表では、これらのテンプレートについて説明しています。

ポリシーテンプレート 説明
AWSIotLogging

関連付けられた ID が CloudWatch ログを設定できるようにします。このポリシーは CloudWatch ログ記録用のロールにアタッチされます。

AWSIoTConfigAccess 関連付けられた ID がすべての AWS IoT 設定オペレーションにアクセスできるようにします。このポリシーは、データの処理とストレージに影響を与える可能性があります。
AWSIoTConfigReadOnlyAccess 関連付けられた ID が読み取り専用設定オペレーションを呼び出せるようにします。
AWSIoTDataAccess 関連付けられた ID にすべての AWS IoT データオペレーションへのフルアクセスを許可します。データオペレーションでは、MQTT または HTTP プロトコルを介してデータを送信します。
AWSIoTFullAccess 関連付けられた ID にすべての AWS IoT 設定およびデータオペレーションへのフルアクセスを許可します。

AWSIoTOTAUpdate

関連付けられた ID に、AWS IoT の作成ジョブと AWS IoT のコード署名ジョブへのアクセスを許可します。

AWSIoTRuleActions 関連付けられた ID が AWS IoT ルールのアクションでサポートされているすべての AWS サービスにアクセスできるようにします。
AWSIoTThingsRegistration StartThingRegistrationTask を使用して、関連付けられた ID がモノを一括登録することを許可します。このポリシーは、データの処理とストレージに影響を与える可能性があります。