メニュー
AWS IoT
開発者ガイド

IAM IoT ポリシー

AWS Identity and Access Management では、コントロールプレーン API やデータプレーン API など、AWS IoT によって定義されている各オペレーションのポリシーアクションを定義します。

AWS IoT API のアクセス権限

以下の表で、AWS IoT API、必要な IAM アクセス権限、リソース API の操作を示します。

API 必要なアクセス権限 (ポリシーアクション) リソース
AcceptCertificateTransfer iot:AcceptCertificateTransfer

arn:aws:iot:region:account-id:cert/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

AttachPrincipalPolicy iot:AttachPrincipalPolicy

arn:aws:iot:region:account-id:cert/cert-id

AttachThingPrincipal iot:AttachThingPrincipal arn:aws:iot:region:account-id:cert/cert-id
CancelCertificateTransfer iot:CancelCertificateTransfer

arn:aws:iot:region:account-id:cert/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

CreateCertificateFromCsr iot:CreateCertificateFromCsr *
CreateKeysAndCertificate iot:CreateKeysAndCertificate *
CreatePolicy iot:CreatePolicy *
CreatePolicyVersion iot:CreatePolicyVersion

arn:aws:iot:region:account-id:policy/policy-name

注記

これは、IAM ポリシーではなく、AWS IoT ポリシーである必要があります。

CreateThing iot:CreateThing

arn:aws:iot:region:account-id:thing/thing-name.

CreateThingType iot:CreateThingType arn:aws:iot:region:account-id:thingtype/thing-type-name
CreateTopicRule iot:CreateTopicRule arn:aws:iot:region:account-id:rule/rule-name
DeleteCACertificate iot:DeleteCACertificate arn:aws:iot:region:account-id:cacert/cert-id
DeleteCertificate iot:DeleteCertificate arn:aws:iot:region:account-id:cert/cert-id
DeletePolicy iot:DeletePolicy arn:aws:iot:region:account-id:policy/policy-name
DeletePolicyVersion iot:DeletePolicyVersion arn:aws:iot:region:account-id:policy/policy-name
DeleteRegistrationCode iot:DeleteRegistrationCode *
DeleteThing iot:DeleteThing

arn:aws:iot:region:account-id:thing/thing-name

DeleteThingType iot:DeleteThingType arn:aws:iot:region:account-id:thingtype/thing-type-name
DeleteTopicRule iot:DeleteTopicRule arn:aws:iot:region:account-id:rule/rule-name
DeprecateThingType iot:DeprecateThingType arn:aws:iot:region:account-id:thingtype/thing-type-name
DescribeCaCertificate iot:DescribeCaCertificate arn:aws:iot:region:account-id:cacert/cert-id
DescribeCertificates iot:DescribeCertificate arn:aws:iot:region:account-id:cert/cert-id
DescribeEndpoint iot:DescribeEndpoint *
DescribeThing iot:DescribeThing arn:aws:iot:region:account-id:thing/thing-name
DescribeThingType iot:DescribeThingType arn:aws:iot:region:account-id:thingtype/thing-type-name
DetachPrincipalPolicy iot:DetachPrincipalPolicy arn:aws:iot:region:account-id:cert/cert-id
DetachThingPrincipal iot:DetachThingPrincipal

arn:aws:iot:region:account-id:cert/cert-id

DisableTopicRule iot:DisableTopicRule arn:aws:iot:region:account-id:rule/rule-name
EnableTopicRule iot:EnableTopicRule arn:aws:iot:region:account-id:rule/rule-name
GetLoggingOptions iot:GetLoggingOptions *
GetPolicy iot:GetPolicy arn:aws:iot:region:account-id:policy/policy-name
GetPolicyVersion iot:GetPolicyVersion arn:aws:iot:region:account-id:policy/policy-name
GetRegistrationCode iot:GetRegistrationCode *
GetTopicRule iot:GetTopicRule arn:aws:iot:region:account-id:rule/rule-name
ListCaCertificates iot:ListCaCertificates *
ListCertificates iot:ListCertificates *
iot:ListCertificatesByCa iot:ListCertificatesByCa *
ListOutgoingCertificates iot:ListOutgoingCertificates *
ListPolicies iot:ListPolicies *
ListPolicyPrincipals iot:ListPolicyPrincipals ポリシーの ARN: arn:aws:iot:region:account-id:policy/policy-name
ListPolicyVersions iot:ListPolicyVersions ポリシーの ARN: arn:aws:iot:region:account-id:policy/policy-name
ListPrincipalPolicies iot:ListPrincipalPolicies

証明書の ARN: arn:aws:iot:region:account-id:policy/policy-name

ListPrincipalThings iot:ListPrincipalThings

証明書の ARN: arn:aws:iot:region:account-id:policy/policy-name

ListThingPrincipals iot:ListThingPrincipals AWS IoT モノの ARN: arn:aws:iot:region:account-id:thing/thing-name
ListThings iot:ListThings *
ListThingTypes iot:ListThingTypes *
ListTopicRules iot:ListTopicRules *
RegisterCACertificate iot:RegisterCACertificate *
RegisterCertificate iot:RegisterCertificate *
RejectCertificateTransfer iot:RejectCertificateTransfer

arn:aws:iot:region:account-id:cert/cert-id

ReplaceTopicRule iot:ReplaceTopicRule arn:aws:iot:region:account-id:rule/rule-name
SetDefaultPolicyVersion iot:SetDefaultPolicyVersion arn:aws:iot:region:account-id:policy/policy-name
SetLoggingOptions iot:SetLoggingOptions arn:aws:iot:region:account-id:role/role-name
TransferCertificate iot:TransferCertificate

arn:aws:iot:region:account-id:cert/cert-id

UpdateCACertificate iot:UpdateCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

UpdateCertificate iot:UpdateCertificate

arn:aws:iot:region:account-id:cert/cert-id

UpdateThing iot:UpdateThing arn:aws:iot:region:account-id:thing/thing-name

IAM ポリシーテンプレート

AWS IoT には、一連の IAM ポリシーテンプレートが用意されており、そのまま使用することも、カスタム IAM ポリシーを作成するためのひな形としても使用できます。これらのテンプレートでは、設定およびデータオペレーションへのアクセスを許可します。設定オペレーションでは、モノ、証明書、ポリシー、ルールを作成できます。データオペレーションでは、MQTT または HTTP プロトコルを介してデータを送信します。以下の表では、これらのテンプレートについて説明しています。

ポリシーテンプレート 説明
AWSIotLogging

関連付けられた ID が CloudWatch ログを設定できるようにします。このポリシーは CloudWatch ログ記録用のロールにアタッチされます。

AWSIoTConfigAccess 関連付けられた ID がすべての AWS IoT 設定オペレーションにアクセスできるようにします。
AWSIoTConfigReadOnlyAccess 関連付けられた ID が読み取り専用設定オペレーションを呼び出せるようにします。
AWSIoTDataAccess 関連付けられた ID にすべての AWS IoT データオペレーションへのフルアクセスを許可します。データオペレーションでは、MQTT または HTTP プロトコルを介してデータを送信します。
AWSIoTFullAccess 関連付けられた ID にすべての AWS IoT 設定およびデータオペレーションへのフルアクセスを許可します。
AWSIoTRuleActions 関連付けられた ID が AWS IoT ルールのアクションでサポートされているすべての AWS サービスにアクセスできるようにします。