AWS ドキュメント » AWS IoT » 開発者ガイド » AWS IoT のセキュリティと ID » 承認 » AWS IoT ポリシー

AWS IoT ポリシー

AWS IoT ポリシーは JSON ドキュメントです。IAM ポリシーと同じルールに従います。AWS IoT では、非常に多くの ID が同じポリシードキュメントを参照できるように、名前付きポリシーがサポートされています。名前付きポリシーは、簡単にロールバックされるようにバージョン管理されます。

AWS IoT では、アクセス権限を付与または拒否するオペレーションおよびリソースについて説明するポリシーアクションのセットを定義します。例:

• iot:Connect は、AWS IoT メッセージブローカーに接続するアクセス権限を表します。

• iot:Subscribe は、MQTT トピックまたはトピックフィルターにサブスクライブするアクセス権限を表します。

• iot:GetThingShadow は、デバイスのシャドウを取得するアクセス権限を表します。

AWS IoT ポリシーでは、AWS IoT のデータプレーンへのアクセスを管理できます。AWS IoT のデータプレーンは、AWS IoT メッセージブローカーへの接続、MQTT メッセージの送受信、デバイスのシャドウの取得または更新を可能にするオペレーションで構成されます。詳細については、「AWS IoT ポリシーアクション」を参照してください。

AWS IoT ポリシーは、1 つ以上のポリシーステートメントを含む JSON ドキュメントです。各ステートメントには、Effect、Action、Resource が含まれます。Effect は、アクションが許可されるか拒否されるかを指定します。Action では、ポリシーで許可または拒否されているアクションを指定します。Resource では、アクションを許可または拒否するリソースを 1 つ以上指定します。次のポリシーでは、AWS IoT メッセージブローカーへ接続するアクセス権限をすべてのデバイスに付与しますが、特定の MQTT トピックのパブリッシュは制限されます。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action":["iot:Publish"],
        "Resource": ["arn:aws:iot:us-east-1:123456789012:topic/foo/bar"]
    },
    {
        "Effect": "Allow",
        "Action": ["iot:Connect"],
        "Resource": ["*"]
        }]
}