AWS IoT ポリシー
AWS IoT ポリシーは JSON ドキュメントです。IAM ポリシーと同じルールに従います。AWS IoT では、非常に多くの ID が同じポリシードキュメントを参照できるように、名前付きポリシーがサポートされています。名前付きポリシーは、簡単にロールバックされるようにバージョン管理されます。
AWS IoT では、アクセス権限を付与または拒否するオペレーションおよびリソースについて説明するポリシーアクションのセットを定義します。例:
-
iot:Connectは、AWS IoT メッセージブローカーに接続するアクセス権限を表します。 -
iot:Subscribeは、MQTT トピックまたはトピックフィルターにサブスクライブするアクセス権限を表します。 -
iot:GetThingShadowは、デバイスのシャドウを取得するアクセス権限を表します。
AWS IoT ポリシーでは、AWS IoT のデータプレーンへのアクセスを管理できます。AWS IoT のデータプレーンは、AWS IoT メッセージブローカーへの接続、MQTT メッセージの送受信、デバイスのシャドウの取得または更新を可能にするオペレーションで構成されます。詳細については、「AWS IoT ポリシーアクション」を参照してください。
AWS IoT ポリシーは、1 つ以上のポリシーステートメントを含む JSON ドキュメントです。各ステートメントには、Effect、Action、Resource が含まれます。Effect は、アクションが許可されるか拒否されるかを指定します。Action では、ポリシーで許可または拒否されているアクションを指定します。Resource では、アクションを許可または拒否するリソースを 1 つ以上指定します。
- registered devices (1)
-
AWS IoT Registry でモノとして登録されているデバイスの場合、次のポリシーにより、モノの名前に一致するクライアント ID で AWS IoT に接続するアクセス許可が付与され、クライアント ID/モノの名前に固有の MQTT トピックでの発行にデバイスが制限されます。接続が正常に実行されるためには、モノの名前が AWS IoT レジストリに登録され、モノにアタッチされた ID/プリンシパルを使用して認証される必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action":["iot:Publish"], "Resource": ["arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}"] }, { "Effect": "Allow", "Action": ["iot:Connect"], "Resource": ["arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"] } ] } - unregistered devices (1)
-
AWS IoT Registry でのモノとして登録されていないデバイスの場合、次のポリシーにより、ID「client1」に一致するクライアント ID で AWS IoT に接続するアクセス許可が付与され、クライアント ID に固有の MQTT トピックでの発行にデバイスが制限されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action":["iot:Publish"], "Resource": ["arn:aws:iot:us-east-1:123456789012:topic/${iot:clientId}"] }, { "Effect": "Allow", "Action": ["iot:Connect"], "Resource": ["arn:aws:iot:us-east-1:123456789012:client/client1"] } ] }
