AWS IoT Core ポリシーアクション - AWS IoT Core

AWS IoT Core ポリシーアクション

次のポリシーアクションは、AWS IoT Core によって定義されています。

MQTT ポリシーアクション

iot:Connect

AWS IoT Core メッセージブローカーに接続するアクセス許可を表します。iot:Connectアクセス許可は、CONNECT リクエストがブローカーに送信される度に確認されます。メッセージブローカーは、同じクライアント ID を持つ 2 つのクライアントが同時に接続を維持することを許可しません。2 番目のクライアントが接続すると、ブローカーは既存の接続を閉じます。iot:Connect アクセス許可を使い、特定のクライアント ID を使用している権限を持つクライアントのみが接続できる事を確認します。

iot:GetRetainedMessage

保持されている単一のメッセージの内容を取得するためのアクセス許可を表します。保持メッセージとは、AWS IoT Coreによって設定保管されたRETAINフラッグで発行されたメッセージの事です。アカウントの保持されているすべてのメッセージのリストを取得するためのアクセス許可については、iot:ListRetainedMessagesを参照。

iot:ListRetainedMessages

アカウントの保持メッセージの内容ではなく、それに関する概要情報を取得するためのアクセス許可を表します。保持メッセージとは、AWS IoT Coreによって設定保管されたRETAINフラッグで発行されたメッセージです。このアクションのために指定されたリソース ARN は*のはずです。保持されている単一のメッセージの内容を取得するためのアクセス許可については、iot:GetRetainedMessage を参照。

iot:Publish

MQTTトピックを発行するためのアクセス許可を表します。このアクセス権限は、PUBLISH リクエストがブローカーに送信される度に確認されます。このアクセス許可を使用して、クライアントが特定のトピックパターンに対し発行できるようにします。

注記

iot:Publish アクセス許可を付与するには、iot:Connect アクセス許可も付与する必要があります。

iot:Receive

AWS IoT Core からメッセージを受信するアクセス許可を表します。iot:Receive アクセス許可は、メッセージがクライアントに配信されるたびに確認されます。このアクセス許可は配信ごとに確認されるため、この権限を利用し、現在トピックにサブスクライブしているクライアントに対してアクセス許可を取り消すことができます。

iot: RetainPublish

設定されたRETAIN フラッグで MQTT メッセージを発行するためのアクセス許可を表します。

注記

iot:RetainPublish アクセス許可を付与するには、iot:Publish アクセス許可も付与する必要があります。

iot:Subscribe

トピックフィルターにサブスクライブするアクセス権限を表します。このアクセス権限は、SUBSCRIBE リクエストがブローカーに送信される度に確認されます。このアクセス許可を使用して、クライアントが、特定のトピックパターンに一致するトピックにサブスクライブできるようにします。

注記

iot:Subscribe アクセス許可を付与するには、iot:Connect アクセス許可も付与する必要があります。

シャドウポリシーアクション

iot:DeleteThingShadow

thing のデバイスシャドウを削除するアクセス権限を表します。iot:DeleteThingShadow アクセス権限は、thing のデバイスシャドウのコンテンツの削除リクエストが行われるたびに確認されます。

iot:GetThingShadow

thing のデバイスシャドウを取得するアクセス権限を表します。iot:GetThingShadow アクセス権限は、thing のデバイスシャドウコンテンツの取得リクエストが行われるたびに確認されます。

iot:ListNamedShadowsForThing

thing の名前付きのシャドウを削除するアクセス権限を表します。iot:ListNamedShadowsForThing アクセス権限は、thing の名前付きシャドウの一覧表示リクエストが行われる度に確認されます。

iot:UpdateThingShadow

デバイスのシャドウを更新するアクセス権限を表します。iot:UpdateThingShadow アクセス権限は、thing のデバイスシャドウコンテンツの更新リクエストが行われるたびに確認されます。

注記

ジョブ実行ポリシーアクションは、HTTP TLS エンドポイントにのみ適用されます。MQTT エンドポイントを使用する場合は、このトピックで定義された MQTT ポリシーアクションを使用する必要があります。

これを示すジョブ実行ポリシーの例については、MQTT プロトコルと連携する 基本的なジョブポリシーの例 を参照してください。

ジョブ実行 AWS IoT Core ポリシーアクション

iot:DescribeJobExecution

特定のモノのジョブの実行を取得するアクセス権限を表します。iot:DescribeJobExecution アクセス許可は、ジョブの実行の取得リクエストが行われるたびに確認されます。

iot:GetPendingJobExecutions

モノの終了のステータスではないジョブのリストを取得するアクセス権限を表します。iot:GetPendingJobExecutions アクセス権限は、リストの取得リクエストが行われるたびに確認されます。

iot:UpdateJobExecution

ジョブの実行を更新するアクセス権限を表します。iot:UpdateJobExecution アクセス権限は、ジョブ実行の状態の更新リクエストが行われるたびに確認されます。

iot:StartNextPendingJobExecution

モノに対して保留中の次のジョブ実行を取得および開始するアクセス権限を表します (つまり、ステータスが QUEUED から IN_PROGRESS であるジョブの実行を更新します)。iot:StartNextPendingJobExecution アクセス許可は、保留中の次のジョブ実行を開始するリクエストが行われるたびに確認されます。

AWS IoT Core 認証情報プロバイダーのポリシーアクション

iot:AssumeRoleWithCertificate

証明書ベースの認証で IAM ロールを継承する AWS IoT Core 認証情報プロバイダーを呼び出すアクセス許可を表します。iot:AssumeRoleWithCertificate アクセス許可は、ロールを継承する AWS IoT Core 認証情報プロバイダーに対してリクエストが行われるたびに確認されます。