AWS IoT と IAM の連携 - AWS IoT Core

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

AWS IoT と IAM の連携

AWS IoT へのアクセスを管理するために IAM を使用する前に、AWS IoT でどの IAM 機能が使用できるかを理解しておく必要があります。どのように AWS IoT およびその他 AWS サービスはIAMと連携する。参照 AWS 連携するサービス IAMIAM ユーザーガイド.

AWS IoT アイデンティティベースのポリシー

IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションやリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。AWS IoT は、特定のアクション、リソース、条件キーをサポートします。JSON ポリシーで使用するすべての要素については、以下を参照してください。 IAM JSON ポリシー要素参照IAM ユーザーガイド.

Actions

IAM アイデンティティベースのポリシーの Action エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

次の表に、IAM IoT アクション、関連する AWS IoT API、およびアクションが操作するリソースを示します。

ポリシーアクション AWS IoT API: リソース:
iot:AcceptCertificateTransfer AcceptCertificateTransfer

arn:aws:iot:region:account-idcertcert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

iot:AddThingToThingGroup AddThingToThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

arn:aws:iot:region:account-idthingthing-name

iot:AssociateTargetsWithJob AssociateTargetsWithJob --none
iot:AttachPolicy AttachPolicy

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

または

arn:aws:iot:region:account-idcertcert-id

iot:AttachPrincipalPolicy AttachPrincipalPolicy

arn:aws:iot:region:account-idcertcert-id

iot:AttachSecurityProfile AttachSecurityProfile

arn:aws:iot:region:account-id:securityprofile/(セキュリティプロファイル/)security-profile-name

arn:aws:iot:region:account-idディメンションdimension-name

iot:AttachThingPrincipal AttachThingPrincipal

arn:aws:iot:region:account-idcertcert-id

iot:CancelCertificateTransfer CancelCertificateTransfer

arn:aws:iot:region:account-idcertcert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

iot:CancelJob CancelJob

arn:aws:iot:region:account-idジョブjob-id

iot:CancelJobExecution CancelJobExecution

arn:aws:iot:region:account-idジョブjob-id

arn:aws:iot:region:account-idthingthing-name

iot:ClearDefaultAuthorizer ClearDefaultAuthorizer なし。
iot:CreateAuthorizer CreateAuthorizer

arn:aws:iot:region:account-id:authorizer/(承認者)authorizer-function-name

iot:CreateCertificateFromCsr CreateCertificateFromCsr *
iot:CreateDimension CreateDimension arn:aws:iot:region:account-idディメンションdimension-name
iot:CreateJob CreateJob。

arn:aws:iot:region:account-idジョブjob-id

iot:CreateKeysAndCertificate CreateKeysAndCertificate *
iot:CreatePolicy CreatePolicy *
iot:CreatePolicyVersion CreatePolicyVersion

arn:aws:iot:region:account-id<policy>policy-name

注記

これは、AWS IoT ポリシーではなく、IAM ポリシーである必要があります。

iot:CreateRoleAlias CreateRoleAlias

(パラメータ :roleAlias)

arn:aws:iot:region:account-id:rocalas/role-alias-name

iot:CreateSecurityProfile CreateSecurityProfile

arn:aws:iot:region:account-id:securityprofile/(セキュリティプロファイル/)security-profile-name

arn:aws:iot:region:account-idディメンションdimension-name

iot:CreateThing CreateThing

arn:aws:iot:region:account-idthingthing-name

iot:CreateThingGroup CreateThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

作成されているグループと親グループ用、使用されている場合

iot:CreateThingType CreateThingType

arn:aws:iot:region:account-id:thingtype/(シングタイプ/)thing-type-name

iot:CreateTopicRule CreateTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:DeleteAuthorizer DeleteAuthorizer

arn:aws:iot:region:account-id:authorizer/(承認者)authorizer-name

iot:DeleteCACertificate DeleteCACertificate

arn:aws:iot:region:account-id:キャサート/cert-id

iot:DeleteCertificate DeleteCertificate

arn:aws:iot:region:account-idcertcert-id

iot:DeleteDimension DeleteDimension

arn:aws:iot:region:account-idディメンションdimension-name

iot:DeleteJob DeleteJob

arn:aws:iot:region:account-idジョブjob-id

iot:DeleteJobExecution DeleteJobExecution

arn:aws:iot:region:account-idジョブjob-id

arn:aws:iot:region:account-idthingthing-name

iot:DeletePolicy DeletePolicy

arn:aws:iot:region:account-id<policy>policy-name

iot:DeletePolicyVersion DeletePolicyVersion

arn:aws:iot:region:account-id<policy>policy-name

iot:DeleteRegistrationCode DeleteRegistrationCode *
iot:DeleteRoleAlias DeleteRoleAlias

arn:aws:iot:region:account-id:rocalas/role-alias-name

iot:DeleteSecurityProfile DeleteSecurityProfile

arn:aws:iot:region:account-id:securityprofile/(セキュリティプロファイル/)security-profile-name

arn:aws:iot:region:account-idディメンションdimension-name

iot:DeleteThing DeleteThing

arn:aws:iot:region:account-idthingthing-name

iot:DeleteThingGroup DeleteThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:DeleteThingType DeleteThingType

arn:aws:iot:region:account-id:thingtype/(シングタイプ/)thing-type-name

iot:DeleteTopicRule DeleteTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:DeleteV2LoggingLevel DeleteV2LoggingLevel

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:DeprecateThingType DeprecateThingType

arn:aws:iot:region:account-id:thingtype/(シングタイプ/)thing-type-name

iot:DescribeAuthorizer DescribeAuthorizer

arn:aws:iot:region:account-id:authorizer/(承認者)authorizer-function-name

(パラメータ :authorizerName)

--none
iot:DescribeCACertificate DescribeCACertificate

arn:aws:iot:region:account-id:キャサート/cert-id

iot:DescribeCertificate DescribeCertificate

arn:aws:iot:region:account-idcertcert-id

iot:DescribeDefaultAuthorizer DescribeDefaultAuthorizer なし。
iot:DescribeEndpoint DescribeEndpoint *
iot:DescribeEventConfigurations DescribeEventConfigurations --none
iot:DescribeIndex DescribeIndex

arn:aws:iot:region:account-idインデックスindex-name

iot:DescribeJob DescribeJob

arn:aws:iot:region:account-idジョブjob-id

iot:DescribeJobExecution DescribeJobExecution なし。
iot:DescribeRoleAlias DescribeRoleAlias

arn:aws:iot:region:account-id:rocalas/role-alias-name

iot:DescribeThing DescribeThing

arn:aws:iot:region:account-idthingthing-name

iot:DescribeThingGroup DescribeThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:DescribeThingRegistrationTask DescribeThingRegistrationTask なし。
iot:DescribeThingType DescribeThingType

arn:aws:iot:region:account-id:thingtype/(シングタイプ/)thing-type-name

iot:DetachPolicy DetachPolicy

arn:aws:iot:region:account-idcertcert-id

または

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:DetachPrincipalPolicy DetachPrincipalPolicy

arn:aws:iot:region:account-idcertcert-id

iot:DetachSecurityProfile DetachSecurityProfile

arn:aws:iot:region:account-id:securityprofile/(セキュリティプロファイル/)security-profile-name

arn:aws:iot:region:account-idディメンションdimension-name

iot:DetachThingPrincipal DetachThingPrincipal

arn:aws:iot:region:account-idcertcert-id

iot:DisableTopicRule DisableTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:EnableTopicRule EnableTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:GetEffectivePolicies GetEffectivePolicies

arn:aws:iot:region:account-idcertcert-id

iot:GetIndexingConfiguration GetIndexingConfiguration なし。
iot:GetJobDocument GetJobDocument

arn:aws:iot:region:account-idジョブjob-id

iot:GetLoggingOptions GetLoggingOptions *
iot:GetPolicy GetPolicy

arn:aws:iot:region:account-id<policy>policy-name

iot:GetPolicyVersion GetPolicyVersion

arn:aws:iot:region:account-id<policy>policy-name

iot:GetRegistrationCode GetRegistrationCode *
iot:GetTopicRule GetTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:ListAttachedPolicies ListAttachedPolicies

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

または

arn:aws:iot:region:account-idcertcert-id

iot:ListAuthorizers ListAuthorizers なし。
iot:ListCACertificates ListCACertificates *
iot:ListCertificates ListCertificates *
iot:ListCertificatesByCA ListCertificatesByCA *
iot:ListIndices ListIndices なし。
iot:ListJobExecutionsForJob ListJobExecutionsForJob なし。
iot:ListJobExecutionsForThing ListJobExecutionsForThing なし。
iot:ListJobs ListJobs

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

thingGroupName パラメータが使用される場合

iot:ListOutgoingCertificates ListOutgoingCertificates *
iot:ListPolicies ListPolicies *
iot:ListPolicyPrincipals ListPolicyPrincipals

arn:aws:iot:region:account-id<policy>policy-name

iot:ListPolicyVersions ListPolicyVersions

arn:aws:iot:region:account-id<policy>policy-name

iot:ListPrincipalPolicies ListPrincipalPolicies

arn:aws:iot:region:account-idcertcert-id

iot:ListPrincipalThings ListPrincipalThings

arn:aws:iot:region:account-idcertcert-id

iot:ListRoleAliases ListRoleAliases なし。
iot:ListTargetsForPolicy ListTargetsForPolicy

arn:aws:iot:region:account-id<policy>policy-name

iot:ListThingGroups ListThingGroups なし。
iot:ListThingGroupsForThing ListThingGroupsForThing

arn:aws:iot:region:account-idthingthing-name

iot:ListThingPrincipals ListThingPrincipals

arn:aws:iot:region:account-idthingthing-name

iot:ListThingRegistrationTaskReports ListThingRegistrationTaskReports なし。
iot:ListThingRegistrationTasks ListThingRegistrationTasks なし。
iot:ListThingTypes ListThingTypes *
iot:ListThings ListThings *
iot:ListThingsInThingGroup ListThingsInThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:ListTopicRules ListTopicRules *
iot:ListV2LoggingLevels ListV2LoggingLevels なし。
iot:RegisterCACertificate RegisterCACertificate *
iot:RegisterCertificate RegisterCertificate *
iot:RegisterThing RegisterThing なし。
iot:RejectCertificateTransfer RejectCertificateTransfer

arn:aws:iot:region:account-idcertcert-id

iot:RemoveThingFromThingGroup RemoveThingFromThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

arn:aws:iot:region:account-idthingthing-name

iot:ReplaceTopicRule ReplaceTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:SearchIndex SearchIndex

arn:aws:iot:region:account-idインデックスindex-id

iot:SetDefaultAuthorizer SetDefaultAuthorizer

arn:aws:iot:region:account-id:authorizer/(承認者)authorizer-function-name

iot:SetDefaultPolicyVersion SetDefaultPolicyVersion

arn:aws:iot:region:account-id<policy>policy-name

iot:SetLoggingOptions SetLoggingOptions

arn:aws:iot:region:account-idロールrole-name

iot:SetV2LoggingLevel SetV2LoggingLevel

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:SetV2LoggingOptions SetV2LoggingOptions

arn:aws:iot:region:account-idロールrole-name

iot:StartThingRegistrationTask StartThingRegistrationTask なし。
iot:StopThingRegistrationTask StopThingRegistrationTask なし。
iot:TestAuthorization TestAuthorization

arn:aws:iot:region:account-idcertcert-id

iot:TestInvokeAuthorizer TestInvokeAuthorizer なし。
iot:TransferCertificate TransferCertificate

arn:aws:iot:region:account-idcertcert-id

iot:UpdateAuthorizer UpdateAuthorizer

arn:aws:iot:region:account-id:authorizer機能/authorizer-function-name

iot:UpdateCACertificate UpdateCACertificate

arn:aws:iot:region:account-id:キャサート/cert-id

iot:UpdateCertificate UpdateCertificate

arn:aws:iot:region:account-idcertcert-id

iot:UpdateDimension UpdateDimension

arn:aws:iot:region:account-idディメンションdimension-name

iot:UpdateEventConfigurations UpdateEventConfigurations なし。
iot:UpdateIndexingConfiguration UpdateIndexingConfiguration なし。
iot:UpdateRoleAlias UpdateRoleAlias

arn:aws:iot:region:account-id:rocalas/role-alias-name

iot:UpdateSecurityProfile UpdateSecurityProfile

arn:aws:iot:region:account-id:securityprofile/(セキュリティプロファイル/)security-profile-name

arn:aws:iot:region:account-idディメンションdimension-name

iot:UpdateThing UpdateThing

arn:aws:iot:region:account-idthingthing-name

iot:UpdateThingGroup UpdateThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:UpdateThingGroupsForThing UpdateThingGroupsForThing

arn:aws:iot:region:account-idthingthing-name

ポリシー アクション AWS IoT アクションの前に次のプレフィックスを使用します。iot:。 たとえば、AWS アカウントに登録されているすべての IoT 情報を ListThings API、 iot:ListThings 行動に取り組めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。AWS IoT は、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。

単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。

"Action": [ "ec2:action1", "ec2:action2"

ワイルドカード (*) を使用して複数のアクションを指定できます。たとえば、Describe という単語で始まるすべてのアクションを指定するには、以下のアクションを含めます。

"Action": "iot:Describe*"

AWS IoT のアクションを一覧表示するには、IAM ユーザーガイドの「Actions Defined by AWS IoT」を参照してください。

Resources

Resource エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード (*) を使用して、リソースを指定します。

AWS IoT のリソース
ポリシーアクション AWS IoT API: リソース:
iot:AcceptCertificateTransfer AcceptCertificateTransfer

arn:aws:iot:region:account-idcertcert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

iot:AddThingToThingGroup AddThingToThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

arn:aws:iot:region:account-idthingthing-name

iot:AssociateTargetsWithJob AssociateTargetsWithJob --none
iot:AttachPolicy AttachPolicy

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

または

arn:aws:iot:region:account-idcertcert-id

iot:AttachPrincipalPolicy AttachPrincipalPolicy

arn:aws:iot:region:account-idcertcert-id

iot:AttachThingPrincipal AttachThingPrincipal

arn:aws:iot:region:account-idcertcert-id

iot:CancelCertificateTransfer CancelCertificateTransfer

arn:aws:iot:region:account-idcertcert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

iot:CancelJob CancelJob

arn:aws:iot:region:account-idジョブjob-id

iot:CancelJobExecution CancelJobExecution

arn:aws:iot:region:account-idジョブjob-id

arn:aws:iot:region:account-idthingthing-name

iot:ClearDefaultAuthorizer ClearDefaultAuthorizer なし。
iot:CreateAuthorizer CreateAuthorizer

arn:aws:iot:region:account-id:authorizer/(承認者)authorizer-function-name

iot:CreateCertificateFromCsr CreateCertificateFromCsr *
iot:CreateJob CreateJob。

arn:aws:iot:region:account-idジョブjob-id

iot:CreateKeysAndCertificate CreateKeysAndCertificate *
iot:CreatePolicy CreatePolicy *
CreatePolicyVersion iot:CreatePolicyVersion

arn:aws:iot:region:account-id<policy>policy-name

注記

これは、AWS IoT ポリシーではなく、IAM ポリシーである必要があります。

iot:CreateRoleAlias CreateRoleAlias

(パラメータ :roleAlias)

arn:aws:iot:region:account-id:rocalas/role-alias-name

iot:CreateThing CreateThing

arn:aws:iot:region:account-idthingthing-name

iot:CreateThingGroup CreateThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

作成されているグループと親グループ用、使用されている場合

iot:CreateThingType CreateThingType

arn:aws:iot:region:account-id:thingtype/(シングタイプ/)thing-type-name

iot:CreateTopicRule CreateTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:DeleteAuthorizer DeleteAuthorizer

arn:aws:iot:region:account-id:authorizer/(承認者)authorizer-name

iot:DeleteCACertificate DeleteCACertificate

arn:aws:iot:region:account-id:キャサート/cert-id

iot:DeleteCertificate DeleteCertificate

arn:aws:iot:region:account-idcertcert-id

iot:DeleteJob DeleteJob

arn:aws:iot:region:account-idジョブjob-id

iot:DeleteJobExecution DeleteJobExecution

arn:aws:iot:region:account-idジョブjob-id

arn:aws:iot:region:account-idthingthing-name

iot:DeletePolicy DeletePolicy

arn:aws:iot:region:account-id<policy>policy-name

iot:DeletePolicyVersion DeletePolicyVersion

arn:aws:iot:region:account-id<policy>policy-name

iot:DeleteRegistrationCode DeleteRegistrationCode *
iot:DeleteRoleAlias DeleteRoleAlias

arn:aws:iot:region:account-id:rocalas/role-alias-name

iot:DeleteThing DeleteThing

arn:aws:iot:region:account-idthingthing-name

iot:DeleteThingGroup DeleteThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:DeleteThingType DeleteThingType

arn:aws:iot:region:account-id:thingtype/(シングタイプ/)thing-type-name

iot:DeleteTopicRule DeleteTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:DeleteV2LoggingLevel DeleteV2LoggingLevel

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:DeprecateThingType DeprecateThingType

arn:aws:iot:region:account-id:thingtype/(シングタイプ/)thing-type-name

iot:DescribeAuthorizer DescribeAuthorizer

arn:aws:iot:region:account-id:authorizer/(承認者)authorizer-function-name

(パラメータ :authorizerName)

--none
iot:DescribeCACertificate DescribeCACertificate

arn:aws:iot:region:account-id:キャサート/cert-id

iot:DescribeCertificate DescribeCertificate

arn:aws:iot:region:account-idcertcert-id

iot:DescribeDefaultAuthorizer DescribeDefaultAuthorizer なし。
iot:DescribeEndpoint DescribeEndpoint *
iot:DescribeEventConfigurations DescribeEventConfigurations --none
iot:DescribeIndex DescribeIndex

arn:aws:iot:region:account-idインデックスindex-name

iot:DescribeJob DescribeJob

arn:aws:iot:region:account-idジョブjob-id

iot:DescribeJobExecution DescribeJobExecution なし。
iot:DescribeRoleAlias DescribeRoleAlias

arn:aws:iot:region:account-id:rocalas/role-alias-name

iot:DescribeThing DescribeThing

arn:aws:iot:region:account-idthingthing-name

iot:DescribeThingGroup DescribeThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:DescribeThingRegistrationTask DescribeThingRegistrationTask なし。
iot:DescribeThingType DescribeThingType

arn:aws:iot:region:account-id:thingtype/(シングタイプ/)thing-type-name

iot:DetachPolicy DetachPolicy

arn:aws:iot:region:account-idcertcert-id

または

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:DetachPrincipalPolicy DetachPrincipalPolicy

arn:aws:iot:region:account-idcertcert-id

iot:DetachThingPrincipal DetachThingPrincipal

arn:aws:iot:region:account-idcertcert-id

iot:DisableTopicRule DisableTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:EnableTopicRule EnableTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:GetEffectivePolicies GetEffectivePolicies

arn:aws:iot:region:account-idcertcert-id

iot:GetIndexingConfiguration GetIndexingConfiguration なし。
iot:GetJobDocument GetJobDocument

arn:aws:iot:region:account-idジョブjob-id

iot:GetLoggingOptions GetLoggingOptions *
iot:GetPolicy GetPolicy

arn:aws:iot:region:account-id<policy>policy-name

iot:GetPolicyVersion GetPolicyVersion

arn:aws:iot:region:account-id<policy>policy-name

iot:GetRegistrationCode GetRegistrationCode *
iot:GetTopicRule GetTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:ListAttachedPolicies ListAttachedPolicies

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

または

arn:aws:iot:region:account-idcertcert-id

iot:ListAuthorizers ListAuthorizers なし。
iot:ListCACertificates ListCACertificates *
iot:ListCertificates ListCertificates *
iot:ListCertificatesByCA ListCertificatesByCA *
iot:ListIndices ListIndices なし。
iot:ListJobExecutionsForJob ListJobExecutionsForJob なし。
iot:ListJobExecutionsForThing ListJobExecutionsForThing なし。
iot:ListJobs ListJobs

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

thingGroupName パラメータが使用される場合

iot:ListOutgoingCertificates ListOutgoingCertificates *
iot:ListPolicies ListPolicies *
iot:ListPolicyPrincipals ListPolicyPrincipals

arn:aws:iot:region:account-id<policy>policy-name

iot:ListPolicyVersions ListPolicyVersions

arn:aws:iot:region:account-id<policy>policy-name

iot:ListPrincipalPolicies ListPrincipalPolicies

arn:aws:iot:region:account-idcertcert-id

iot:ListPrincipalThings ListPrincipalThings

arn:aws:iot:region:account-idcertcert-id

iot:ListRoleAliases ListRoleAliases なし。
iot:ListTargetsForPolicy ListTargetsForPolicy

arn:aws:iot:region:account-id<policy>policy-name

iot:ListThingGroups ListThingGroups なし。
iot:ListThingGroupsForThing ListThingGroupsForThing

arn:aws:iot:region:account-idthingthing-name

iot:ListThingPrincipals ListThingPrincipals

arn:aws:iot:region:account-idthingthing-name

iot:ListThingRegistrationTaskReports ListThingRegistrationTaskReports なし。
iot:ListThingRegistrationTasks ListThingRegistrationTasks なし。
iot:ListThingTypes ListThingTypes *
iot:ListThings ListThings *
iot:ListThingsInThingGroup ListThingsInThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:ListTopicRules ListTopicRules *
iot:ListV2LoggingLevels ListV2LoggingLevels なし。
iot:RegisterCACertificate RegisterCACertificate *
iot:RegisterCertificate RegisterCertificate *
iot:RegisterThing RegisterThing なし。
iot:RejectCertificateTransfer RejectCertificateTransfer

arn:aws:iot:region:account-idcertcert-id

iot:RemoveThingFromThingGroup RemoveThingFromThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

arn:aws:iot:region:account-idthingthing-name

iot:ReplaceTopicRule ReplaceTopicRule

arn:aws:iot:region:account-idルールrule-name

iot:SearchIndex SearchIndex

arn:aws:iot:region:account-idインデックスindex-id

iot:SetDefaultAuthorizer SetDefaultAuthorizer

arn:aws:iot:region:account-id:authorizer/(承認者)authorizer-function-name

iot:SetDefaultPolicyVersion SetDefaultPolicyVersion

arn:aws:iot:region:account-id<policy>policy-name

iot:SetLoggingOptions SetLoggingOptions

arn:aws:iot:region:account-idロールrole-name

iot:SetV2LoggingLevel SetV2LoggingLevel

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:SetV2LoggingOptions SetV2LoggingOptions

arn:aws:iot:region:account-idロールrole-name

iot:StartThingRegistrationTask StartThingRegistrationTask なし。
iot:StopThingRegistrationTask StopThingRegistrationTask なし。
iot:TestAuthorization TestAuthorization

arn:aws:iot:region:account-idcertcert-id

iot:TestInvokeAuthorizer TestInvokeAuthorizer なし。
iot:TransferCertificate TransferCertificate

arn:aws:iot:region:account-idcertcert-id

iot:UpdateAuthorizer UpdateAuthorizer

arn:aws:iot:region:account-id:authorizer機能/authorizer-function-name

iot:UpdateCACertificate UpdateCACertificate

arn:aws:iot:region:account-id:キャサート/cert-id

iot:UpdateCertificate UpdateCertificate

arn:aws:iot:region:account-idcertcert-id

iot:UpdateEventConfigurations UpdateEventConfigurations なし。
iot:UpdateIndexingConfiguration UpdateIndexingConfiguration なし。
iot:UpdateRoleAlias UpdateRoleAlias

arn:aws:iot:region:account-id:rocalas/role-alias-name

iot:UpdateThing UpdateThing

arn:aws:iot:region:account-idthingthing-name

iot:UpdateThingGroup UpdateThingGroup

arn:aws:iot:region:account-id:thinggroup/(thinggroup/)thing-group-name

iot:UpdateThingGroupsForThing UpdateThingGroupsForThing

arn:aws:iot:region:account-idthingthing-name

ARN の形式の詳細については、「Amazon リソースネーム (ARN) と AWS サービスの名前空間」を参照してください。

リソースの作成など、一部の AWS IoT アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード (*) を使用する必要があります。

"Resource": "*"

AWS IoT リソースタイプおよびその ARN のリストを表示するには、IAM ユーザーガイド の「Resources Defined by AWS IoT」を参照してください。どのアクションで、各リソースの ARN を指定することができるかについては、「Actions Defined by AWS IoT」を参照してください。

条件キー

Condition エレメント (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Conditionエレメントはオプションです。イコールや以下などの条件演算子を使用する条件式を作成して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、AWS が論理 AND 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS が論理 OR 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。たとえば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、IAM ユーザーガイド の「IAM ポリシーエレメント: 変数およびタグ」を参照してください。

AWS IoT は独自の一連の条件キーを定義し、一部のグローバル条件キーの使用をサポートしています。すべてを表示するには AWS グローバル条件キー、参照 AWS グローバル条件コンテキスト キーIAM ユーザーガイド.

AWS IoT 条件キー
AWS IoT 条件キー 説明: タイプ
aws:RequestTag/${tag-key} ユーザーが AWS IoT に対して行うリクエストに含まれるタグキー。 文字列
aws:ResourceTag/${tag-key} AWS IoT リソースにアタッチされているタグキーコンポーネント。 文字列
aws:TagKeys リクエスト内のリソースに関連付けられているすべてのタグキー名のリスト。 文字列

AWS IoT 条件キーのリストを表示するには、IAM ユーザーガイド の「Condition Keys for AWS IoT」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「Actions Defined by AWS IoT」を参照してください。

Examples

AWS IoT アイデンティティベースのポリシーの例を表示するには、「AWS IoT アイデンティティベースのポリシーの例」を参照してください。

AWS IoT リソースベースのポリシー

リソースベースのポリシーとは、AWS IoT リソース上で指定するプリンシパルとしてのどのアクションをどの条件で実行できるかを指定する JSON ポリシードキュメントです。

AWS IoT では、IAM リソースベースのポリシーはサポートされていません。ただし、AWS IoT リソースベースのポリシーをサポートしています。

AWS IoT タグに基づいた承認

タグを AWS IoT リソースにアタッチすることも、AWS IoT へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、iot:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。詳細については、IAM ポリシーでのタグの使用 を参照してください。AWS IoT リソースのタグ付けの詳細については、「AWS IoT リソースのタグ付け」を参照してください。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例については、「タグに基づく AWS IoT リソースの表示」を参照してください。

AWS IoT の IAM ロール

IAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のエンティティです。

AWS IoT を使用した一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出します。

AWS IoT では、一時認証情報の使用をサポートしています。

サービスにリンクされたロール

サービスにリンクされたロールによって、AWS サービスが他のサービスのリソースにアクセスして自動的にアクションを完了できます。サービスにリンクされたロールは、IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

AWS IoT ではサービスにリンクされたロールをサポートしていません。

サービスロール

この機能では、サービスのロールをユーザーに代わって引き受けることをサービスに許可します。このロールにより、サービスはお客様に代わって他のサービスのリソースにアクセスし、アクションを実行できます。サービスロールは、IAM アカウントに表示され、サービスによって所有されます。つまり、IAM 管理者は、このロールのアクセス許可を変更できます。ただし、これを行うことにより、サービスの機能が損なわれる場合があります。

AWS IoT は、サービスロールをサポートしていません。