AWS IoT と IAM の連携 - AWS IoT コア

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS IoT と IAM の連携

AWS IoT へのアクセスを管理するために IAM を使用する前に、AWS IoT でどの IAM 機能が使用できるかを理解しておく必要があります。IAM と連携する AWS IoT や他の AWS のサービスの動作の概要については、 の「AWS と連携する IAM のサービス」を参照してください。IAM ユーザーガイド

AWS IoT アイデンティティベースのポリシー

IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソースを指定でき、さらにアクションが許可または拒否された条件を指定できます。AWS IoT は、特定のアクション、リソース、および条件キーをサポートします。JSON ポリシーで使用するすべての要素については、IAM の「 JSON ポリシーエレメントのリファレンス」を参照してください。IAM ユーザーガイド

Actions

Administrators can use AWS JSON policies to specify who has access to what. That is, which principal can perform actions on what resources, and under what conditions.

JSON ポリシーの Action 要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。ただし、一致する API オペレーションを持たないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、従属アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

以下の表では、IAM IoT のアクション、関連する AWS IoT API、およびアクションが操作するリソースを示しています。

ポリシーアクション AWS IoT API リソース
iot:AcceptCertificateTransfer AcceptCertificateTransfer

arn:aws:iot:region:account-id: 証明書/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

iot:AddThingToThingGroup AddThingToThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

arn:aws:iot:region:account-id: モノ/thing-name

iot:AssociateTargetsWithJob AssociateTargetsWithJob なし
iot:AttachPolicy AttachPolicy

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

または

arn:aws:iot:region:account-id: 証明書/cert-id

iot:AttachPrincipalPolicy AttachPrincipalPolicy

arn:aws:iot:region:account-id: 証明書/cert-id

iot:AttachSecurityProfile AttachSecurityProfile

arn:aws:iot:region:account-id: セキュリティプロファイル/security-profile-name

arn:aws:iot:region:account-id:ディメンション/dimension-name

iot:AttachThingPrincipal AttachThingPrincipal

arn:aws:iot:region:account-id: 証明書/cert-id

iot:CancelCertificateTransfer CancelCertificateTransfer

arn:aws:iot:region:account-id: 証明書/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

iot:CancelJob CancelJob

arn:aws:iot:region:account-id:ジョブ/job-id

iot:CancelJobExecution CancelJobExecution

arn:aws:iot:region:account-id:ジョブ/job-id

arn:aws:iot:region:account-id: モノ/thing-name

iot:ClearDefaultAuthorizer ClearDefaultAuthorizer なし
iot:CreateAuthorizer CreateAuthorizer

arn:aws:iot:region:account-id: オーソライザー/authorizer-function-name

iot:CreateCertificateFromCsr CreateCertificateFromCsr *
iot:CreateDimension CreateDimension arn:aws:iot:region:account-id:ディメンション/dimension-name
iot:CreateJob CreateJob

arn:aws:iot:region:account-id:ジョブ/job-id

iot:CreateKeysAndCertificate CreateKeysAndCertificate *
iot:CreatePolicy CreatePolicy *
iot:CreatePolicyVersion CreatePolicyVersion

arn:aws:iot:region:account-idポリシー/policy-name

注記

これは、AWS IoT ポリシーではなく、IAM ポリシーである必要があります。

iot:CreateRoleAlias CreateRoleAlias

(パラメータ: roleAlias)

arn:aws:iot:region:account-id:rolealias/role-alias-name

iot:CreateSecurityProfile CreateSecurityProfile

arn:aws:iot:region:account-id: セキュリティプロファイル/security-profile-name

arn:aws:iot:region:account-id:ディメンション/dimension-name

iot:CreateThing CreateThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:CreateThingGroup CreateThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

作成されているグループと親グループ用、使用されている場合

iot:CreateThingType CreateThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

iot:CreateTopicRule CreateTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:DeleteAuthorizer DeleteAuthorizer

arn:aws:iot:region:account-id: オーソライザー/authorizer-name

iot:DeleteCACertificate DeleteCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

iot:DeleteCertificate DeleteCertificate

arn:aws:iot:region:account-id: 証明書/cert-id

iot:DeleteDimension DeleteDimension

arn:aws:iot:region:account-id:ディメンション/dimension-name

iot:DeleteJob DeleteJob

arn:aws:iot:region:account-id:ジョブ/job-id

iot:DeleteJobExecution DeleteJobExecution

arn:aws:iot:region:account-id:ジョブ/job-id

arn:aws:iot:region:account-id: モノ/thing-name

iot:DeletePolicy DeletePolicy

arn:aws:iot:region:account-idポリシー/policy-name

iot:DeletePolicyVersion DeletePolicyVersion

arn:aws:iot:region:account-idポリシー/policy-name

iot:DeleteRegistrationCode DeleteRegistrationCode *
iot:DeleteRoleAlias DeleteRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

iot:DeleteSecurityProfile DeleteSecurityProfile

arn:aws:iot:region:account-id: セキュリティプロファイル/security-profile-name

arn:aws:iot:region:account-id:ディメンション/dimension-name

iot:DeleteThing DeleteThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:DeleteThingGroup DeleteThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:DeleteThingType DeleteThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

iot:DeleteTopicRule DeleteTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:DeleteV2LoggingLevel DeleteV2LoggingLevel

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:DeprecateThingType DeprecateThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

iot:DescribeAuthorizer DescribeAuthorizer

arn:aws:iot:region:account-id: オーソライザー/authorizer-function-name

(パラメータ: authorizerName)

なし
iot:DescribeCACertificate DescribeCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

iot:DescribeCertificate DescribeCertificate

arn:aws:iot:region:account-id: 証明書/cert-id

iot:DescribeDefaultAuthorizer DescribeDefaultAuthorizer なし
iot:DescribeEndpoint DescribeEndpoint *
iot:DescribeEventConfigurations DescribeEventConfigurations なし
iot:DescribeIndex DescribeIndex

arn:aws:iot:region:account-id: インデックス/index-name

iot:DescribeJob DescribeJob

arn:aws:iot:region:account-id:ジョブ/job-id

iot:DescribeJobExecution DescribeJobExecution なし
iot:DescribeRoleAlias DescribeRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

iot:DescribeThing DescribeThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:DescribeThingGroup DescribeThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:DescribeThingRegistrationTask DescribeThingRegistrationTask なし
iot:DescribeThingType DescribeThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

iot:DetachPolicy DetachPolicy

arn:aws:iot:region:account-id: 証明書/cert-id

または

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:DetachPrincipalPolicy DetachPrincipalPolicy

arn:aws:iot:region:account-id: 証明書/cert-id

iot:DetachSecurityProfile DetachSecurityProfile

arn:aws:iot:region:account-id: セキュリティプロファイル/security-profile-name

arn:aws:iot:region:account-id:ディメンション/dimension-name

iot:DetachThingPrincipal DetachThingPrincipal

arn:aws:iot:region:account-id: 証明書/cert-id

iot:DisableTopicRule DisableTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:EnableTopicRule EnableTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:GetEffectivePolicies GetEffectivePolicies

arn:aws:iot:region:account-id: 証明書/cert-id

iot:GetIndexingConfiguration GetIndexingConfiguration なし
iot:GetJobDocument GetJobDocument

arn:aws:iot:region:account-id:ジョブ/job-id

iot:GetLoggingOptions GetLoggingOptions *
iot:GetPolicy GetPolicy

arn:aws:iot:region:account-idポリシー/policy-name

iot:GetPolicyVersion GetPolicyVersion

arn:aws:iot:region:account-idポリシー/policy-name

iot:GetRegistrationCode GetRegistrationCode *
iot:GetTopicRule GetTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:ListAttachedPolicies ListAttachedPolicies

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

または

arn:aws:iot:region:account-id: 証明書/cert-id

iot:ListAuthorizers ListAuthorizers なし
iot:ListCACertificates ListCACertificates *
iot:ListCertificates ListCertificates *
iot:ListCertificatesByCA ListCertificatesByCA *
iot:ListIndices ListIndices なし
iot:ListJobExecutionsForJob ListJobExecutionsForJob なし
iot:ListJobExecutionsForThing ListJobExecutionsForThing なし
iot:ListJobs ListJobs

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

パラメータを使用する場合はthingGroupName

iot:ListOutgoingCertificates ListOutgoingCertificates *
iot:ListPolicies ListPolicies *
iot:ListPolicyPrincipals ListPolicyPrincipals

arn:aws:iot:region:account-idポリシー/policy-name

iot:ListPolicyVersions ListPolicyVersions

arn:aws:iot:region:account-idポリシー/policy-name

iot:ListPrincipalPolicies ListPrincipalPolicies

arn:aws:iot:region:account-id: 証明書/cert-id

iot:ListPrincipalThings ListPrincipalThings

arn:aws:iot:region:account-id: 証明書/cert-id

iot:ListRoleAliases ListRoleAliases なし
iot:ListTargetsForPolicy ListTargetsForPolicy

arn:aws:iot:region:account-idポリシー/policy-name

iot:ListThingGroups ListThingGroups なし
iot:ListThingGroupsForThing ListThingGroupsForThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:ListThingPrincipals ListThingPrincipals

arn:aws:iot:region:account-id: モノ/thing-name

iot:ListThingRegistrationTaskReports ListThingRegistrationTaskReports なし
iot:ListThingRegistrationTasks ListThingRegistrationTasks なし
iot:ListThingTypes ListThingTypes *
iot:ListThings ListThings *
iot:ListThingsInThingGroup ListThingsInThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:ListTopicRules ListTopicRules *
iot:ListV2LoggingLevels ListV2LoggingLevels なし
iot:RegisterCACertificate RegisterCACertificate *
iot:RegisterCertificate RegisterCertificate *
iot:RegisterThing RegisterThing なし
iot:RejectCertificateTransfer RejectCertificateTransfer

arn:aws:iot:region:account-id: 証明書/cert-id

iot:RemoveThingFromThingGroup RemoveThingFromThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

arn:aws:iot:region:account-id: モノ/thing-name

iot:ReplaceTopicRule ReplaceTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:SearchIndex SearchIndex

arn:aws:iot:region:account-id: インデックス/index-id

iot:SetDefaultAuthorizer SetDefaultAuthorizer

arn:aws:iot:region:account-id: オーソライザー/authorizer-function-name

iot:SetDefaultPolicyVersion SetDefaultPolicyVersion

arn:aws:iot:region:account-idポリシー/policy-name

iot:SetLoggingOptions SetLoggingOptions

arn:aws:iot:region:account-id:role/role-name

iot:SetV2LoggingLevel SetV2LoggingLevel

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:SetV2LoggingOptions SetV2LoggingOptions

arn:aws:iot:region:account-id:role/role-name

iot:StartThingRegistrationTask StartThingRegistrationTask なし
iot:StopThingRegistrationTask StopThingRegistrationTask なし
iot:TestAuthorization TestAuthorization

arn:aws:iot:region:account-id: 証明書/cert-id

iot:TestInvokeAuthorizer TestInvokeAuthorizer なし
iot:TransferCertificate TransferCertificate

arn:aws:iot:region:account-id: 証明書/cert-id

iot:UpdateAuthorizer UpdateAuthorizer

arn:aws:iot:region:account-id:authorizerfunction/authorizer-function-name

iot:UpdateCACertificate UpdateCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

iot:UpdateCertificate UpdateCertificate

arn:aws:iot:region:account-id: 証明書/cert-id

iot:UpdateDimension UpdateDimension

arn:aws:iot:region:account-id:ディメンション/dimension-name

iot:UpdateEventConfigurations UpdateEventConfigurations なし
iot:UpdateIndexingConfiguration UpdateIndexingConfiguration なし
iot:UpdateRoleAlias UpdateRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

iot:UpdateSecurityProfile UpdateSecurityProfile

arn:aws:iot:region:account-id: セキュリティプロファイル/security-profile-name

arn:aws:iot:region:account-id:ディメンション/dimension-name

iot:UpdateThing UpdateThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:UpdateThingGroup UpdateThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:UpdateThingGroupsForThing UpdateThingGroupsForThing

arn:aws:iot:region:account-id: モノ/thing-name

のポリシーアクションは、アクションの前に次のプレフィックスを使用します。AWS IoTiot: 。 たとえば、IoT API を使用して AWS アカウントに登録されているすべての ListThings モノを一覧表示するアクセス許可をユーザーに付与するには、ポリシーに iot:ListThings アクションを含めます。ポリシーステートメントには、Action 要素あるいは NotAction 要素を含める必要があります。AWS IoT は、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。

単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。

"Action": [ "ec2:action1", "ec2:action2"

ワイルドカード (*) を使用して複数のアクションを指定することができます。たとえば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "iot:Describe*"

アクションのリストを表示するには、AWS IoTAWS IoT で定義されるアクション の「IAM ユーザーガイド」を参照してください。

Device Advisor のアクション

以下の表では、IAM IoT Device Advisor のアクション、関連する AWS IoT Device Advisor API、およびアクションが操作するリソースを示しています。

ポリシーアクション AWS IoT API リソース
iotdeviceadvisor:CreateスイートDefinition CreateSuiteDefinition

なし

iotdeviceadvisor:DeleteスイートDefinition DeleteSuiteDefinition

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

iotdeviceadvisor:DescribeスイートDefinition DescribeSuiteDefinition

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

iotdeviceadvisor:DescribeスイートRun DescribeSuiteRun

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

iotdeviceadvisor:GetスイートRunReport GetSuiteRunReport

arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id

iotdeviceadvisor:ListスイートDefinitions ListSuiteDefinitions なし
iotdeviceadvisor:ListスイートRuns ListSuiteRuns

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

ListTagsForResource ListTagsForResource

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-run-id

iotdeviceadvisor:ListTestCases ListTestCases なし
iotdeviceadvisor:StartスイートRun StartSuiteRun

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

iotdeviceadvisor:TagResource TagResource

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-run-id

iotdeviceadvisor:UntagResource UntagResource

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-run-id

iotdeviceadvisor:UpdateスイートDefinition UpdateSuiteDefinition

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

AWS IoT Device Advisor のポリシーアクションは、アクションの前に次のプレフィックスを使用します。iotdeviceadvisor: 。 たとえば、ListSuiteDefinitions API を使用して AWS アカウントに登録されているすべてのスイート定義を一覧表示するアクセス許可をユーザーに付与するには、ポリシーに iotdeviceadvisor:ListSuiteDefinitions アクションを含めます。

Resources

Administrators can use AWS JSON policies to specify who has access to what. That is, which principal can perform actions on what resources, and under what conditions.

Resource JSON ポリシー要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ベストプラクティスとして、リソースは Amazon リソースネーム (ARN) を使用して指定します。これは、リソース レベルのアクセス許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルのアクセス許可をサポートしないアクションの場合は、ワイルドカード (*) を使用して、ステートメントがすべてのリソースに適用されることを示します。

"Resource": "*"
AWS IoT リソース
ポリシーアクション AWS IoT API リソース
iot:AcceptCertificateTransfer AcceptCertificateTransfer

arn:aws:iot:region:account-id: 証明書/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

iot:AddThingToThingGroup AddThingToThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

arn:aws:iot:region:account-id: モノ/thing-name

iot:AssociateTargetsWithJob AssociateTargetsWithJob なし
iot:AttachPolicy AttachPolicy

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

または

arn:aws:iot:region:account-id: 証明書/cert-id

iot:AttachPrincipalPolicy AttachPrincipalPolicy

arn:aws:iot:region:account-id: 証明書/cert-id

iot:AttachThingPrincipal AttachThingPrincipal

arn:aws:iot:region:account-id: 証明書/cert-id

iot:CancelCertificateTransfer CancelCertificateTransfer

arn:aws:iot:region:account-id: 証明書/cert-id

注記

ARN で指定される AWS アカウントは、証明書が転送されているアカウントである必要があります。

iot:CancelJob CancelJob

arn:aws:iot:region:account-id:ジョブ/job-id

iot:CancelJobExecution CancelJobExecution

arn:aws:iot:region:account-id:ジョブ/job-id

arn:aws:iot:region:account-id: モノ/thing-name

iot:ClearDefaultAuthorizer ClearDefaultAuthorizer なし
iot:CreateAuthorizer CreateAuthorizer

arn:aws:iot:region:account-id: オーソライザー/authorizer-function-name

iot:CreateCertificateFromCsr CreateCertificateFromCsr *
iot:CreateJob CreateJob

arn:aws:iot:region:account-id:ジョブ/job-id

iot:CreateKeysAndCertificate CreateKeysAndCertificate *
iot:CreatePolicy CreatePolicy *
CreatePolicyVersion iot:CreatePolicyVersion

arn:aws:iot:region:account-idポリシー/policy-name

注記

これは、AWS IoT ポリシーではなく、IAM ポリシーである必要があります。

iot:CreateRoleAlias CreateRoleAlias

(パラメータ: roleAlias)

arn:aws:iot:region:account-id:rolealias/role-alias-name

iot:CreateThing CreateThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:CreateThingGroup CreateThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

作成されているグループと親グループ用、使用されている場合

iot:CreateThingType CreateThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

iot:CreateTopicRule CreateTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:DeleteAuthorizer DeleteAuthorizer

arn:aws:iot:region:account-id: オーソライザー/authorizer-name

iot:DeleteCACertificate DeleteCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

iot:DeleteCertificate DeleteCertificate

arn:aws:iot:region:account-id: 証明書/cert-id

iot:DeleteJob DeleteJob

arn:aws:iot:region:account-id:ジョブ/job-id

iot:DeleteJobExecution DeleteJobExecution

arn:aws:iot:region:account-id:ジョブ/job-id

arn:aws:iot:region:account-id: モノ/thing-name

iot:DeletePolicy DeletePolicy

arn:aws:iot:region:account-idポリシー/policy-name

iot:DeletePolicyVersion DeletePolicyVersion

arn:aws:iot:region:account-idポリシー/policy-name

iot:DeleteRegistrationCode DeleteRegistrationCode *
iot:DeleteRoleAlias DeleteRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

iot:DeleteThing DeleteThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:DeleteThingGroup DeleteThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:DeleteThingType DeleteThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

iot:DeleteTopicRule DeleteTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:DeleteV2LoggingLevel DeleteV2LoggingLevel

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:DeprecateThingType DeprecateThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

iot:DescribeAuthorizer DescribeAuthorizer

arn:aws:iot:region:account-id: オーソライザー/authorizer-function-name

(パラメータ: authorizerName)

なし
iot:DescribeCACertificate DescribeCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

iot:DescribeCertificate DescribeCertificate

arn:aws:iot:region:account-id: 証明書/cert-id

iot:DescribeDefaultAuthorizer DescribeDefaultAuthorizer なし
iot:DescribeEndpoint DescribeEndpoint *
iot:DescribeEventConfigurations DescribeEventConfigurations なし
iot:DescribeIndex DescribeIndex

arn:aws:iot:region:account-id: インデックス/index-name

iot:DescribeJob DescribeJob

arn:aws:iot:region:account-id:ジョブ/job-id

iot:DescribeJobExecution DescribeJobExecution なし
iot:DescribeRoleAlias DescribeRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

iot:DescribeThing DescribeThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:DescribeThingGroup DescribeThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:DescribeThingRegistrationTask DescribeThingRegistrationTask なし
iot:DescribeThingType DescribeThingType

arn:aws:iot:region:account-id:thingtype/thing-type-name

iot:DetachPolicy DetachPolicy

arn:aws:iot:region:account-id: 証明書/cert-id

または

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:DetachPrincipalPolicy DetachPrincipalPolicy

arn:aws:iot:region:account-id: 証明書/cert-id

iot:DetachThingPrincipal DetachThingPrincipal

arn:aws:iot:region:account-id: 証明書/cert-id

iot:DisableTopicRule DisableTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:EnableTopicRule EnableTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:GetEffectivePolicies GetEffectivePolicies

arn:aws:iot:region:account-id: 証明書/cert-id

iot:GetIndexingConfiguration GetIndexingConfiguration なし
iot:GetJobDocument GetJobDocument

arn:aws:iot:region:account-id:ジョブ/job-id

iot:GetLoggingOptions GetLoggingOptions *
iot:GetPolicy GetPolicy

arn:aws:iot:region:account-idポリシー/policy-name

iot:GetPolicyVersion GetPolicyVersion

arn:aws:iot:region:account-idポリシー/policy-name

iot:GetRegistrationCode GetRegistrationCode *
iot:GetTopicRule GetTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:ListAttachedPolicies ListAttachedPolicies

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

または

arn:aws:iot:region:account-id: 証明書/cert-id

iot:ListAuthorizers ListAuthorizers なし
iot:ListCACertificates ListCACertificates *
iot:ListCertificates ListCertificates *
iot:ListCertificatesByCA ListCertificatesByCA *
iot:ListIndices ListIndices なし
iot:ListJobExecutionsForJob ListJobExecutionsForJob なし
iot:ListJobExecutionsForThing ListJobExecutionsForThing なし
iot:ListJobs ListJobs

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

パラメータを使用する場合はthingGroupName

iot:ListOutgoingCertificates ListOutgoingCertificates *
iot:ListPolicies ListPolicies *
iot:ListPolicyPrincipals ListPolicyPrincipals

arn:aws:iot:region:account-idポリシー/policy-name

iot:ListPolicyVersions ListPolicyVersions

arn:aws:iot:region:account-idポリシー/policy-name

iot:ListPrincipalPolicies ListPrincipalPolicies

arn:aws:iot:region:account-id: 証明書/cert-id

iot:ListPrincipalThings ListPrincipalThings

arn:aws:iot:region:account-id: 証明書/cert-id

iot:ListRoleAliases ListRoleAliases なし
iot:ListTargetsForPolicy ListTargetsForPolicy

arn:aws:iot:region:account-idポリシー/policy-name

iot:ListThingGroups ListThingGroups なし
iot:ListThingGroupsForThing ListThingGroupsForThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:ListThingPrincipals ListThingPrincipals

arn:aws:iot:region:account-id: モノ/thing-name

iot:ListThingRegistrationTaskReports ListThingRegistrationTaskReports なし
iot:ListThingRegistrationTasks ListThingRegistrationTasks なし
iot:ListThingTypes ListThingTypes *
iot:ListThings ListThings *
iot:ListThingsInThingGroup ListThingsInThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:ListTopicRules ListTopicRules *
iot:ListV2LoggingLevels ListV2LoggingLevels なし
iot:RegisterCACertificate RegisterCACertificate *
iot:RegisterCertificate RegisterCertificate *
iot:RegisterThing RegisterThing なし
iot:RejectCertificateTransfer RejectCertificateTransfer

arn:aws:iot:region:account-id: 証明書/cert-id

iot:RemoveThingFromThingGroup RemoveThingFromThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

arn:aws:iot:region:account-id: モノ/thing-name

iot:ReplaceTopicRule ReplaceTopicRule

arn:aws:iot:region:account-id:ルール/rule-name

iot:SearchIndex SearchIndex

arn:aws:iot:region:account-id: インデックス/index-id

iot:SetDefaultAuthorizer SetDefaultAuthorizer

arn:aws:iot:region:account-id: オーソライザー/authorizer-function-name

iot:SetDefaultPolicyVersion SetDefaultPolicyVersion

arn:aws:iot:region:account-idポリシー/policy-name

iot:SetLoggingOptions SetLoggingOptions

arn:aws:iot:region:account-id:role/role-name

iot:SetV2LoggingLevel SetV2LoggingLevel

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:SetV2LoggingOptions SetV2LoggingOptions

arn:aws:iot:region:account-id:role/role-name

iot:StartThingRegistrationTask StartThingRegistrationTask なし
iot:StopThingRegistrationTask StopThingRegistrationTask なし
iot:TestAuthorization TestAuthorization

arn:aws:iot:region:account-id: 証明書/cert-id

iot:TestInvokeAuthorizer TestInvokeAuthorizer なし
iot:TransferCertificate TransferCertificate

arn:aws:iot:region:account-id: 証明書/cert-id

iot:UpdateAuthorizer UpdateAuthorizer

arn:aws:iot:region:account-id:authorizerfunction/authorizer-function-name

iot:UpdateCACertificate UpdateCACertificate

arn:aws:iot:region:account-id:cacert/cert-id

iot:UpdateCertificate UpdateCertificate

arn:aws:iot:region:account-id: 証明書/cert-id

iot:UpdateEventConfigurations UpdateEventConfigurations なし
iot:UpdateIndexingConfiguration UpdateIndexingConfiguration なし
iot:UpdateRoleAlias UpdateRoleAlias

arn:aws:iot:region:account-id:rolealias/role-alias-name

iot:UpdateThing UpdateThing

arn:aws:iot:region:account-id: モノ/thing-name

iot:UpdateThingGroup UpdateThingGroup

arn:aws:iot:region:account-id: モノのグループ/thing-group-name

iot:UpdateThingGroupsForThing UpdateThingGroupsForThing

arn:aws:iot:region:account-id: モノ/thing-name

の形式の詳細については、「ARNsAmazon リソースネーム (ARN) と サービスの名前空間AWS」を参照してください。

リソースの作成など、一部の AWS IoT アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード (*) を使用する必要があります。

"Resource": "*"

リソースタイプおよびその AWS IoT のリストを表示するには、ARNsAWS IoT で定義されるリソース の「IAM ユーザーガイド」を参照してください。どのアクションで、各リソースの ARN を指定することができるかについては、「AWS IoT で定義されるアクション」を参照してください。

Device Advisor リソース

AWS IoT Device Advisor IAM ポリシーのリソースレベルの制限を定義するには、スイートの定義とスイートの実行に次のリソース ARN 形式を使用します。

スイート定義リソース ARN 形式

arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id

Suite 実行リソース ARN 形式

arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id

条件キー

Administrators can use AWS JSON policies to specify who has access to what. That is, which principal can perform actions on what resources, and under what conditions.

Condition エレメント (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Conditionエレメントはオプションです。イコールや以下などの条件演算子を使用する条件式を作成して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、AWS が論理 AND 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS が論理 OR 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。たとえば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、IAM ユーザーガイド の「IAM ポリシーの要素: 変数およびタグ」を参照してください。

AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイド の「AWS グローバル条件コンテキストキー」を参照してください。

AWS IoT は独自の条件キーを定義し、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、AWS の「 グローバル条件コンテキストキー」を参照してください。IAM ユーザーガイド

AWS IoT 条件キー
AWS IoT 条件キー 説明 タイプ
aws:RequestTag/${tag-key} ユーザーが AWS IoT に対して行うリクエストに含まれるタグキー。 文字列
aws:ResourceTag/${tag-key} AWS IoT リソースにアタッチされているタグキーコンポーネント。 文字列
aws:TagKeys リクエスト内のリソースに関連付けられているすべてのタグキー名のリスト。 文字列

条件キーのリストを表示するには、AWS IoTAWS IoT の条件キー の「IAM ユーザーガイド」を参照してください。どのアクションおよびリソースと条件キーを使用できるかについては、「AWS IoT で定義されるアクション」を参照してください。

Examples

AWS IoT アイデンティティベースのポリシーの例を表示するには、「AWS IoT アイデンティティベースのポリシーの例」を参照してください。

AWS IoT リソースベースのポリシー

リソースベースのポリシーとは、AWS IoT リソース上で指定するプリンシパルとしてのどのアクションをどの条件で実行できるかを指定する JSON ポリシードキュメントです。

AWS IoT では、IAM リソースベースのポリシーはサポートされていません。ただし、AWS IoT リソースベースのポリシーをサポートしています。

AWS IoT タグに基づいた承認

タグを AWS IoT リソースにアタッチすることも、AWS IoT へのリクエストでタグを渡すこともできます。タグに基づいてアクセスを制御するには、、または iot:ResourceTag/key-name の条件キーを使用して、ポリシーのaws:RequestTag/key-name条件要素aws:TagKeysでタグ情報を提供します。詳細については、「IAM ポリシーでのタグの使用」を参照してください。AWS IoT リソースのタグ付けの詳細については、「AWS IoT リソースのタグ付け」を参照してください。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「タグに基づく AWS IoT リソースの表示」を参照してください。

AWS IoT IAM ロール

IAM ロールは、特定のアクセス許可を持つ、AWS アカウント内のエンティティです。

AWS IoT を使用した一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AWS STS や AssumeRole などの API オペレーションを呼び出します。GetFederationToken

AWS IoTでは、一時認証情報の使用をサポートしています。

サービスにリンクされたロール

サービスにリンクされたロールによって、AWS サービスが他のサービスのリソースにアクセスして自動的にアクションを完了できます。サービスにリンクされたロールは、IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

AWS IoT ではサービスにリンクされたロールをサポートしていません。

サービスロール

この機能では、サービスのロールをユーザーに代わって引き受けることをサービスに許可します。このロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを実行できます。サービスロールは、IAM アカウントに表示され、サービスによって所有されます。つまり、IAM 管理者は、このロールのアクセス許可を変更できます。ただし、これを行うことにより、サービスの機能が損なわれる場合があります。