AWS IoT Things Graph のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS IoT Things Graph のアクション、リソース、および条件キー

AWS IoT Things Graph (サービスプレフィックス: iotthingsgraph) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS IoT Things Graph で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateEntityToThing デバイスをユーザーのレジストリにある具体的なモノに関連付けます。一度に 1 つのモノを関連付けることができるデバイスは 1 つだけです。モノを新しいデバイス ID に関連付けると、以前の関連付けは削除されます。 書き込み

iot:DescribeThing

iot:DescribeThingGroup

CreateFlowTemplate ワークフローテンプレートを作成します。ワークフローは、ユーザーの名前空間でのみ作成できます。(パブリック名前空間にはエンティティのみが含まれます。) ワークフローは、指定された名前空間内のエンティティのみを含めることができます。ワークフローは、リクエストで別の名前空間のバージョンが指定されていない限り、ユーザーの名前空間の最新バージョンにあるエンティティに対して検証されます。 書き込み
CreateSystemInstance 指定された設定とモノを使用してシステムのインスタンスを作成します。 タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSystemTemplate システムを作成します。システムは、リクエストで別の名前空間のバージョンが指定されていない限り、ユーザーの名前空間の最新バージョンにあるエンティティに対して検証されます。 書き込み
DeleteFlowTemplate ワークフローを削除します。このワークフローを含む新しいシステムまたはシステムインスタンスは、更新またはデプロイに失敗します。ワークフローを含む既存のシステムインスタンスは、引き続き実行されます (システムインスタンスのデプロイ時に作成されたワークフローのスナップショットを使用するため)。 書き込み

Workflow*

DeleteNamespace 指定された名前空間を削除します。このアクションは、名前空間内のすべてのエンティティを削除します。このアクションを実行する前に、名前空間のシステムとフローを削除します。 書き込み
DeleteSystemInstance システムインスタンスを削除します。デプロイされたことがないインスタンス、またはターゲットからデプロイ解除されたインスタンスのみを削除できます。ユーザーは、削除されたシステムインスタンスと同じ ID を持つ新しいシステムインスタンスを作成できます。 書き込み

SystemInstance*

DeleteSystemTemplate システムを削除します。新しいシステムインスタンスには、削除後にシステムを含めることはできません。システムを含む既存のシステムインスタンスは、デプロイ時に作成されたシステムのスナップショットを使用するため、引き続き機能します。 書き込み

System*

DeploySystemInstance CreateSystemInstance で指定されたターゲットにシステムインスタンスをデプロイします。 書き込み

SystemInstance*

DeprecateFlowTemplate 指定されたワークフローを廃止にします。このアクションは、ワークフローを削除対象としてマークします。廃止されたフローはデプロイできませんが、フローを使用する既存のシステムインスタンスは引き続き実行されます。 書き込み

Workflow*

DeprecateSystemTemplate 指定されたシステムを廃止します。 書き込み

System*

DescribeNamespace ユーザーの名前空間の最新バージョンと、追跡しているパブリックバージョンを取得します。 Read
DissociateEntityFromThing デバイスエンティティと具体的なモノの関連付けを解除します。アクションは、特定のタイプの 1 つのエンティティのみをモノに関連付けることができるため、関連付けを解除する必要があるエンティティのタイプのみを取ります。 書き込み

iot:DescribeThing

iot:DescribeThingGroup

GetEntities 指定されたエンティティの説明を取得します。デフォルトでは、最新バージョンのユーザーの名前空間を使用します。 Read
GetFlowTemplate 指定されたワークフローの DefinitionDocument および FlowTemplateSummary の最新バージョンを取得します。 Read

Workflow*

GetFlowTemplateRevisions 指定されたワークフローのリビジョンを取得します。最後の 100 個のリビジョンのみが保存されます。ワークフローが廃止された場合、このアクションは廃止前に発生したリビジョンを返します。このアクションは、削除されたワークフローでは機能しません。 Read

Workflow*

GetNamespaceDeletionStatus 名前空間の削除タスクのステータスを取得します。 Read
GetSystemInstance システムインスタンスを取得します。 Read

SystemInstance*

GetSystemTemplate システムを取得します。 Read

System*

GetSystemTemplateRevisions 指定されたシステムテンプレートに対して行われたリビジョンを取得します。以前の 100 個のリビジョンのみが保存されます。システムが廃止された場合、このアクションは廃止前に発生したリビジョンを返します。このアクションは、削除されたシステムでは機能しません。 Read

System*

GetUploadStatus 指定されたアップロードのステータスを取得します。 Read
ListFlowExecutionMessages 1 つのワークフロー実行の詳細を一覧表示します。 リスト
ListTagsForResource 特定のリソースのすべてのタグを一覧表示します リスト

SystemInstance

SearchEntities 指定されたタイプのエンティティを検索します。追跡している名前空間とパブリック名前空間内のエンティティを検索できます。 Read
SearchFlowExecutions システムインスタンスのワークフロー実行を検索します。 Read

SystemInstance*

SearchFlowTemplates ワークフローに関する概要情報を検索します。 Read
SearchSystemInstances ユーザーのアカウントでシステムインスタンスを検索します。 Read
SearchSystemTemplates ユーザーアカウントのシステムに関する概要情報を検索します。ワークフローの ID でフィルタリングして、指定したワークフローを使用するシステムのみを返すことができます。 Read
SearchThings 指定されたエンティティに関連付けられたモノを検索します。デバイスモデルとデバイスモデルの両方で検索できます。 Read
TagResource 指定されたリソースにタグを付けます。 タグ付け

SystemInstance

aws:RequestTag/${TagKey}

aws:TagKeys

UndeploySystemInstance ターゲットからシステムインスタンスと関連付けられたトリガーを削除します。 書き込み

SystemInstance*

UntagResource 指定されたリソースのタグを解除します。 タグ付け

SystemInstance

aws:TagKeys

UpdateFlowTemplate 指定されたワークフローを更新します。ワークフローを使用するデプロイ済みシステムおよびシステムインスタンスはすべて、再デプロイ時にフローの変更を確認します。ワークフローは、指定された名前空間内のエンティティのみを含めることができます。 書き込み

Workflow*

UpdateSystemTemplate 指定されたシステム更新します。ワークフローの更新後にこのアクションを実行する必要はありません。システムを使用するシステムインスタンスは、再デプロイ時にシステムの変更を確認します。 書き込み

System*

UploadEntityDefinitions 1 つ以上のエンティティ定義をユーザーの名前空間に非同期的にアップロードします。 書き込み

AWS IoT Things Graph で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
Workflow arn:${Partition}:iotthingsgraph:${Region}:${Account}:Workflow/${NamespacePath}
System arn:${Partition}:iotthingsgraph:${Region}:${Account}:System/${NamespacePath}
SystemInstance arn:${Partition}:iotthingsgraph:${Region}:${Account}:Deployment/${NamespacePath}

aws:ResourceTag/${TagKey}

AWS IoT Things Graph の条件キー

AWS IoT Things Graph では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} ユーザーが thingsgraph サービスに対して行うリクエストに含まれるキーによってアクセスがフィルタリングされます。 文字列
aws:ResourceTag/${TagKey} タグキーと値のペアでアクセスをフィルタリングします。 文字列
aws:TagKeys ユーザーが thingsgraph サービスに対して行うリクエストに含まれるすべてのタグキー名のリストでアクセスをフィルタリングします。 文字列