Getting Started: IAM ポリシーと IAM ロールを作成する | Amazon Web Services (AWS) を設定する

SORACOM Funnel の AWS IoT アダプターなどの一部の機能では、SORACOM の AWS リソースがお客様の AWS リソースにアクセスします。これを実現するために、お客様の AWS アカウントで「SORACOM の AWS アカウントを信頼できるエンティティとして指定した IAM ロール」と「必要な操作権限を定義した IAM ポリシー」を作成し、作成した IAM ロールに、作成した IAM ポリシーを追加します。

そして次に、お客様の AWS アカウントで作成した IAM ロールの ARN (Amazon Resource Names) を SORACOM に登録すると、SORACOM の AWS リソースが適切な権限でお客様の AWS リソースにアクセスできる仕組みです。

なお、SORACOM に ARN を登録する方法については、SORACOM の各サービスの説明を参照してください。たとえば、Funnel の AWS IoT アダプターを利用する場合は、AWS IoT アダプターを使用するを参照してください。

IAM ポリシーを作成する

体験する機能によって設定は異なります。参照元ページの指示に従って操作してください。

IAM コンソールにアクセスし、[アクセス管理] → [ポリシー] の順にクリックして、[ポリシーの作成] をクリックします。

「アクセス許可を指定」画面が表示されます。
[Service] → [Choose a service] (サービスを選択) をクリックし、サービス名を入力して、表示されたサービス名をクリックします。
ここでは例として「IoT」を入力し、表示された「IoT」をクリックしています。
[アクションをフィルタリング] にアクションを入力し、表示されたアクションにチェックを入れます。
ここでは例として「Publish」を入力し、表示された [Publish] にチェックを入れています。
[リソース] → [特定] → [ARN を追加] の順にクリックします。

「ARN を指定」画面が表示されます。

以下の項目を設定します。

項目	説明
[次のリソース]	「このアカウント」を選択します。「このアカウント」は、お客様の AWS アカウントを指します。
[リソースのリージョン]	お客様の AWS リソース (AWS IoT など) を作成するリージョンを入力するか、[任意のリージョン] にチェックを入れます。
サービスやアクションごとの設定	お客様が利用する SORACOM のサービスにあわせて、適切に設定してください。たとえば、Funnel の AWS IoT アダプターを利用する場合は、AWS IoT に Publish する権限を定義するために、[Resource topic name] が表示されます。AWS IoT アダプターについて詳しくは、AWS IoT アダプターを使用するを参照してください。

項目

説明

[次のリソース]

「このアカウント」を選択します。「このアカウント」は、お客様の AWS アカウントを指します。

[リソースのリージョン]

お客様の AWS リソース (AWS IoT など) を作成するリージョンを入力するか、[任意のリージョン] にチェックを入れます。

サービスやアクションごとの設定

お客様が利用する SORACOM のサービスにあわせて、適切に設定してください。

たとえば、Funnel の AWS IoT アダプターを利用する場合は、AWS IoT に Publish する権限を定義するために、[Resource topic name] が表示されます。AWS IoT アダプターについて詳しくは、AWS IoT アダプターを使用するを参照してください。

[ARN を追加] をクリックします。
「アクセス許可を指定」画面に戻ります。
[次へ] をクリックします。
[ポリシー名] に AWS IAM ポリシーの名前を入力して、[ポリシーの作成] をクリックします。
ここでは例として「funnel-test-aws-iot-policy」を入力しています。

AWS IAM ポリシーが作成され、ポリシー画面に戻ります。

IAM ロールを作成する

IAM ロールを作成し、信頼できるエンティティ (IAM ロールの利用を許可する AWS アカウント) として SORACOM の AWS アカウントを指定して、あらかじめ作成した IAM ポリシーを追加します。また、セキュリティを強化するために外部 ID も指定します。

体験する機能によって設定は異なります。参照元ページの指示に従って操作してください。

IAM コンソールにアクセスし、[アクセス管理] → [ロール] の順にクリックして、[ロールを作成] をクリックします。
[AWS アカウント] → [別の AWS アカウント] の順にクリックし、[アカウント ID] に SORACOM の AWS アカウントの ID を入力します。
SORACOM の AWS アカウント ID は、カバレッジタイプによって異なります。
- 日本カバレッジ: 762707677580
- グローバルカバレッジ: 950858143650
たとえば、グローバルカバレッジの IoT SIM (例: plan01s) で Funnel を利用する場合は、グローバルカバレッジの AWS アカウント ID (950858143650) を入力します。
[外部 ID を要求する] にチェックを入れ、[外部 ID] に任意の文字列 (例: External-ID-EP8tLuTcrzRibRU7) を入力します。

IAM ロールごとに異なる文字列を指定してください
外部 ID の詳細は、AWS の AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法 - AWS Identity and Access Management を参照してください。
[次へ] をクリックします。
「許可を追加」画面が表示されます。
[検索] に IAM ポリシーを作成するで作成した AWS IAM ポリシーの名前を入力し、その AWS IAM ポリシーにチェックを入れて、[次へ] をクリックします。
ここでは例として「funnel-test-aws-iot-policy」を入力し、表示された AWS IAM ポリシーにチェックを入れています。
[ロール名] に IAM ロールの名前を入力して、[ロールを作成] をクリックします。
ここでは例として「funnel-test-aws-iot-role」を入力しています。

ロール画面に戻ります。
[ロールを表示] をクリックします。
IAM ロールの [ARN] をメモします。

この ARN を、SORACOM ユーザーコンソールに登録します。参照元ページの指示に従って操作してください。