Soracom

Users

スタートガイド
Home スタートガイド さまざまな SaaS と SORACOM Amazon Web Services (AWS) を設定する Getting Started

IAM ポリシーと IAM ロールを作成する

お客様の AWS リソースへのアクセスを SORACOM の AWS リソースに許可

SORACOM Funnel の AWS IoT アダプターなどの一部の機能では、SORACOM の AWS リソースがお客様の AWS リソースにアクセスします。これを実現するために、お客様の AWS アカウントで「SORACOM の AWS アカウントを信頼できるエンティティとして指定した IAM ロール」と「必要な操作権限を定義した IAM ポリシー」を作成し、作成した IAM ロールに、作成した IAM ポリシーを追加します。

そして次に、お客様の AWS アカウントで作成した IAM ロールの ARN (Amazon Resource Names) を SORACOM に登録すると、SORACOM の AWS リソースが適切な権限でお客様の AWS リソースにアクセスできる仕組みです。

なお、SORACOM に ARN を登録する方法については、SORACOM の各サービスの説明を参照してください。たとえば、Funnel の AWS IoT アダプターを利用する場合は、AWS IoT アダプターを使用する を参照してください。

ここでは例として、以下の設定の IAM ポリシーと IAM ロールを作成します。

項目説明
IAM ポリシー
  • 操作権限: お客様の AWS アカウントの AWS IoT のトピック (myTopic/*) に対して、Publish する権限。
IAM ロール
  • 信頼できるエンティティ (IAM ロールの利用を許可する AWS アカウント): SORACOM の AWS アカウント。カバレッジタイプによって異なります。
  • 外部 ID の要求: IAM ロールを利用する際に外部 ID (任意の文字列) を要求し、セキュリティを強化します。IAM ロールごとに異なる文字列を指定してください。
  • 追加する IAM ポリシー: このページで作成する IAM ポリシー。

IAM ポリシーを作成する

必要な操作権限を定義した IAM ポリシーを作成します。

  1. IAM コンソール にアクセスし、[アクセス管理][ポリシー] の順にクリックして、[ポリシーの作成] をクリックします。

    「アクセス許可を指定」画面が表示されます。

  2. [サービスを選択] をクリックし、サービス名を入力して、表示されたサービス名をクリックします。

    ここでは「IoT」を入力して、表示された「IoT」をクリックしています。

  3. [アクションをフィルタリング] にアクションを入力し、表示されたアクションにチェックを入れます。

    ここでは「Publish」を入力して、表示された [Publish] にチェックを入れています。

  4. [リソース][特定][ARN を追加] の順にクリックします。

    「ARN を追加」画面が表示されます。

  5. 以下の項目を設定します。

    項目説明
    [次のリソース]「このアカウント」を選択します。「このアカウント」は、お客様の AWS アカウントを指します。
    [リソースのリージョン]お客様の AWS リソース (AWS IoT など) を作成するリージョンを入力するか、[任意のリージョン] にチェックを入れます。
    サービスやアクションごとの設定

    お客様が利用する SORACOM のサービスにあわせて、適切に設定してください。

    たとえば、Funnel の AWS IoT アダプターを利用する場合は、AWS IoT に Publish する権限を定義するために、[Resource topic name] が表示されます。AWS IoT アダプターについて詳しくは、AWS IoT アダプターを使用する を参照してください。

  6. [ARN を追加] をクリックします。

    「アクセス許可を指定」画面に戻ります。

  7. [次へ] をクリックします。

  8. [ポリシー名] に AWS IAM ポリシーの名前を入力して、[ポリシーの作成] をクリックします。

    AWS IAM ポリシーが作成され、ポリシー画面に戻ります。

IAM ロールを作成する

IAM ロールを作成し、信頼できるエンティティ (IAM ロールの利用を許可する AWS アカウント) として SORACOM の AWS アカウントを指定して、あらかじめ作成した IAM ポリシー を追加します。また、セキュリティを強化するために外部 ID も指定します。

  1. IAM コンソール にアクセスし、[アクセス管理][ロール] の順にクリックして、[ロールを作成] をクリックします。

  2. [AWS アカウント][別の AWS アカウント] の順にクリックし、SORACOM のカバレッジタイプにあわせて [アカウント ID] に以下のいずれかを入力します。

    • 日本カバレッジ: 762707677580
    • グローバルカバレッジ: 950858143650

    たとえば、グローバルカバレッジの IoT SIM (例: plan01s) で Funnel を利用する場合は、グローバルカバレッジのアカウント ID (950858143650) を入力します。

  3. [外部 ID を要求する] にチェックを入れ、[外部 ID] に任意の文字列 (例: External-ID-EP8tLuTcrzRibRU7) を入力します。

    IAM ロールごとに異なる文字列を指定してください

    外部 ID の詳細は、AWS の AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法 - AWS Identity and Access Management を参照してください。

  4. [次へ] をクリックします。

    「許可を追加」画面が表示されます。

  5. [検索]IAM ポリシーを作成する で作成した AWS IAM ポリシーの名前を入力し、その AWS IAM ポリシーにチェックを入れて、[次へ] をクリックします。

  6. [ロール名] に IAM ロールの名前を入力して、[ロールを作成] をクリックします。

    ロール画面に戻ります。

  7. [ロールを表示] をクリックします。

  8. [ARN] をメモします。

    この ARN を、SORACOM のサービスに登録します。ARN を SORACOM のサービスに登録する操作については、各サービスの説明を参照してください。