SORACOM Funnel の AWS IoT アダプターなどの一部の機能では、SORACOM の AWS リソースがお客様の AWS リソースにアクセスします。これを実現するために、お客様の AWS アカウントで「SORACOM の AWS アカウントを信頼できるエンティティとして指定した IAM ロール」と「必要な操作権限を定義した IAM ポリシー」を作成し、作成した IAM ロールに、作成した IAM ポリシーを追加します。
そして次に、お客様の AWS アカウントで作成した IAM ロールの ARN (Amazon Resource Names) を SORACOM に登録すると、SORACOM の AWS リソースが適切な権限でお客様の AWS リソースにアクセスできる仕組みです。
なお、SORACOM に ARN を登録する方法については、SORACOM の各サービスの説明を参照してください。たとえば、Funnel の AWS IoT アダプターを利用する場合は、AWS IoT アダプターを使用する を参照してください。
ここでは例として、以下の設定の IAM ポリシーと IAM ロールを作成します。
項目 | 説明 |
---|---|
IAM ポリシー |
|
IAM ロール |
|
IAM ポリシーを作成する
必要な操作権限を定義した IAM ポリシーを作成します。
IAM コンソール にアクセスし、 → の順にクリックして、 をクリックします。
「アクセス許可を指定」画面が表示されます。
をクリックし、サービス名を入力して、表示されたサービス名をクリックします。
ここでは「IoT」を入力して、表示された「IoT」をクリックしています。
にアクションを入力し、表示されたアクションにチェックを入れます。
ここでは「Publish」を入力して、表示された
にチェックを入れています。→ → の順にクリックします。
「ARN を追加」画面が表示されます。
以下の項目を設定します。
項目 説明 「このアカウント」を選択します。「このアカウント」は、お客様の AWS アカウントを指します。 お客様の AWS リソース (AWS IoT など) を作成するリージョンを入力するか、 にチェックを入れます。サービスやアクションごとの設定 お客様が利用する SORACOM のサービスにあわせて、適切に設定してください。
たとえば、Funnel の AWS IoT アダプターを利用する場合は、AWS IoT に Publish する権限を定義するために、AWS IoT アダプターを使用する を参照してください。
が表示されます。AWS IoT アダプターについて詳しくは、をクリックします。
「アクセス許可を指定」画面に戻ります。
をクリックします。
に AWS IAM ポリシーの名前を入力して、 をクリックします。
AWS IAM ポリシーが作成され、ポリシー画面に戻ります。
IAM ロールを作成する
IAM ロールを作成し、信頼できるエンティティ (IAM ロールの利用を許可する AWS アカウント) として SORACOM の AWS アカウントを指定して、あらかじめ作成した IAM ポリシー を追加します。また、セキュリティを強化するために外部 ID も指定します。
IAM コンソール にアクセスし、 → の順にクリックして、 をクリックします。
→ の順にクリックし、SORACOM のカバレッジタイプにあわせて に以下のいずれかを入力します。
- 日本カバレッジ:
762707677580
- グローバルカバレッジ:
950858143650
たとえば、グローバルカバレッジの IoT SIM (例: plan01s) で Funnel を利用する場合は、グローバルカバレッジのアカウント ID (
950858143650
) を入力します。- 日本カバレッジ:
にチェックを入れ、 に任意の文字列 (例:External-ID-EP8tLuTcrzRibRU7
) を入力します。IAM ロールごとに異なる文字列を指定してください
外部 ID の詳細は、AWS の AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法 - AWS Identity and Access Management を参照してください。
をクリックします。
「許可を追加」画面が表示されます。
IAM ポリシーを作成する で作成した AWS IAM ポリシーの名前を入力し、その AWS IAM ポリシーにチェックを入れて、 をクリックします。
にに IAM ロールの名前を入力して、 をクリックします。
ロール画面に戻ります。
をクリックします。
をメモします。
この ARN を、SORACOM のサービスに登録します。ARN を SORACOM のサービスに登録する操作については、各サービスの説明を参照してください。