翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS の 管理ポリシー AWS IoT Greengrass
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を提供するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
**Topics**
+ [AWS マネージドポリシー: AWSGreengrassFullAccess](#aws-managed-policies-AWSGreengrassFullAccess)
+ [AWS マネージドポリシー: AWSGreengrassReadOnlyAccess](#aws-managed-policies-AWSGreengrassReadOnlyAccess)
+ [AWS マネージドポリシー: AWSGreengrassResourceAccessRolePolicy](#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)
+ [AWS IoT Greengrass AWS 管理ポリシーの更新](#aws-managed-policy-updates)
## AWS マネージドポリシー: AWSGreengrassFullAccess
`AWSGreengrassFullAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、プリンシパルにすべての AWS IoT Greengrass アクションへのフルアクセスを許可する管理者権限を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `greengrass` – プリンシパルに AWS IoT Greengrass のすべてのアクションへのフルアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSGreengrassReadOnlyAccess
`AWSGreengrassReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーにより、プリンシパルは AWS IoT Greengrassの情報を表示できるが、変更できないようにする読み取り専用のアクセス許可が付与されます。例えば、これらのアクセス許可を持つプリンシパルは、Greengrass コアデバイスにデプロイされたコンポーネントのリストを表示できますが、そのデバイスで実行されるコンポーネントを変更するためのデプロイを作成することはできません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `greengrass` - プリンシパルは、アイテムのリストまたはアイテムに関する詳細を返すアクションを実行することができます。これには、`List` または `Get` で始まる API オペレーションが含まれます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSGreengrassResourceAccessRolePolicy
`AWSGreengrassResourceAccessRolePolicy` ポリシーを IAM エンティティにアタッチできます。 は、ユーザーに代わって がアクションを実行できるようにするサービスロール AWS IoT Greengrass にもこのポリシー AWS IoT Greengrass をアタッチします。詳細については、「[Greengrass サービスロール](greengrass-service-role.md)」を参照してください。
このポリシーは、 が Lambda 関数の取得、 AWS IoT デバイスシャドウの管理、Greengrass クライアントデバイスの検証などの重要なタスク AWS IoT Greengrass を実行できるようにする管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `greengrass` - Greengrass リソースを管理します。
+ `iot` (`*Shadow`) – AWS IoT 名前に次の特別な識別子を持つシャドウを管理します。これらのアクセス許可は、 AWS IoT Greengrass がコアデバイスと通信できるようにするために必要です。
+ `*-gci` – このシャドウ AWS IoT Greengrass を使用してコアデバイス接続情報を保存し、クライアントデバイスがコアデバイスを検出して接続できるようにします。
+ `*-gcm` – AWS IoT Greengrass V1 はこのシャドウを使用して、Greengrass グループの認証機関 (CA) 証明書がローテーションされたことをコアデバイスに通知します。
+ `*-gda` – AWS IoT Greengrass V1 はこのシャドウを使用して、コアデバイスにデプロイを通知します。
+ `GG_*` – 未使用。
+ `iot` (`DescribeThing` と `DescribeCertificate`) – AWS IoT モノと証明書に関する情報を取得します。これらのアクセス許可は、 AWS IoT Greengrass がコアデバイスに接続するクライアントデバイスを検証するために必要です。詳細については、「[ローカル IoT デバイスとやり取りする](interact-with-local-iot-devices.md)」を参照してください。
+ `lambda` – AWS Lambda 関数に関する情報を取得します。このアクセス許可は、 AWS IoT Greengrass V1 が Lambda 関数を Greengrass コアにデプロイできるようにするために必要です。詳細については、*AWS IoT Greengrass 「 V1 デベロッパーガイド*」の[AWS IoT Greengrass 「コアで Lambda 関数を実行する](https://docs.aws.amazon.com/greengrass/v1/developerguide/lambda-functions.html)」を参照してください。
+ `secretsmanager` – 名前が で始まる AWS Secrets Manager シークレットの値を取得します`greengrass-`。このアクセス許可は、 AWS IoT Greengrass V1 が Secrets Manager シークレットを Greengrass コアにデプロイできるようにするために必要です。詳細については、*AWS IoT Greengrass 「 V1 * [デベロッパーガイド」の AWS IoT Greengrass 「コアにシークレットをデプロイする](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html)」を参照してください。
+ `s3` - 名前に `greengrass` または `sagemaker` が含まれる S3 バケットからファイルオブジェクトを取得します。これらのアクセス許可は、 AWS IoT Greengrass V1 が S3 バケットに保存する機械学習リソースをデプロイできるようにするために必要です。詳細については、*AWS IoT Greengrass 「 V1 デベロッパーガイド*」の[「機械学習リソース](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html#ml-resources)」を参照してください。
+ `sagemaker` - Amazon SageMaker AI 機械学習推論モデルに関する情報を取得します。このアクセス許可は、 AWS IoT Greengrass V1 が ML モデルを Greengrass コアにデプロイできるようにするために必要です。詳細については、*AWS IoT Greengrass 「 V1 * [デベロッパーガイド」の「機械学習推論](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html)の実行」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}
```
------
## AWS IoT Greengrass AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始した時点 AWS IoT Greengrass からの の AWS マネージドポリシーの更新に関する詳細を表示できます。このページの変更に関する自動アラートについては、[AWS IoT Greengrass V2 ドキュメント履歴ページの](document-history.md) RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| AWS IoT Greengrass が変更の追跡を開始しました | AWS IoT Greengrass は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 7 月 2 日 |