翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS IoT SiteWise ID ベースのポリシー
IAM ポリシーを使用すると、 AWS IoT SiteWiseで誰が何をできるかを制御できます。許可されるアクションと許可されないアクションを決定し、これらのアクションに特定の条件を設定できます。たとえば、 で情報を表示または変更できるユーザーに関するルールを作成できます AWS IoT SiteWise。 は、特定のアクション、リソース、および条件キー AWS IoT SiteWise をサポートしています。JSON ポリシーで使用するすべての要素については「*IAM ユーザーガイド*」の「[IAM JSON ポリシーエレメントのリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
## ポリシーアクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
のポリシーアクションは、アクションの前にプレフィックス AWS IoT SiteWise を使用します`iotsitewise:`。たとえば、 `BatchPutAssetPropertyValue` API オペレーション AWS IoT SiteWise を使用して にアセットプロパティデータをアップロードするアクセス許可を付与するには、ポリシーに `iotsitewise:BatchPutAssetPropertyValue`アクションを含めます。ポリシーステートメントには、 `Action`または `NotAction` element を含める必要があります。 は、このサービスで実行できるタスクを記述する独自のアクションのセット AWS IoT SiteWise を定義します。
単一のステートメントに複数の アクションを指定するには、次のようにコンマで区切ります。
```
"Action": [
"iotsitewise:action1",
"iotsitewise:action2"
]
```
ワイルドカード \$1を使用して複数のアクションを指定することができます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
```
"Action": "iotsitewise:Describe*"
```
AWS IoT SiteWise アクションのリストを確認するには、*IAM ユーザーガイド*の「 [で定義されるアクション AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions)」を参照してください。
### BatchPutAssetPropertyValue 認可
AWS IoT SiteWise は、[BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html) アクションへのアクセスを異常な方法で許可します。ほとんどのアクションでは、アクセスを許可または拒否するとき、アクセス許可が付与されていない場合、そのアクションはエラーを返します。`BatchPutAssetPropertyValue` を使用すると、1 つの API リクエストで複数のデータエントリを異なるアセットおよびアセットプロパティに送信できます。 AWS IoT SiteWise は各データエントリを個別に認可します。リクエストで認可に失敗した個々のエントリの場合、 はエラーの返されたリスト`AccessDeniedException`に AWS IoT SiteWise を含めます。 は、同じリクエスト内の別のエントリが失敗した場合でも、認可および成功したすべてのエントリのデータ AWS IoT SiteWise を受け取ります。
**重要**
データストリームにデータを取り込む前に、次のことを行ってください。
データストリームの識別にプロパティエイリアスを使用する場合は、`time-series` リソースを認可します。
関連するアセットプロパティを含むアセットを識別するためにアセット ID を使用する場合、`asset` リソースを認可します。
## ポリシーリソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
各 IAM ポリシーステートメントはARN を使用して指定したリソースに適用されます。ARN には以下の一般的な構文があります。
```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```
ARN の形式の詳細については、[「Amazon AWS リソースネーム (ARNs) でリソースを識別する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)」を参照してください。
たとえば、ステートメントで ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` のアセットを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```
特定のアカウントに属するすべてのデータストリームを指定する場合は、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```
特定のアカウントに属するすべてのアセットを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```
リソースを作成するためのアクションなど、一部の AWS IoT SiteWise アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード (\$1) を使用する必要があります。
```
"Resource": "*"
```
複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
]
```
AWS IoT SiteWise リソースタイプとその ARNs「 [で定義されるリソースタイプ AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies)」を参照してください。 **どのアクションで各リソースの ARN を指定できるかについては、「[AWS IoT SiteWiseで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions)」を参照してください。
## ポリシー条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
**重要**
多くの条件キーはリソースに固有のものであり、一部の API アクションでは複数のリソースを使用します。条件キーを使用してポリシーステートメントを作成する場合は、ポリシーステートメントの `Resource` 要素で、条件キーが適用されるリソースを指定します。指定しない場合、そのポリシーはユーザーに対してすべてのアクションの実行を禁止する可能性があります。これは、条件キーが適用されないリソースに対して条件チェックが失敗するためです。リソースを指定しない場合や、ポリシーの `Action` 要素に複数の API アクションを含めている場合は、`...IfExists` 条件タイプを使用して、条件キーが適用されないリソースに対して無視されるようにする必要があります。詳細については、[[IAM User Guide]](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists) (IAM ユーザーガイド) の*[...IfExists conditions]* (..IfExists 条件) を参照してください。
AWS IoT SiteWise は独自の条件キーのセットを定義し、一部のグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
**AWS IoT SiteWise 条件キー**
| 条件キー | 説明 | 型 |
| --- | --- | --- |
| iotsitewise:isAssociatedWithAssetProperty | データストリームがアセットプロパティと関連付けられているかどうか。この条件キーを使用して、データストリームの関連するアセットプロパティの存在に基づくアクセス許可を定義することができます。 値の例: `true` | String |
| iotsitewise:assetHierarchyPath | アセットの階層パス。各アセット ID をスラッシュで区切った文字列です。この条件キーを使用して、アカウント内のすべてのアセットの階層のサブセットに基づいたアクセス許可を定義します。 値の例: `/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:propertyId | アセットプロパティの ID。この条件キーを使用して、アセットモデルの指定されたプロパティに基づいたアクセス許可を定義します。この条件キーは、そのモデルのすべてのアセットに適用されます。 値の例: `a1b2c3d4-5678-90ab-cdef-33333EXAMPLE` | String |
| iotsitewise:childAssetId | 別のアセットに子として関連付けられているアセットの ID。この条件キーを使用して、子アセットに基づいたアクセス許可を定義します。親アセットに基づいてアクセス許可を定義するには、ポリシーステートメントのリソースセクションを使用します。 値の例: `a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:iam | アクセスポリシーを一覧表示する際の IAM アイデンティティ のARN です。この条件キーを使用して、IAM アイデンティティのアクセスポリシー許可を定義します。 値の例: `arn:aws:iam::123456789012:user/JohnDoe` | 文字列、Null |
| iotsitewise:propertyAlias | アセットプロパティまたはデータストリームを識別するエイリアス。この条件キーを使用して、エイリアスに基づくアクセス許可を定義します。 | String |
| iotsitewise:user | アクセスポリシーをリスト化するときの IAM Identity Center ユーザーの ID。この条件キーを使用して、IAM Identity Center ユーザーのアクセスポリシーアクセス許可を定義します。 値の例: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE` | 文字列、Null |
| iotsitewise:group | アクセスポリシーをリスト化するときの IAM Identity Center グループの ID。この条件キーを使用して、IAM Identity Center グループのアクセスポリシーアクセス許可を定義します。 値の例: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE` | 文字列、Null |
| iotsitewise:portal | アクセスポリシー内のポータルの ID。この条件キーを使用して、ポータルに基づいたアクセスポリシー許可を定義します。 値の例: `a1b2c3d4-5678-90ab-cdef-77777EXAMPLE` | 文字列、Null |
| iotsitewise:project | アクセスポリシー内のプロジェクトの ID、またはダッシュボードのプロジェクトの ID。この条件キーを使用して、ポータルに基づいたダッシュボードまたはアクセスポリシー許可を定義します。 値の例: `a1b2c3d4-5678-90ab-cdef-88888EXAMPLE` | 文字列、Null |
条件キーを使用できるアクションとリソースについては、[「 で定義されるアクション AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions)」を参照してください。
## 例
AWS IoT SiteWise アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS IoT SiteWise アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)。