翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ユーザーとクラウドサービスに AWS IoT ジョブの使用を許可する
<a name="iam-policy-users-jobs"></a>

ユーザーとクラウドサービスを承認するには、コントロールプレーンとデータプレーンの両方で IAM ポリシーを使用する必要があります。ポリシーは HTTPS プロトコルと一緒に使用し、ユーザー認証には AWS 署名バージョン 4 認証 (ポート 443) を使用する必要があります。

**注記**  
AWS IoT Core ポリシーをコントロールプレーンで使用することはできません。ユーザーおよびクラウドサービスの承認には、IAM ポリシーのみが使用されます。必要なポリシータイプの詳細については、「[AWS IoT ジョブに必要なポリシータイプ](iot-jobs-security.md#jobs-required-policy)」を参照してください。

IAM ポリシーは、ポリシーステートメントを含む JSON ドキュメントです。ポリシーステートメントでは、*効果*、*アクション*、および*リソース*の各要素を使用して、リソース、許可または拒否するアクション、およびアクションが許可または拒否される条件を指定します。詳細については、*IAM ユーザーガイド*の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html)」を参照してください。

**警告**  
IAM ポリシーや ポリシーなど`"Action": ["iot:*"]`では、ワイルドカードアクセス許可を使用しないことをお勧めします AWS IoT Core 。ワイルドカードアクセス許可の使用は、セキュリティ上のベストプラクティスとして推奨されません。詳細については、「[アクセス許可が過度に寛容なAWS IoT ポリシー](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-iot-policy-permissive.html)」を参照してください。

## コントロールプレーンにおける IAM ポリシー
<a name="iam-jobs-control-plane"></a>

コントロールプレーンでは、IAM ポリシーは、対応するジョブ API オペレーションを承認するために、アクションと一緒に`iot:` プレフィックスを使用します。例えば、`iot:CreateJob` ポリシーアクションは、[https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) API を使用するアクセス許可をユーザーに付与します。

### ポリシーアクション
<a name="iam-control-plane-actions"></a>

次の表に API アクションを使用するための IAM ポリシーアクションとアクセス許可のリストを示します。リソースタイプの詳細については、「 [で定義されるリソースタイプ AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-job)」を参照してください。アクションの詳細については AWS IoT 、「 [で定義されるアクション AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html)」を参照してください。


**コントロールプレーンにおける IAM ポリシーアクション**  

| ポリシーアクション | API オペレーション: | リソースタイプ | 説明 | 
| --- | --- | --- | --- | 
| iot:AssociateTargetsWithJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iam-policy-users-jobs.html)  | グループを連続ジョブに関連付けるためのアクセス許可を表します。iot:AssociateTargetsWithJob アクセス許可は、ターゲットの関連付けのリクエストが行われるたびに確認されます。 | 
| iot:CancelJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html) | ジョブ | ジョブをキャンセルするアクセス許可を表します。iot:CancelJob アクセス許可は、ジョブのキャンセルリクエストが行われるたびに確認されます。 | 
| iot:CancelJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iam-policy-users-jobs.html)  | ジョブの実行をキャンセルするアクセス許可を表します。iot: CancelJobExecution アクセス許可は、ジョブの実行のキャンセルリクエストが行われるたびに確認されます。 | 
| iot:CreateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iam-policy-users-jobs.html)  | ジョブを作成するためのアクセス許可を表します。iot: CreateJob アクセス許可は、ジョブの作成リクエストが行われるたびに確認されます。 | 
| iot:CreateJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iam-policy-users-jobs.html)  | ジョブテンプレートを作成するためのアクセス許可を表します。iot: CreateJobTemplate アクセス許可は、ジョブテンプレートの作成リクエストが行われるたびに確認されます。 | 
| iot:DeleteJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html) | ジョブ | ジョブを削除するアクセス許可を表します。iot: DeleteJob アクセス許可は、ジョブの削除リクエストが行われるたびに確認されます。 | 
| iot:DeleteJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html) | jobtemplate | ジョブテンプレートを削除するアクセス許可を表します。iot: CreateJobTemplate アクセス許可は、ジョブテンプレートの削除リクエストが行われるたびに確認されます。 | 
| iot:DeleteJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iam-policy-users-jobs.html)  | ジョブの実行を削除するアクセス許可を表します。iot: DeleteJobExecution アクセス許可は、ジョブの実行の削除リクエストが行われるたびに確認されます。 | 
| iot:DescribeJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html) | ジョブ | ジョブを説明するアクセス許可を表します。iot: DescribeJob アクセス許可は、ジョブの説明のリクエストが行われるたびに確認されます。 | 
| iot:DescribeJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iam-policy-users-jobs.html)  | ジョブの実行を説明するアクセス許可を表します。iot: DescribeJobExecution アクセス許可は、ジョブの実行の説明のリクエストが行われるたびに確認されます。 | 
| iot:DescribeJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html) | jobtemplate | ジョブテンプレートを説明するためのアクセス許可を表します。iot: DescribeJobTemplate アクセス許可は、ジョブテンプレートの説明のリクエストが行われるたびに確認されます。 | 
| iot:DescribeManagedJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html) | jobtemplate | マネージドジョブテンプレートを説明するアクセス許可を表します。iot: DescribeManagedJobTemplate アクセス許可は、マネージドジョブテンプレートの説明のリクエストが行われるたびに確認されます。 | 
| iot:GetJobDocument | [https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html](https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html) | ジョブ | ジョブのジョブドキュメントを取得するアクセス許可を表します。iot:GetJobDocument アクセス許可は、ジョブドキュメントの取得リクエストが行われるたびに確認されます。 | 
| iot:ListJobExecutionsForJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html) | ジョブ | ジョブのジョブ実行を一覧表示するためのアクセス許可を表します。iot:ListJobExecutionsForJob アクセス許可は、ジョブ実行を一覧表示するリクエストが行われるたびに確認されます。 | 
| iot:ListJobExecutionsForThing | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html) | thing | ジョブのジョブ実行を一覧表示するためのアクセス許可を表します。iot:ListJobExecutionsForThing アクセス許可は、モノのジョブ実行を一覧表示するリクエストが行われるたびに確認されます。 | 
| iot:ListJobs | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html) | なし | ジョブを一覧表示するためのアクセス許可を表します。iot:ListJobs アクセス許可は、ジョブを一覧表示するリクエストが行われるたびに確認されます。 | 
| iot:ListJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html) | なし | ジョブテンプレートを一覧表示するためのアクセス許可を表します。iot:ListJobTemplates アクセス許可は、ジョブテンプレートを一覧表示するリクエストが行われるたびに確認されます。 | 
| iot:ListManagedJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html) | なし | マネージドジョブテンプレートを一覧表示するアクセス許可を表します。iot:ListManagedJobTemplates アクセス許可は、マネージドジョブテンプレートを一覧表示するリクエストが行われるたびに確認されます。 | 
| iot:UpdateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html) | ジョブ | ジョブを更新するアクセス許可を表します。iot:UpdateJob アクセス許可は、ジョブの更新リクエストが行われるたびに確認されます。 | 
| iot:TagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iam-policy-users-jobs.html)  | 特定のリソースにタグを付けるアクセス許可を表します。 | 
| iot:UntagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iam-policy-users-jobs.html)  | 特定のリソースのタグを解除するためのアクセス許可を表します。 | 

### 基本的な IAM ポリシーの例
<a name="iam-control-plane-example"></a>

IoT のモノとモノのグループに対して、ユーザーに以下のアクションを実行する許可を与える IAM ポリシーの例を以下に示します。

この例では、次のように置き換えます。
+  AWS リージョンなどの の*リージョン*`us-east-1`。
+ *account-id* は、 などの AWS アカウント 番号を使用します`57EXAMPLE833`。
+ *Thing-group-name* をジョブのターゲットとなる IoT のモノグループの名前 (例: `FirmwareUpdateGroup`) に。
+ *thing-name* をジョブのターゲットとなる IoT のモノの名前 (例: `MyIoTThing`) に。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iot:CreateJobTemplate",
                "iot:CreateJob"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:us-east-1:123456789012:thinggroup/thing-group-name"
        },
        {
            "Action": [
                "iot:DescribeJob",
                "iot:CancelJob",
                "iot:DeleteJob"
            ],
            "Effect": "Allow",
	    "Resource": "arn:aws:iot:us-east-1:123456789012:job/*"
        },
        {
            "Action": [
                "iot:DescribeJobExecution",
                "iot:CancelJobExecution",
                "iot:DeleteJobExecution"
            ],
            "Effect": "Allow",
            "Resource": [
            "arn:aws:iot:us-east-1:123456789012:thing/thing-123",
                "arn:aws:iot:us-east-1:123456789012:job/*"
            ]
        }
    ]
}
```

### IP ベースの認可用の IAM ポリシーの例
<a name="iam-control-plane-example1"></a>

*プリンシパル*に対して、特定の IP アドレスからのコントロールプレーンエンドポイントへの API コールを制限できます。許可できる IP アドレスを指定するには、IAM ポリシーの Condition 要素で、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) グローバル条件キーを使用します。

この条件キーを使用すると、他の AWS のサービスへのアクセスがユーザーに代わってこれらの API コールを行うことを拒否することもできます AWS CloudFormation。これらのサービスへのアクセスを許可するには、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) グローバル条件キーを aws:SourceIp キーで 使用します。これにより、送信元 IP アドレスのアクセス制限は、プリンシパルによって直接行われた要求にのみ適用されます。詳細については、[AWS「: ソース IP AWS に基づいて へのアクセスを拒否する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)」を参照してください。

次の例は、コントロールプレーンエンドポイントへの API コールを特定の IP アドレスにのみ許可する方法を示しています。`aws:ViaAWSService` キーを `true` に設定します。これにより、ユーザーに代わって API コールを行うことを他のサービスに許可します。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:CreateJobTemplate",
                "iot:CreateJob"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                 "IpAddress": {
                     "aws:SourceIp": "123.45.167.89"
             },
                 "Bool": {
                     "aws:ViaAWSService": "false"
        }
        }
    }]
}
```

## データプレーンにおける IAM ポリシー
<a name="iam-jobs-data-plane"></a>

データプレーンの IAM ポリシーでは、ユーザーが実行できるジョブ API オペレーションを承認するために `iotjobsdata:` プレフィックスを使用します。データプレーンでは、`iotjobsdata:DescribeJobExecution` ポリシーアクションを使用することで、ユーザーに [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html) API を使用するアクセス許可を付与することができます。

**警告**  
 AWS IoT ジョブをデバイスのターゲットにする場合、データプレーンで IAM ポリシーを使用することは推奨されません。ユーザーがジョブを作成および管理するには、コントロールプレーンで IAM ポリシーを使用することをお勧めします。データプレーンでは、ジョブ実行の取得と実行ステータスの更新をデバイスに承認するには、[AWS IoT Core HTTPS プロトコルの ポリシー](iot-data-plane-jobs.md#iot-jobs-data-http) を使用します。

### 基本的な IAM ポリシーの例
<a name="iam-data-plane-example"></a>

承認する必要がある API オペレーションは、通常、CLI コマンドを入力して実行します。ユーザーが `DescribeJobExecution` オペレーションを実行した場合の例を以下に示します。

この例では、次のように置き換えます。
+  AWS リージョンなどの の*リージョン*`us-east-1`。
+ *account-id* は、 などの AWS アカウント 番号を使用します`57EXAMPLE833`。
+ *thing-name* をジョブのターゲットとなる IoT のモノの名前 (例: `myRegisteredThing`) に。
+ `job-id` は、API を使用してターゲットとするジョブの一意の識別子です。

```
aws iot-jobs-data describe-job-execution \ 
    --endpoint-url "https://account-id.jobs.iot.region.amazonaws.com" \ 
    --job-id jobID --thing-name thing-name
```

以下に、このアクションを承認する IAM ポリシーの例を示します。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Action": [
            "iotjobsdata:DescribeJobExecution"
        ],
        "Effect": "Allow",
        "Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
    }
}
```

### IP ベースの認可用の IAM ポリシーの例
<a name="iam-data-plane-example1"></a>

*プリンシパル*に対して、特定の IP アドレスからのデータプレーンエンドポイントへの API コールを制限できます。許可できる IP アドレスを指定するには、IAM ポリシーの Condition 要素で、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) グローバル条件キーを使用します。

この条件キーを使用すると、他の AWS のサービスへのアクセスがユーザーに代わってこれらの API コールを行うことを拒否することもできます AWS CloudFormation。これらのサービスへのアクセスを許可するには、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) グローバル条件キーを `aws:SourceIp` 条件キーで使用します。これにより、IP アドレスのアクセス制限は、プリンシパルによって直接行われた要求にのみ適用されます。詳細については、[AWS「: ソース IP AWS に基づいて へのアクセスを拒否する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)」を参照してください。

次の例は、データプレーンエンドポイントへの API コールを特定の IP アドレスにのみ許可する方法を示しています。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "iotjobsdata:*"
        ],
        "Resource": [
            "*"
        ],
        "Condition": {
            "IpAddress": {
                "aws:SourceIp": "123.45.167.89"
        },
            "Bool": {
                "aws:ViaAWSService": "false"
        }
        }
    }]
}
```

次の例は、特定の IP アドレスまたはアドレス範囲に対して、データプレーンエンドポイントへの API コールを制限する方法を示しています。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iotjobsdata:*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "123.45.167.89",
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
            }
        },
            "Resource": [
                "*"
            ]
        }
    ]
}
```

### コントロールプレーンとデータプレーン両方の IAM ポリシーの例
<a name="iam-data-plane-example2"></a>

コントロールプレーンとデータプレーンの両方で API オペレーションを実行する場合、コントロールプレーンのポリシーアクションは `iot:` プレフィックスを使用する必要があり、データプレーンのポリシーアクションは `iotjobsdata:` プレフィックスを使用する必要があります。

たとえば、`DescribeJobExecution` API は、コントロールプレーンとデータプレーン両方で使用できます。コントロールプレーン上では、[DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html) API は、ジョブ実行を説明するために使用されます。データプレーン上では、[DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html) API は、ジョブ実行の詳細を取得するために使用されます。

以下の IAM ポリシーは、コントロールプレーンとデータプレーンの両方で `DescribeJobExecution` API を使用するアクセス許可をユーザーに付与します。

この例では、次のように置き換えます。
+  AWS リージョンなどの の*リージョン*`us-east-1`。
+ *account-id* は、 などの AWS アカウント 番号を使用します`57EXAMPLE833`。
+ *thing-name* をジョブのターゲットなる IoT のモノの名前 (例: `MyIoTThing`) に。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iotjobsdata:DescribeJobExecution"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
        },
        {
            "Action": [
                "iot:DescribeJobExecution",
                "iot:CancelJobExecution",
                "iot:DeleteJobExecution"
            ],
            "Effect": "Allow",
            "Resource": [
            "arn:aws:iot:us-east-1:123456789012:thing/thing-123",
    "arn:aws:iot:us-east-1:123456789012:job/*"
            ]
        }
    ]
}
```

## IoT リソースのタグ付けを承認する
<a name="tagging-iot-jobs"></a>

作成、変更、使用できるジョブおよびジョブテンプレートをより適切に制御するために、ジョブまたはジョブテンプレートにタグをアタッチできます。タグは、所有権を識別し、請求グループに配置してタグをアタッチすることで、コストを割り当てるのにも役立ちます。

ユーザーが または を使用して作成したジョブまたはジョブテンプレートにタグを付ける場合 AWS マネジメントコンソール AWS CLI、IAM ポリシーはユーザーにタグを付けるアクセス許可を付与する必要があります。アクセス許可を付与するには、IAM ポリシーで `iot:TagResource` アクションを使用する必要があります。

**注記**  
IAM ポリシーに `iot:TagResource` アクションが含まれていない場合、タグ付きの [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) または [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) は `AccessDeniedException` エラーを返します。

または を使用して作成したジョブまたはジョブテンプレートにタグを付ける場合 AWS CLI、IAM ポリシーはそれらのジョブ AWS マネジメントコンソール またはジョブテンプレートにタグを付けるアクセス許可を付与する必要があります。アクセス許可を付与するには、IAM ポリシーで `iot:TagResource` アクションを使用する必要があります。

リソースのタグ付けの詳細については、「[AWS IoT リソースのタグ付け](tagging-iot.md)」を参照してください。

### IAM ポリシーの例
<a name="iam-jobs-tags-example"></a>

タグ付けのアクセス許可を付与する次の IAM ポリシーの例を参照してください。

*例 1*

次のコマンドを実行してジョブを作成し、特定の環境にタグ付けするユーザー。

この例では、次のように置き換えます。
+  AWS リージョンなどの の*リージョン*`us-east-1`。
+ *account-id* は、 などの AWS アカウント 番号を使用します`57EXAMPLE833`。
+ *thing-name* をジョブをターゲットにしている IoT のモノの名前 (例: `MyIoTThing`) に。

```
aws iot create-job 
    --job-id test_job 
    --targets "arn:aws:iot:region:account-id:thing/thingOne"
    --document-source "https://s3.amazonaws.com/amzn-s3-demo-bucket/job-document.json"
    --description "test job description" 
    --tags Key=environment,Value=beta
```

この例では、次の IAM ポリシーを使用する必要があります。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Action": [
            "iot:CreateJob",
            "iot:CreateJobTemplate",
            "iot:TagResource"
        ],
        "Effect": "Allow",
        "Resource": [
           "arn:aws:iot:us-east-1:123456789012:job/*",
           "arn:aws:iot:us-east-1:123456789012:jobtemplate/*"
        ]
    }
}
```