すべてのプロダクト
Search
ドキュメントセンター

IoT Platform:IoT Platform の RAM 認可

最終更新日:Jun 05, 2026

RAM ユーザーまたは RAM ロールを作成し、カスタムポリシーを付与することで、Alibaba Cloud アカウントの認証情報を共有することなく、IoT Platform で、きめ細かいアクセス制御を実現します。

背景情報

RAM と STS の概念とシナリオについては、「RAM と STS の概要」をご参照ください。アクセス制御の基礎については、「アクセス制御の基本概念」をご参照ください。

RAM サービスの詳細

サービス

説明

RAM サービス名

IoT Platform

RAM コード

iot

コンソールサポート

あり

API サポート

あり

認可粒度

API レベル。RAM ユーザーまたは RAM ロールは、特定のリソースタイプに対して指定された操作を実行できます。

システムポリシー

  • AliyunIOTFullAccess: IoT Platform に対する完全な管理権限を付与します。

  • AliyunIOTReadOnlyAccess: IoT Platform に対する読み取り専用アクセス権限を付与します。

  • AliyunIOTConsoleCommonAccess: IoT Platform コンソールの一般的な権限を付与します。

ポリシー要素

RAM ポリシーは、エフェクト、アクション、リソース、条件、プリンシパルの各要素で構成されています。構文と評価ルールについては、「ポリシー言語」をご参照ください。

次の表では、IoT Platform のポリシー要素について説明します。

要素

必須

説明

エフェクト

はい

Allow または Deny を指定します。

説明

ポリシーに Allow と Deny の両方のステートメントが含まれている場合、Deny が優先されます。

アクション

はい

特定のリソースに対する操作を指定します。

IoT Platform のアクション形式は iot:${APIName} です。${APIName} は IoT Platform API の名前を表します。完全なリストについては、「IoT Platform クラウド API のリスト」をご参照ください。

複数のアクションをカンマ (,) で区切って指定でき、アスタリスク (*) ワイルドカードを使用できます。たとえば、iot:Create* は、Create で始まるすべての API (CreateProductCreateThingModelCreateProductTopic など) に一致します。

リソース

はい

認可されるオブジェクトを指定します。

IoT Platform は API レベルの認可のみをサポートし、個別の製品やデバイスに対するリソースレベルの認可はサポートしていません。リソース* に設定してください。

条件

いいえ

認可が有効になるタイミングを指定します。

IoT Platform は条件要素をサポートしていません。

RAM 認可アクション

各アクションは iot:${APIName} の形式に従います。API 名の完全なリストについては、「IoT Platform のすべてのパブリッククラウド API のリスト」をご参照ください。次の表は、IoT Platform のパブリック API のサンプルアクションと、リストに記載されていない API に対応する操作のアクションを示しています。

API 名または操作

RAM 認可操作 (アクション)

リソース

API の説明

CreateProduct

iot:CreateProduct

*

製品を作成します。

DeleteConsumerGroupSubscribeRelation

iot:DeleteConsumerGroupSubscribeRelation

*

AMQP サブスクリプション内の複数のコンシューマーグループから、指定されたコンシューマーグループを削除します。

AMQP サーバーサイドサブスクリプションの設定

iot:sub

*

AMQP サーバーサイドサブスクリプションの接続をサポートします。

製品証明書キーのリセット

iot:ResetProductSecret

*

製品証明書の ProductSecret をリセットします。

はじめに

  1. アカウント管理者の作成

    Alibaba Cloud アカウントはすべてのリソースに対する完全な権限を持ちます。送信元 IP や時間によるアクセス制限はできません。複数の人がアカウントを共有すると、操作を個々のユーザーに追跡できなくなります。アカウントが侵害されると、重大なセキュリティリスクとなります。日常業務に Alibaba Cloud アカウントを使用しないでください。

    RAM で RAM ユーザーを作成し、AdministratorAccess 権限を付与してください。この管理者を使用して、他の RAM ユーザーを作成し、権限を付与してください。

  2. カスタムポリシーの作成

    RAM には、システムポリシー (事前定義済みで変更不可) とカスタムポリシーがあります。システムポリシーが要件を満たさない場合は、カスタムポリシーを作成してください。

  3. RAM ユーザーの作成と認可:

よくある質問