すべてのプロダクト
Search

このプロダクト

    IoT Platform:現在の Alibaba Cloud アカウントの RAM ユーザーにサーバー側サブスクリプションの使用を承認する

    ドキュメントセンター

    IoT Platform:現在の Alibaba Cloud アカウントの RAM ユーザーにサーバー側サブスクリプションの使用を承認する

    最終更新日:Mar 26, 2025

    Resource Access Management (RAM) ロールを使用して、RAM ユーザーに IoT Platform のサーバー側サブスクリプション機能の使用を承認できます。このトピックでは、RAM ロールを使用して、RAM ユーザーが IoT Platform からサーバー側サブスクリプションメッセージを受信することを承認する方法について説明します。

    背景情報

    Security Token Service (STS) を使用すると、Alibaba Cloud リソースへのアクセスに使用される一時的な認証情報を管理できます。RAM を使用すると、Alibaba Cloud アカウントの次の ID を作成および管理できます。RAM ユーザーと RAM ロール。

    RAM ロールは、ポリシーをアタッチできる仮想 ID です。RAM ロールには、ログインパスワードまたは AccessKey ペアはありません。 RAM ロールは、RAM ユーザー、Alibaba Cloud サービス、ID プロバイダー (IdP) などの信頼できるエンティティによって引き受けられる必要があります。信頼できるエンティティが RAM ロールを引き受けると、信頼できるエンティティは RAM ロールの STS トークンを取得して使用し、RAM ロールに権限があるリソースにアクセスできます。

    STS の機能と利点の詳細については、「STS とは」をご参照ください。

    説明

    RAM ユーザーに IoT Platform リソースへのアクセスを直接承認することもできます。ただし、RAM ロールを使用して、RAM ロールに権限があるリソースへのアクセスを RAM ユーザーに承認する方が安全です。

    RAM ユーザーを使用する場合は、iot:sub アクションを含む RAM ポリシーを RAM ユーザーにアタッチする必要があります。このようにして、RAM ユーザーは IoT Platform のサーバー側サブスクリプション機能を使用できます。そうでない場合、接続は失敗します。詳細については、「IoT Platform API 操作と RAM ポリシー間のマッピング」をご参照ください。

    ステップ 1: RAM ロールを作成し、RAM ロールに権限を付与する

    1. 信頼できる Alibaba Cloud アカウントの RAM ロールを作成する: Alibaba Cloud アカウントを使用して RAM コンソール にログインし、現在の Alibaba Cloud アカウントの RAM ロールを作成します。

      ロールの作成ウィザードのロールの構成ステップで、[現在の Alibaba Cloud アカウント] パラメーターに 信頼できる Alibaba Cloud アカウントを選択 を選択します。

    2. JSON タブでカスタムポリシーを作成する: Alibaba Cloud アカウントを使用して、カスタムポリシーを作成します。

      サーバー側サブスクリプションを使用する権限を付与するには、アクションiot:sub パラメーターを に設定します。次のコードは、ポリシーの内容を示しています。

      {
  "Statement": [
    {
      "Action": "iot:sub", // アクション
      "Effect": "Allow", // 許可
      "Resource": "*" // リソース
    }
  ],
  "Version": "1" // バージョン
}

    3. RAM ロールに権限を付与する: Alibaba Cloud アカウントを使用して、前の手順で作成したカスタムポリシーを RAM ロールにアタッチします。

    4. RAM ユーザーを作成する: Alibaba Cloud アカウントを使用して RAM コンソール にログインし、RAM ユーザーを作成します。

    5. RAM ユーザーに権限を付与する: Alibaba Cloud アカウントを使用して、前の手順で作成した RAM ユーザーに [AliyunSTSAssumeRoleAccess] 権限を付与します。このようにして、RAM ユーザーは Alibaba Cloud アカウントの RAM ロールを引き受けることができます。

    ステップ 2: RAM ユーザーとして AMQP サーバー側サブスクリプションメッセージを受信する

    1. AMQP サーバー側サブスクリプションを構成する: Alibaba Cloud アカウントを使用して IoT Platform コンソール にログインし、Advanced Message Queuing Protocol (AMQP) サーバー側サブスクリプションを構成します。

    2. サーバー側サブスクリプションメッセージを受信するように AMQP クライアントを構成する: 作成した RAM ユーザーとして AMQP クライアントを IoT Platform に接続し、サーバー側サブスクリプション機能を使用して IoT Platform からデバイスメッセージを受信します。