Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden Sie Servicerollen für AWS IoT SiteWise Monitor
Eine Servicerolle ist eine IAMRolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen AWS-Service an eine.
Damit Benutzer des SiteWise Monitor-Portals im AWS IoT SiteWiseVerbund auf Ihre AWS IAM Identity Center Ressourcen zugreifen können, müssen Sie jedem Portal, das Sie erstellen, eine Servicerolle zuordnen. In der Servicerolle muss SiteWise Monitor als vertrauenswürdige Entität angegeben und die AWSIoTSiteWiseMonitorPortalAccess
Wenn Sie ein SiteWise Monitor-Portal erstellen, müssen Sie eine Rolle auswählen, die Benutzern dieses Portals den Zugriff auf Ihre Ressourcen AWS IoT SiteWiseund IAM Identity Center-Ressourcen ermöglicht. Die AWS IoT SiteWise Konsole kann die Rolle für Sie erstellen und konfigurieren. Sie können die Rolle IAM später bearbeiten. Ihre Portalbenutzer werden Probleme bei der Verwendung ihrer SiteWise Monitor-Portale haben, wenn Sie die erforderlichen Berechtigungen aus der Rolle entfernen oder die Rolle löschen.
Anmerkung
Portale, die vor dem 29. April 2020 erstellt wurden, haben keine Servicerollen benötigt. Wenn Sie vor diesem Datum Portale erstellt haben, müssen Sie diesen Servicerollen anfügen, um sie weiter verwenden zu können. Navigieren Sie dazu in der AWS IoT SiteWise Konsole
In den folgenden Abschnitten wird beschrieben, wie Sie die SiteWise Monitor-Servicerolle in der AWS Management Console oder der erstellen und verwalten AWS Command Line Interface.
Inhalt
Berechtigungen für die Servicerolle für SiteWise Monitor
Wenn Sie ein Portal erstellen, AWS IoT SiteWise können Sie damit eine Rolle erstellen, deren Name mit beginnt AWSIoTSiteWiseMonitorServiceRole. Mit dieser Rolle können Benutzer von Federated SiteWise Monitor auf Ihre Portalkonfiguration, Ihre Assets, Asset-Daten sowie IAM Identity Center-Konfiguration zugreifen.
Die Rolle vertraut darauf, dass der folgende Service diese Rolle annimmt:
-
monitor.iotsitewise.amazonaws.com
Die Rolle verwendet die folgende Berechtigungsrichtlinie, deren Name mit beginnt AWSIoTSiteWiseMonitorServicePortalPolicy, damit SiteWise Monitor-Benutzer Aktionen an Ressourcen in Ihrem Konto ausführen können. Die AWSIoTSiteWiseMonitorPortalAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotsitewise:DescribePortal", "iotsitewise:CreateProject", "iotsitewise:DescribeProject", "iotsitewise:UpdateProject", "iotsitewise:DeleteProject", "iotsitewise:ListProjects", "iotsitewise:BatchAssociateProjectAssets", "iotsitewise:BatchDisassociateProjectAssets", "iotsitewise:ListProjectAssets", "iotsitewise:CreateDashboard", "iotsitewise:DescribeDashboard", "iotsitewise:UpdateDashboard", "iotsitewise:DeleteDashboard", "iotsitewise:ListDashboards", "iotsitewise:CreateAccessPolicy", "iotsitewise:DescribeAccessPolicy", "iotsitewise:UpdateAccessPolicy", "iotsitewise:DeleteAccessPolicy", "iotsitewise:ListAccessPolicies", "iotsitewise:DescribeAsset", "iotsitewise:ListAssets", "iotsitewise:ListAssociatedAssets", "iotsitewise:DescribeAssetProperty", "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetAssetPropertyValueHistory", "iotsitewise:GetAssetPropertyAggregates", "iotsitewise:BatchPutAssetPropertyValue", "iotsitewise:ListAssetRelationships", "iotsitewise:DescribeAssetModel", "iotsitewise:ListAssetModels", "iotsitewise:UpdateAssetModel", "iotsitewise:UpdateAssetModelPropertyRouting", "sso-directory:DescribeUsers", "sso-directory:DescribeUser", "iotevents:DescribeAlarmModel", "iotevents:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotevents:BatchAcknowledgeAlarm", "iotevents:BatchSnoozeAlarm", "iotevents:BatchEnableAlarm", "iotevents:BatchDisableAlarm" ], "Resource": "*", "Condition": { "Null": { "iotevents:keyValue": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:CreateAlarmModel", "iotevents:TagResource" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:UpdateAlarmModel", "iotevents:DeleteAlarmModel" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "iotevents.amazonaws.com" ] } } } ] }
Weitere Informationen zu den erforderlichen Berechtigungen für Alarme finden Sie unterRichten Sie Berechtigungen für AWS IoT Events Alarme ein.
Wenn sich ein Portalbenutzer anmeldet, erstellt SiteWise Monitor eine Sitzungsrichtlinie, die auf der Schnittmenge zwischen der Servicerolle und den Zugriffsrichtlinien dieses Benutzers basiert. Zugriffsrichtlinien definieren die Zugriffsstufe von -Identitäten auf Ihre Portale und Projekte. Weitere Informationen zu Portalberechtigungen und Zugriffsrichtlinien finden Sie unter Verwalten Sie Ihre SiteWise Monitor-Portale und CreateAccessPolicy.
Verwalten Sie die SiteWise Monitor-Servicerolle (Konsole)
Das AWS-IoT-SiteWise-Konsole erleichtert die Verwaltung der SiteWise Monitor-Dienstrolle für Portale. Beim Erstellen eines Portals sucht die Konsole nach vorhandenen Rollen, die für eine Zuordnung geeignet sind. Wenn keine verfügbar sind, kann die Konsole eine Servicerolle für Sie erstellen und konfigurieren. Weitere Informationen finden Sie unter Erstellen Sie ein Portal.
Themen
Finden Sie die Servicerolle (Konsole) eines Portals
Gehen Sie wie folgt vor, um die einem SiteWise Monitor-Portal zugeordnete Servicerolle zu finden.
So finden Sie die Servicerolle eines Portals
-
Navigieren Sie zur AWS IoT SiteWise -Konsole
. -
Wählen Sie im linken Navigationsbereich die Option Portale aus.
-
Wählen Sie das Portal aus, dessen Servicerolle Sie finden möchten.
Die dem Portal angefügte Rolle wird unter Permissions (Berechtigungen), Service role (Servicerolle) angezeigt.
Erstellen Sie eine SiteWise Monitor-Dienstrolle (AWS IoT SiteWise Konsole)
Wenn Sie ein SiteWise Monitor-Portal erstellen, können Sie eine Servicerolle für Ihr Portal erstellen. Weitere Informationen finden Sie unter Erstellen Sie ein Portal.
Sie können auch eine Servicerolle für ein vorhandenes Portal in der AWS IoT SiteWise Konsole erstellen. Dies ersetzt die bestehende Servicerolle des Portals.
So erstellen Sie eine Servicerolle für ein vorhandenes Portal
Navigieren Sie zur AWS IoT SiteWise -Konsole
. -
Wählen Sie im linken Navigationsbereich die Option Portale aus.
-
Wählen Sie das Portal aus, für das Sie eine neue Servicerolle erstellen möchten.
-
Wählen Sie unter Portal details (Portaldetails) die Option Edit (Bearbeiten).
-
Wählen Sie unter Permissions (Berechtigungen) die Option Create and use a new service role (Eine neue Servicerolle erstellen und verwenden) aus der Liste aus.
-
Geben Sie einen Namen für die neue Rolle ein.
-
Wählen Sie Save (Speichern) aus.
Erstellen Sie eine SiteWise Monitor-Servicerolle (IAMKonsole)
Sie können eine Servicerolle anhand der Servicerollenvorlage in der IAM Konsole erstellen. Diese Rollenvorlage enthält die AWSIoTSiteWiseMonitorPortalAccess
Um eine Servicerolle aus der Servicerollenvorlage des Portals zu erstellen
-
Navigieren Sie zur IAM-Konsole
. -
Wählen Sie im Navigationsbereich Rollen aus.
-
Wählen Sie Rolle erstellen aus.
-
Wählen Sie unter Wählen Sie einen Anwendungsfall die Option IoT aus SiteWise.
-
Wählen Sie unter Wählen Sie Ihren Anwendungsfall aus die Option IoT SiteWise Monitor - Portal.
-
Wählen Sie Next: Permissions aus.
-
Wählen Sie Next: Tags (Weiter: Tags) aus.
-
Klicken Sie auf Weiter: Prüfen.
-
Geben Sie einen Rollennamen für die neue Servicerolle ein.
-
Wählen Sie Rolle erstellen.
Ändern Sie die Servicerolle eines Portals (Konsole)
Gehen Sie wie folgt vor, um eine andere SiteWise Monitor-Servicerolle für ein Portal auszuwählen.
So ändern Sie die Servicerolle eines Portals
Navigieren Sie zur AWS IoT SiteWise -Konsole
. -
Wählen Sie im linken Navigationsbereich die Option Portale aus.
-
Wählen Sie das Portal aus, dessen Servicerolle Sie ändern möchten.
-
Wählen Sie unter Portal details (Portaldetails) die Option Edit (Bearbeiten).
-
Wählen Sie unter Permissions (Berechtigungen) die Option Use an existing role (Vorhandene Rolle verwenden) aus.
-
Wählen Sie eine vorhandene Rolle aus, die diesem Portal angefügt werden soll.
-
Wählen Sie Save (Speichern) aus.
Verwalten Sie die SiteWise Monitor-Servicerolle () CLI
Sie können die AWS CLI für die folgenden Aufgaben zur Verwaltung von Servicerollen im Portal verwenden:
Themen
Suchen Sie die Servicerolle eines Portals (CLI)
Um die einem SiteWise Monitor-Portal zugeordnete Servicerolle zu finden, führen Sie den folgenden Befehl aus, um alle Ihre Portale in der aktuellen Region aufzulisten.
aws iotsitewise list-portals
Die Operation gibt eine Antwort mit einer Portalzusammenfassung im folgenden Format zurück.
{ "portalSummaries": [ { "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "name": "WindFarmPortal", "description": "A portal that contains wind farm projects for Example Corp.", "roleArn": "arn:aws:iam::
123456789012
:role/service-role/role-name
", "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "creationDate": "2020-02-04T23:01:52.90248068Z", "lastUpdateDate": "2020-02-04T23:01:52.90248078Z" } ] }
Sie können den DescribePortalVorgang auch verwenden, um die Rolle Ihres Portals zu ermitteln, wenn Sie die ID Ihres Portals kennen.
Erstellen Sie die SiteWise Monitor-Servicerolle (CLI)
Gehen Sie wie folgt vor, um eine neue SiteWise Monitor-Dienstrolle zu erstellen.
So erstellen Sie eine SiteWise Monitor-Dienstrolle
-
Erstellen Sie eine Rolle mit einer Vertrauensrichtlinie, die es SiteWise Monitor ermöglicht, die Rolle zu übernehmen. In diesem Beispiel wird eine Rolle erstellt, die
MySiteWiseMonitorPortalRole
anhand einer in einer JSON Zeichenfolge gespeicherten Vertrauensrichtlinie benannt wird. -
Kopieren Sie die Rolle ARN aus den Rollenmetadaten in der Ausgabe. Wenn Sie ein Portal erstellen, verwenden Sie dieses, ARN um die Rolle Ihrem Portal zuzuordnen. Weitere Informationen zum Erstellen eines Portals finden Sie CreatePortalin der AWS IoT SiteWise APIReferenz.
-
Weisen Sie die
AWSIoTSiteWiseMonitorPortalAccess
-Richtlinie an die Rolle zu, oder fügen Sie eine Richtlinie hinzu, die entsprechende Berechtigungen definiert.aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
So fügen Sie einem vorhandenen Portal eine Servicerolle an
-
Führen Sie den folgenden Befehl aus, um die vorhandenen Details des Portals abzurufen. Ersetzen
portal-id
mit der ID des Portals.aws iotsitewise describe-portal --portal-id
portal-id
Die Operation gibt eine Antwort zurück, die die Details des Portals im folgenden Format enthält.
{ "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalArn": "arn:aws:iotsitewise:
region
:account-id
:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalName": "WindFarmPortal", "portalDescription": "A portal that contains wind farm projects for Example Corp.", "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE", "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "portalContactEmail": "support@example.com", "portalStatus": { "state": "ACTIVE" }, "portalCreationDate": "2020-04-29T23:01:52.90248068Z", "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z", "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE" } -
Führen Sie den folgenden Befehl aus, um einem Portal eine Servicerolle anzufügen. Ersetzen
role-arn
mit der Servicerolle ARN und ersetzen Sie die verbleibenden Parameter durch die vorhandenen Werte des Portals.aws iotsitewise update-portal \ --portal-id
portal-id
\ --role-arnrole-arn
\ --portal-nameportal-name
\ --portal-descriptionportal-description
\ --portal-contact-emailportal-contact-email
SiteWise Überwachen Sie Aktualisierungen für AWSIoTSiteWiseMonitorServiceRole
Sie können sich Details zu Updates AWSIoTSiteWiseMonitorServiceRolefür SiteWise Monitor anzeigen lassen, und zwar ab dem Zeitpunkt, zu dem dieser Dienst mit der Nachverfolgung der Änderungen begann. Abonnieren Sie den RSS Feed auf der Seite AWS IoT SiteWise Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
Änderung | Beschreibung | Datum |
---|---|---|
AWSIoTSiteWiseMonitorPortalAccess— Aktualisierte Richtlinie |
AWS IoT SiteWise AWSIoTSiteWiseMonitorPortalAccess |
27. Mai 2021 |
AWS IoT SiteWise hat begonnen, Änderungen zu verfolgen |
AWS IoT SiteWise hat begonnen, Änderungen für seine Servicerolle zu verfolgen. |
15. Dezember 2020 |