Permisos de rol de servicio para SiteWise Monitor (Classic)Permisos de rol de servicio para SiteWise Monitor (compatibles con la IA)Administración del rol de servicio (consola)Administración del rol de servicio (CLI)Actualizaciones de roles

Utilice los roles de servicio para AWS IoT SiteWise Monitor

Un rol de servicio es un rol de IAM que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

Para permitir que los usuarios federados del portal SiteWise Monitor accedan a sus AWS IAM Identity Center recursos AWS IoT SiteWisey a sus recursos, debe asignar un rol de servicio a cada portal que cree. El rol de servicio debe especificar a SiteWise Monitor como entidad de confianza e incluir la política AWSIoTSiteWiseMonitorPortalAccessadministrada o definir permisos equivalentes. Esta política la mantiene AWS y define el conjunto de permisos que SiteWise Monitor utiliza para acceder a sus recursos AWS IoT SiteWise y a los del IAM Identity Center.

Al crear un portal de SiteWise Monitor, debe elegir una función que permita a los usuarios de ese portal acceder a sus recursos AWS IoT SiteWisey a los del IAM Identity Center. La AWS IoT SiteWise consola puede crear y configurar el rol por usted. Puede editar el rol en IAM más adelante. Los usuarios de su portal tendrán problemas al usar sus portales de SiteWise Monitor si quita los permisos necesarios del rol o elimina el rol.

nota

Los portales creados antes del 29 de abril de 2020 no requerían roles de servicio. Si creó portales antes de esta fecha, deberá asociarles roles de servicio para poder seguir usándolos. Para ello, vaya a la página Portales de la consola de AWS IoT SiteWise y elija Migrar todos los portales a fin de utilizar roles de IAM.

En las siguientes secciones se describe cómo crear y administrar el rol del servicio de SiteWise monitoreo en el AWS Management Console o el AWS Command Line Interface.

Contenido

Permisos de rol de servicio para SiteWise Monitor (Classic)

Al crear un portal, AWS IoT SiteWise permite crear un rol cuyo nombre comience por AWSIoTSiteWiseMonitorServiceRole. Esta función permite a los usuarios federados de SiteWise Monitor acceder a la configuración del portal, a los activos, a los datos de activos y a los datos de configuración del IAM Identity Center.

El rol confía en el siguiente servicio para asumir el rol:

monitor.iotsitewise.amazonaws.com

El rol usa la siguiente política de permisos, que comienza con AWSIoTSiteWiseMonitorServicePortalPolicy, para permitir a los usuarios de SiteWise Monitor realizar acciones en los recursos de su cuenta. La política administrada AWSIoTSiteWiseMonitorPortalAccess define permisos equivalentes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribePortal",
                "iotsitewise:CreateProject",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:ListProjects",
                "iotsitewise:BatchAssociateProjectAssets",
                "iotsitewise:BatchDisassociateProjectAssets",
                "iotsitewise:ListProjectAssets",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:CreateAccessPolicy",
                "iotsitewise:DescribeAccessPolicy",
                "iotsitewise:UpdateAccessPolicy",
                "iotsitewise:DeleteAccessPolicy",
                "iotsitewise:ListAccessPolicies",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssets",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:BatchPutAssetPropertyValue",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting",
                "sso-directory:DescribeUsers",
                "sso-directory:DescribeUser",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:BatchAcknowledgeAlarm",
                "iotevents:BatchSnoozeAlarm",
                "iotevents:BatchEnableAlarm",
                "iotevents:BatchDisableAlarm"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iotevents:keyValue": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteAlarmModel"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "iotevents.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Para obtener más información sobre los permisos necesarios para las alarmas, consulte Configure los permisos para las alarmas de eventos en AWS IoT SiteWise.

Cuando un usuario del portal inicia sesión, SiteWise Monitor crea una política de sesión basada en la intersección del rol de servicio y las políticas de acceso de ese usuario. Las políticas de acceso definen el nivel de acceso de las identidades de a sus portales y proyectos. Para obtener más información sobre los permisos y las políticas de acceso al portal, consulte Administre sus portales de SiteWise Monitor y CreateAccessPolicy.

Permisos de rol de servicio para SiteWise Monitor (compatibles con la IA)

Al crear un portal, AWS IoT SiteWise permite crear un rol cuyo nombre comience por Io. TSite WisePortalRole Esta función permite a los usuarios federados de SiteWise Monitor acceder a la configuración del portal, a los activos, a los datos de activos y a los datos de configuración del IAM Identity Center.

aviso

SiteWise Monitor (compatible con la IA) no admite los roles de propietario del proyecto y visor del proyecto.

El rol confía en el siguiente servicio para asumir el rol:

monitor.iotsitewise.amazonaws.com

El rol usa la siguiente política de permisos, que comienza con Io TSite Wise AIPortal AccessPolicy, para permitir a los usuarios de SiteWise Monitor realizar acciones en los recursos de tu cuenta.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:CreateProject",
                "iotsitewise:DescribePortal",
                "iotsitewise:ListProjects",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:ListAssets",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:ListAssetProperties",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:GetInterpolatedAssetPropertyValues",
                "iotsitewise:BatchGetAssetPropertyAggregates",
                "iotsitewise:BatchGetAssetPropertyValue",
                "iotsitewise:BatchGetAssetPropertyValueHistory",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:DescribeAssetCompositeModel",
                "iotsitewise:DescribeAssetModelCompositeModel",
                "iotsitewise:ListAssetModelProperties",
                "iotsitewise:ExecuteQuery",
                "iotsitewise:ListTimeSeries",
                "iotsitewise:DescribeTimeSeries",
                "iotsitewise:InvokeAssistant",
                "iotsitewise:DescribeDataset",
                "iotsitewise:ListDatasets",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource",
                "iottwinmaker:ListWorkspaces",
                "iottwinmaker:ExecuteQuery",
                "iottwinmaker:GetWorkspace",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        }
    ]
}

Cuando un usuario del portal inicia sesión, SiteWise Monitor crea una política de sesión basada en la intersección del rol de servicio y las políticas de acceso de ese usuario.

Administre la función de servicio SiteWise Supervisar (consola)

Esto Consola de AWS IoT SiteWise facilita la administración de la función de servicio de SiteWise monitoreo para los portales. Al crear un portal, la consola comprueba si los roles existentes son aptos para su asociación. Si no hay ninguno disponible, la consola puede crear y configurar un rol de servicio para usted. Para obtener más información, consulte Cree un portal en SiteWise Monitor.

Temas

Búsqueda del rol de servicio de un portal (consola)
Cree un rol de servicio de SiteWise monitoreo (AWS IoT SiteWise consola)
Cree un rol de servicio de SiteWise supervisión (consola de IAM)
Cambio del rol de servicio de un portal (consola)

Búsqueda del rol de servicio de un portal (consola)

Siga los siguientes pasos para buscar el rol de servicio asociado a un portal de SiteWise Monitor.

Para buscar el rol de servicio de un portal

Vaya a la consola de AWS IoT SiteWise.
En el panel de navegación izquierdo, elija Portales.
Elija el portal para el que desea buscar el rol de servicio.

El rol asociado al portal aparece en Permisos, Rol de servicio.

Cree un rol de servicio de SiteWise monitoreo (AWS IoT SiteWise consola)

Al crear un portal de SiteWise Monitor, puede crear un rol de servicio para su portal. Para obtener más información, consulte Cree un portal en SiteWise Monitor.

También puede crear un rol de servicio para un portal existente en la AWS IoT SiteWise consola. Esto sustituye el rol de servicio existente del portal.

Para crear un rol de servicio para un portal existente

Vaya a la consola de AWS IoT SiteWise.
En el panel de navegación, elija Portales.
Elija el portal para el que desea crear un nuevo rol de servicio.
En Detalles del portal, elija Editar.
En Permisos, elija Crear y usar un nuevo rol de servicio de la lista.
Escriba un nombre para el nuevo rol.
Seleccione Guardar.

Cree un rol de servicio de SiteWise supervisión (consola de IAM)

Puede crear un rol de servicio a partir de la plantilla de rol de servicio de la consola de IAM. Esta plantilla de roles incluye la política AWSIoTSiteWiseMonitorPortalAccessadministrada y especifica a SiteWise Monitor como una entidad de confianza.

Para crear un rol de servicio a partir de la plantilla de roles de servicio del portal

Vaya a la consola de IAM.
Seleccione Roles en el panel de navegación.
Elija Crear rol.
En Elige un caso de uso, elige IoT SiteWise.
En Selecciona tu caso de uso, elige IoT SiteWise Monitor - Portal.
Elija Siguiente: Permisos.
Elija Siguiente: Etiquetas.
Elija Siguiente: Revisar.
Introduzca un Nombre de rol para el nuevo rol de servicio.
Elija Crear rol.

Cambio del rol de servicio de un portal (consola)

Utilice el siguiente procedimiento para elegir un rol de servicio de SiteWise supervisión diferente para un portal.

Para cambiar el rol de servicio de un portal

Vaya a la consola de AWS IoT SiteWise.
En el panel de navegación, elija Portales.
Elija el portal para el que desea cambiar el rol de servicio.
En Detalles del portal, elija Editar.
En Permisos, elija Usar un rol existente.
Elija un rol existente para asociar a este portal.
Seleccione Guardar.

Administrar la función de servicio de SiteWise supervisión (CLI)

Puede utilizarla AWS CLI para las siguientes tareas de administración de funciones de servicio del portal:

Temas

Búsqueda del rol de servicio de un portal (CLI)
Crear el rol de servicio de SiteWise monitoreo (CLI)

Búsqueda del rol de servicio de un portal (CLI)

Para encontrar el rol de servicio asociado a un portal de SiteWise Monitor, ejecute el siguiente comando para ver una lista de todos los portales de la región actual.


aws iotsitewise list-portals

La operación devuelve una respuesta que contiene los resúmenes de su portal en el siguiente formato.


{
  "portalSummaries": [
    {
      "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "name": "WindFarmPortal",
      "description": "A portal that contains wind farm projects for Example Corp.",
      "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
      "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
      "creationDate": "2020-02-04T23:01:52.90248068Z",
      "lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
    }
  ]
}

También puede usar la DescribePortaloperación para encontrar la función de su portal si conoce el ID de su portal.

Crear el rol de servicio de SiteWise monitoreo (CLI)

Siga los siguientes pasos para crear un nuevo rol de servicio de SiteWise monitoreo.

Para crear un rol de servicio de SiteWise monitoreo

Cree un rol con una política de confianza que permita a SiteWise Monitor asumir el rol. En este ejemplo se crea un rol denominado MySiteWiseMonitorPortalRole a partir de una política de confianza almacenada en una cadena JSON.

Copie el ARN del rol de los metadatos del rol en la salida. Al crear un portal, debe utilizar este ARN para asociar el rol al portal. Para obtener más información sobre la creación de un portal, consulte CreatePortalla referencia de la AWS IoT SiteWise API.

Para el SiteWise monitor (clásico): adjunte la AWSIoTSiteWiseMonitorPortalAccess política al rol o adjunte una política que defina permisos equivalentes.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```

Para el SiteWise monitor (compatible con la IA): asocie la IoTSiteWiseAIPortalAccessPolicy política al rol o adjunte una política que defina permisos equivalentes. Por ejemplo, cree una política con permisos de acceso al portal. En el siguiente ejemplo, se crea una política denominadaMySiteWiseMonitorPortalAccess.



aws iam create-policy \
    --policy-name MySiteWiseMonitorPortalAccess \
    --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:CreateProject",
                "iotsitewise:DescribePortal",
                "iotsitewise:ListProjects",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:ListAssets",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:ListAssetProperties",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:GetInterpolatedAssetPropertyValues",
                "iotsitewise:BatchGetAssetPropertyAggregates",
                "iotsitewise:BatchGetAssetPropertyValue",
                "iotsitewise:BatchGetAssetPropertyValueHistory",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:DescribeAssetCompositeModel",
                "iotsitewise:DescribeAssetModelCompositeModel",
                "iotsitewise:ListAssetModelProperties",
                "iotsitewise:ExecuteQuery",
                "iotsitewise:ListTimeSeries",
                "iotsitewise:DescribeTimeSeries",
                "iotsitewise:InvokeAssistant",
                "iotsitewise:DescribeDataset",
                "iotsitewise:ListDatasets",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource",
                "iottwinmaker:ListWorkspaces",
                "iottwinmaker:ExecuteQuery",
                "iottwinmaker:GetWorkspace",
                "identitystore:DescribeUser"
            ],
            "Resource": "*"
        }
    ]
}'

Para asociar un rol de servicio a un portal existente

Para recuperar los detalles existentes del portal, ejecute el siguiente comando. portal-idSustitúyalo por el ID del portal.


aws iotsitewise describe-portal --portal-id portal-id

La operación devuelve una respuesta que contiene los detalles del portal en el siguiente formato.


{
    "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalName": "WindFarmPortal",
    "portalDescription": "A portal that contains wind farm projects for Example Corp.",
    "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
    "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
    "portalContactEmail": "support@example.com",
    "portalStatus": {
        "state": "ACTIVE"
    },
    "portalCreationDate": "2020-04-29T23:01:52.90248068Z",
    "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
    "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}

Para asociar un rol de servicio a un portal, ejecute el siguiente comando. Sustituya role-arn por el ARN del rol de servicio y sustituya los parámetros restantes por los valores existentes del portal.


aws iotsitewise update-portal \
  --portal-id portal-id \
  --role-arn role-arn \
  --portal-name portal-name \
  --portal-description portal-description \
  --portal-contact-email portal-contact-email

SiteWise Supervise las actualizaciones de AWSIo TSite WiseMonitorServiceRole

Puede ver los detalles sobre las actualizaciones de AWSIoTSiteWiseMonitorServiceRolefor SiteWise Monitor, empezando por el momento en que este servicio comenzó a realizar el seguimiento de los cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS IoT SiteWise documento.

Cambio	Descripción	Fecha
AWSIoTSiteWiseMonitorPortalAccess: política actualizada	AWS IoT SiteWise actualizó la política AWSIoTSiteWiseMonitorPortalAccessgestionada para la función de alarmas.	27 de mayo de 2021
AWS IoT SiteWise comenzó a rastrear los cambios	AWS IoT SiteWise comenzó a rastrear los cambios de su función de servicio.	15 de diciembre de 2020

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Eliminar un rol vinculado a un servicio

Configuración de permisos para alarmas