Permisos de rol de servicio para SiteWise Monitor Administración del rol de servicio (consola)Administrar el rol de servicio () CLI Actualizaciones de roles

Utilice los roles de servicio para AWS IoT SiteWise Monitor

Una función de servicio es una IAMfunción que asume un servicio para realizar acciones en su nombre. Un IAM administrador puede crear, modificar y eliminar un rol de servicio desde dentroIAM. Para obtener más información, consulte Crear un rol para delegar permisos Servicio de AWS en un rol en el IAMManual del usuario.

Para permitir que los usuarios federados del portal SiteWise Monitor accedan a sus AWS IAM Identity Center recursos AWS IoT SiteWisey a sus recursos, debe asignar un rol de servicio a cada portal que cree. El rol de servicio debe especificar a SiteWise Monitor como entidad de confianza e incluir la política AWSIoTSiteWiseMonitorPortalAccessadministrada o definir permisos equivalentes. Esta política la mantiene AWS y define el conjunto de permisos que SiteWise Monitor utiliza para acceder a sus recursos AWS IoT SiteWise y a IAM Identity Center.

Al crear un portal de SiteWise Monitor, debe elegir un rol que permita a los usuarios de ese portal acceder a sus recursos AWS IoT SiteWisey a los de IAM Identity Center. La AWS IoT SiteWise consola puede crear y configurar el rol por usted. Puede editar el rol IAM más adelante. Los usuarios de su portal tendrán problemas para utilizar sus portales de SiteWise Monitor si quita los permisos necesarios del rol o elimina el rol.

nota

Los portales creados antes del 29 de abril de 2020 no requerían roles de servicio. Si creó portales antes de esta fecha, deberá asociarles roles de servicio para poder seguir usándolos. Para ello, vaya a la página de portales de la AWS IoT SiteWise consola y, a continuación, seleccione Migrar todos los portales para usar los IAM roles.

En las siguientes secciones se describe cómo crear y administrar la función de servicio de SiteWise supervisión en el AWS Management Console o el AWS Command Line Interface.

Contenido

Permisos de rol de servicio para SiteWise Monitor

Al crear un portal, AWS IoT SiteWise permite crear un rol cuyo nombre comience por AWSIoTSiteWiseMonitorServiceRole. Esta función permite a los usuarios federados de SiteWise Monitor acceder a la configuración del portal, a los activos, a los datos de activos y a los de IAM Identity Center.

El rol confía en el siguiente servicio para asumir el rol:

monitor.iotsitewise.amazonaws.com

El rol usa la siguiente política de permisos, cuyo nombre comienza por AWSIoTSiteWiseMonitorServicePortalPolicy, para permitir a los usuarios de SiteWise Monitor realizar acciones en los recursos de su cuenta. La política AWSIoTSiteWiseMonitorPortalAccessadministrada define permisos equivalentes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribePortal",
                "iotsitewise:CreateProject",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:ListProjects",
                "iotsitewise:BatchAssociateProjectAssets",
                "iotsitewise:BatchDisassociateProjectAssets",
                "iotsitewise:ListProjectAssets",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:CreateAccessPolicy",
                "iotsitewise:DescribeAccessPolicy",
                "iotsitewise:UpdateAccessPolicy",
                "iotsitewise:DeleteAccessPolicy",
                "iotsitewise:ListAccessPolicies",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssets",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:BatchPutAssetPropertyValue",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting",
                "sso-directory:DescribeUsers",
                "sso-directory:DescribeUser",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:BatchAcknowledgeAlarm",
                "iotevents:BatchSnoozeAlarm",
                "iotevents:BatchEnableAlarm",
                "iotevents:BatchDisableAlarm"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iotevents:keyValue": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteAlarmModel"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "iotevents.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Para obtener más información sobre los permisos necesarios para las alarmas, consulte Configure los permisos para AWS IoT Events las alarmas.

Cuando un usuario del portal inicia sesión, SiteWise Monitor crea una política de sesión basada en la intersección del rol de servicio y las políticas de acceso de ese usuario. Las políticas de acceso definen el nivel de acceso de las identidades de a sus portales y proyectos. Para obtener más información sobre los permisos y las políticas de acceso al portal, consulte Administre sus portales de SiteWise Monitor y CreateAccessPolicy.

Administre la función del servicio de SiteWise supervisión (consola)

Esto Consola de AWS IoT SiteWise facilita la administración de la función de servicio de SiteWise monitoreo para los portales. Al crear un portal, la consola comprueba si las funciones existentes son aptas para adjuntarlas. Si no hay ninguno disponible, la consola puede crear y configurar un rol de servicio para usted. Para obtener más información, consulte Cree un portal.

Temas

Busque el rol de servicio de un portal (consola)
Cree un rol de servicio de SiteWise monitoreo (AWS IoT SiteWise consola)
Cree un rol de servicio de SiteWise supervisión (IAMconsola)
Cambie el rol de servicio de un portal (consola)

Busque el rol de servicio de un portal (consola)

Siga los siguientes pasos para buscar el rol de servicio asociado a un portal de SiteWise Monitor.

Para buscar el rol de servicio de un portal

Vaya a la consola de AWS IoT SiteWise.
En el panel de navegación izquierdo, elija Portales.
Elija el portal para el que desea buscar el rol de servicio.

El rol asociado al portal aparece en Permisos, Rol de servicio.

Cree un rol de servicio de SiteWise monitoreo (AWS IoT SiteWise consola)

Al crear un portal de SiteWise Monitor, puede crear un rol de servicio para su portal. Para obtener más información, consulte Cree un portal.

También puede crear un rol de servicio para un portal existente en la AWS IoT SiteWise consola. Esto sustituye el rol de servicio existente del portal.

Para crear un rol de servicio para un portal existente

Vaya a la consola de AWS IoT SiteWise.
En el panel de navegación, elija Portales.
Elija el portal para el que desea crear un nuevo rol de servicio.
En Detalles del portal, elija Editar.
En Permisos, elija Crear y usar un nuevo rol de servicio de la lista.
Escriba un nombre para el nuevo rol.
Seleccione Guardar.

Cree un rol de servicio de SiteWise supervisión (IAMconsola)

Puede crear un rol de servicio a partir de la plantilla de rol de servicio de la IAM consola. Esta plantilla de roles incluye la política AWSIoTSiteWiseMonitorPortalAccessadministrada y especifica a SiteWise Monitor como una entidad de confianza.

Para crear un rol de servicio a partir de la plantilla de roles de servicio del portal

Vaya a la consola de IAM.
Seleccione Roles en el panel de navegación.
Elija Crear rol.
En Elige un caso de uso, elige IoT SiteWise.
En Seleccionar su caso de uso, elija IoT SiteWise Monitor - Portal.
Elija Siguiente: Permisos.
Elija Siguiente: Etiquetas.
Elija Siguiente: Revisar.
Introduzca un Nombre de rol para el nuevo rol de servicio.
Elija Crear rol.

Cambie el rol de servicio de un portal (consola)

Utilice el siguiente procedimiento para elegir un rol de servicio de SiteWise supervisión diferente para un portal.

Para cambiar el rol de servicio de un portal

Vaya a la consola de AWS IoT SiteWise.
En el panel de navegación, elija Portales.
Elija el portal para el que desea cambiar el rol de servicio.
En Detalles del portal, elija Editar.
En Permisos, elija Usar un rol existente.
Elija un rol existente para asociar a este portal.
Seleccione Guardar.

Administre la función de servicio de SiteWise supervisión () CLI

Puede usarlo AWS CLI para las siguientes tareas de administración de roles de servicio del portal:

Temas

Busque el rol de servicio de un portal (CLI)
Cree el rol de servicio de SiteWise monitoreo (CLI)

Busque el rol de servicio de un portal (CLI)

Para encontrar el rol de servicio asociado a un portal de SiteWise Monitorear, ejecute el siguiente comando para obtener una lista de todos los portales de la región actual.


aws iotsitewise list-portals

La operación devuelve una respuesta que contiene los resúmenes de su portal en el siguiente formato.


{
  "portalSummaries": [
    {
      "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "name": "WindFarmPortal",
      "description": "A portal that contains wind farm projects for Example Corp.",
      "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
      "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
      "creationDate": "2020-02-04T23:01:52.90248068Z",
      "lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
    }
  ]
}

También puede usar la DescribePortaloperación para encontrar la función de su portal si conoce el ID de su portal.

Cree el rol de servicio de SiteWise monitoreo (CLI)

Siga los siguientes pasos para crear un nuevo rol de servicio de SiteWise monitoreo.

Para crear un rol de servicio de SiteWise monitoreo

Cree un rol con una política de confianza que permita a SiteWise Monitor asumir el rol. En este ejemplo, se crea un rol cuyo nombre MySiteWiseMonitorPortalRole proviene de una política de confianza almacenada en una JSON cadena.

Copie el rol ARN de los metadatos del rol en la salida. Cuando crea un portal, lo usa ARN para asociar el rol a su portal. Para obtener más información sobre la creación de un portal, consulte CreatePortalla AWS IoT SiteWise APIReferencia.

Asocie la política AWSIoTSiteWiseMonitorPortalAccess con el rol o asocie una política que defina permisos equivalentes.


aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess

Para asociar un rol de servicio a un portal existente

Para recuperar los detalles existentes del portal, ejecute el siguiente comando. Reemplazar portal-id con el ID del portal.


aws iotsitewise describe-portal --portal-id portal-id

La operación devuelve una respuesta que contiene los detalles del portal en el siguiente formato.


{
    "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalName": "WindFarmPortal",
    "portalDescription": "A portal that contains wind farm projects for Example Corp.",
    "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
    "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
    "portalContactEmail": "support@example.com",
    "portalStatus": {
        "state": "ACTIVE"
    },
    "portalCreationDate": "2020-04-29T23:01:52.90248068Z",
    "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
    "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}

Para asociar un rol de servicio a un portal, ejecute el siguiente comando. Reemplazar role-arn con la función ARN de servicio y sustituya los parámetros restantes por los valores existentes del portal.


aws iotsitewise update-portal \
  --portal-id portal-id \
  --role-arn role-arn \
  --portal-name portal-name \
  --portal-description portal-description \
  --portal-contact-email portal-contact-email

SiteWise Supervise las actualizaciones de AWSIoTSiteWiseMonitorServiceRole

Puede ver los detalles sobre las actualizaciones de AWSIoTSiteWiseMonitorServiceRolefor SiteWise Monitor, empezando por el momento en que este servicio comenzó a realizar el seguimiento de los cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la página del historial del AWS IoT SiteWise documento.

Cambio	Descripción	Fecha
AWSIoTSiteWiseMonitorPortalAccess— Política actualizada	AWS IoT SiteWise se actualizó la política AWSIoTSiteWiseMonitorPortalAccessgestionada para la función de alarmas.	27 de mayo de 2021
AWS IoT SiteWise comenzó a rastrear los cambios	AWS IoT SiteWise comenzó a rastrear los cambios de su función de servicio.	15 de diciembre de 2020

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Eliminar un rol vinculado a un servicio

Configure los permisos para las alarmas