Configurer les autorisations pour les AWS IoT Events alarmes - AWS IoT SiteWise
Autorisations d'action requises ListInputRoutings Autorisation (facultative)Autorisations requises pour SiteWise Monitor

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer les autorisations pour les AWS IoT Events alarmes

Lorsque vous utilisez un modèle AWS IoT Events d'alarme pour surveiller la propriété AWS IoT SiteWise d'un actif, vous devez disposer des IAM autorisations suivantes :

  • Rôle de AWS IoT Events service qui permet d' AWS IoT Events envoyer des données à AWS IoT SiteWise. Pour plus d'informations, consultez la section Gestion des identités et des accès AWS IoT Events dans le Guide du AWS IoT Events développeur.

  • Vous devez disposer des autorisations AWS IoT SiteWise d'action suivantes : iotsitewise:DescribeAssetModel etiotsitewise:UpdateAssetModelPropertyRouting. Ces autorisations permettent d' AWS IoT SiteWise envoyer les valeurs des propriétés des actifs aux modèles AWS IoT Events d'alarme.

Pour plus d'informations, consultez la section Politiques basées sur les ressources dans le Guide de l'IAMutilisateur.

Autorisations d'action requises

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions. L'Actionélément d'une JSON politique décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès dans une politique.

Avant de définir un modèle AWS IoT Events d'alarme, vous devez accorder les autorisations suivantes qui permettent d' AWS IoT SiteWise envoyer les valeurs des propriétés des actifs au modèle d'alarme.

  • iotsitewise:DescribeAssetModel— Permet AWS IoT Events de vérifier si une propriété d'actif existe.

  • iotsitewise:UpdateAssetModelPropertyRouting— Permet AWS IoT SiteWise de créer automatiquement des abonnements permettant AWS IoT SiteWise d'envoyer des données à AWS IoT Events.

Pour plus d'informations sur les actions AWS IoT SiteWise prises en charge, consultez la section Actions définies par AWS IoT SiteWise dans la référence d'autorisation de service.

Exemple de politique d'autorisation 1

La politique suivante permet d' AWS IoT SiteWise envoyer les valeurs des propriétés des actifs à n'importe quel modèle AWS IoT Events d'alarme.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:UpdateAlarmModel"
            ],
            "Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting"
            ],
            "Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
        }
    ]
}
Exemple de politique d'autorisation 2

La politique suivante permet d' AWS IoT SiteWise envoyer les valeurs d'une propriété d'actif spécifiée à un modèle AWS IoT Events d'alarme spécifié.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:UpdateAlarmModel"
            ],
            "Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribeAssetModel"
            ],
            "Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:UpdateAssetModelPropertyRouting"
            ],
            "Resource": [
                "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/12345678-90ab-cdef-1234-567890abcdef"
            ],
            "Condition": {
                "StringLike": {
                    "iotsitewise:propertyId": "abcdef12-3456-7890-abcd-ef1234567890",
                    "iotevents:alarmModelArn": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/MyAlarmModel"
                }
            }
        }
    ]
}

ListInputRoutings Autorisation (facultative)

Lorsque vous mettez à jour ou supprimez un modèle d'actif, vous AWS IoT SiteWise pouvez vérifier si un modèle d'alarme AWS IoT Events surveille une propriété d'actif associée à ce modèle d'actif. Cela vous empêche de supprimer une propriété de ressource actuellement AWS IoT Events utilisée par une alarme. Pour activer cette fonctionnalité dans AWS IoT SiteWise, vous devez avoir l'iotevents:ListInputRoutingsautorisation. Cette autorisation permet AWS IoT SiteWise de passer des appels à l'ListInputRoutingsAPIopération prise en charge par AWS IoT Events.

Note

Nous vous recommandons vivement d'ajouter cette ListInputRoutings autorisation.

Exemple de politique d'autorisation

La politique suivante vous permet de mettre à jour et de supprimer des modèles d'actifs, ainsi que d'utiliser le ListInputRoutings API in AWS IoT SiteWise.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:DeleteAssetModel",
                "iotevents:ListInputRoutings"
            ],
            "Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
        }
    ]
}

Autorisations requises pour SiteWise Monitor

Si vous souhaitez utiliser la fonctionnalité d'alarmes dans les portails de SiteWise surveillance, vous devez mettre à jour le rôle de service de SiteWise surveillance avec la politique suivante :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribePortal",
                "iotsitewise:CreateProject",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:ListProjects",
                "iotsitewise:BatchAssociateProjectAssets",
                "iotsitewise:BatchDisassociateProjectAssets",
                "iotsitewise:ListProjectAssets",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:CreateAccessPolicy",
                "iotsitewise:DescribeAccessPolicy",
                "iotsitewise:UpdateAccessPolicy",
                "iotsitewise:DeleteAccessPolicy",
                "iotsitewise:ListAccessPolicies",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssets",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:BatchPutAssetPropertyValue",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting",
                "sso-directory:DescribeUsers",
                "sso-directory:DescribeUser",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:BatchAcknowledgeAlarm",
                "iotevents:BatchSnoozeAlarm",
                "iotevents:BatchEnableAlarm",
                "iotevents:BatchDisableAlarm"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iotevents:keyValue": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteAlarmModel"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "iotevents.amazonaws.com"
                    ]
                }
            }
        }
    ]
}