Utiliser les rôles de service pour AWS IoT SiteWise Monitor - AWS IoT SiteWise

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser les rôles de service pour AWS IoT SiteWise Monitor

Un rôle de service est un IAMrôle qu'un service assume pour effectuer des actions en votre nom. Un IAM administrateur peut créer, modifier et supprimer un rôle de service de l'intérieurIAM. Pour plus d'informations, consultez la section Création d'un rôle auquel déléguer des autorisations Service AWS dans le Guide de IAM l'utilisateur.

Pour permettre aux utilisateurs du portail SiteWise Monitor fédéré d'accéder à vos AWS IAM Identity Center ressources AWS IoT SiteWiseet à vos ressources, vous devez attribuer un rôle de service à chaque portail que vous créez. Le rôle de service doit spécifier SiteWise Monitor en tant qu'entité de confiance et inclure la politique AWSIoTSiteWiseMonitorPortalAccessgérée ou définir des autorisations équivalentes. Cette politique est gérée par AWS et définit l'ensemble des autorisations que SiteWise Monitor utilise pour accéder à vos ressources AWS IoT SiteWise et à celles IAM d'Identity Center.

Lorsque vous créez un portail SiteWise Monitor, vous devez choisir un rôle permettant aux utilisateurs de ce portail d'accéder à vos ressources AWS IoT SiteWiseet à celles IAM d'Identity Center. La AWS IoT SiteWise console peut créer et configurer le rôle pour vous. Vous pourrez modifier le rôle IAM ultérieurement. Les utilisateurs de votre portail rencontreront des problèmes lors de l'utilisation de leurs portails SiteWise Monitor si vous supprimez les autorisations requises pour le rôle ou si vous supprimez le rôle.

Note

Les portails créés avant le 29 avril 2020 ne nécessitaient pas de rôles de service. Si vous avez créé des portails avant cette date, vous devez joindre des rôles de service pour continuer à les utiliser. Pour ce faire, accédez à la page Portails de la AWS IoT SiteWise console, puis choisissez Migrer tous les portails pour utiliser IAM des rôles.

Les sections suivantes décrivent comment créer et gérer le rôle de service SiteWise Monitor dans le AWS Management Console ou le AWS Command Line Interface.

Autorisations de rôle de service pour SiteWise Monitor

Lorsque vous créez un portail, vous AWS IoT SiteWise permet de créer un rôle dont le nom commence par AWSIoTSiteWiseMonitorServiceRole. Ce rôle permet aux utilisateurs fédérés de SiteWise Monitor d'accéder à la configuration de votre portail, aux actifs, aux données des actifs, ainsi qu'à la configuration de IAM Identity Center.

Le rôle approuve le fait que le service suivant endosse le rôle :

  • monitor.iotsitewise.amazonaws.com

Le rôle utilise la politique d'autorisation suivante, dont le nom commence par AWSIoTSiteWiseMonitorServicePortalPolicy, pour permettre aux utilisateurs de SiteWise Monitor d'effectuer des actions sur les ressources de votre compte. La politique AWSIoTSiteWiseMonitorPortalAccessgérée définit des autorisations équivalentes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotsitewise:DescribePortal", "iotsitewise:CreateProject", "iotsitewise:DescribeProject", "iotsitewise:UpdateProject", "iotsitewise:DeleteProject", "iotsitewise:ListProjects", "iotsitewise:BatchAssociateProjectAssets", "iotsitewise:BatchDisassociateProjectAssets", "iotsitewise:ListProjectAssets", "iotsitewise:CreateDashboard", "iotsitewise:DescribeDashboard", "iotsitewise:UpdateDashboard", "iotsitewise:DeleteDashboard", "iotsitewise:ListDashboards", "iotsitewise:CreateAccessPolicy", "iotsitewise:DescribeAccessPolicy", "iotsitewise:UpdateAccessPolicy", "iotsitewise:DeleteAccessPolicy", "iotsitewise:ListAccessPolicies", "iotsitewise:DescribeAsset", "iotsitewise:ListAssets", "iotsitewise:ListAssociatedAssets", "iotsitewise:DescribeAssetProperty", "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetAssetPropertyValueHistory", "iotsitewise:GetAssetPropertyAggregates", "iotsitewise:BatchPutAssetPropertyValue", "iotsitewise:ListAssetRelationships", "iotsitewise:DescribeAssetModel", "iotsitewise:ListAssetModels", "iotsitewise:UpdateAssetModel", "iotsitewise:UpdateAssetModelPropertyRouting", "sso-directory:DescribeUsers", "sso-directory:DescribeUser", "iotevents:DescribeAlarmModel", "iotevents:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotevents:BatchAcknowledgeAlarm", "iotevents:BatchSnoozeAlarm", "iotevents:BatchEnableAlarm", "iotevents:BatchDisableAlarm" ], "Resource": "*", "Condition": { "Null": { "iotevents:keyValue": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:CreateAlarmModel", "iotevents:TagResource" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:UpdateAlarmModel", "iotevents:DeleteAlarmModel" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "iotevents.amazonaws.com" ] } } } ] }

Pour plus d'informations sur les autorisations requises pour les alarmes, consultezConfigurer les autorisations pour les AWS IoT Events alarmes.

Lorsqu'un utilisateur du portail se connecte, SiteWise Monitor crée une politique de session basée sur l'intersection entre le rôle de service et les politiques d'accès de cet utilisateur. Les stratégies d'accès définissent le niveau d'accès des identités à vos portails et projets. Pour plus d'informations sur les autorisations du portail et les politiques d'accès, consultez Administrez vos portails SiteWise Monitor et CreateAccessPolicy.

Gérer le rôle de service SiteWise Monitor (console)

Console AWS IoT SiteWise Facilite la gestion du rôle de service SiteWise Monitor pour les portails. Lors de la création d'un portail, la console vérifie les rôles existants susceptibles d'être rattachés. Si aucun n'est disponible, la console peut créer et configurer un rôle de service pour vous. Pour de plus amples informations, veuillez consulter Création d'un portail.

Rechercher le rôle de service d'un portail (console)

Suivez les étapes ci-dessous pour trouver le rôle de service associé à un portail SiteWise Monitor.

Pour rechercher le rôle de service d'un portail
  1. Accédez à la console AWS IoT SiteWise.

  2. Dans le volet de navigation de gauche, choisissez Portals (Portails).

  3. Choisissez le portail pour lequel vous souhaitez rechercher le rôle de service.

    Le rôle associé au portail apparaît sous Autorisations, rôle de service.

Création d'un rôle de service de SiteWise surveillance (AWS IoT SiteWise console)

Lorsque vous créez un portail SiteWise Monitor, vous pouvez créer un rôle de service pour votre portail. Pour de plus amples informations, veuillez consulter Création d'un portail.

Vous pouvez également créer un rôle de service pour un portail existant dans la AWS IoT SiteWise console. Cela remplace le rôle de service existant du portail.

Pour créer un rôle de service pour un portail existant
  1. Accédez à la console AWS IoT SiteWise.

  2. Dans le panneau de navigation, choisissez Portails.

  3. Choisissez le portail pour lequel vous souhaitez créer un rôle de service.

  4. Sous Détails du portail, choisissez Modifier.

  5. Sous Autorisations, choisissez Créer et utiliser un nouveau rôle de service dans la liste.

  6. Saisissez un nom pour votre nouveau rôle.

  7. Choisissez Save (Enregistrer).

Création d'un rôle de service de SiteWise surveillance (IAMconsole)

Vous pouvez créer un rôle de service à partir du modèle de rôle de service de la IAM console. Ce modèle de rôle inclut la politique AWSIoTSiteWiseMonitorPortalAccessgérée et spécifie SiteWise Monitor comme une entité de confiance.

Pour créer un rôle de service à partir du modèle de rôle de service du portail
  1. Accédez à la console IAM.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Sélectionnez Create role (Créer un rôle).

  4. Dans Choisir un cas d'utilisation, sélectionnez IoT SiteWise.

  5. Dans Sélectionnez votre cas d'utilisation, choisissez IoT SiteWise Monitor - Portal.

  6. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  7. Choisissez Suivant : Balises.

  8. Choisissez Suivant : Vérification.

  9. Entrez un nom de rôle pour le nouveau rôle de service.

  10. Sélectionnez Créer un rôle.

Modifier le rôle de service d'un portail (console)

Utilisez la procédure suivante pour choisir un autre rôle de service de SiteWise surveillance pour un portail.

Pour modifier le rôle de service d'un portail
  1. Accédez à la console AWS IoT SiteWise.

  2. Dans le panneau de navigation, choisissez Portails.

  3. Choisissez le portail pour lequel vous souhaitez modifier le rôle de service.

  4. Sous Détails du portail, choisissez Modifier.

  5. Sous Autorisations, choisissez Utiliser un rôle existant.

  6. Choisissez un rôle existant à attacher à ce portail.

  7. Choisissez Save (Enregistrer).

Gérer le rôle SiteWise de service Monitor () CLI

Vous pouvez utiliser le AWS CLI pour les tâches de gestion des rôles de service de portail suivantes :

Rechercher le rôle de service d'un portail (CLI)

Pour trouver le rôle de service associé à un portail de SiteWise surveillance, exécutez la commande suivante pour répertorier tous vos portails dans la région actuelle.

aws iotsitewise list-portals

L'opération renvoie une réponse qui contient les résumés de vos portails au format suivant.

{ "portalSummaries": [ { "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "name": "WindFarmPortal", "description": "A portal that contains wind farm projects for Example Corp.", "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name", "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "creationDate": "2020-02-04T23:01:52.90248068Z", "lastUpdateDate": "2020-02-04T23:01:52.90248078Z" } ] }

Vous pouvez également utiliser DescribePortalcette opération pour trouver le rôle de votre portail si vous connaissez son identifiant.

Créez le rôle de service SiteWise Monitor (CLI)

Suivez les étapes ci-dessous pour créer un nouveau rôle de service de SiteWise surveillance.

Pour créer un rôle SiteWise de service de surveillance
  1. Créez un rôle avec une politique de confiance qui permet à SiteWise Monitor d'assumer ce rôle. Cet exemple crée un rôle nommé MySiteWiseMonitorPortalRole à partir d'une politique de confiance stockée dans une JSON chaîne.

    Linux, macOS, or Unix
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "monitor.iotsitewise.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }'
    Windows command prompt
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
  2. Copiez le rôle ARN à partir des métadonnées du rôle dans la sortie. Lorsque vous créez un portail, vous l'utilisez ARN pour associer le rôle à votre portail. Pour plus d'informations sur la création d'un portail, reportez-vous CreatePortalà la section AWS IoT SiteWise APIRéférence.

  3. Attachez la stratégie AWSIoTSiteWiseMonitorPortalAccess au rôle ou attachez une stratégie qui définit des autorisations équivalentes.

    aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
Pour attacher un rôle de service à un portail existant
  1. Pour récupérer les détails existants du portail, exécutez la commande suivante. Remplacez portal-id avec l'identifiant du portail.

    aws iotsitewise describe-portal --portal-id portal-id

    L'opération renvoie une réponse qui contient les détails du portail dans le format suivant.

    { "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalName": "WindFarmPortal", "portalDescription": "A portal that contains wind farm projects for Example Corp.", "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE", "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "portalContactEmail": "support@example.com", "portalStatus": { "state": "ACTIVE" }, "portalCreationDate": "2020-04-29T23:01:52.90248068Z", "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z", "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE" }
  2. Pour attacher un rôle de service à un portail, exécutez la commande suivante. Remplacez role-arn avec le rôle de serviceARN, et remplacez les paramètres restants par les valeurs existantes du portail.

    aws iotsitewise update-portal \ --portal-id portal-id \ --role-arn role-arn \ --portal-name portal-name \ --portal-description portal-description \ --portal-contact-email portal-contact-email

SiteWise Surveillez les mises à jour de AWSIoTSiteWiseMonitorServiceRole

Vous pouvez consulter les détails des mises à jour de AWSIoTSiteWiseMonitorServiceRolefor SiteWise Monitor, à partir du moment où ce service a commencé à suivre les modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page Historique du AWS IoT SiteWise document.

Modification Description Date

AWSIoTSiteWiseMonitorPortalAccess— Politique mise à jour

AWS IoT SiteWise a mis à jour la politique AWSIoTSiteWiseMonitorPortalAccessgérée pour la fonctionnalité d'alarmes.

27 mai 2021

AWS IoT SiteWise a commencé à suivre les modifications

AWS IoT SiteWise a commencé à suivre les modifications apportées à son rôle de service.

15 décembre 2020