Izin peran layanan untuk Monitor SiteWise Kelola peran layanan (konsol)Mengelola peran layanan (CLI)Pembaruan peran

Gunakan peran layanan untuk AWS IoT SiteWise Monitor

Peran layanan adalah IAMperan yang diasumsikan layanan untuk melakukan tindakan atas nama Anda. IAMAdministrator dapat membuat, memodifikasi, dan menghapus peran layanan dari dalamIAM. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke Layanan AWS dalam IAMPanduan Pengguna.

Untuk memungkinkan pengguna portal SiteWise Monitor federasi mengakses sumber daya Anda AWS IoT SiteWisedan AWS IAM Identity Center sumber daya, Anda harus melampirkan peran layanan ke setiap portal yang Anda buat. Peran layanan harus menentukan SiteWise Monitor sebagai entitas tepercaya dan menyertakan kebijakan AWSIoTSiteWiseMonitorPortalAccessterkelola atau menentukan izin yang setara. Kebijakan ini dikelola oleh AWS dan menentukan kumpulan izin yang digunakan SiteWise Monitor untuk mengakses sumber daya Anda AWS IoT SiteWise dan Pusat IAM Identitas.

Saat membuat portal SiteWise Monitor, Anda harus memilih peran yang memungkinkan pengguna portal tersebut mengakses sumber daya Anda AWS IoT SiteWisedan Pusat IAM Identitas. AWS IoT SiteWise Konsol dapat membuat dan mengonfigurasi peran untuk Anda. Anda dapat mengedit peran IAM nanti. Pengguna portal Anda akan mengalami masalah dalam menggunakan portal SiteWise Monitor mereka jika Anda menghapus izin yang diperlukan dari peran atau menghapus peran tersebut.

catatan

Portal yang dibuat sebelum 29 April 2020 tidak memerlukan peran layanan. Jika Anda membuat portal sebelum tanggal ini, Anda harus melampirkan peran layanan untuk terus menggunakannya. Untuk melakukannya, navigasikan ke halaman Portal di AWS IoT SiteWise konsol, lalu pilih Migrasi semua portal untuk menggunakan peran. IAM

Bagian berikut menjelaskan cara membuat dan mengelola peran layanan SiteWise Monitor di AWS Management Console atau AWS Command Line Interface.

Daftar Isi

Izin peran layanan untuk Monitor SiteWise

Saat Anda membuat portal, AWS IoT SiteWise Anda dapat membuat peran yang namanya dimulai AWSIoTSiteWiseMonitorServiceRole. Peran ini memungkinkan pengguna SiteWise Monitor federasi untuk mengakses konfigurasi portal, aset, data aset, serta konfigurasi Pusat IAM Identitas Anda.

Peran tersebut mempercayai layanan berikut untuk mengambil peran:

monitor.iotsitewise.amazonaws.com

Peran tersebut menggunakan kebijakan izin berikut, yang namanya dimulai dengan AWSIoTSiteWiseMonitorServicePortalPolicy, untuk memungkinkan pengguna SiteWise Monitor menyelesaikan tindakan pada sumber daya di akun Anda. Kebijakan AWSIoTSiteWiseMonitorPortalAccessterkelola mendefinisikan izin yang setara.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribePortal",
                "iotsitewise:CreateProject",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:ListProjects",
                "iotsitewise:BatchAssociateProjectAssets",
                "iotsitewise:BatchDisassociateProjectAssets",
                "iotsitewise:ListProjectAssets",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:CreateAccessPolicy",
                "iotsitewise:DescribeAccessPolicy",
                "iotsitewise:UpdateAccessPolicy",
                "iotsitewise:DeleteAccessPolicy",
                "iotsitewise:ListAccessPolicies",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssets",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:BatchPutAssetPropertyValue",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting",
                "sso-directory:DescribeUsers",
                "sso-directory:DescribeUser",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:BatchAcknowledgeAlarm",
                "iotevents:BatchSnoozeAlarm",
                "iotevents:BatchEnableAlarm",
                "iotevents:BatchDisableAlarm"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iotevents:keyValue": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteAlarmModel"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "iotevents.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Untuk informasi selengkapnya tentang izin yang diperlukan untuk alarm, lihat. Mengatur izin untuk alarm AWS IoT Events

Saat pengguna portal masuk, SiteWise Monitor akan membuat kebijakan sesi berdasarkan persimpangan peran layanan dan kebijakan akses pengguna tersebut. Kebijakan akses menentukan tingkat akses identitas ke portal dan proyek Anda. Untuk informasi selengkapnya tentang izin portal dan kebijakan akses, lihat Mengelola portal SiteWise Monitor Anda dan CreateAccessPolicy.

Mengelola peran layanan SiteWise Monitor (konsol)

Konsol AWS IoT SiteWise Memfasilitasi pengelolaan peran layanan SiteWise Monitor untuk portal. Setelah membuat portal, konsol memeriksa peran yang ada yang cocok untuk lampiran. Jika tidak ada yang tersedia, konsol dapat membuat dan mengonfigurasi peran layanan untuk Anda. Untuk informasi selengkapnya, lihat Buat portal.

Topik

Temukan peran layanan portal (konsol)
Membuat peran layanan SiteWise Monitor (AWS IoT SiteWise konsol)
Membuat peran layanan SiteWise Monitor (IAMkonsol)
Mengubah peran layanan portal (konsol)

Temukan peran layanan portal (konsol)

Gunakan langkah-langkah berikut untuk menemukan peran layanan yang dilampirkan ke portal SiteWise Monitor.

Untuk menemukan peran layanan portal

Navigasikan ke konsol AWS IoT SiteWise tersebut.
Di panel navigasi kiri, pilih Portal.
Pilih portal yang ingin Anda temukan peran layanannya.

Peran yang dilampirkan ke portal muncul di bawah Izin, peran Layanan.

Membuat peran layanan SiteWise Monitor (AWS IoT SiteWise konsol)

Saat membuat portal SiteWise Monitor, Anda dapat membuat peran layanan untuk portal Anda. Untuk informasi selengkapnya, lihat Buat portal.

Anda juga dapat membuat peran layanan untuk portal yang ada di AWS IoT SiteWise konsol. Ini menggantikan peran layanan portal yang ada.

Untuk membuat peran layanan untuk portal yang ada

Navigasikan ke konsol AWS IoT SiteWise tersebut.
Di panel navigasi, pilih Portal.
Pilih portal yang ingin Anda buat peran layanan baru.
Di bawah Detail portal, pilih Edit.
Di bawah Izin, pilih Buat dan gunakan peran layanan baru dari daftar.
Masukkan nama untuk peran baru Anda.
Pilih Simpan.

Membuat peran layanan SiteWise Monitor (IAMkonsol)

Anda dapat membuat peran layanan dari templat peran layanan di IAM konsol. Templat peran ini mencakup kebijakan AWSIoTSiteWiseMonitorPortalAccessterkelola dan menetapkan SiteWise Monitor sebagai entitas tepercaya.

Untuk membuat peran layanan dari template peran layanan portal

Navigasikan ke konsol IAM tersebut.
Di panel navigasi, pilih Peran.
Pilih Buat peran.
Dalam Pilih kasus penggunaan, pilih IoT SiteWise.
Di Pilih kasus penggunaan Anda, pilih IoT SiteWise Monitor - Portal.
Pilih Berikutnya: Izin.
Pilih Selanjutnya: Tag.
Pilih Berikutnya: Tinjau.
Masukkan nama Peran untuk peran layanan baru.
Pilih Buat peran.

Mengubah peran layanan portal (konsol)

Gunakan prosedur berikut untuk memilih peran layanan SiteWise Monitor yang berbeda untuk portal.

Untuk mengubah peran layanan portal

Navigasikan ke konsol AWS IoT SiteWise tersebut.
Di panel navigasi, pilih Portal.
Pilih portal yang ingin Anda ubah peran layanannya.
Di bawah Detail portal, pilih Edit.
Di bawah Izin, pilih Gunakan peran yang ada.
Pilih peran yang ada untuk dilampirkan ke portal ini.
Pilih Simpan.

Kelola peran layanan SiteWise Monitor () CLI

Anda dapat menggunakan AWS CLI untuk tugas manajemen peran layanan portal berikut:

Topik

Temukan peran layanan portal (CLI)
Membuat peran layanan SiteWise Monitor (CLI)

Temukan peran layanan portal (CLI)

Untuk menemukan peran layanan yang dilampirkan ke portal SiteWise Monitor, jalankan perintah berikut untuk mencantumkan semua portal Anda di Wilayah saat ini.


aws iotsitewise list-portals

Operasi mengembalikan respons yang berisi ringkasan portal Anda dalam format berikut.


{
  "portalSummaries": [
    {
      "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "name": "WindFarmPortal",
      "description": "A portal that contains wind farm projects for Example Corp.",
      "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
      "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
      "creationDate": "2020-02-04T23:01:52.90248068Z",
      "lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
    }
  ]
}

Anda juga dapat menggunakan DescribePortaloperasi untuk menemukan peran portal Anda jika Anda mengetahui ID portal Anda.

Membuat peran layanan SiteWise Monitor (CLI)

Gunakan langkah-langkah berikut untuk membuat peran layanan SiteWise Monitor baru.

Untuk membuat peran layanan SiteWise Monitor

Buat peran dengan kebijakan kepercayaan yang memungkinkan SiteWise Monitor untuk mengambil peran. Contoh ini membuat peran bernama MySiteWiseMonitorPortalRole dari kebijakan trust yang disimpan dalam JSON string.

Salin peran ARN dari metadata peran dalam output. Saat Anda membuat portal, Anda menggunakan ini ARN untuk mengaitkan peran dengan portal Anda. Untuk informasi selengkapnya tentang membuat portal, lihat CreatePortaldi AWS IoT SiteWise APIReferensi.

Lampirkan AWSIoTSiteWiseMonitorPortalAccess kebijakan ke peran, atau lampirkan kebijakan yang menentukan izin yang setara.


aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess

Untuk melampirkan peran layanan ke portal yang ada

Untuk mengambil detail portal yang ada, jalankan perintah berikut. Ganti portal-id dengan ID portal.


aws iotsitewise describe-portal --portal-id portal-id

Operasi mengembalikan respon yang berisi rincian portal dalam format berikut.


{
    "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalName": "WindFarmPortal",
    "portalDescription": "A portal that contains wind farm projects for Example Corp.",
    "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
    "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
    "portalContactEmail": "support@example.com",
    "portalStatus": {
        "state": "ACTIVE"
    },
    "portalCreationDate": "2020-04-29T23:01:52.90248068Z",
    "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
    "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}

Untuk melampirkan peran layanan ke portal, jalankan perintah berikut. Ganti role-arn dengan peran layananARN, dan ganti parameter yang tersisa dengan nilai portal yang ada.


aws iotsitewise update-portal \
  --portal-id portal-id \
  --role-arn role-arn \
  --portal-name portal-name \
  --portal-description portal-description \
  --portal-contact-email portal-contact-email

SiteWise Pantau pembaruan ke AWSIoTSiteWiseMonitorServiceRole

Anda dapat melihat detail tentang pembaruan AWSIoTSiteWiseMonitorServiceRoleuntuk SiteWise Monitor, mulai dari saat layanan ini mulai melacak perubahan. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman Riwayat AWS IoT SiteWise dokumen.

Perubahan	Deskripsi	Tanggal
AWSIoTSiteWiseMonitorPortalAccess— Kebijakan yang diperbarui	AWS IoT SiteWise memperbarui kebijakan AWSIoTSiteWiseMonitorPortalAccessterkelola untuk fitur alarm.	27 Mei 2021
AWS IoT SiteWise mulai melacak perubahan	AWS IoT SiteWise mulai melacak perubahan untuk peran layanannya.	15 Desember 2020

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Hapus peran tertaut layanan

Mengatur izin untuk alarm