Configurar permissões para AWS IoT Events alarmes - AWS IoT SiteWise

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar permissões para AWS IoT Events alarmes

Ao usar um modelo de AWS IoT Events alarme para monitorar uma propriedade do AWS IoT SiteWise ativo, você deve ter as seguintes IAM permissões:

  • Uma função AWS IoT Events de serviço que AWS IoT Events permite enviar dados para AWS IoT SiteWise o. Para mais informações, consulte Gerenciamento de identidade e acesso para o AWS IoT Events no Guia do desenvolvedor do AWS IoT Events .

  • Você deve ter as seguintes permissões de AWS IoT SiteWise ação: iotsitewise:DescribeAssetModel iotsitewise:UpdateAssetModelPropertyRouting e. Essas permissões permitem AWS IoT SiteWise enviar valores de propriedades de ativos para modelos AWS IoT Events de alarme.

Para obter mais informações, consulte Políticas baseadas em recursos no Guia do IAMusuário.

Permissões obrigatórias para ações

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos, e em que condições. O Action elemento de uma JSON política descreve as ações que você pode usar para permitir ou negar acesso em uma política.

Antes de definir um modelo de AWS IoT Events alarme, você deve conceder as seguintes permissões que permitem AWS IoT SiteWise enviar valores de propriedades do ativo para o modelo de alarme.

  • iotsitewise:DescribeAssetModel— Permite AWS IoT Events verificar se existe uma propriedade do ativo.

  • iotsitewise:UpdateAssetModelPropertyRouting— Permite AWS IoT SiteWise criar automaticamente assinaturas que permitem enviar dados AWS IoT SiteWise para. AWS IoT Events

Para obter mais informações sobre as ações AWS IoT SiteWise suportadas, consulte Ações definidas por AWS IoT SiteWise na Referência de Autorização de Serviço.

exemplo Exemplo 1 de política de permissões

A política a seguir permite AWS IoT SiteWise enviar valores de propriedades de ativos para qualquer modelo de AWS IoT Events alarme.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotevents:CreateAlarmModel", "iotevents:UpdateAlarmModel" ], "Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*" }, { "Effect": "Allow", "Action": [ "iotsitewise:DescribeAssetModel", "iotsitewise:UpdateAssetModelPropertyRouting" ], "Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*" } ] }
exemplo Exemplo 2 de política de permissões

A política a seguir permite AWS IoT SiteWise enviar valores de uma propriedade de ativo especificada para um modelo de AWS IoT Events alarme especificado.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotevents:CreateAlarmModel", "iotevents:UpdateAlarmModel" ], "Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*" }, { "Effect": "Allow", "Action": [ "iotsitewise:DescribeAssetModel" ], "Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*" }, { "Effect": "Allow", "Action": [ "iotsitewise:UpdateAssetModelPropertyRouting" ], "Resource": [ "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/12345678-90ab-cdef-1234-567890abcdef" ], "Condition": { "StringLike": { "iotsitewise:propertyId": "abcdef12-3456-7890-abcd-ef1234567890", "iotevents:alarmModelArn": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/MyAlarmModel" } } } ] }

ListInputRoutings Permissão (opcional)

Quando você atualiza ou exclui um modelo de ativo, AWS IoT SiteWise pode verificar se um modelo de alarme AWS IoT Events está monitorando uma propriedade de ativo associada a esse modelo de ativo. Isso impede que você exclua uma propriedade do ativo que um AWS IoT Events alarme está usando atualmente. Para habilitar esse recurso AWS IoT SiteWise, você deve ter a iotevents:ListInputRoutings permissão. Essa permissão permite AWS IoT SiteWise fazer chamadas para a ListInputRoutingsAPIoperação suportada pelo AWS IoT Events.

nota

É altamente recomendável adicionar a permissão ListInputRoutings.

exemplo Exemplo de política de permissões

A política a seguir permite que você atualize e exclua modelos de ativos e use o ListInputRoutings API in AWS IoT SiteWise.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotsitewise:UpdateAssetModel", "iotsitewise:DeleteAssetModel", "iotevents:ListInputRoutings" ], "Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*" } ] }

Permissões necessárias para o SiteWise Monitor

Se quiser usar o recurso de alarmes nos portais do SiteWise Monitor, você deve atualizar a função de serviço SiteWise Monitor com a seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotsitewise:DescribePortal", "iotsitewise:CreateProject", "iotsitewise:DescribeProject", "iotsitewise:UpdateProject", "iotsitewise:DeleteProject", "iotsitewise:ListProjects", "iotsitewise:BatchAssociateProjectAssets", "iotsitewise:BatchDisassociateProjectAssets", "iotsitewise:ListProjectAssets", "iotsitewise:CreateDashboard", "iotsitewise:DescribeDashboard", "iotsitewise:UpdateDashboard", "iotsitewise:DeleteDashboard", "iotsitewise:ListDashboards", "iotsitewise:CreateAccessPolicy", "iotsitewise:DescribeAccessPolicy", "iotsitewise:UpdateAccessPolicy", "iotsitewise:DeleteAccessPolicy", "iotsitewise:ListAccessPolicies", "iotsitewise:DescribeAsset", "iotsitewise:ListAssets", "iotsitewise:ListAssociatedAssets", "iotsitewise:DescribeAssetProperty", "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetAssetPropertyValueHistory", "iotsitewise:GetAssetPropertyAggregates", "iotsitewise:BatchPutAssetPropertyValue", "iotsitewise:ListAssetRelationships", "iotsitewise:DescribeAssetModel", "iotsitewise:ListAssetModels", "iotsitewise:UpdateAssetModel", "iotsitewise:UpdateAssetModelPropertyRouting", "sso-directory:DescribeUsers", "sso-directory:DescribeUser", "iotevents:DescribeAlarmModel", "iotevents:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotevents:BatchAcknowledgeAlarm", "iotevents:BatchSnoozeAlarm", "iotevents:BatchEnableAlarm", "iotevents:BatchDisableAlarm" ], "Resource": "*", "Condition": { "Null": { "iotevents:keyValue": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:CreateAlarmModel", "iotevents:TagResource" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:UpdateAlarmModel", "iotevents:DeleteAlarmModel" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "iotevents.amazonaws.com" ] } } } ] }