Permissões de função de serviço para SiteWise Monitor Gerenciar a função de serviço (console)Gerenciar a função de serviço (CLI)Atualizações de funções

Use funções de serviço para AWS IoT SiteWise Monitor

Uma função de serviço é uma IAMfunção que um serviço assume para realizar ações em seu nome. Um IAM administrador pode criar, modificar e excluir uma função de serviço internamenteIAM. Para obter mais informações, consulte Criação de uma função para delegar permissões a uma AWS service (Serviço da AWS) no Guia do IAM usuário.

Para permitir que usuários federados do portal SiteWise Monitor acessem seus AWS IAM Identity Center recursos AWS IoT SiteWisee seus, você deve anexar uma função de serviço a cada portal que você criar. A função de serviço deve especificar o SiteWise Monitor como uma entidade confiável e incluir a política AWSIoTSiteWiseMonitorPortalAccessgerenciada ou definir permissões equivalentes. Essa política é mantida AWS e define o conjunto de permissões que o SiteWise Monitor usa para acessar seus recursos AWS IoT SiteWise e o IAM Identity Center.

Ao criar um portal do SiteWise Monitor, você deve escolher uma função que permita que os usuários desse portal acessem seus recursos AWS IoT SiteWisee do IAM Identity Center. O AWS IoT SiteWise console pode criar e configurar a função para você. Você pode editar a função IAM posteriormente. Os usuários do seu portal terão problemas ao usar seus portais SiteWise Monitor se você remover as permissões necessárias da função ou excluir a função.

nota

Os portais criados antes de 29 de abril de 2020 não exigiram funções de serviço. Se você criou portais antes dessa data, deverá anexar funções de serviço para continuar usando-as. Para fazer isso, navegue até a página Portais no AWS IoT SiteWise console e escolha Migrar todos os portais para usar funções. IAM

As seções a seguir descrevem como criar e gerenciar a função de serviço SiteWise Monitor no AWS Management Console ou no AWS Command Line Interface.

Sumário

Permissões de função de serviço para SiteWise Monitor

Quando você cria um portal, AWS IoT SiteWise permite criar uma função cujo nome comece com AWSIoTSiteWiseMonitorServiceRole. Essa função permite que usuários federados do SiteWise Monitor acessem a configuração do portal, os ativos, os dados do ativo e a configuração do IAM Identity Center.

A função confia que o seguinte serviço assuma a função:

monitor.iotsitewise.amazonaws.com

A função usa a seguinte política de permissões, cujo nome começa com AWSIoTSiteWiseMonitorServicePortalPolicy, para permitir que os usuários do SiteWise Monitor concluam ações nos recursos da sua conta. A política AWSIoTSiteWiseMonitorPortalAccessgerenciada define permissões equivalentes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribePortal",
                "iotsitewise:CreateProject",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:ListProjects",
                "iotsitewise:BatchAssociateProjectAssets",
                "iotsitewise:BatchDisassociateProjectAssets",
                "iotsitewise:ListProjectAssets",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:CreateAccessPolicy",
                "iotsitewise:DescribeAccessPolicy",
                "iotsitewise:UpdateAccessPolicy",
                "iotsitewise:DeleteAccessPolicy",
                "iotsitewise:ListAccessPolicies",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssets",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:BatchPutAssetPropertyValue",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting",
                "sso-directory:DescribeUsers",
                "sso-directory:DescribeUser",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:BatchAcknowledgeAlarm",
                "iotevents:BatchSnoozeAlarm",
                "iotevents:BatchEnableAlarm",
                "iotevents:BatchDisableAlarm"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iotevents:keyValue": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteAlarmModel"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "iotevents.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Para mais informações sobre as permissões necessárias para alarmes, consulte Configurar permissões para AWS IoT Events alarmes.

Quando um usuário do portal entra, o SiteWise Monitor cria uma política de sessão com base na interseção da função de serviço e das políticas de acesso desse usuário. As políticas de acesso definem o nível de acesso das identidades aos seus portais e projetos. Para obter mais informações sobre permissões do portal e políticas de acesso, consulte Administre seus portais do SiteWise Monitor CreateAccessPolicye.

Gerenciar a função de serviço do SiteWise Monitor (console)

Isso Console do AWS IoT SiteWise facilita o gerenciamento da função de serviço SiteWise Monitor para portais. Ao criar um portal, o console verifica as funções existentes adequadas para anexação. Se nenhuma estiver disponível, o console poderá criar e configurar uma função de serviço para você. Para obter mais informações, consulte Crie um portal.

Tópicos

Encontre a função de serviço de um portal (console)
Criar uma função de serviço do SiteWise Monitor (AWS IoT SiteWise console)
Criar uma função de serviço do SiteWise Monitor (IAMconsole)
Alterar a função de serviço de um portal (console)

Encontre a função de serviço de um portal (console)

Use as etapas a seguir para encontrar a função de serviço anexada a um portal do SiteWise Monitor.

Como encontrar a função de serviço de um portal

Navegue até o console do AWS IoT SiteWise.
No painel de navegação à esquerda, escolha Portais.
Escolha o portal para o qual deseja encontrar a função de serviço.

A função anexada ao portal aparece em Permissions (Permissões), Service Role (Função de serviço).

Criar uma função de serviço do SiteWise Monitor (AWS IoT SiteWise console)

Ao criar um portal SiteWise Monitor, você pode criar uma função de serviço para seu portal. Para obter mais informações, consulte Crie um portal.

Você também pode criar uma função de serviço para um portal existente no AWS IoT SiteWise console. Isso substitui o perfil de serviço existente do portal.

Como criar uma função de serviço para um portal existente

Navegue até o console do AWS IoT SiteWise.
No painel de navegação, selecione Portais.
Escolha o portal para o qual você deseja criar uma função de serviço.
Em Portal details (Detalhes do portal), escolha Edit (Editar).
Em Permissions (Permissões), escolha Create and use a new service role (Criar e usar uma nova função de serviço) na lista.
Insira um nome para a nova função.
Escolha Salvar.

Criar uma função de serviço do SiteWise Monitor (IAMconsole)

Você pode criar uma função de serviço a partir do modelo de função de serviço no IAM console. Esse modelo de função inclui a política AWSIoTSiteWiseMonitorPortalAccessgerenciada e especifica o SiteWise Monitor como uma entidade confiável.

Para criar um perfil de serviço a partir do modelo de perfil de serviço do portal

Navegue até o console do IAM.
No painel de navegação, escolha Roles.
Selecione Create role.
Em Escolha um caso de uso, escolha IoT SiteWise.
Em Selecione seu caso de uso, escolha IoT SiteWise Monitor - Portal.
Escolha Next: Permissions (Próximo: Permissões).
Escolha Next: Tags (Próximo: tags).
Selecione Next: Review (Próximo: revisar).
Insira um Nome do perfil para o novo perfil de serviço.
Selecione Criar função.

Alterar a função de serviço de um portal (console)

Use o procedimento a seguir para escolher uma função de serviço SiteWise Monitor diferente para um portal.

Como alterar a função de serviço de um portal

Navegue até o console do AWS IoT SiteWise.
No painel de navegação, selecione Portais.
Escolha o portal para o qual você deseja alterar a função de serviço.
Em Portal details (Detalhes do portal), escolha Edit (Editar).
Em Permissions (Permissões), escolha Use an existing role (Usar uma função existente).
Escolha uma função existente para anexar a este portal.
Escolha Salvar.

Gerenciar a função de serviço SiteWise Monitor () CLI

Você pode usar o AWS CLI para as seguintes tarefas de gerenciamento de função de serviço do portal:

Tópicos

Encontre a função de serviço de um portal (CLI)
Crie a função de serviço SiteWise Monitor (CLI)

Encontre a função de serviço de um portal (CLI)

Para encontrar a função de serviço anexada a um portal do SiteWise Monitor, execute o comando a seguir para listar todos os seus portais na região atual.


aws iotsitewise list-portals

A operação retorna uma resposta que contém os resumos de seu portal no formato a seguir.


{
  "portalSummaries": [
    {
      "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "name": "WindFarmPortal",
      "description": "A portal that contains wind farm projects for Example Corp.",
      "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
      "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
      "creationDate": "2020-02-04T23:01:52.90248068Z",
      "lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
    }
  ]
}

Você também pode utilizar a DescribePortaloperação para localizar a função do seu portal se você souber a ID do seu portal.

Crie a função de serviço SiteWise Monitor (CLI)

Use as etapas a seguir para criar uma nova função de serviço do SiteWise Monitor.

Para criar uma função de serviço do SiteWise Monitor

Crie uma função com uma política de confiança que permita que o SiteWise Monitor assuma a função. Este exemplo cria uma função nomeada MySiteWiseMonitorPortalRole a partir de uma política de confiança armazenada em uma JSON string.

Copie a função ARN dos metadados da função na saída. Ao criar um portal, você usa isso ARN para associar a função ao seu portal. Para obter mais informações sobre a criação de um portal, consulte CreatePortalna AWS IoT SiteWise APIReferência.

Anexe a política AWSIoTSiteWiseMonitorPortalAccess à função ou anexe uma política que defina permissões equivalentes.


aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess

Como anexar uma função de serviço a um portal existente

Para recuperar os detalhes existentes do portal, execute o comando a seguir. Substituir portal-id com o ID do portal.


aws iotsitewise describe-portal --portal-id portal-id

A operação retorna uma resposta que contém os detalhes do portal no seguinte formato.


{
    "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalName": "WindFarmPortal",
    "portalDescription": "A portal that contains wind farm projects for Example Corp.",
    "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
    "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
    "portalContactEmail": "support@example.com",
    "portalStatus": {
        "state": "ACTIVE"
    },
    "portalCreationDate": "2020-04-29T23:01:52.90248068Z",
    "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
    "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}

Para anexar uma função de serviço a um portal, execute o comando a seguir. Substituir role-arn com a função ARN de serviço e substitua os parâmetros restantes pelos valores existentes do portal.


aws iotsitewise update-portal \
  --portal-id portal-id \
  --role-arn role-arn \
  --portal-name portal-name \
  --portal-description portal-description \
  --portal-contact-email portal-contact-email

SiteWise Monitore as atualizações do AWSIoTSiteWiseMonitorServiceRole

Você pode ver detalhes sobre as atualizações do SiteWise Monitor, a AWSIoTSiteWiseMonitorServiceRolepartir de quando esse serviço começou a rastrear as alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico do AWS IoT SiteWise documento.

Alteração	Descrição	Data
AWSIoTSiteWiseMonitorPortalAccess— Política atualizada	AWS IoT SiteWise atualizou a política AWSIoTSiteWiseMonitorPortalAccessgerenciada para o recurso de alarmes.	27 de maio de 2021
AWS IoT SiteWise começou a rastrear as alterações	AWS IoT SiteWise começou a rastrear as alterações em sua função de serviço.	15 de dezembro de 2020

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Excluir um perfil vinculado ao serviço

Configurar permissões para alarmes