Verwenden von Servicerollen für AWS IoT SiteWise Monitor - AWS IoT SiteWise
Berechtigungen für die Servicerolle für SiteWise MonitorVerwaltung der Servicerolle (Konsole)Verwaltung der Servicerolle (CLI)Aktualisierungen von Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Servicerollen für AWS IoT SiteWise Monitor

Eine Servicerolle ist eine IAM-Rolle, die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

Um Benutzern des SiteWise Verbundmonitor-Portals den Zugriff auf Ihre AWS IAM Identity Center Ressourcen AWS IoT SiteWiseund Ihre Ressourcen zu ermöglichen, müssen Sie jedem Portal, das Sie erstellen, eine Servicerolle zuordnen. In der Servicerolle muss SiteWise Monitor als vertrauenswürdige Entität angegeben und die AWSIoTSiteWiseMonitorPortalAccessverwaltete Richtlinie enthalten oder entsprechende Berechtigungen definiert werden. Diese Richtlinie wird von den Berechtigungen verwaltet AWS und definiert die Berechtigungen, die SiteWise Monitor für den Zugriff auf Ihre AWS IoT SiteWise und IAM Identity Center-Ressourcen verwendet.

Wenn Sie ein SiteWise Monitor-Portal erstellen, müssen Sie eine Rolle auswählen, die Benutzern dieses Portals den Zugriff auf Ihre Ressourcen AWS IoT SiteWiseund die Ressourcen von IAM Identity Center ermöglicht. Die AWS IoT SiteWise Konsole kann die Rolle für Sie erstellen und konfigurieren. Sie können die Rolle später in IAM bearbeiten. Ihre Portalbenutzer werden Probleme bei der Verwendung ihrer SiteWise Monitor-Portale haben, wenn Sie die erforderlichen Berechtigungen aus der Rolle entfernen oder die Rolle löschen.

Anmerkung

Portale, die vor dem 29. April 2020 erstellt wurden, haben keine Servicerollen benötigt. Wenn Sie vor diesem Datum Portale erstellt haben, müssen Sie diesen Servicerollen anfügen, um sie weiter verwenden zu können. Navigieren Sie dazu in der AWS IoT SiteWise Konsole zur Seite Portale und wählen Sie dann Alle Portale migrieren, um IAM-Rollen zu verwenden.

In den folgenden Abschnitten wird beschrieben, wie Sie die SiteWise Monitor-Servicerolle in der AWS Management Console oder der AWS Command Line Interface erstellen und verwalten.

Berechtigungen für die Servicerolle für SiteWise Monitor

Wenn Sie ein Portal erstellen, AWS IoT SiteWise können Sie damit eine Rolle erstellen, deren Name mit beginnt AWSIoTSiteWiseMonitorServiceRole. Diese Rolle ermöglicht Benutzern von Federated SiteWise Monitor den Zugriff auf Ihre Portalkonfiguration, Ihre Assets, Asset-Daten sowie die IAM Identity Center-Konfiguration .

Die Rolle vertraut darauf, dass der folgende Service diese Rolle annimmt:

  • monitor.iotsitewise.amazonaws.com

Die Rolle verwendet die folgende Berechtigungsrichtlinie, deren Name mit beginnt AWSIoTSiteWiseMonitorServicePortalPolicy, damit SiteWise Monitor-Benutzer Aktionen an Ressourcen in Ihrem Konto ausführen können. Die AWSIoTSiteWiseMonitorPortalAccessverwaltete Richtlinie definiert äquivalente Berechtigungen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribePortal",
                "iotsitewise:CreateProject",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:ListProjects",
                "iotsitewise:BatchAssociateProjectAssets",
                "iotsitewise:BatchDisassociateProjectAssets",
                "iotsitewise:ListProjectAssets",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:CreateAccessPolicy",
                "iotsitewise:DescribeAccessPolicy",
                "iotsitewise:UpdateAccessPolicy",
                "iotsitewise:DeleteAccessPolicy",
                "iotsitewise:ListAccessPolicies",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssets",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:BatchPutAssetPropertyValue",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting",
                "sso-directory:DescribeUsers",
                "sso-directory:DescribeUser",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:BatchAcknowledgeAlarm",
                "iotevents:BatchSnoozeAlarm",
                "iotevents:BatchEnableAlarm",
                "iotevents:BatchDisableAlarm"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iotevents:keyValue": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteAlarmModel"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "iotevents.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Weitere Informationen zu den erforderlichen Berechtigungen für Alarme finden Sie unterBerechtigungen für AWS IoT Events Alarme einrichten.

Wenn sich ein Portalbenutzer anmeldet, erstellt SiteWise Monitor eine Sitzungsrichtlinie, die auf der Schnittmenge zwischen der Servicerolle und den Zugriffsrichtlinien dieses Benutzers basiert. Zugriffsrichtlinien definieren die Zugriffsstufe von -Identitäten auf Ihre Portale und Projekte. Weitere Informationen zu Portalberechtigungen und Zugriffsrichtlinien finden Sie unter Verwaltung Ihrer SiteWise Monitor-Portale und CreateAccessRichtlinie.

Verwaltung der SiteWise Monitor-Dienstrolle (Konsole)

Das AWS-IoT-SiteWise-Konsole erleichtert die Verwaltung der SiteWise Monitor-Dienstrolle für Portale. Beim Erstellen eines Portals sucht die Konsole nach vorhandenen Rollen, die für eine Zuordnung geeignet sind. Wenn keine verfügbar sind, kann die Konsole eine Servicerolle für Sie erstellen und konfigurieren. Weitere Informationen finden Sie unter Erstellen eines Portals.

Suchen der Servicerolle eines Portals (Konsole)

Gehen Sie wie folgt vor, um die einem SiteWise Monitor-Portal zugeordnete Servicerolle zu finden.

So finden Sie die Servicerolle eines Portals

  1. Navigieren Sie zur AWS IoT SiteWise -Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Portale aus.

  3. Wählen Sie das Portal aus, dessen Servicerolle Sie finden möchten.

    Die dem Portal angefügte Rolle wird unter Permissions (Berechtigungen), Service role (Servicerolle) angezeigt.

Erstellen einer SiteWise Monitor-Dienstrolle (AWS IoT SiteWise Konsole)

Wenn Sie ein SiteWise Monitor-Portal erstellen, können Sie eine Servicerolle für Ihr Portal erstellen. Weitere Informationen finden Sie unter Erstellen eines Portals.

Sie können auch eine Servicerolle für ein vorhandenes Portal in der AWS IoT SiteWise Konsole erstellen. Dies ersetzt die bestehende Servicerolle des Portals.

So erstellen Sie eine Servicerolle für ein vorhandenes Portal

  1. Navigieren Sie zur AWS IoT SiteWise -Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Portale aus.

  3. Wählen Sie das Portal aus, für das Sie eine neue Servicerolle erstellen möchten.

  4. Wählen Sie unter Portal details (Portaldetails) die Option Edit (Bearbeiten).

  5. Wählen Sie unter Permissions (Berechtigungen) die Option Create and use a new service role (Eine neue Servicerolle erstellen und verwenden) aus der Liste aus.

  6. Geben Sie einen Namen für die neue Rolle ein.

  7. Wählen Sie Speichern.

Erstellen einer SiteWise Monitor-Servicerolle (IAM-Konsole)

Sie können eine Servicerolle anhand der Servicerollenvorlage in der IAM-Konsole erstellen. Diese Rollenvorlage enthält die AWSIoTSiteWiseMonitorPortalAccessverwaltete Richtlinie und gibt SiteWise Monitor als vertrauenswürdige Entität an.

Um eine Servicerolle aus der Servicerollenvorlage des Portals zu erstellen

  1. Navigieren Sie zur IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie Rolle erstellen aus.

  4. Wählen Sie unter Wählen Sie einen Anwendungsfall die Option IoT aus SiteWise.

  5. Wählen Sie unter Wählen Sie Ihren Anwendungsfall aus die Option IoT SiteWise Monitor - Portal.

  6. Wählen Sie Next: Permissions aus.

  7. Wählen Sie Next: Tags (Weiter: Tags) aus.

  8. Klicken Sie auf Weiter: Prüfen.

  9. Geben Sie einen Rollennamen für die neue Servicerolle ein.

  10. Wählen Sie Rolle erstellen aus.

Änderung der Servicerolle eines Portals (Konsole)

Gehen Sie wie folgt vor, um eine andere SiteWise Monitor-Servicerolle für ein Portal auszuwählen.

So ändern Sie die Servicerolle eines Portals

  1. Navigieren Sie zur AWS IoT SiteWise -Konsole.

  2. Wählen Sie im linken Navigationsbereich die Option Portale aus.

  3. Wählen Sie das Portal aus, dessen Servicerolle Sie ändern möchten.

  4. Wählen Sie unter Portal details (Portaldetails) die Option Edit (Bearbeiten).

  5. Wählen Sie unter Permissions (Berechtigungen) die Option Use an existing role (Vorhandene Rolle verwenden) aus.

  6. Wählen Sie eine vorhandene Rolle aus, die diesem Portal angefügt werden soll.

  7. Wählen Sie Speichern.

Verwaltung der SiteWise Monitor-Servicerolle (CLI)

Sie können den AWS CLI für die folgenden Aufgaben zur Verwaltung der Portaldienstrollen verwenden:

Suche der Servicerolle eines Portals (CLI)

Um die einem SiteWise Monitor-Portal zugeordnete Servicerolle zu finden, führen Sie den folgenden Befehl aus, um alle Ihre Portale in der aktuellen Region aufzulisten.

aws iotsitewise list-portals

Die Operation gibt eine Antwort mit einer Portalzusammenfassung im folgenden Format zurück.

{
  "portalSummaries": [
    {
      "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "name": "WindFarmPortal",
      "description": "A portal that contains wind farm projects for Example Corp.",
      "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
      "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
      "creationDate": "2020-02-04T23:01:52.90248068Z",
      "lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
    }
  ]
}

Sie können den DescribePortalVorgang auch verwenden, um die Rolle Ihres Portals zu ermitteln, wenn Sie die ID Ihres Portals kennen.

Die SiteWise Monitor-Servicerolle (CLI) erstellen

Gehen Sie wie folgt vor, um eine neue SiteWise Monitor-Dienstrolle zu erstellen.

Um eine SiteWise Monitor-Dienstrolle zu erstellen

  1. Erstellen Sie eine Rolle mit einer Vertrauensrichtlinie, die es SiteWise Monitor ermöglicht, die Rolle zu übernehmen. In diesem Beispiel wird eine Rolle Mit dem Namen MySiteWiseMonitorPortalRole aus einer Vertrauensrichtlinie erstellt, die in einer JSON-Zeichenfolge gespeichert ist.

    Linux, macOS, or Unix
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitor.iotsitewise.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'
    Windows command prompt
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"

  2. Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Wenn Sie ein Portal erstellen, verwenden Sie diesen ARN, um die Rolle Ihrem Portal zuzuordnen. Weitere Informationen zum Erstellen eines Portals finden Sie CreatePortalin der AWS IoT SiteWise API-Referenz.

  3. Weisen Sie die AWSIoTSiteWiseMonitorPortalAccess-Richtlinie an die Rolle zu, oder fügen Sie eine Richtlinie hinzu, die entsprechende Berechtigungen definiert.

    aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
So fügen Sie einem vorhandenen Portal eine Servicerolle an

  1. Führen Sie den folgenden Befehl aus, um die vorhandenen Details des Portals abzurufen. Ersetzen Sie portal-id durch die ID des Portals.

    aws iotsitewise describe-portal --portal-id portal-id

    Die Operation gibt eine Antwort zurück, die die Details des Portals im folgenden Format enthält.

    {
    "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalName": "WindFarmPortal",
    "portalDescription": "A portal that contains wind farm projects for Example Corp.",
    "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
    "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
    "portalContactEmail": "support@example.com",
    "portalStatus": {
        "state": "ACTIVE"
    },
    "portalCreationDate": "2020-04-29T23:01:52.90248068Z",
    "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
    "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}

  2. Führen Sie den folgenden Befehl aus, um einem Portal eine Servicerolle anzufügen. Ersetzen Sie role-arn durch den Servicerollen-ARN. Ersetzen Sie die übrigen Parameter durch die vorhandenen Werte des Portals.

    aws iotsitewise update-portal \
  --portal-id portal-id \
  --role-arn role-arn \
  --portal-name portal-name \
  --portal-description portal-description \
  --portal-contact-email portal-contact-email

SiteWise Überwachen Sie Aktualisierungen für AWSIoTSiteWiseMonitorServiceRole

Sie können sich Details zu Updates AWSIoTSiteWiseMonitorServiceRolefür SiteWise Monitor anzeigen lassen, und zwar ab dem Zeitpunkt, zu dem dieser Dienst mit der Nachverfolgung der Änderungen begann. Abonnieren Sie den RSS-Feed auf der Seite AWS IoT SiteWise Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum

AWSIoTSiteWiseMonitorPortalAccess— Aktualisierte Richtlinie

AWS IoT SiteWise AWSIoTSiteWiseMonitorPortalAccesshat die verwaltete Richtlinie für die Alarmfunktion aktualisiert.

 27. Mai 2021

AWS IoT SiteWise hat begonnen, Änderungen zu verfolgen

AWS IoT SiteWise hat begonnen, Änderungen für seine Servicerolle zu verfolgen.

 15. Dezember 2020