Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de funciones de servicio para AWS IoT SiteWise Monitor
Un rol de servicio es un rol de IAM que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.
Para permitir que los usuarios federados del portal SiteWise Monitor accedan a sus AWS IAM Identity Center recursos AWS IoT SiteWisey a sus recursos, debe asignar un rol de servicio a cada portal que cree. El rol de servicio debe especificar a SiteWise Monitor como entidad de confianza e incluir la política AWSIoTSiteWiseMonitorPortalAccess
Al crear un portal de SiteWise Monitor, debe elegir una función que permita a los usuarios de ese portal acceder a sus recursos AWS IoT SiteWisey a los del IAM Identity Center. La AWS IoT SiteWise consola puede crear y configurar el rol por usted. Puede editar el rol en IAM más adelante. Los usuarios de su portal tendrán problemas al usar sus portales de SiteWise Monitor si quita los permisos necesarios del rol o elimina el rol.
nota
Los portales creados antes del 29 de abril de 2020 no requerían roles de servicio. Si creó portales antes de esta fecha, deberá asociarles roles de servicio para poder seguir usándolos. Para ello, vaya a la página Portales de la consola de AWS IoT SiteWise
En las siguientes secciones se describe cómo crear y administrar el rol del servicio de SiteWise monitoreo en el AWS Management Console o el AWS Command Line Interface.
Contenido
Permisos de rol de servicio para SiteWise Monitor
Al crear un portal, AWS IoT SiteWise permite crear un rol cuyo nombre comience por AWSIoTSiteWiseMonitorServiceRole. Esta función permite a los usuarios federados de SiteWise Monitor acceder a la configuración del portal, a los activos, a los datos de activos y a los datos de configuración del IAM Identity Center.
El rol confía en el siguiente servicio para asumir el rol:
-
monitor.iotsitewise.amazonaws.com
El rol usa la siguiente política de permisos, cuyo nombre comienza por AWSIoTSiteWiseMonitorServicePortalPolicy, para permitir a los usuarios de SiteWise Monitor realizar acciones en los recursos de su cuenta. La política AWSIoTSiteWiseMonitorPortalAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotsitewise:DescribePortal", "iotsitewise:CreateProject", "iotsitewise:DescribeProject", "iotsitewise:UpdateProject", "iotsitewise:DeleteProject", "iotsitewise:ListProjects", "iotsitewise:BatchAssociateProjectAssets", "iotsitewise:BatchDisassociateProjectAssets", "iotsitewise:ListProjectAssets", "iotsitewise:CreateDashboard", "iotsitewise:DescribeDashboard", "iotsitewise:UpdateDashboard", "iotsitewise:DeleteDashboard", "iotsitewise:ListDashboards", "iotsitewise:CreateAccessPolicy", "iotsitewise:DescribeAccessPolicy", "iotsitewise:UpdateAccessPolicy", "iotsitewise:DeleteAccessPolicy", "iotsitewise:ListAccessPolicies", "iotsitewise:DescribeAsset", "iotsitewise:ListAssets", "iotsitewise:ListAssociatedAssets", "iotsitewise:DescribeAssetProperty", "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetAssetPropertyValueHistory", "iotsitewise:GetAssetPropertyAggregates", "iotsitewise:BatchPutAssetPropertyValue", "iotsitewise:ListAssetRelationships", "iotsitewise:DescribeAssetModel", "iotsitewise:ListAssetModels", "iotsitewise:UpdateAssetModel", "iotsitewise:UpdateAssetModelPropertyRouting", "sso-directory:DescribeUsers", "sso-directory:DescribeUser", "iotevents:DescribeAlarmModel", "iotevents:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotevents:BatchAcknowledgeAlarm", "iotevents:BatchSnoozeAlarm", "iotevents:BatchEnableAlarm", "iotevents:BatchDisableAlarm" ], "Resource": "*", "Condition": { "Null": { "iotevents:keyValue": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:CreateAlarmModel", "iotevents:TagResource" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:UpdateAlarmModel", "iotevents:DeleteAlarmModel" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "iotevents.amazonaws.com" ] } } } ] }
Para obtener más información sobre los permisos necesarios para las alarmas, consulte Configurar los permisos para AWS IoT Events las alarmas.
Cuando un usuario del portal inicia sesión, SiteWise Monitor crea una política de sesión basada en la intersección de la función de servicio y las políticas de acceso de ese usuario. Las políticas de acceso definen el nivel de acceso de las identidades de a sus portales y proyectos. Para obtener más información sobre los permisos y las políticas de acceso al portal, consulte Administrar sus portales de SiteWise Monitor CreateAccessla Política.
Administrar la función del servicio de SiteWise supervisión (consola)
Esto Consola de AWS IoT SiteWise facilita la administración de la función de servicio de SiteWise monitoreo para los portales. Al crear un portal, la consola comprueba si las funciones existentes son aptas para adjuntarlas. Si no hay ninguno disponible, la consola puede crear y configurar un rol de servicio para usted. Para obtener más información, consulte Creación de un portal.
Temas
Búsqueda del rol de servicio de un portal (consola)
Siga los pasos siguientes para buscar el rol de servicio asociado a un portal de SiteWise Monitor.
Para buscar el rol de servicio de un portal
-
Vaya a la consola de AWS IoT SiteWise
. -
En el panel de navegación izquierdo, elija Portales.
-
Elija el portal para el que desea buscar el rol de servicio.
El rol asociado al portal aparece en Permisos, Rol de servicio.
Creación de un rol de servicio de SiteWise monitoreo (AWS IoT SiteWise consola)
Al crear un portal de SiteWise Monitor, puede crear un rol de servicio para su portal. Para obtener más información, consulte Creación de un portal.
También puede crear un rol de servicio para un portal existente en la AWS IoT SiteWise consola. Esto sustituye el rol de servicio existente del portal.
Para crear un rol de servicio para un portal existente
Vaya a la consola de AWS IoT SiteWise
. -
En el panel de navegación, elija Portales.
-
Elija el portal para el que desea crear un nuevo rol de servicio.
-
En Detalles del portal, elija Editar.
-
En Permisos, elija Crear y usar un nuevo rol de servicio de la lista.
-
Escriba un nombre para el nuevo rol.
-
Seleccione Guardar.
Creación de un rol de servicio de SiteWise supervisión (consola de IAM)
Puede crear un rol de servicio a partir de la plantilla de rol de servicio de la consola de IAM. Esta plantilla de roles incluye la política AWSIoTSiteWiseMonitorPortalAccess
Para crear un rol de servicio a partir de la plantilla de roles de servicio del portal
-
Vaya a la consola de IAM
. -
Seleccione Roles en el panel de navegación.
-
Elija Crear rol.
-
En Elige un caso de uso, elige IoT SiteWise.
-
En Seleccionar su caso de uso, elija IoT SiteWise Monitor - Portal.
-
Elija Siguiente: Permisos.
-
Elija Siguiente: Etiquetas.
-
Elija Siguiente: Revisar.
-
Introduzca un Nombre de rol para el nuevo rol de servicio.
-
Elija Crear rol.
Cambio del rol de servicio de un portal (consola)
Utilice el siguiente procedimiento para elegir un rol de servicio de SiteWise supervisión diferente para un portal.
Para cambiar el rol de servicio de un portal
Vaya a la consola de AWS IoT SiteWise
. -
En el panel de navegación, elija Portales.
-
Elija el portal para el que desea cambiar el rol de servicio.
-
En Detalles del portal, elija Editar.
-
En Permisos, elija Usar un rol existente.
-
Elija un rol existente para asociar a este portal.
-
Seleccione Guardar.
Administración de la función de servicio de SiteWise supervisión (CLI)
Puede utilizarla AWS CLI para las siguientes tareas de administración de funciones de servicio de portal:
Temas
Búsqueda del rol de servicio de un portal (CLI)
Para encontrar el rol de servicio asociado a un portal de SiteWise Monitor, ejecute el siguiente comando para ver una lista de todos los portales de la región actual.
aws iotsitewise list-portals
La operación devuelve una respuesta que contiene los resúmenes de su portal en el siguiente formato.
{ "portalSummaries": [ { "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "name": "WindFarmPortal", "description": "A portal that contains wind farm projects for Example Corp.", "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name", "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "creationDate": "2020-02-04T23:01:52.90248068Z", "lastUpdateDate": "2020-02-04T23:01:52.90248078Z" } ] }
También puede usar la DescribePortaloperación para encontrar la función de su portal si conoce el ID de su portal.
Creación del rol de servicio de SiteWise monitoreo (CLI)
Siga los siguientes pasos para crear un nuevo rol de servicio de SiteWise monitoreo.
Para crear un rol de servicio de SiteWise monitoreo
-
Cree un rol con una política de confianza que permita a SiteWise Monitor asumir el rol. En este ejemplo se crea un rol denominado
MySiteWiseMonitorPortalRolea partir de una política de confianza almacenada en una cadena JSON. -
Copie el ARN del rol de los metadatos del rol en la salida. Al crear un portal, debe utilizar este ARN para asociar el rol al portal. Para obtener más información sobre la creación de un portal, consulte CreatePortalla referencia de la AWS IoT SiteWise API.
-
Asocie la política
AWSIoTSiteWiseMonitorPortalAccesscon el rol o asocie una política que defina permisos equivalentes.aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
Para asociar un rol de servicio a un portal existente
-
Para recuperar los detalles existentes del portal, ejecute el siguiente comando. Reemplace
portal-idpor el ID del portal.aws iotsitewise describe-portal --portal-idportal-idLa operación devuelve una respuesta que contiene los detalles del portal en el siguiente formato.
{ "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalName": "WindFarmPortal", "portalDescription": "A portal that contains wind farm projects for Example Corp.", "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE", "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "portalContactEmail": "support@example.com", "portalStatus": { "state": "ACTIVE" }, "portalCreationDate": "2020-04-29T23:01:52.90248068Z", "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z", "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE" } -
Para asociar un rol de servicio a un portal, ejecute el siguiente comando. Reemplace el
role-arncon el ARN del rol de servicio y reemplace los parámetros restantes con los valores existentes del portal.aws iotsitewise update-portal \ --portal-idportal-id\ --role-arnrole-arn\ --portal-nameportal-name\ --portal-descriptionportal-description\ --portal-contact-emailportal-contact-email
SiteWise Supervise las actualizaciones de AWSIoTSiteWiseMonitorServiceRole
Puede ver los detalles sobre las actualizaciones de AWSIoTSiteWiseMonitorServiceRolefor SiteWise Monitor, empezando por el momento en que este servicio comenzó a realizar el seguimiento de los cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS IoT SiteWise documento.
| Cambio | Descripción | Fecha |
|---|---|---|
|
AWSIoTSiteWiseMonitorPortalAccess: política actualizada |
AWS IoT SiteWise actualizó la política AWSIoTSiteWiseMonitorPortalAccess |
27 de mayo de 2021 |
|
AWS IoT SiteWise comenzó a rastrear los cambios |
AWS IoT SiteWise comenzó a rastrear los cambios de su función de servicio. |
15 de diciembre de 2020 |
