Autorisations de rôle de service pour SiteWise Monitor Gestion du rôle de service (console)Gestion du rôle de service (interface de ligne de commande)Mises à jour de rôle

Utilisation des rôles de service pour AWS IoT SiteWise Monitor

Une fonction de service est un rôle IAM qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer une fonction du service à partir d’IAM. Pour plus d’informations, consultez Création d’un rôle pour la délégation d’autorisations à un Service AWS dans le Guide de l’utilisateur IAM.

Pour permettre aux utilisateurs du portail SiteWise Monitor fédéré d'accéder à vos AWS IAM Identity Center ressources AWS IoT SiteWiseet à vos ressources, vous devez attribuer un rôle de service à chaque portail que vous créez. Le rôle de service doit spécifier SiteWise Monitor en tant qu'entité de confiance et inclure la politique AWSIoTSiteWiseMonitorPortalAccessgérée ou définir des autorisations équivalentes. Cette politique est gérée par AWS et définit l'ensemble d'autorisations que SiteWise Monitor utilise pour accéder à vos ressources AWS IoT SiteWise et à celles d'IAM Identity Center.

Lorsque vous créez un portail SiteWise Monitor, vous devez choisir un rôle qui permet aux utilisateurs de ce portail d'accéder à vos ressources AWS IoT SiteWiseet à celles d'IAM Identity Center. La AWS IoT SiteWise console peut créer et configurer le rôle pour vous. Vous pourrez modifier le rôle dans IAM ultérieurement. Les utilisateurs de votre portail rencontreront des problèmes lors de l'utilisation de leurs portails SiteWise Monitor si vous supprimez les autorisations requises pour le rôle ou si vous supprimez le rôle.

Note

Les portails créés avant le 29 avril 2020 ne nécessitaient pas de rôles de service. Si vous avez créé des portails avant cette date, vous devez joindre des rôles de service pour continuer à les utiliser. Pour ce faire, accédez à la page Portails de la AWS IoT SiteWise console, puis choisissez Migrer tous les portails pour utiliser les rôles IAM.

Les sections suivantes décrivent comment créer et gérer le rôle de service SiteWise Monitor dans le AWS Management Console ou le AWS Command Line Interface.

Table des matières

Autorisations de rôle de service pour SiteWise Monitor

Lorsque vous créez un portail, vous AWS IoT SiteWise permet de créer un rôle dont le nom commence par AWSIoTSiteWiseMonitorServiceRole. Ce rôle permet aux utilisateurs fédérés de SiteWise Monitor d'accéder à la configuration de votre portail, aux actifs, aux données des actifs, ainsi qu'à la configuration d'IAM Identity Center.

Le rôle approuve le fait que le service suivant endosse le rôle :

monitor.iotsitewise.amazonaws.com

Le rôle utilise la politique d'autorisation suivante, dont le nom commence par AWSIoTSiteWiseMonitorServicePortalPolicy, pour permettre aux utilisateurs de SiteWise Monitor d'effectuer des actions sur les ressources de votre compte. La politique AWSIoTSiteWiseMonitorPortalAccessgérée définit des autorisations équivalentes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribePortal",
                "iotsitewise:CreateProject",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:ListProjects",
                "iotsitewise:BatchAssociateProjectAssets",
                "iotsitewise:BatchDisassociateProjectAssets",
                "iotsitewise:ListProjectAssets",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:CreateAccessPolicy",
                "iotsitewise:DescribeAccessPolicy",
                "iotsitewise:UpdateAccessPolicy",
                "iotsitewise:DeleteAccessPolicy",
                "iotsitewise:ListAccessPolicies",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssets",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:BatchPutAssetPropertyValue",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting",
                "sso-directory:DescribeUsers",
                "sso-directory:DescribeUser",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:BatchAcknowledgeAlarm",
                "iotevents:BatchSnoozeAlarm",
                "iotevents:BatchEnableAlarm",
                "iotevents:BatchDisableAlarm"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iotevents:keyValue": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteAlarmModel"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "iotevents.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Pour plus d'informations sur les autorisations requises pour les alarmes, consultezConfiguration des autorisations pour les AWS IoT Events alarmes.

Lorsqu'un utilisateur du portail se connecte, SiteWise Monitor crée une politique de session basée sur l'intersection entre le rôle de service et les politiques d'accès de cet utilisateur. Les stratégies d'accès définissent le niveau d'accès des identités à vos portails et projets. Pour plus d'informations sur les autorisations du portail et les politiques d'accès, consultez la section Administration de vos portails SiteWise Monitor et CreateAccessla politique.

Gestion du rôle de service SiteWise Monitor (console)

Console AWS IoT SiteWise Facilite la gestion du rôle de service SiteWise Monitor pour les portails. Lors de la création d'un portail, la console vérifie les rôles existants susceptibles d'être rattachés. Si aucun n'est disponible, la console peut créer et configurer un rôle de service pour vous. Pour plus d’informations, consultez Création d'un portail.

Rubriques

Recherche du rôle de service d'un portail (console)
Création d'un rôle de service de SiteWise surveillance (AWS IoT SiteWise console)
Création d'un rôle de service de SiteWise surveillance (console IAM)
Modification du rôle de service d'un portail (console)

Recherche du rôle de service d'un portail (console)

Suivez les étapes ci-dessous pour trouver le rôle de service associé à un portail SiteWise Monitor.

Pour rechercher le rôle de service d'un portail

Accédez à la console AWS IoT SiteWise.
Dans le volet de navigation de gauche, choisissez Portals (Portails).
Choisissez le portail pour lequel vous souhaitez rechercher le rôle de service.

Le rôle associé au portail apparaît sous Autorisations, rôle de service.

Création d'un rôle de service de SiteWise surveillance (AWS IoT SiteWise console)

Lorsque vous créez un portail SiteWise Monitor, vous pouvez créer un rôle de service pour votre portail. Pour plus d’informations, consultez Création d'un portail.

Vous pouvez également créer un rôle de service pour un portail existant dans la AWS IoT SiteWise console. Cela remplace le rôle de service existant du portail.

Pour créer un rôle de service pour un portail existant

Accédez à la console AWS IoT SiteWise.
Dans le panneau de navigation, choisissez Portails.
Choisissez le portail pour lequel vous souhaitez créer un rôle de service.
Sous Détails du portail, choisissez Modifier.
Sous Autorisations, choisissez Créer et utiliser un nouveau rôle de service dans la liste.
Saisissez un nom pour votre nouveau rôle.
Choisissez Enregistrer.

Création d'un rôle de service de SiteWise surveillance (console IAM)

Vous pouvez créer un rôle de service à partir du modèle de rôle de service de la console IAM. Ce modèle de rôle inclut la politique AWSIoTSiteWiseMonitorPortalAccessgérée et spécifie SiteWise Monitor comme une entité de confiance.

Pour créer un rôle de service à partir du modèle de rôle de service du portail

Accédez à la Console IAM.
Dans le panneau de navigation, choisissez Roles (Rôles).
Sélectionnez Create role (Créer un rôle).
Dans Choisir un cas d'utilisation, sélectionnez IoT SiteWise.
Dans Sélectionnez votre cas d'utilisation, choisissez IoT SiteWise Monitor - Portal.
Sélectionnez Next: Permissions (Étape suivante : autorisations).
Choisissez Suivant : Balises.
Choisissez Suivant : Vérification.
Entrez un nom de rôle pour le nouveau rôle de service.
Sélectionnez Créer un rôle.

Modification du rôle de service d'un portail (console)

Utilisez la procédure suivante pour choisir un autre rôle de service de SiteWise surveillance pour un portail.

Pour modifier le rôle de service d'un portail

Accédez à la console AWS IoT SiteWise.
Dans le panneau de navigation, choisissez Portails.
Choisissez le portail pour lequel vous souhaitez modifier le rôle de service.
Sous Détails du portail, choisissez Modifier.
Sous Autorisations, choisissez Utiliser un rôle existant.
Choisissez un rôle existant à attacher à ce portail.
Choisissez Enregistrer.

Gestion du rôle de service SiteWise Monitor (CLI)

Vous pouvez utiliser le AWS CLI pour les tâches de gestion des rôles de service de portail suivantes :

Rubriques

Recherche du rôle de service d'un portail (interface de ligne de commande)
Création du rôle de service SiteWise Monitor (CLI)

Recherche du rôle de service d'un portail (interface de ligne de commande)

Pour trouver le rôle de service associé à un portail de SiteWise surveillance, exécutez la commande suivante pour répertorier tous vos portails dans la région actuelle.


aws iotsitewise list-portals

L'opération renvoie une réponse qui contient les résumés de vos portails au format suivant.


{
  "portalSummaries": [
    {
      "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "name": "WindFarmPortal",
      "description": "A portal that contains wind farm projects for Example Corp.",
      "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
      "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
      "creationDate": "2020-02-04T23:01:52.90248068Z",
      "lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
    }
  ]
}

Vous pouvez également utiliser DescribePortalcette opération pour trouver le rôle de votre portail si vous connaissez son identifiant.

Création du rôle de service SiteWise Monitor (CLI)

Suivez les étapes ci-dessous pour créer un nouveau rôle de service de SiteWise surveillance.

Pour créer un rôle SiteWise de service de surveillance

Créez un rôle avec une politique de confiance qui permet à SiteWise Monitor d'assumer ce rôle. Cet exemple crée un rôle nommé MySiteWiseMonitorPortalRole à partir d'une stratégie d'approbation stockée dans une chaîne JSON.

Copiez l'ARN de rôle du rôle des métadonnées dans la sortie. Lorsque vous créez un portail, vous utilisez cet ARN pour associer le rôle à votre portail. Pour plus d'informations sur la création d'un portail, consultez CreatePortalla référence des AWS IoT SiteWise API.

Attachez la stratégie AWSIoTSiteWiseMonitorPortalAccess au rôle ou attachez une stratégie qui définit des autorisations équivalentes.


aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess

Pour attacher un rôle de service à un portail existant

Pour récupérer les détails existants du portail, exécutez la commande suivante. Remplacez portal-id par l'ID du portail.


aws iotsitewise describe-portal --portal-id portal-id

L'opération renvoie une réponse qui contient les détails du portail dans le format suivant.


{
    "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalName": "WindFarmPortal",
    "portalDescription": "A portal that contains wind farm projects for Example Corp.",
    "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
    "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
    "portalContactEmail": "support@example.com",
    "portalStatus": {
        "state": "ACTIVE"
    },
    "portalCreationDate": "2020-04-29T23:01:52.90248068Z",
    "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
    "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}

Pour attacher un rôle de service à un portail, exécutez la commande suivante. Remplacez role-arn par l'ARN de rôle de service et remplacez les paramètres restants par les valeurs existantes du portail.


aws iotsitewise update-portal \
  --portal-id portal-id \
  --role-arn role-arn \
  --portal-name portal-name \
  --portal-description portal-description \
  --portal-contact-email portal-contact-email

SiteWise Surveillez les mises à jour de AWSIoTSiteWiseMonitorServiceRole

Vous pouvez consulter les détails des mises à jour de AWSIoTSiteWiseMonitorServiceRolefor SiteWise Monitor, à partir du moment où ce service a commencé à suivre les modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS IoT SiteWise document.

Modification	Description	Date
AWSIoTSiteWiseMonitorPortalAccess— Politique mise à jour	AWS IoT SiteWise a mis à jour la politique AWSIoTSiteWiseMonitorPortalAccessgérée pour la fonctionnalité d'alarmes.	27 mai 2021
AWS IoT SiteWise a commencé à suivre les modifications	AWS IoT SiteWise a commencé à suivre les modifications apportées à son rôle de service.	15 décembre 2020

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression d'un rôle lié à un service

Configuration des autorisations pour les alarmes