Using service roles for AWS IoT SiteWise Monitor - AWS IoT SiteWise

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

Using service roles for AWS IoT SiteWise Monitor

サービスロールは、サービスがお客様に代わってお客様のアカウントでアクションを実行するために引き受ける IAM ロールです。一部の AWS のサービス環境を設定するときに、サービスが引き受けるロールを定義する必要があります。このサービスロールには、サービスが必要とする AWS のリソースにサービスがアクセスするために必要なすべてのアクセス権限を含める必要があります。サービスロールはサービスによって異なりますが、多くのサービスロールでは、そのサービスの文書化された要件を満たしている限り、アクセス権限を選択することができます。サービスロールは、お客様のアカウント内のみでアクセスを提供します。他のアカウントのサービスへのアクセス権を付与するためにサービスロールを使用することはできません。IAM 内部からロールを作成、修正、削除できます。たとえば、Amazon Redshift がお客様に代わって Amazon S3 バケットにアクセスし、バケットからデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、IAM ユーザーガイドAWS サービスにアクセス権限を委任するロールの作成を参照してください。

SiteWise Monitor ポータルのフェデレーティッドユーザーに AWS IoT SiteWise リソースと AWS シングルサインオン リソースへのアクセスを許可するには、作成する各ポータルにサービスロールをアタッチする必要があります。サービスロールは、信頼されたエンティティとして SiteWise Monitor を指定し、AWSIoTSiteWiseMonitorPortalAccess 管理ポリシーを含めるか、同等のアクセス許可を定義する必要があります。このポリシーは AWS によって維持され、SiteWise Monitor が AWS IoT SiteWise リソースと AWS SSO リソースにアクセスするために使用する一連のアクセス許可を定義します。

SiteWise Monitor ポータルの作成時には、そのポータルのユーザーが AWS IoT SiteWise リソースと AWS SSO リソースにアクセスを許可するロールを選択する必要があります。このロールは、AWS IoT SiteWise コンソールで作成および設定できます。ロールは IAM で後から編集できます。ロールから必要なアクセス許可を削除したり、ロールを削除したりすると、SiteWise Monitor ポータルのユーザーがポータルを使用できなくなります。

注記

2020 年 4 月 29 日より前に作成されたポータルでは、サービスロールは必須ではありませんでした。この日付より前に作成されたポータルを引き続き使用する場合は、サービスロールをアタッチする必要があります。これを行うには、AWS IoT SiteWise コンソールの [Portals (ポータル)] ページに移動し、[Migrate all portals to use IAM roles (IAM ロールを使用するようにすべてのポータルを移行)] を選択してください。

以下のセクションでは、AWS マネジメントコンソール または AWS Command Line Interface で SiteWise Monitor のサービスロールを作成および管理する方法について説明します。

Service role permissions for SiteWise Monitor

ポータルを作成する際、 AWS IoT SiteWise では、名前で始まるロールを作成できます。 AWSIoTSiteWiseMonitorServiceRole。 この役割では、 SiteWise Monitor ユーザーがポータル構成、アセット、アセットデータ、 AWS SSO 構成。

このロールは、その前提として以下のサービスを信頼します。

  • monitor.iotsitewise.amazonaws.com

このロールは、名前が AWSIoTSiteWiseMonitorServicePortalPolicy で始まる次のアクセス許可ポリシーを使用して、SiteWise Monitor ユーザーがアカウントのリソースに対するアクションを実行できるようにします。AWSIoTSiteWiseMonitorPortalAccess 管理ポリシーでは、同等のアクセス許可が定義されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotsitewise:CreateProject", "iotsitewise:DescribeProject", "iotsitewise:UpdateProject", "iotsitewise:DeleteProject", "iotsitewise:ListProjects", "iotsitewise:BatchAssociateProjectAssets", "iotsitewise:BatchDisassociateProjectAssets", "iotsitewise:ListProjectAssets", "iotsitewise:CreateDashboard", "iotsitewise:DescribeDashboard", "iotsitewise:UpdateDashboard", "iotsitewise:DeleteDashboard", "iotsitewise:ListDashboards", "iotsitewise:CreateAccessPolicy", "iotsitewise:DescribeAccessPolicy", "iotsitewise:UpdateAccessPolicy", "iotsitewise:DeleteAccessPolicy", "iotsitewise:ListAccessPolicies", "iotsitewise:DescribeAsset", "iotsitewise:ListAssets", "iotsitewise:ListAssociatedAssets", "iotsitewise:DescribeAssetProperty", "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetAssetPropertyValueHistory", "iotsitewise:GetAssetPropertyAggregates", "sso-directory:DescribeUsers" ], "Resource": "*" } ] }

ポータルユーザーがサインインすると、SiteWise Monitor はサービスロールとそのユーザーのアクセスポリシーの共通部分に基づいてセッションポリシーを作成します。アクセスポリシーによって、ポータルおよびプロジェクトへの AWS SSO アイデンティティのアクセスレベルが定義されます。ポータルのアクセス許可とアクセスポリシーの詳細については、「管理 SiteWise Monitor ポータル」および「CreateAccessPolicy」を参照してください。

Managing the SiteWise Monitor service role (console)

以下を使用できます。 AWS IoT SiteWise コンソールを使用して、 SiteWise Monitor ポータルのサービスロール。ポータルの作成時に、このコンソールはそのポータルにアタッチできる既存のロールがあるかどうかを確認します。アタッチされていない場合、コンソールによるサービスロールの作成および設定が可能です。詳細については、「ポータルの作成」を参照してください。

Finding a portal's service role (console)

SiteWise Monitor ポータルにアタッチされているサービスロールを確認するには、次の手順に従います。

ポータルのサービスロールを確認するには

  1. AWS IoT SiteWise コンソールに移動します。

  2. 左のナビゲーションペインで、[ポータル] を選択します。

  3. サービスロールを確認するポータルを選択します。

    ポータルにアタッチされているロールが [アクセス許可]、[サービスロール] で表示されます。

Creating a SiteWise Monitor service role (AWS IoT SiteWise console)

_を作成するとき SiteWise Monitor ポータルでは、ポータルのサービス ロールを作成できます。詳細については、「ポータルの作成」を参照してください。

既存のポータルのサービス ロールは、 AWS IoT SiteWise コンソール。これは、ポータルの既存のサービス ロールに代わるものです。

既存のポータルのサービスロールを作成するには

  1. AWS IoT SiteWise コンソールに移動します。

  2. ナビゲーションペインで、[Portals (ポータル)] を選択します。

  3. 新しいサービスロールを作成するポータルを選択します。

  4. [Portal details (ポータルの詳細)] で、[編集] を選択します。

  5. [アクセス許可] で、リストから [Create and use a new service role (新しいサービスロールを作成および使用)] を選択します。

  6. 新しいロールの名前を入力します。

  7. [Save] を選択します。

Creating a SiteWise Monitor service role (IAM console)

サービス役割は、 IAM コンソール。この役割テンプレートには、 AWSIoTSiteWiseMonitorPortalAccess 管理されたポリシーと SiteWise Monitor 信頼できるエンティティとして。

ポータルサービスの役割テンプレートからサービスの役割を作成するには

  1. IAM コンソールに移動します。

  2. ナビゲーションペインで [ロール] を選択します。

  3. [Create role] を選択します。

  4. 使用例を選択、選択 IoT SiteWise(IoTサイトワイズ).

  5. 使用例を選択してください、選択 IoT SiteWise Monitor - Portal.

  6. [次] を選択します。アクセス許可

  7. [次] を選択します。タグ

  8. [次] を選択します。確認

  9. _を入力 ロール名 新しいサービスの役割です

  10. [Create role] を選択します。

Changing a portal's service role (console)

ポータルに SiteWise Monitor の別のサービスロールを選択するには、次の手順に従います。

ポータルのサービスロールを変更するには

  1. AWS IoT SiteWise コンソールに移動します。

  2. ナビゲーションペインで、[Portals (ポータル)] を選択します。

  3. サービスロールを変更するポータルを選択します。

  4. [Portal details (ポータルの詳細)] で、[編集] を選択します。

  5. [アクセス許可] で、[Use an existing role (既存のロールを使用)] を選択します。

  6. そのポータルにアタッチする既存のロールを選択します。

  7. [Save] を選択します。

Managing the SiteWise Monitor service role (CLI)

AWS CLI は、以下のポータルのサービスロール管理タスクに使用できます。

Finding a portal's service role (CLI)

SiteWise Monitor ポータルにアタッチされているサービスロールを確認するには、次のコマンドを実行して現在のリージョンのすべてのポータルを一覧表示します。

aws iotsitewise list-portals

このオペレーションは、ポータルの概要を含むレスポンスを次の形式で返します。

{ "portalSummaries": [ { "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "name": "WindFarmPortal", "description": "A portal that contains wind farm projects for Example Corp.", "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name", "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "creationDate": "2020-02-04T23:01:52.90248068Z", "lastUpdateDate": "2020-02-04T23:01:52.90248078Z" } ] }

ポータルの ID が分かっている場合は、DescribePortal オペレーションを使用してポータルのロールを確認することもできます。

Creating the SiteWise Monitor service role (CLI)

SiteWise Monitor のサービスロールを新しく作成するには、次の手順に従います。

SiteWise Monitor のサービスロールを作成するには

  1. SiteWise Monitor にそのロールを前提とするように許可する信頼ポリシーを持つロールを作成します。この例では、JSON 文字列に保存された信頼ポリシーから MySiteWiseMonitorPortalRole という名前のロールを作成します。

    Linux, macOS, or Unix
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "monitor.iotsitewise.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }'
    Windows command prompt
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
  2. 出力のロールメタデータからロールの ARN をコピーします。ポータルの作成時に、この ARN を使用してロールとポータルを関連付けます。ポータルの作成についての詳細は、「 ポータルの作成AWS IoT SiteWise API Reference.

  3. AWSIoTSiteWiseMonitorPortalAccess ポリシーをロールにアタッチするか、同等のアクセス許可を定義するポリシーをアタッチします。

    aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess

既存のポータルにサービスロールをアタッチするには

  1. ポータルの既存の詳細を取得するには、次のコマンドを実行します。Replace (置換) portal-id ポータルのIDを使用します。

    aws iotsitewise describe-portal --portal-id portal-id

    このオペレーションは、ポータルの詳細を含むレスポンスを次の形式で返します。

    { "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalName": "WindFarmPortal", "portalDescription": "A portal that contains wind farm projects for Example Corp.", "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE", "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "portalContactEmail": "support@example.com", "portalStatus": { "state": "ACTIVE" }, "portalCreationDate": "2020-04-29T23:01:52.90248068Z", "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z", "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE" }
  2. サービスロールをポータルにアタッチするには、次のコマンドを実行します。Replace (置換) role-arn 残りのパラメータをポータルの既存の値に置き換えます。

    aws iotsitewise update-portal \ --portal-id portal-id \ --role-arn role-arn \ --portal-name portal-name \ --portal-description portal-description \ --portal-contact-email portal-contact-email