サービスロールの使用目的 AWS IoT SiteWise Monitor - AWS IoT SiteWise

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスロールの使用目的 AWS IoT SiteWise Monitor

サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、『IAM ユーザーガイド』の「AWS のサービスに権限を委任するロールの作成」を参照してください。

フェデレーションされた SiteWise Monitor Portal AWS IoT SiteWise AWS IAM Identity Centerユーザーがあなたとリソースにアクセスできるようにするには、作成する各ポータルにサービスロールをアタッチする必要があります。サービスロールでは、 SiteWise Monitor を信頼できるエンティティとして指定し、AWSIoTSiteWiseMonitorPortalAccess管理ポリシーを含めるか、同等の権限を定義する必要があります。このポリシーは、 SiteWise Monitor AWS がユーザーおよび IAM Identity Center AWS IoT SiteWise リソースにアクセスするために使用する一連の権限によって管理され、定義されます。

SiteWise モニターポータルを作成するときは、 AWS IoT SiteWiseそのポータルのユーザーが自分と IAM Identity Center のリソースにアクセスできるようにするロールを選択する必要があります。 AWS IoT SiteWise コンソールはロールを自動的に作成して設定できます。ロールは IAM で後から編集できます。必要な権限をロールから削除したり、ロールを削除したりすると、 SiteWise ポータルユーザーは監視ポータルを使用できなくなります。

注記

2020 年 4 月 29 日より前に作成されたポータルでは、サービスロールは必須ではありませんでした。この日付より前に作成されたポータルを引き続き使用する場合は、サービスロールをアタッチする必要があります。これを行うには、[AWS IoT SiteWise console] (コンソール) で[Portals] (ポータル) ページに移動し、[Migrate all portals to use IAM roles] (すべてのポータルでIAMロールを使用できるように移行する) を選択します。

以下のセクションでは、 SiteWise AWS Management Console またはで監視サービスロールを作成および管理する方法について説明します。 AWS Command Line Interface

SiteWise Monitor のサービスロール権限

ポータルを作成すると、 AWS IoT SiteWise 名前がで始まるロールを作成できますAWSIoTSiteWiseMonitorServiceRole。このロールにより、フェデレーションされた SiteWise Monitor ユーザーは、ポータル設定、アセット、アセットデータ、IAM Identity Center

このロールは、その前提として以下のサービスを信頼します。

  • monitor.iotsitewise.amazonaws.com

このロールは、名前がで始まる以下のアクセス権限ポリシーを使用してAWSIoTSiteWiseMonitorServicePortalPolicy、 SiteWise Monitor ユーザーがアカウント内のリソースに対してアクションを実行できるようにします。AWSIoTSiteWiseMonitorPortalAccess管理ポリシーは、同等の権限を定義します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotsitewise:DescribePortal", "iotsitewise:CreateProject", "iotsitewise:DescribeProject", "iotsitewise:UpdateProject", "iotsitewise:DeleteProject", "iotsitewise:ListProjects", "iotsitewise:BatchAssociateProjectAssets", "iotsitewise:BatchDisassociateProjectAssets", "iotsitewise:ListProjectAssets", "iotsitewise:CreateDashboard", "iotsitewise:DescribeDashboard", "iotsitewise:UpdateDashboard", "iotsitewise:DeleteDashboard", "iotsitewise:ListDashboards", "iotsitewise:CreateAccessPolicy", "iotsitewise:DescribeAccessPolicy", "iotsitewise:UpdateAccessPolicy", "iotsitewise:DeleteAccessPolicy", "iotsitewise:ListAccessPolicies", "iotsitewise:DescribeAsset", "iotsitewise:ListAssets", "iotsitewise:ListAssociatedAssets", "iotsitewise:DescribeAssetProperty", "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetAssetPropertyValueHistory", "iotsitewise:GetAssetPropertyAggregates", "iotsitewise:BatchPutAssetPropertyValue", "iotsitewise:ListAssetRelationships", "iotsitewise:DescribeAssetModel", "iotsitewise:ListAssetModels", "iotsitewise:UpdateAssetModel", "iotsitewise:UpdateAssetModelPropertyRouting", "sso-directory:DescribeUsers", "sso-directory:DescribeUser", "iotevents:DescribeAlarmModel", "iotevents:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotevents:BatchAcknowledgeAlarm", "iotevents:BatchSnoozeAlarm", "iotevents:BatchEnableAlarm", "iotevents:BatchDisableAlarm" ], "Resource": "*", "Condition": { "Null": { "iotevents:keyValue": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:CreateAlarmModel", "iotevents:TagResource" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iotevents:UpdateAlarmModel", "iotevents:DeleteAlarmModel" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/iotsitewisemonitor": "false" } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "iotevents.amazonaws.com" ] } } } ] }

アラームに必要なアクセス許可の詳細については、AWS IoT Events アラームの権限設定 を参照してください。

ポータルユーザーがサインインすると、 SiteWise Monitor はサービスロールとユーザーのアクセスポリシーの共通部分に基づいてセッションポリシーを作成します。アクセスポリシーによって、ポータルおよびプロジェクトへの アイデンティティのアクセスレベルが定義されます。ポータルの権限とアクセスポリシーについて詳しくは、「」 SiteWise 監視ポータルの管理CreateAccessPolicy「」を参照してください。

SiteWise Monitor サービスロールの管理 (コンソール)

AWS IoT SiteWise コンソール これにより、 SiteWise ポータルの監視サービスロールの管理が容易になります。ポータルを作成すると、コンソールは接続に適した既存のロールをチェックします。使用可能なサービスロールがない場合は、コンソールが自動的にサービスロールを作成して設定できます。詳細については、「ポータルの作成」を参照してください。

ポータルのサービスロールの確認 (コンソール)

次の手順に従って、 SiteWise モニターポータルにアタッチされているサービスロールを検索します。

ポータルのサービスロールを確認するには
  1. AWS IoT SiteWise コンソールに移動します。

  2. 左のナビゲーションペインで、[ポータル] を選択します。

  3. サービスロールを確認するポータルを選択します。

    ポータルにアタッチされているロールが [アクセス許可]、[サービスロール] で表示されます。

SiteWise Monitor サービスロールの作成 (AWS IoT SiteWise コンソール)

SiteWise 監視ポータルを作成すると、ポータルのサービスロールを作成できます。詳細については、「ポータルの作成」を参照してください。

AWS IoT SiteWise コンソールで既存のポータルのサービスロールを作成することもできます。これは、ポータルの既存のサービスロールを置き換えるものです。

既存のポータルのサービスロールを作成するには
  1. AWS IoT SiteWise コンソールに移動します。

  2. ナビゲーションペインで、[Portals (ポータル) ] を選択します。

  3. 新しいサービスロールを作成するポータルを選択します。

  4. [Portal details (ポータルの詳細) ] で、[編集] を選択します。

  5. [アクセス許可] で、リストから [Create and use a new service role (新しいサービスロールを作成および使用) ] を選択します。

  6. 新しいロールの名前を入力します。

  7. [保存] を選択します。

SiteWise 監視サービスロールの作成 (IAM コンソール)

IAM コンソールのサービスロールテンプレートから、サービスロールを作成することができます。AWSIoTSiteWiseMonitorPortalAccessこのロールテンプレートには管理ポリシーが含まれており、 SiteWise Monitor を信頼できるエンティティとして指定しています。

ポータルサービスロールテンプレートからサービスロールを作成するステップ。
  1. [IAM console] (IAM コンソール) に入ります。

  2. ナビゲーションペインで [Roles (ロール) ] を選択します。

  3. [ロールの作成] を選択します。

  4. [ユースケースの選択] で [IoT] を選択します SiteWise。

  5. [Select your use case] (ユースケースの選択) で、IoT SiteWise Monitor - Portal を選択します。

  6. [Next: Permissions (次へ: アクセス許可) ] を選択します。

  7. [次へ: タグ] を選択します。

  8. [次へ: レビュー] を選択します。

  9. 新しいサービスロールの[Role name] (ロール名) を入力します。

  10. [ロールを作成] を選択します。

ポータルのサービスロールの変更 (コンソール)

以下の手順に従って、 SiteWise ポータル用の別の監視サービスロールを選択します。

ポータルのサービスロールを変更するには
  1. AWS IoT SiteWise コンソールに移動します。

  2. ナビゲーションペインで、[Portals (ポータル) ] を選択します。

  3. サービスロールを変更するポータルを選択します。

  4. [Portal details (ポータルの詳細) ] で、[編集] を選択します。

  5. [アクセス許可] で、[Use an existing role (既存のロールを使用) ] を選択します。

  6. そのポータルにアタッチする既存のロールを選択します。

  7. [保存] を選択します。

SiteWise 監視サービスロールの管理 (CLI)

は、以下のポータルサービスロール管理タスクに使用できます。 AWS CLI

ポータルのサービスロールの確認 (CLI)

SiteWise モニターポータルにアタッチされているサービスロールを見つけるには、以下のコマンドを実行して、現在のリージョン内のすべてのポータルを一覧表示します。

aws iotsitewise list-portals

このオペレーションは、ポータルの概要を含むレスポンスを次の形式で返します。

{ "portalSummaries": [ { "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "name": "WindFarmPortal", "description": "A portal that contains wind farm projects for Example Corp.", "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name", "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "creationDate": "2020-02-04T23:01:52.90248068Z", "lastUpdateDate": "2020-02-04T23:01:52.90248078Z" } ] }

ポータルの ID がわかっている場合は、DescribePortalこの操作を使用してポータルのロールを検索することもできます。

SiteWise 監視サービスロールの作成 (CLI)

以下の手順を使用して、新しい SiteWise Monitor サービスロールを作成します。

SiteWise 監視サービスロールを作成するには
  1. SiteWise Monitor がロールを引き受けることを許可する信頼ポリシーを含むロールを作成します。この例では、JSON 文字列に保存された信頼ポリシーから MySiteWiseMonitorPortalRole という名前のロールを作成します。

    Linux, macOS, or Unix
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "monitor.iotsitewise.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }'
    Windows command prompt
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
  2. 出力のロールメタデータからロールの ARN をコピーします。ポータルの作成時に、この ARN を使用してロールとポータルを関連付けます。ポータルの作成について詳しくは、AWS IoT SiteWise API CreatePortalリファレンスのを参照してください

  3. AWSIoTSiteWiseMonitorPortalAccess ポリシーをロールにアタッチするか、同等のアクセス許可を定義するポリシーをアタッチします。

    aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
既存のポータルにサービスロールをアタッチするには
  1. ポータルの既存の詳細を取得するには、次のコマンドを実行します。portal-id をポータルの ID で置き換えてください。

    aws iotsitewise describe-portal --portal-id portal-id

    このオペレーションは、ポータルの詳細を含むレスポンスを次の形式で返します。

    { "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalName": "WindFarmPortal", "portalDescription": "A portal that contains wind farm projects for Example Corp.", "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE", "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "portalContactEmail": "support@example.com", "portalStatus": { "state": "ACTIVE" }, "portalCreationDate": "2020-04-29T23:01:52.90248068Z", "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z", "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE" }
  2. サービスロールをポータルにアタッチするには、次のコマンドを実行します。role-arn をサービスロールの ARN で置き換え、その他のパラメータをポータルの既存の値で置き換えてください。

    aws iotsitewise update-portal \ --portal-id portal-id \ --role-arn role-arn \ --portal-name portal-name \ --portal-description portal-description \ --portal-contact-email portal-contact-email

SiteWise の更新を監視してください。 AWSIoTSiteWiseMonitorServiceRole

AWSIoTSiteWiseMonitorServiceRoleこのサービスが変更の追跡を開始した時点以降の for SiteWise Monitor の更新に関する詳細を表示できます。このページへの変更に関する自動通知を受け取るには、 AWS IoT SiteWise ドキュメント履歴ページの RSS フィードを購読してください。

変更 説明 日付

AWSIoTSiteWiseMonitorPortalAccess - ポリシーを更新

AWS IoT SiteWise AWSIoTSiteWiseMonitorPortalAccessアラーム機能の管理ポリシーを更新しました。

2021 年 5 月 27 日

AWS IoT SiteWise 変更の追跡を開始しました。

AWS IoT SiteWise サービスロールの変更の追跡を開始しました。

2020 年 12 月 15 日