のサービスロールの使用 AWS IoT SiteWise Monitor

サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「AWS のサービスにアクセス許可を委任するロールの作成」を参照してください。

フェデレーション SiteWise モニターポータルユーザーが AWS IoT SiteWiseおよび AWS IAM Identity Center リソースにアクセスできるようにするには、作成する各ポータルにサービスロールをアタッチする必要があります。サービスロールは、信頼できるエンティティとして SiteWise Monitor を指定し、 AWSIoTSiteWiseMonitorPortalAccess 管理ポリシーを含めるか、同等のアクセス許可 を定義する必要があります。このポリシーは によって維持 AWS され、 SiteWise Monitor が AWS IoT SiteWise および IAM Identity Center リソースにアクセスするために使用する一連のアクセス許可を定義します。

SiteWise Monitor ポータルを作成するときは、そのポータルのユーザーが AWS IoT SiteWiseおよび IAM Identity Center リソースにアクセスできるようにするロールを選択する必要があります。 AWS IoT SiteWise コンソールでロールを作成して設定できます。ロールは IAM で後から編集できます。ロールから必要なアクセス許可を削除するか、ロールを削除すると、ポータルユーザーは SiteWise Monitor ポータルの使用に問題が発生します。

注記

2020 年 4 月 29 日より前に作成されたポータルでは、サービスロールは必須ではありませんでした。この日付より前に作成されたポータルを引き続き使用する場合は、サービスロールをアタッチする必要があります。これを行うには、[AWS IoT SiteWise console] (コンソール) で[Portals] (ポータル) ページに移動し、[Migrate all portals to use IAM roles] (すべてのポータルでIAMロールを使用できるように移行する) を選択します。

以下のセクションでは、 AWS Management Console または で SiteWise Monitor サービスロールを作成および管理する方法を説明します AWS Command Line Interface。

目次

• SiteWise Monitor のサービスロールのアクセス許可
• SiteWise Monitor サービスロールの管理 (コンソール）
  • ポータルのサービスロールの確認 (コンソール)
  • SiteWise Monitor サービスロールの作成AWS IoT SiteWise （コンソール）
  • SiteWise Monitor サービスロールの作成 (IAM コンソール）
  • ポータルのサービスロールの変更 (コンソール)
• SiteWise Monitor サービスロールの管理 (CLI)
  • ポータルのサービスロールの確認 (CLI)
  • SiteWise Monitor サービスロールの作成 (CLI)
• SiteWise の更新をモニタリングする AWSIoTSiteWiseMonitorServiceRole

SiteWise Monitor のサービスロールのアクセス許可

ポータルを作成すると、 は名前が で始まるロール AWS IoT SiteWise を作成しますAWSIoTSiteWiseMonitorServiceRole。このロールにより、フェデレーション SiteWise モニターユーザーはポータル設定、アセット、アセットデータ、IAM Identity Center 設定にアクセスできます。

このロールは、その前提として以下のサービスを信頼します。

• monitor.iotsitewise.amazonaws.com

このロールは、名前が で始まる次のアクセス許可ポリシーを使用してAWSIoTSiteWiseMonitorServicePortalPolicy、 SiteWise Monitor ユーザーがアカウント内のリソースに対してアクションを実行できるようにします。AWSIoTSiteWiseMonitorPortalAccess 管理ポリシーは、同等のアクセス許可を定義します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribePortal",
                "iotsitewise:CreateProject",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:ListProjects",
                "iotsitewise:BatchAssociateProjectAssets",
                "iotsitewise:BatchDisassociateProjectAssets",
                "iotsitewise:ListProjectAssets",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:CreateAccessPolicy",
                "iotsitewise:DescribeAccessPolicy",
                "iotsitewise:UpdateAccessPolicy",
                "iotsitewise:DeleteAccessPolicy",
                "iotsitewise:ListAccessPolicies",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssets",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:BatchPutAssetPropertyValue",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting",
                "sso-directory:DescribeUsers",
                "sso-directory:DescribeUser",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:BatchAcknowledgeAlarm",
                "iotevents:BatchSnoozeAlarm",
                "iotevents:BatchEnableAlarm",
                "iotevents:BatchDisableAlarm"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iotevents:keyValue": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteAlarmModel"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "iotevents.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

アラームに必要なアクセス許可の詳細については、AWS IoT Events アラームのアクセス許可の設定 を参照してください。

ポータルユーザーがサインインすると、 SiteWise Monitor はサービスロールとそのユーザーのアクセスポリシーの共通部分に基づいてセッションポリシーを作成します。アクセスポリシーによって、ポータルおよびプロジェクトへの アイデンティティのアクセスレベルが定義されます。ポータルのアクセス許可とアクセスポリシーの詳細については、 SiteWise 監視ポータルの管理「」およびCreateAccess「 ポリシー」を参照してください。

SiteWise Monitor サービスロールの管理 (コンソール）

は、 ポータルの SiteWise Monitor サービスロールの管理 AWS IoT SiteWise コンソール を容易にします。ポータルを作成すると、コンソールはアタッチメントに適した既存のロールをチェックします。使用可能なものがない場合は、コンソールでサービスロールを作成して設定できます。詳細については、「ポータルの作成」を参照してください。

トピック

• ポータルのサービスロールの確認 (コンソール)
• SiteWise Monitor サービスロールの作成AWS IoT SiteWise （コンソール）
• SiteWise Monitor サービスロールの作成 (IAM コンソール）
• ポータルのサービスロールの変更 (コンソール)

ポータルのサービスロールの確認 (コンソール)

SiteWise Monitor ポータルにアタッチされているサービスロールを見つけるには、次のステップに従います。

ポータルのサービスロールを確認するには

1. AWS IoT SiteWise コンソールに移動します。

2. 左のナビゲーションペインで、[ポータル] を選択します。

3. サービスロールを確認するポータルを選択します。

   ポータルにアタッチされているロールが [アクセス許可]、[サービスロール] で表示されます。

SiteWise Monitor サービスロールの作成AWS IoT SiteWise （コンソール）

SiteWise Monitor ポータルを作成するときに、ポータルのサービスロールを作成できます。詳細については、「ポータルの作成」を参照してください。

AWS IoT SiteWise コンソールで既存のポータルのサービスロールを作成することもできます。これは、ポータルの既存のサービスロールを置き換えるものです。

既存のポータルのサービスロールを作成するには

1. AWS IoT SiteWise コンソールに移動します。

2. ナビゲーションペインで、[Portals (ポータル) ] を選択します。

3. 新しいサービスロールを作成するポータルを選択します。

4. [Portal details (ポータルの詳細) ] で、[編集] を選択します。

5. [アクセス許可] で、リストから [Create and use a new service role (新しいサービスロールを作成および使用) ] を選択します。

6. 新しいロールの名前を入力します。

7. [保存] を選択します。

SiteWise Monitor サービスロールの作成 (IAM コンソール）

IAM コンソールのサービスロールテンプレートから、サービスロールを作成することができます。このロールテンプレートには AWSIoTSiteWiseMonitorPortalAccess管理ポリシーが含まれており、信頼できるエンティティとして SiteWise Monitor を指定します。

ポータルサービスロールテンプレートからサービスロールを作成するステップ。

1. [IAM console] (IAM コンソール) に入ります。

2. ナビゲーションペインで [Roles (ロール) ] を選択します。

3. [ロールの作成] を選択します。

4. ユースケースの選択 で、IoT SiteWiseを選択します。

5. [Select your use case] (ユースケースの選択) で、IoT SiteWise Monitor - Portal を選択します。

6. [Next: Permissions (次へ: アクセス許可) ] を選択します。

7. [次へ: タグ] を選択します。

8. [次へ: レビュー] を選択します。

9. 新しいサービスロールの[Role name] (ロール名) を入力します。

10. [ロールの作成] を選択します。

ポータルのサービスロールの変更 (コンソール)

ポータルの別の SiteWise Monitor サービスロールを選択するには、次の手順に従います。

ポータルのサービスロールを変更するには

1. AWS IoT SiteWise コンソールに移動します。

2. ナビゲーションペインで、[Portals (ポータル) ] を選択します。

3. サービスロールを変更するポータルを選択します。

4. [Portal details (ポータルの詳細) ] で、[編集] を選択します。

5. [アクセス許可] で、[Use an existing role (既存のロールを使用) ] を選択します。

6. そのポータルにアタッチする既存のロールを選択します。

7. [保存] を選択します。

SiteWise Monitor サービスロールの管理 (CLI)

は、次のポータルサービスロール管理タスク AWS CLI に使用できます。

トピック

• ポータルのサービスロールの確認 (CLI)
• SiteWise Monitor サービスロールの作成 (CLI)

ポータルのサービスロールの確認 (CLI)

SiteWise Monitor ポータルにアタッチされているサービスロールを見つけるには、次のコマンドを実行して、現在のリージョン内のすべてのポータルを一覧表示します。

aws iotsitewise list-portals

このオペレーションは、ポータルの概要を含むレスポンスを次の形式で返します。

{
  "portalSummaries": [
    {
      "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "name": "WindFarmPortal",
      "description": "A portal that contains wind farm projects for Example Corp.",
      "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
      "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
      "creationDate": "2020-02-04T23:01:52.90248068Z",
      "lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
    }
  ]
}

ポータルの ID がわかっている場合は、 DescribePortalオペレーションを使用してポータルのロールを検索することもできます。

SiteWise Monitor サービスロールの作成 (CLI)

新しい SiteWise Monitor サービスロールを作成するには、次のステップに従います。

SiteWise Monitor サービスロールを作成するには

1. SiteWise Monitor がロールを引き受けることを許可する信頼ポリシーを持つロールを作成します。この例では、JSON 文字列に保存された信頼ポリシーから MySiteWiseMonitorPortalRole という名前のロールを作成します。

   Linux, macOS, or Unix

   aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "monitor.iotsitewise.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }'

   Windows command prompt

   aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"

2. 出力のロールメタデータからロールの ARN をコピーします。ポータルの作成時に、この ARN を使用してロールとポータルを関連付けます。ポータルの作成の詳細については、 API リファレンスのCreatePortal「」を参照してください。 AWS IoT SiteWise

3. AWSIoTSiteWiseMonitorPortalAccess ポリシーをロールにアタッチするか、同等のアクセス許可を定義するポリシーをアタッチします。

   aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess

既存のポータルにサービスロールをアタッチするには

1. ポータルの既存の詳細を取得するには、次のコマンドを実行します。portal-id をポータルの ID で置き換えてください。

   aws iotsitewise describe-portal --portal-id portal-id

   このオペレーションは、ポータルの詳細を含むレスポンスを次の形式で返します。

   {
       "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
       "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
       "portalName": "WindFarmPortal",
       "portalDescription": "A portal that contains wind farm projects for Example Corp.",
       "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
       "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
       "portalContactEmail": "support@example.com",
       "portalStatus": {
           "state": "ACTIVE"
       },
       "portalCreationDate": "2020-04-29T23:01:52.90248068Z",
       "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
       "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
   }

2. サービスロールをポータルにアタッチするには、次のコマンドを実行します。role-arn をサービスロールの ARN で置き換え、その他のパラメータをポータルの既存の値で置き換えてください。

   aws iotsitewise update-portal \
     --portal-id portal-id \
     --role-arn role-arn \
     --portal-name portal-name \
     --portal-description portal-description \
     --portal-contact-email portal-contact-email

SiteWise の更新をモニタリングする AWSIoTSiteWiseMonitorServiceRole

AWSIoTSiteWiseMonitorServiceRole for SiteWise Monitor の更新に関する詳細は、このサービスが変更の追跡を開始した時点から確認できます。このページの変更に関する自動アラートを受け取るには、 AWS IoT SiteWise ドキュメント履歴ページの RSS フィードをサブスクライブしてください。

変更	説明	日付
AWSIoTSiteWiseMonitorPortalAccess - ポリシーを更新	AWS IoT SiteWise は、アラーム機能の AWSIoTSiteWiseMonitorPortalAccess マネージドポリシーを更新しました。	2021 年 5 月 27 日
AWS IoT SiteWise が変更の追跡を開始しました	AWS IoT SiteWise がサービスロールの変更の追跡を開始しました。	2020 年 12 月 15 日