AWS IoT SiteWise IAM ロール - AWS IoT SiteWise
での一時的な認証情報の使用 AWS IoT SiteWise転送アクセスセッション (FAS) サービスリンクロールサービスロールAWS IoT SiteWiseで IAM ロールを選択

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IoT SiteWise IAM ロール

IAM ロール は、特定の権限を持つ、 AWS アカウント 内のエンティティです。

での一時的な認証情報の使用 AWS IoT SiteWise

一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、 AssumeRoleや などの AWS STS API オペレーションを呼び出しますGetFederationToken

AWS IoT SiteWise では、一時的な認証情報の使用がサポートされています。

SiteWise Monitor は、フェデレーティッドユーザーによるポータルへのアクセスをサポートしています。ポータルのユーザーは、IAM Identity Center または IAM の認証情報を使って認証を受けます。

重要

ユーザーまたはロールがこのポータルにサインインするには iotsitewise:DescribePortal アクセス許可が必要です。

ユーザーがポータルにサインインすると、 SiteWise Monitor は次のアクセス許可を提供するセッションポリシーを生成します。

  • そのポータルのロールがアクセスを提供するアカウントの AWS IoT SiteWise のアセットとアセットデータへの読み取り専用アクセス。

  • ユーザーが管理者 (プロジェクト所有者) または読み取り専用 (プロジェクトビューワー) のアクセス権を持つ、そのポータル内のプロジェクトへのアクセス。

フェデレーティッドユーザーのアクセス許可の詳細については、「のサービスロールの使用 AWS IoT SiteWise Monitor」を参照してください。

の転送アクセスセッション (FAS) AWS IoT SiteWise

転送アクセスセッション (FAS): はい

IAM ユーザーまたはロールを使用して でアクションを実行すると AWS、プリンシパルと見なされます。一部のサービスを使用する際に、アクションを実行することで、別のサービスの別のアクションがトリガーされることがあります。FAS は、 を呼び出すプリンシパルのアクセス許可を AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストのリクエストと組み合わせて使用します。FAS リクエストは、サービスが他の AWS のサービス またはリソースとのやり取りを完了する必要があるリクエストを受け取った場合にのみ行われます。この場合、両方のアクションを実行するためのアクセス許可が必要です。FAS リクエストを行う際のポリシーの詳細については、「転送アクセスセッション」を参照してください。

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスにリンクされたロールは、 AWS アカウント に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

AWS IoT SiteWise は、サービスにリンクされたロールをサポートします。 AWS IoT SiteWise サービスにリンクされたロールの作成または管理の詳細については、「AWS IoT SiteWiseのサービスにリンクされたロールの使用」を参照してください。

サービスロール

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールは、 AWS アカウント に表示され、そのアカウントによって所有されます。つまり、IAM 管理者は、このロールの権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

AWS IoT SiteWise はサービスロールを使用して、 SiteWise Monitor ポータルユーザーがユーザーに代わって一部の AWS IoT SiteWise リソースにアクセスできるようにします。詳細については、「のサービスロールの使用 AWS IoT SiteWise Monitor」を参照してください。

で AWS IoT Events アラームモデルを作成する前に、必要なアクセス許可が必要です AWS IoT SiteWise。詳細については、「AWS IoT Events アラームのアクセス許可の設定」を参照してください。

AWS IoT SiteWiseで IAM ロールを選択

portalリソースを作成するときは AWS IoT SiteWise、 SiteWise Monitor ポータルのフェデレーティッドユーザーが AWS IoT SiteWise ユーザーに代わって にアクセスできるようにするロールを選択する必要があります。以前にサービスロールを作成したことがある場合、 AWS IoT SiteWise は選択するロールのリストを提供します。それ以外の場合は、ポータルの作成時に必要なアクセス許可を持つロールを作成できます。アセットとアセットデータへのアクセスを許可するロールを選択することが重要です。詳細については、「のサービスロールの使用 AWS IoT SiteWise Monitor」を参照してください。