AWS IoT SiteWiseのサービスにリンクされたロールの使用 - AWS IoT SiteWise
AWS IoT SiteWiseのサービスリンクロールのアクセス許可AWS IoT SiteWiseのサービスリンクロールの作成AWS IoT SiteWiseのサービスにリンクされたロールの編集AWS IoT SiteWiseのサービスリンクロールの削除AWS IoT SiteWise サービスにリンクされたロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IoT SiteWiseのサービスにリンクされたロールの使用

AWS IoT SiteWise は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプの IAM ロールです AWS IoT SiteWise。サービスにリンクされたロールは、 によって事前定義 AWS IoT SiteWise されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出す必要のあるアクセス許可がすべて含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS IoT SiteWise が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS IoT SiteWise を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS IoT SiteWise ることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、 AWS IoT SiteWise リソースへのアクセス許可を誤って削除することが防止され、リソースが保護されます。

サービスにリンクされたロールをサポートする他サービスの情報については、「IAM と連動するAWS」をご参照のうえ、サービスにリンクされたロールの欄内の「はい」と表記されたサービスをご確認ください。[はい] のリンクを選択すると、該当するサービスのサービスリンクロールに関するドキュメントが表示されます。

AWS IoT SiteWiseのサービスリンクロールのアクセス許可

AWS IoT SiteWise は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForIoTSiteWise。 は、このサービスにリンクされたロール AWS IoT SiteWise を使用して SiteWise 、エッジゲートウェイ ( で実行される AWS IoT Greengrass) をデプロイし、ログ記録を実行します。

AWSServiceRoleForIoTSiteWise サービスにリンクされたロールは、次のアクセス許可を持つ AWSServiceRoleForIoTSiteWise ポリシーを使用します。

  • このポリシーにより、 AWS IoT SiteWise は SiteWise Edge ゲートウェイ ( で実行される) をデプロイできますAWS IoT Greengrass

  • このポリシーでは、 AWS IoT SiteWise がログ記録を実行することもできます。

  • このポリシーでは、 AWS IoT SiteWise が AWS IoT TwinMaker データベースに対してメタデータ検索クエリを実行することもできます。

で許可されるアクションの詳細についてはAWSServiceRoleForIoTSiteWise、「 の AWS マネージドポリシー AWS IoT SiteWise」を参照してください。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowSiteWiseReadGreenGrass",
			"Effect": "Allow",
			"Action": [
				"greengrass:GetAssociatedRole",
				"greengrass:GetCoreDefinition",
				"greengrass:GetCoreDefinitionVersion",
				"greengrass:GetGroup",
				"greengrass:GetGroupVersion"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowSiteWiseAccessLogGroup",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogGroup",
				"logs:DescribeLogGroups"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
		},
		{
			"Sid": "AllowSiteWiseAccessLog",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogStream",
				"logs:DescribeLogStreams",
				"logs:PutLogEvents"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
		},
		{
			"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
			"Effect": "Allow",
			"Action": [
				"iottwinmaker:GetWorkspace",
				"iottwinmaker:ExecuteQuery"
			],
			"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"iottwinmaker:linkedServices": [
						"IOTSITEWISE"
					]
				}
			}
		}
	]
}

ログを使用して、 SiteWise エッジゲートウェイのモニタリングとトラブルシューティングを行うことができます。詳細については、「 SiteWise Edge ゲートウェイログのモニタリング」を参照してください。

IAM エンティティ (ユーザ、グループ、ロールなど) にサービスリンクロールの作成、編集、削除を許可するには、まずアクセス許可を設定します。詳細については、IAM ユーザーガイド の「サービスリンクロールの権限」を参照してください。

AWS IoT SiteWiseのサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。 AWS IoT SiteWise コンソールで次のオペレーションを実行すると、 によってサービスにリンクされたロール AWS IoT SiteWise が作成されます。

  • Greengrass V1 ゲートウェイを作成します。

  • ログ記録オプションを設定します。

  • クエリバナーでオプトインボタンを選択します。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。 AWS IoT SiteWise コンソールでオペレーションを実行すると、 によってサービスにリンクされたロールが再度 AWS IoT SiteWise 作成されます。

IAM コンソールまたは API を使用して、 AWS IoT SiteWiseに対してサービスにリンクされたロールを作成することもできます。

  • IAM コンソールでこれを行うには、 AWSServiceRoleForIoTSiteWiseポリシーと との信頼関係を持つロールを作成しますiotsitewise.amazonaws.com

  • AWS CLI または IAM API を使用してこれを行うには、 arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWiseポリシーと との信頼関係を持つロールを作成しますiotsitewise.amazonaws.com

詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの作成」を参照してください。

このサービスにリンクされたロールを削除する場合、この同じプロセスを使用して、もう一度ロールを作成できます。

AWS IoT SiteWiseのサービスにリンクされたロールの編集

AWS IoT SiteWise では、 AWSServiceRoleForIoTSiteWise サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS IoT SiteWiseのサービスリンクロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に AWS IoT SiteWise サービスでロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってから再試行してください。

で使用されている AWS IoT SiteWise リソースを削除するには AWSServiceRoleForIoTSiteWise

  1. のログ記録を無効にします AWS IoT SiteWise。詳細については、ログ記録レベルの変更 (コンソール) またはログ記録レベルの変更 (CLI) を参照してください。

  2. アクティブな SiteWise Edge ゲートウェイをすべて削除します。

サービスにリンクされたロールを IAM で手動削除するには

IAM コンソール、、または AWS API を使用して AWS CLI、 AWSServiceRoleForIoTSiteWise サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。

AWS IoT SiteWise サービスにリンクされたロールをサポートするリージョン

AWS IoT SiteWise は、このサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「AWS IoT SiteWise エンドポイントとクォータ」を参照してください。