Usar perfis vinculados a serviço do AWS IoT SiteWise - AWS IoT SiteWise

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar perfis vinculados a serviço do AWS IoT SiteWise

AWS IoT SiteWise usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS IoT SiteWise As funções vinculadas ao serviço são predefinidas AWS IoT SiteWise e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração AWS IoT SiteWise porque você não precisa adicionar manualmente as permissões necessárias. AWS IoT SiteWise define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS IoT SiteWise pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado a serviço poderá ser excluído somente após a exclusão dos recursos relacionados. Isso protege seus AWS IoT SiteWise recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure serviços que tenham Sim na coluna função vinculada ao serviço. Escolha Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço AWS IoT SiteWise

AWS IoT SiteWise usa a função vinculada ao serviço chamada. AWSServiceRoleForIoTSiteWise AWS IoT SiteWise usa essa função vinculada ao serviço para implantar gateways SiteWise Edge (que são executados em AWS IoT Greengrass) e realizar o registro.

A função AWSServiceRoleForIoTSiteWise vinculada ao serviço usa a AWSServiceRoleForIoTSiteWise política com as seguintes permissões:

  • Essa política permite AWS IoT SiteWise implantar gateways SiteWise Edge (que são executados emAWS IoT Greengrass).

  • Essa política também permite AWS IoT SiteWise realizar o registro.

  • A política também permite AWS IoT SiteWise executar uma consulta de pesquisa de metadados no AWS IoT TwinMaker banco de dados.

Para obter mais informações sobre as ações permitidas emAWSServiceRoleForIoTSiteWise, consulte políticas AWS gerenciadas para AWS IoT SiteWise.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSiteWiseReadGreenGrass", "Effect": "Allow", "Action": [ "greengrass:GetAssociatedRole", "greengrass:GetCoreDefinition", "greengrass:GetCoreDefinitionVersion", "greengrass:GetGroup", "greengrass:GetGroupVersion" ], "Resource": "*" }, { "Sid": "AllowSiteWiseAccessLogGroup", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*" }, { "Sid": "AllowSiteWiseAccessLog", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*" }, { "Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker", "Effect": "Allow", "Action": [ "iottwinmaker:GetWorkspace", "iottwinmaker:ExecuteQuery" ], "Resource": "arn:aws:iottwinmaker:*:*:workspace/*", "Condition": { "ForAnyValue:StringEquals": { "iottwinmaker:linkedServices": [ "IOTSITEWISE" ] } } } ] }

Você pode usar os registros para monitorar e solucionar problemas em seus gateways do SiteWise Edge. Para ter mais informações, consulte Monitorando registros SiteWise do gateway Edge.

Primeiro configure as permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para ter mais informações, consulte Permissões de função vinculada a serviços no Guia do usuário do IAM.

Crie uma função vinculada ao serviço para o AWS IoT SiteWise

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você executa as seguintes operações no AWS IoT SiteWise console, AWS IoT SiteWise cria a função vinculada ao serviço para você.

  • Crie um gateway Greengrass V1.

  • Configure a opção de registro.

  • Escolher o botão de aceitação no banner de consulta.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, você poderá usar esse mesmo processo para recriar o perfil em sua conta. Quando você executa qualquer operação no AWS IoT SiteWise console, AWS IoT SiteWise cria a função vinculada ao serviço para você novamente.

Você também pode usar o console ou a API do IAM para criar uma função vinculada ao serviço para o AWS IoT SiteWise.

  • Para fazer isso no console do IAM, crie uma função com a AWSServiceRoleForIoTSiteWisepolítica e uma relação de confiança comiotsitewise.amazonaws.com.

  • Para fazer isso usando a API AWS CLI ou IAM, crie uma função com a arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise política e uma relação de confiança comiotsitewise.amazonaws.com.

Para obter mais informações, consulte Criar um perfil vinculado a serviço no Guia do usuário do IAM.

Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar uma função vinculada ao serviço para o AWS IoT SiteWise

AWS IoT SiteWise não permite que você edite a função AWSServiceRoleForIoTSiteWise vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para o AWS IoT SiteWise

Se você não precisar mais de um recurso ou serviço que requer uma função vinculada ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os atributos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o AWS IoT SiteWise serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, aguarde alguns minutos e tente novamente.

Para excluir AWS IoT SiteWise recursos usados pelo AWSServiceRoleForIoTSiteWise
  1. Desative o registro para AWS IoT SiteWise. Para obter mais informações, consulte Alterar o nível do registro em log (console) ou Alterar o nível de registro em log (CLI).

  2. Exclua todos os gateways ativos SiteWise do Edge.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForIoTSiteWise vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas a AWS IoT SiteWise serviços

AWS IoT SiteWise suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do AWS IoT SiteWise.