Usar funções vinculadas ao serviço do AWS IoT SiteWise - AWS IoT SiteWise
Permissões de função vinculada ao serviço do AWS IoT SiteWiseCriar uma função vinculada ao serviço para o AWS IoT SiteWiseEditar uma função vinculada ao serviço para o AWS IoT SiteWiseExcluir uma função vinculada ao serviço para o AWS IoT SiteWiseRegiões compatíveis com funções vinculadas ao serviço do AWS IoT SiteWise

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar funções vinculadas ao serviço do AWS IoT SiteWise

O AWS IoT SiteWise usa funções vinculadas a serviços do AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao AWS IoT SiteWise. As funções vinculadas a serviços são predefinidas pelo AWS IoT SiteWise e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração do AWS IoT SiteWise porque dispensa a inclusão manual das permissões necessárias. O AWS IoT SiteWise define as permissões de suas funções vinculadas ao serviço e, a menos que definido em contrário, somente o AWS IoT SiteWise pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos do AWS IoT SiteWise, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros produtos compatíveis com funções vinculadas a serviços, consulte o tópico sobre serviços da AWS compatíveis com o IAM e procure serviços que tenham Yes na coluna Service-Linked Role (Função vinculada a serviço). Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço do AWS IoT SiteWise

AWS IoT SiteWiseO usa a função vinculada ao serviço chamada AWSServiceRoleForIoTSiteWise. AWS IoT SiteWiseusa essa função vinculada ao serviço para implantar gateways (que são executados emAWS IoT Greengrass) e realizar registros.

A função vinculada ao serviço AWSServiceRoleForIoTSiteWise confia nos seguintes serviços para assumir a função:

  • iotsitewise.amazonaws.com

AAWSServiceRoleForIoTSiteWise função usa aAWSServiceRoleForIoTSiteWise política com as seguintes permissões. Essa política permiteAWS IoT Greengrass gravar registros noiotsitewise grupo no Amazon CloudWatch Logs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:GetAssociatedRole",
                "greengrass:GetCoreDefinition",
                "greengrass:GetCoreDefinitionVersion",
                "greengrass:GetGroup",
                "greengrass:GetGroupVersion"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
        }
    ]
}

Você pode usar os registros para monitorar e resolver problemas dos gateways. Para obter mais informações, consulte Monitorar logs de gateway.

Para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço, primeiro configure permissões. Para obter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.

Criar uma função vinculada ao serviço para o AWS IoT SiteWise

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você executa qualquer operação noAWS IoT SiteWise console do, oAWS IoT SiteWise cria uma função vinculada ao serviço para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você executa qualquer operação noAWS IoT SiteWise console, oAWS IoT SiteWise cria uma função vinculada ao serviço para você.

Você também pode usar o console do IAM ou a API da para criar uma função vinculada ao serviço para oAWS IoT SiteWise.

  • Para fazer isso no console do IAM, crie uma função com a AWSServiceRoleForIoTSiteWisepolítica e uma relação de confiança comiotsitewise.amazonaws.com.

  • Para fazer isso usando a APIAWS CLI ou IAM, crie uma função com aarn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise política e uma relação de confiança comiotsitewise.amazonaws.com.

Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM.

Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar uma função vinculada ao serviço para o AWS IoT SiteWise

AWS IoT SiteWiseO não permite editar a função AWSServiceRoleForIoTSiteWise vinculada ao serviço. Depois que você criar uma função vinculada a serviço, não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, você poderá editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para o AWS IoT SiteWise

Se você não precisar mais de um recurso ou serviço que requer uma função vinculada ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

nota

Se o serviço AWS IoT SiteWise estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, aguarde alguns minutos e tente novamente.

Para excluirAWS IoT SiteWise recursos usados pelo AWSServiceRoleForIoTSiteWise

  1. Desabilitar o registro em log do AWS IoT SiteWise Para obter mais informações, consulte Alterar o nível do registro em log (console) ou Alterar o nível de registro em log (CLI).

  2. Exclua todos os gateways ativos.

Como excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAMAWS CLI, a ou aAWS API da para excluir a função AWSServiceRoleForIoTSiteWise vinculada ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões compatíveis com funções vinculadas ao serviço do AWS IoT SiteWise

O AWS IoT SiteWise oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do AWS IoT SiteWise.