使用適用於 AWS IoT SiteWise Monitor 的服務角色

服務角色是服務擔任的 IAM 角色，可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊，請參閱《IAM 使用者指南》中的建立角色以委派許可給 AWS 服務 服務。

若要允許聯合 SiteWise 監控門户網站用户以訪問AWS IoT SiteWise和AWS Single Sign-On資源，您必須將服務角色連接至您建立的每個入口網站。服務角色必須指定 SiteWise 將監視為受信任的實體，並將AWSIoTSiteWiseMonitorPortalAccess託管策略或定義等效權限。此策略由AWS並定義了 SiteWise 監視器用於訪問AWS IoT SiteWise 和AWS SSO的費用。

建立 SiteWise 監視入口網站時，您必須選擇允許該入口網站使用者存取您的AWS IoT SiteWise和AWS SSO的費用。AWS IoT SiteWise 主控台可以為您建立和設定角色。您可以稍後在 IAM 中編輯角色。您的門户用户在使用 SiteWise 如果您從角色中移除所需的許可或刪除角色，請監視入口網站。

注意

在 2020 年 4 月 29 日前建立的入口網站不需要服務角色。如果您在此日期前建立了入口網站，則必須連接服務角色才能繼續使用。若要執行此作業，請導航至Portal頁面AWS IoT SiteWise安慰選擇，接著選擇遷移所有門户以使用 IAM 角色。

下列各節描述如何建立和管理 SiteWise 監視服務角色AWS Management Console或AWS Command Line Interface。

內容

• 的服務角色許可 SiteWise 監控
• 管理 SiteWise 監控服務角色 (主控台)
  • 尋找入口網站的服務角色 (主控台)
  • 建立 SiteWise 監視服務角色 (AWS IoT SiteWise主控台)
  • 建立 SiteWise 監控服務角色 (IAM 主控台)
  • 變更入口網站的服務角色 (主控台)
• 管理 SiteWise 監控服務角色 (CLI)
  • 尋找入口網站的服務角色 (CLI)
  • 建立 SiteWise 監控服務角色 (CLI)
• SiteWise 監視器更新到站點監視器服務

的服務角色許可 SiteWise 監控

建立入口網站時，AWS IoT SiteWise允許您建立名稱開頭為的角色網站監視器服務。此角色允許聯合 SiteWise 監控用户，以存取您的入口網站組態、資產、資產數據，以及AWS SSO配置。

該角色會信任下列服務來擔任此角色：

• monitor.iotsitewise.amazonaws.com

該角色使用下列許可政策，其名稱以AWSIoTSiteWiseMonitorServicePortalPolicy，允許 SiteWise 監控用户以完成對帳户中資源的操作。所以此AWSIoTSiteWiseMonitorPortalAccess受管政策會定義對等許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iotsitewise:DescribePortal",
                "iotsitewise:CreateProject",
                "iotsitewise:DescribeProject",
                "iotsitewise:UpdateProject",
                "iotsitewise:DeleteProject",
                "iotsitewise:ListProjects",
                "iotsitewise:BatchAssociateProjectAssets",
                "iotsitewise:BatchDisassociateProjectAssets",
                "iotsitewise:ListProjectAssets",
                "iotsitewise:CreateDashboard",
                "iotsitewise:DescribeDashboard",
                "iotsitewise:UpdateDashboard",
                "iotsitewise:DeleteDashboard",
                "iotsitewise:ListDashboards",
                "iotsitewise:CreateAccessPolicy",
                "iotsitewise:DescribeAccessPolicy",
                "iotsitewise:UpdateAccessPolicy",
                "iotsitewise:DeleteAccessPolicy",
                "iotsitewise:ListAccessPolicies",
                "iotsitewise:DescribeAsset",
                "iotsitewise:ListAssets",
                "iotsitewise:ListAssociatedAssets",
                "iotsitewise:DescribeAssetProperty",
                "iotsitewise:GetAssetPropertyValue",
                "iotsitewise:GetAssetPropertyValueHistory",
                "iotsitewise:GetAssetPropertyAggregates",
                "iotsitewise:BatchPutAssetPropertyValue",
                "iotsitewise:ListAssetRelationships",
                "iotsitewise:DescribeAssetModel",
                "iotsitewise:ListAssetModels",
                "iotsitewise:UpdateAssetModel",
                "iotsitewise:UpdateAssetModelPropertyRouting",
                "sso-directory:DescribeUsers",
                "sso-directory:DescribeUser",
                "iotevents:DescribeAlarmModel",
                "iotevents:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:BatchAcknowledgeAlarm",
                "iotevents:BatchSnoozeAlarm",
                "iotevents:BatchEnableAlarm",
                "iotevents:BatchDisableAlarm"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iotevents:keyValue": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:CreateAlarmModel",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteAlarmModel"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/iotsitewisemonitor": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "iotevents.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

如需警報所需許可的詳細資訊，請參設定 的許可AWS IoT Events警報。

當門户用户登錄時， SiteWise 監視器創建工作階段政策基於服務角色與該使用者存取政策之間的交集。存取政策會定義 身分對入口網站和專案的存取權層級。如需入口網站許可和存取政策的詳細資訊，請參閱管理SiteWise監控入口網站和建立存取政策。

管理 SiteWise 監控服務角色 (主控台)

您可以使用AWS IoT SiteWise控制台輕鬆管理 SiteWise 監控入口網站的服務角色。在您建立入口網站時，主控台會檢查您是否擁有任何可連接至該入口網站的現有角色。如果未連接，主控台可以為您建立和設定服務角色。如需詳細資訊，請參閱 建立入口網站。

主題

• 尋找入口網站的服務角色 (主控台)
• 建立 SiteWise 監視服務角色 (AWS IoT SiteWise主控台)
• 建立 SiteWise 監控服務角色 (IAM 主控台)
• 變更入口網站的服務角色 (主控台)

尋找入口網站的服務角色 (主控台)

請使用下列步驟來查找附加至 SiteWise 監控入口網站。

尋找入口網站的服務角色

1. 導覽至 AWS IoT SiteWise 主控台。

2. 在左側導覽窗格中選擇 Portals (入口網站)。

3. 選擇您要尋找服務角色的入口網站。

   連接至入口網站的角色會顯示在 Permissions (許可)、[Service role (服務角色) 下方。

建立 SiteWise 監視服務角色 (AWS IoT SiteWise主控台)

建立 SiteWise 監控入口網站後，您可以為入口網站建立服務角色。如需詳細資訊，請參閱 建立入口網站。

您也可以在AWS IoT SiteWise主控台。這將替換門户的現有服務角色。

建立現有入口網站的服務角色

1. 導覽至 AWS IoT SiteWise 主控台。

2. 在導覽窗格中，選擇 Portals (入口網站)。

3. 選擇您要建立新服務角色的入口網站。

4. 在 Portal details (入口網站詳細資訊) 底下，選擇 Edit (編輯)。

5. 在 Permissions (許可) 下方，從清單中選擇 Create and use a new service role (建立並使用新的服務角色)。

6. 輸入您的新角色名稱。

7. 選擇 Save (儲存)。

建立 SiteWise 監控服務角色 (IAM 主控台)

您可以從 IAM 主控台中的服務角色範本建立服務角色。此角色模板包括AWSIoTSiteWiseMonitorPortalAccess受管政策並指定 SiteWise 作為受信任的實體進行監控。

建立入口網站服務角色

1. 導覽至 IAM 主控台。

2. 在導覽窗格中，選擇 Roles (角色)。

3. 選擇 Create Role (建立角色)。

4. In選擇使用案例，選擇IoT SiteWise。

5. In選擇您的使用案例，選擇IoT SiteWise Monitor - Portal。

6. 選擇 Next: (下一步：) Permissions (許可)。

7. 選擇 Next: (下一步：) Tags (標籤)。

8. 選擇 Next: (下一步：) Review (檢閱)。

9. 輸入Role name (角色名稱)為新服務角色。

10. 選擇 Create Role (建立角色)。

變更入口網站的服務角色 (主控台)

使用下列程序以選擇不同的 SiteWise 監視入口網站的服務角色。

變更入口網站的服務角色

1. 導覽至 AWS IoT SiteWise 主控台。

2. 在導覽窗格中，選擇 Portals (入口網站)。

3. 選擇您要變更服務角色的入口網站。

4. 在 Portal details (入口網站詳細資訊) 底下，選擇 Edit (編輯)。

5. 在 Permissions (許可) 下方，選擇 Use an existing role (使用現有的角色)。

6. 選擇要連接至此入口網站的現有角色。

7. 選擇 Save (儲存)。

管理 SiteWise 監控服務角色 (CLI)

您可以使用 AWS CLI 進行下列入口網站服務角色管理任務：

主題

• 尋找入口網站的服務角色 (CLI)
• 建立 SiteWise 監控服務角色 (CLI)

尋找入口網站的服務角色 (CLI)

若要查找附加至 SiteWise 監視門户，執行下列命令以列出當前區域中的所有入口網站。

aws iotsitewise list-portals

該操作會以下列格式傳回包含您入口網站摘要的回應。

{
  "portalSummaries": [
    {
      "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "name": "WindFarmPortal",
      "description": "A portal that contains wind farm projects for Example Corp.",
      "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
      "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
      "creationDate": "2020-02-04T23:01:52.90248068Z",
      "lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
    }
  ]
}

如果您知道入口網站的 ID，也可以使用描述入口網站操作來尋找入口網站的角色。

建立 SiteWise 監控服務角色 (CLI)

使用下列步驟來建立新的 SiteWise 監視服務角色。

建立 SiteWise 監控服務角色

1. 使用允許使用信任政策建立角色 SiteWise 監視器擔任此角色。此範例會根據儲存在 JSON 字串中的信任政策，建立名為 MySiteWiseMonitorPortalRole 的角色。

   Linux, macOS, or Unix

   aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "monitor.iotsitewise.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }'

   Windows command prompt

   aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"

2. 從輸出中的角色中繼資料，複製角色 ARN。建立入口網站時，您可使用此 ARN 將角色與入口網站建立關聯。如需建立門户的詳細資訊，請參CreatePortal中的AWS IoT SiteWiseAPI 參考。

3. 將 AWSIoTSiteWiseMonitorPortalAccess 政策附加至角色，或附加定義對等許可的政策。

   aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess

將服務角色連接至現有入口網站

1. 若要擷取入口網站的現有詳細資訊，請執行下列命令。將 portal-id 取代為入口網站的 ID。

   aws iotsitewise describe-portal --portal-id portal-id

   此操作會以下列格式傳回包含入口網站詳細資訊的回應。

   {
       "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
       "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
       "portalName": "WindFarmPortal",
       "portalDescription": "A portal that contains wind farm projects for Example Corp.",
       "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
       "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
       "portalContactEmail": "support@example.com",
       "portalStatus": {
           "state": "ACTIVE"
       },
       "portalCreationDate": "2020-04-29T23:01:52.90248068Z",
       "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
       "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
   }

2. 若要將服務角色連接至入口網站，請執行下列命令。將 role-arn 取代為服務角色 ARN，並以入口網站的現有值取代其餘參數。

   aws iotsitewise update-portal \
     --portal-id portal-id \
     --role-arn role-arn \
     --portal-name portal-name \
     --portal-description portal-description \
     --portal-contact-email portal-contact-email

SiteWise 監視器更新到站點監視器服務

您可以查看有關網站監視器服務為了 SiteWise 監視器，從此服務開始跟蹤更改時開始。如需有關此頁面變更的自動提醒，請訂閱 AWS IoT SiteWise文件歷史記錄頁面上的 RSS 摘要。

變更	描述	日期
AWSIoTSiteWiseMonitorPortalAccess— 更新政策	AWS IoT SiteWise已更新AWSIoTSiteWiseMonitorPortalAccess報警功能的託管策略。	2021 年 5 月 27 日
AWS IoT SiteWise 已開始追蹤變更	AWS IoT SiteWise開始追蹤其服務角色的變更。	2020 年 12 月 15 日