AWS IoT 的動作、資源和條件金鑰 SiteWise

AWS IoT SiteWise (服務前置詞:iotsitewise) 提供下列服務特定資源、動作和條件內容金鑰，以供 IAM 權限政策使用。

參考資料：

• 了解如何設定此服務。

• 檢視可供此服務使用的 API 操作清單。

• 了解如何使用 IAM 許可政策來保護此服務及其資源。

AWS IoT 定義的動作 SiteWise

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取，則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
AssociateAssets	准許透過階層將子資產與父資產建立關聯	寫入	asset*
AssociateTimeSeriesToAssetProperty	准許將時間序列與資產屬性建立關聯	寫入	asset*
			time-series*
BatchAssociateProjectAssets	准許將資產與專案建立關聯	寫入	project*
BatchDisassociateProjectAssets	准許取消資產與專案的關聯	寫入	project*
BatchGetAssetPropertyAggregates	授予許可以擷取多個資產屬性的計算彙總	讀取	asset
			time-series
BatchGetAssetPropertyValue	授予許可以擷取多個資產屬性的最新值	讀取	asset
			time-series
BatchGetAssetPropertyValueHistory	授予許可以擷取多個資產屬性的歷史記錄值	讀取	asset
			time-series
BatchPutAssetPropertyValue	准許放置資產屬性的屬性值	寫入	asset
			time-series
CreateAccessPolicy	准許為入口網站或專案建立存取政策	寫入	portal
			project
				aws:RequestTag/${TagKey} aws:TagKeys
CreateAsset	准許從資產模型建立資產	寫入	asset-model*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateAssetModel	准許建立資產模型	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateAssetModelCompositeModel	准許在資產模型內建立資產模型複合模型	寫入	asset-model*
CreateBulkImportJob	准許建立大量匯入任務	寫入
CreateDashboard	准許在專案中建立儀表板	寫入	project*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateGateway	准許建立閘道	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreatePortal	准許建立入口網站	寫入		aws:RequestTag/${TagKey} aws:TagKeys	sso:CreateManagedApplicationInstance sso:DescribeRegisteredRegions
CreateProject	准許在入口網站中建立專案	寫入	portal*
				aws:RequestTag/${TagKey} aws:TagKeys
DeleteAccessPolicy	准許刪除存取政策	寫入	access-policy*
DeleteAsset	准許刪除資產	寫入	asset*
DeleteAssetModel	准許刪除資產模型	寫入	asset-model*
DeleteAssetModelCompositeModel	准許刪除資產模型複合模型	寫入	asset-model*
DeleteDashboard	准許刪除儀表板	寫入	dashboard*
DeleteGateway	准許刪除閘道	寫入	gateway*
DeletePortal	准許刪除入口網站	寫入	portal*		sso:DeleteManagedApplicationInstance
DeleteProject	授予許可來刪除專案	寫入	project*
DeleteTimeSeries	准許刪除時間序列	寫入	asset
			time-series
DescribeAccessPolicy	准許描述存取政策	讀取	access-policy*
DescribeAction	准許描述動作	讀取	asset
DescribeAsset	准許描述資產	讀取	asset*
DescribeAssetCompositeModel	准許描述資產負合模型	讀取	asset*
DescribeAssetModel	准許描述資產模型	讀取	asset-model*
DescribeAssetModelCompositeModel	准許描述資產模型複合模型	讀取	asset-model*
DescribeAssetProperty	准許描述資產屬性	讀取	asset*
DescribeBulkImportJob	准許描述大量匯入任務	讀取
DescribeDashboard	准許描述儀表板	讀取	dashboard*
DescribeDefaultEncryptionConfiguration	授與描述預設加密組態的權限 AWS 帳戶	讀取
DescribeGateway	准許描述閘道	讀取	gateway*
DescribeGatewayCapabilityConfiguration	准許描述閘道的功能組態	讀取	gateway*
DescribeLoggingOptions	授與描述記錄選項的權限 AWS 帳戶	讀取
DescribePortal	准許描述入口網站	讀取	portal*
DescribeProject	准許描述專案	讀取	project*
DescribeStorageConfiguration	授與描述儲存區組態的權限 AWS 帳戶	讀取
DescribeTimeSeries	准許描述時間序列	讀取	asset
			time-series
				aws:RequestTag/${TagKey} aws:TagKeys
DisassociateAssets	准許依階層取消子資產與父資產的關聯	寫入	asset*
DisassociateTimeSeriesFromAssetProperty	准許取消時間序列與資產屬性的關聯	寫入	asset*
			time-series*
EnableSiteWiseIntegration [僅限許可]	授予允許 IoT 與其他服務 SiteWise 整合的權限	寫入
ExecuteAction	准許執行動作	寫入	asset
ExecuteQuery	准許執行查詢	讀取
GetAssetPropertyAggregates	准許擷取資產屬性的計算彙總	讀取	asset
			time-series
GetAssetPropertyValue	准許擷取資產屬性的最新值	讀取	asset
			time-series
GetAssetPropertyValueHistory	准許擷取資產屬性的值歷史記錄	讀取	asset
			time-series
GetInterpolatedAssetPropertyValues	准許擷取資產屬性的插入值	讀取	asset
			time-series
ListAccessPolicies	准許列出身分或資源的所有存取政策	清單	portal
			project
ListActions	准許列出所有動作	清單	asset
ListAssetModelCompositeModels	准許列出所有資產模型複合模型	清單	asset-model*
ListAssetModelProperties	准許列出資產模型屬性	清單	asset-model*
ListAssetModels	准許列出所有資產模型	清單
ListAssetProperties	准許列出資產屬性	清單	asset*
ListAssetRelationships	准許列出資產的資產關係圖表	列出	asset*
ListAssets	准許列出所有資產	列出	asset-model
ListAssociatedAssets	准許透過階層列出與資產相關聯的所有資產	清單	asset*
ListBulkImportJobs	准許列出大量匯入任務	清單
ListCompositionRelationships	准許列出所有資產模型組合關係	清單	asset-model*
ListDashboards	准許列出專案中的所有儀表板	列出	project*
ListGateways	准許列出所有閘道	列出
ListPortals	准許列出所有入口網站	列出
ListProjectAssets	准許列出與專案相關聯的所有資產	列出	project*
ListProjects	准許列出入口網站中的所有專案	列出	portal*
ListTagsForResource	准許列出資源的所有標籤	讀取	access-policy
			asset
			asset-model
			dashboard
			gateway
			portal
			project
			time-series
				aws:ResourceTag/${TagKey}
ListTimeSeries	准許列出時間序列	清單	asset
PutDefaultEncryptionConfiguration	授與設定預設加密組態的權限 AWS 帳戶	寫入
PutLoggingOptions	授與設定記錄選項的權限 AWS 帳戶	寫入
PutStorageConfiguration	授與設定儲存區設定的權限 AWS 帳戶	寫入
TagResource	准許標記資源	標記	access-policy
			asset
			asset-model
			dashboard
			gateway
			portal
			project
			time-series
				aws:TagKeys aws:RequestTag/${TagKey}
UntagResource	准許取消標記資源	標記	access-policy
			asset
			asset-model
			dashboard
			gateway
			portal
			project
			time-series
				aws:TagKeys
UpdateAccessPolicy	准許更新存取政策	寫入	access-policy*
UpdateAsset	准許更新資產	寫入	asset*
UpdateAssetModel	准許更新資產模型	寫入	asset-model*
UpdateAssetModelCompositeModel	准許更新資產模型複合模型	寫入	asset-model*
UpdateAssetModelPropertyRouting [僅限許可]	授與更新 AssetModel 屬性路由的權限	寫入	asset-model*
UpdateAssetProperty	准許更新資產屬性	寫入	asset*
UpdateDashboard	准許更新儀表板	寫入	dashboard*
UpdateGateway	准許更新閘道	寫入	gateway*
UpdateGatewayCapabilityConfiguration	准許更新閘道的功能組態	寫入	gateway*
UpdatePortal	准許更新入口網站	寫入	portal*
UpdateProject	准許更新專案	寫入	project*

AWS IoT 定義的資源類型 SiteWise

此服務會定義下列資源類型，並可用在 IAM 許可政策陳述式的 Resource 元素中。動作資料表中的每個動作都會指明可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
asset	arn:${Partition}:iotsitewise:${Region}:${Account}:asset/${AssetId}	aws:ResourceTag/${TagKey}
asset-model	arn:${Partition}:iotsitewise:${Region}:${Account}:asset-model/${AssetModelId}	aws:ResourceTag/${TagKey}
time-series	arn:${Partition}:iotsitewise:${Region}:${Account}:time-series/${TimeSeriesId}	aws:ResourceTag/${TagKey}
gateway	arn:${Partition}:iotsitewise:${Region}:${Account}:gateway/${GatewayId}	aws:ResourceTag/${TagKey}
portal	arn:${Partition}:iotsitewise:${Region}:${Account}:portal/${PortalId}	aws:ResourceTag/${TagKey}
project	arn:${Partition}:iotsitewise:${Region}:${Account}:project/${ProjectId}	aws:ResourceTag/${TagKey}
dashboard	arn:${Partition}:iotsitewise:${Region}:${Account}:dashboard/${DashboardId}	aws:ResourceTag/${TagKey}
access-policy	arn:${Partition}:iotsitewise:${Region}:${Account}:access-policy/${AccessPolicyId}	aws:ResourceTag/${TagKey}

AWS IoT 的條件金鑰 SiteWise

AWS IoT 會 SiteWise 定義下列可用於 IAM 政策Condition元素的條件金鑰。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵資料表。

若要檢視所有服務都可使用的全域條件索引鍵，請參閱可用全域條件索引鍵。

條件索引鍵	描述	類型
aws:RequestTag/${TagKey}	依請求中的標籤鍵值組篩選存取權	字串
aws:ResourceTag/${TagKey}	依連接到資源的標籤篩選存取權	字串
aws:TagKeys	依請求中的標籤索引鍵篩選存取權	ArrayOfString
iotsitewise:assetHierarchyPath	依資產階層路徑篩選存取權，此路徑是資產階層中資產 ID 的字串，每個字串都以正斜線分隔	字串
iotsitewise:childAssetId	依與父資產相關聯的子資產 ID 篩選存取權	字串
iotsitewise:group	依 AWS 單一登入群組的 ID 篩選存取	字串
iotsitewise:iam	依 AWS IAM 身分識別碼篩選存取	字串
iotsitewise:isAssociatedWithAssetProperty	依與資產屬性相關聯或不相關聯的資料串流篩選存取權	字串
iotsitewise:portal	依入口網站的 ID 篩選存取權	字串
iotsitewise:project	依專案的 ID 篩選存取權	字串
iotsitewise:propertyAlias	依屬性別名篩選存取權	字串
iotsitewise:propertyId	依資產屬性的 ID 篩選存取權	字串
iotsitewise:user	依 AWS 單一登入使用者的 ID 篩選存取	字串