本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将服务角色用于 Amazon IoT SiteWise Monitor
服务IAM角色是服务代替您执行操作的角色。IAM管理员可以在内部创建、修改和删除服务角色IAM。有关更多信息,请参阅《IAM用户指南》 Amazon Web Services 服务中的创建角色以向委派权限。
要允许联合的 M SiteWise onitor 门户用户访问您的 Amazon IoT SiteWise资源,您必须将服务角色附加到您创建的每个门户。服务角色必须将 M SiteWise onitor 指定为可信实体,并包含AWSIoTSiteWiseMonitorPortalAccess
创建 M SiteWise onitor 门户时,必须选择一个允许该门户的用户访问您的 Amazon IoT SiteWise 资源的角色。 Amazon IoT SiteWise 控制台可以为您创建和配置角色。您可以IAM稍后编辑该角色。如果您从角色中移除所需的权限或删除该角色,您的门户用户在使用其 SiteWise 监控器门户时会遇到问题。
注意
2020 年 4 月 29 日之前创建的门户不需要服务角色。如果您是在此日期之后创建的门户,则必须附加服务角色才能继续使用。为此,请在Amazon IoT SiteWise 控制台
以下各节介绍如何在 Amazon Web Services Management Console 或中创建和管理 SiteWise 监控服务角色 Amazon Command Line Interface。
目录
SiteWise 监控器的服务角色权限
创建门户时, Amazon IoT SiteWise 允许您创建名称以开头的角色AWSIoTSiteWiseMonitorServiceRole。此角色允许联合 SiteWise 监视器用户访问您的门户配置、资产、和资产数据。
该角色信任以下服务来代入角色:
-
monitor.iotsitewise.amazonaws.com
该角色使用以下权限策略(名称以开头)来允许 M SiteWise onitor 用户对您账户中的资源完成操作。AWSIoTSiteWiseMonitorServicePortalPolicyAWSIoTSiteWiseMonitorPortalAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotsitewise:CreateProject", "iotsitewise:DescribeProject", "iotsitewise:UpdateProject", "iotsitewise:DeleteProject", "iotsitewise:ListProjects", "iotsitewise:BatchAssociateProjectAssets", "iotsitewise:BatchDisassociateProjectAssets", "iotsitewise:ListProjectAssets", "iotsitewise:CreateDashboard", "iotsitewise:DescribeDashboard", "iotsitewise:UpdateDashboard", "iotsitewise:DeleteDashboard", "iotsitewise:ListDashboards", "iotsitewise:CreateAccessPolicy", "iotsitewise:DescribeAccessPolicy", "iotsitewise:UpdateAccessPolicy", "iotsitewise:DeleteAccessPolicy", "iotsitewise:ListAccessPolicies", "iotsitewise:DescribeAsset", "iotsitewise:ListAssets", "iotsitewise:ListAssociatedAssets", "iotsitewise:DescribeAssetProperty", "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetAssetPropertyValueHistory", "iotsitewise:GetAssetPropertyAggregates" ], "Resource": "*" } ] }
有关警报所需权限的更多信息,请参阅 设置 Amazon IoT Events 警报权限。
当门户用户登录时,M SiteWise onitor 会根据服务角色与该用户的访问策略的交叉点创建会话策略。访问策略定义 身份对门户和项目的访问级别。有关门户权限和访问策略的更多信息,请参阅管理您的 SiteWise 监控器门户和CreateAccessPolicy。
管理 SiteWise 监控服务角色(控制台)
Amazon IoT SiteWise 控制台 便于管理门户的 SiteWise 监控服务角色。创建入口后,控制台会检查是否存在适合附加的现有角色。如果没有可用的服务角色,则控制台可以为您创建和配置服务角色。有关更多信息,请参阅 创建门户。
查找门户的服务角色(控制台)
使用以下步骤查找附加到 SiteWise 监控器门户的服务角色。
查找门户的服务角色
-
在左侧导航窗格中,选择 门户。
-
选择要查找其服务角色的门户。
附加到门户的角色显示在权限、服务角色 下。
创建 SiteWise 监控服务角色(Amazon IoT SiteWise 控制台)
创建 M SiteWise onitor 门户时,可以为门户创建服务角色。有关更多信息,请参阅 创建门户。
您也可以在 Amazon IoT SiteWise 控制台中为现有门户创建服务角色。这将取代门户的现有服务角色。
为现有门户创建服务角色
-
在导航窗格中,选择 门户。
-
选择要为其创建新服务角色的门户。
-
在门户详细信息下,选择编辑。
-
在权限下,从列表中选择创建和使用新的服务角色。
-
输入新角色的名称。
-
选择保存。
创建 SiteWise 监控服务角色(IAM控制台)
您可以通过IAM控制台中的服务角色模板创建服务角色。此角色模板包括AWSIoTSiteWiseMonitorPortalAccess
通过门户服务角色模板创建服务角色
-
导航到 IAM 控制台
。 -
在导航窗格中,选择角色。
-
选择 Create role(创建角色)。
-
在选择用例中,选择物联网 SiteWise。
-
在选择您的使用案例中,选择 IoT SiteWise Monitor - Portal。
-
选择下一步: 权限。
-
选择下一步: 标签。
-
选择下一步:审核。
-
在角色名称中,输入新服务角色名称。
-
选择 Create role(创建角色)。
更改门户的服务角色(控制台)
使用以下步骤为门户选择不同的 SiteWise 监控服务角色。
更改门户的服务角色
-
在导航窗格中,选择 门户。
-
选择要更改其服务角色的门户。
-
在门户详细信息下,选择编辑。
-
在权限下,选择使用现有角色。
-
选择要附加到此门户的现有角色。
-
选择保存。
管理 SiteWise 监控器服务角色 () CLI
您可以将 Amazon CLI 用于以下门户服务角色管理任务:
查找门户的服务角色 (CLI)
要查找附加到 SiteWise 监控器门户的服务角色,请运行以下命令列出当前区域中的所有门户。
aws iotsitewise list-portals
此操作将按照以下格式返回包含门户摘要的响应。
{ "portalSummaries": [ { "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "name": "WindFarmPortal", "description": "A portal that contains wind farm projects for Example Corp.", "roleArn": "arn:aws:iam::
123456789012
:role/service-role/role-name
", "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "creationDate": "2020-02-04T23:01:52.90248068Z", "lastUpdateDate": "2020-02-04T23:01:52.90248078Z" } ] }
如果您知道门户的 ID,也可以使用该DescribePortal操作来查找门户的角色。
创建 SiteWise 监控服务角色 (CLI)
使用以下步骤创建新的 SiteWise 监控服务角色。
创建 SiteWise 监控服务角色
-
使用允许 Monito SiteWise r 担任该角色的信任策略创建角色。此示例根据存储在JSON字符串中的信任策略创建了一个名
MySiteWiseMonitorPortalRole
为的角色。 -
ARN从输出中的角色元数据中复制角色。创建门户时,您可以使用该角色ARN将该角色与您的门户关联。有关创建入口的更多信息,请参阅《Amazon IoT SiteWise API参考》CreatePortal中的。
-
将
AWSIoTSiteWiseMonitorPortalAccess
策略附加到角色,或附加定义等效权限的策略。aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
将服务角色附加到现有门户
-
要检索门户的现有详细信息,请运行以下命令。Replace(替换)
portal-id
使用门户的 ID。aws iotsitewise describe-portal --portal-id
portal-id
该操作返回一个响应,其中包含如下格式的门户详细信息。
{ "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalArn": "arn:aws:iotsitewise:
region
:account-id
:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalName": "WindFarmPortal", "portalDescription": "A portal that contains wind farm projects for Example Corp.", "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE", "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "portalContactEmail": "support@example.com", "portalStatus": { "state": "ACTIVE" }, "portalCreationDate": "2020-04-29T23:01:52.90248068Z", "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z", "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE" } -
要将服务角色附加到门户,请运行以下命令。Replace(替换)
role-arn
使用服务角色ARN,并将剩余参数替换为门户的现有值。aws iotsitewise update-portal \ --portal-id
portal-id
\ --role-arnrole-arn
\ --portal-nameportal-name
\ --portal-descriptionportal-description
\ --portal-contact-emailportal-contact-email
SiteWise 监视更新 AWSIoTSiteWiseMonitorServiceRole
您可以查看有关 for M SiteWise onit AWSIoTSiteWiseMonitorServiceRoleor 更新的详细信息,从该服务开始跟踪更改时开始。要获得有关此页面变更的自动提醒,请订阅 “ Amazon IoT SiteWise 文档历史记录” 页面上的订阅RSS源。
更改 | 描述 | 日期 |
---|---|---|
Amazon IoT SiteWise 更新了警报功能的AWSIoTSiteWiseMonitorPortalAccess |
2021 年 5 月 27 日 | |
Amazon IoT SiteWise 开始跟踪更改 |
Amazon IoT SiteWise 开始跟踪其服务角色的变化。 |
2020 年 12 月 15 日 |