为 Amazon IoT SiteWise Monitor 使用服务角色 - Amazon IoT SiteWise
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon IoT SiteWise Monitor 使用服务角色

服务角色是由一项服务担任、代表您执行操作的 IAM 角色。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅 IAM 用户指南中的创建向 Amazon Web Service 委派权限的角色

要允许联合 M SiteWise onitor 门户用户访问您的Amazon IoT SiteWise资源,您必须为创建的每个门户附加服务角色。服务角色必须将 M SiteWise onitor 指定为可信实体,并包含AWSIoTSiteWiseMonitorPortalAccess托管策略或定义等效权限。此策略由 M SiteWise onitor 维护Amazon并定义了用于访问您Amazon IoT SiteWise 资源的一组权限。

创建 SiteWise 监控器门户时,必须选择一个允许该门户的用户访问您Amazon IoT SiteWise 资源的角色。Amazon IoT SiteWise 控制台可以为您创建和配置该角色。您可以稍后在 IAM 中编辑该角色。如果您从角色中移除所需权限或删除角色,您的门户用户在使用其 SiteWise 监控门户时会遇到问题。

注意

2020 年 4 月 29 日之前创建的门户不需要服务角色。如果您是在此日期之后创建的门户,则必须附加服务角色才能继续使用。为此,请导航到Amazon IoT SiteWise控制台中的门户页面,然后选择迁移所有门户以使用 IAM 角色

以下各节介绍如何在Amazon Web Services Management Console或中创建和管理 SiteWise 监控服务角色Amazon Command Line Interface。

SiteWise 监控器的服务角色权限

创建门户时,Amazon IoT SiteWise 允许您创建名称以 AWSIoTSiteWiseMonitorServiceRole 开头的角色。此角色允许联合 M SiteWise onitor 用户访问您的门户配置、资产、和资产数据

该角色信任以下服务来代入角色:

  • monitor.iotsitewise.amazonaws.com

该角色使用以下权限策略(名称以开头 AWSIoTSiteWiseMonitorServicePortalPolicy)来允许 SiteWise 监控用户完成对您账户中资源的操作。AWSIoTSiteWiseMonitorPortalAccess 托管策略定义等效权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotsitewise:CreateProject", "iotsitewise:DescribeProject", "iotsitewise:UpdateProject", "iotsitewise:DeleteProject", "iotsitewise:ListProjects", "iotsitewise:BatchAssociateProjectAssets", "iotsitewise:BatchDisassociateProjectAssets", "iotsitewise:ListProjectAssets", "iotsitewise:CreateDashboard", "iotsitewise:DescribeDashboard", "iotsitewise:UpdateDashboard", "iotsitewise:DeleteDashboard", "iotsitewise:ListDashboards", "iotsitewise:CreateAccessPolicy", "iotsitewise:DescribeAccessPolicy", "iotsitewise:UpdateAccessPolicy", "iotsitewise:DeleteAccessPolicy", "iotsitewise:ListAccessPolicies", "iotsitewise:DescribeAsset", "iotsitewise:ListAssets", "iotsitewise:ListAssociatedAssets", "iotsitewise:DescribeAssetProperty", "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetAssetPropertyValueHistory", "iotsitewise:GetAssetPropertyAggregates" ], "Resource": "*" } ] }

有关警报所需权限的更多信息,请参阅为Amazon IoT Events警报设置权限

当门户用户登录时,M SiteWise onitor 会根据服务角色和该用户的访问策略的交叉点创建会话策略。访问策略定义 身份对门户和项目的访问级别。有关门户权限和访问策略的更多信息,请参阅管理您的 SiteWise 监控门户CreateAccessPolicy

管理 SiteWise 监控服务角色(控制台)

您可以使用Amazon IoT SiteWise控制台轻松管理门户的 SiteWise 监控服务角色。创建门户时,控制台检查您是否具有可以附加到该门户的任何现有角色。如果没有,则控制台可以为您创建和配置服务角色。有关更多信息,请参阅创建门户

查找门户的服务角色(控制台)

使用以下步骤查找附加到 SiteWise 监控器门户的服务角色。

查找门户的服务角色
  1. 导航到 Amazon IoT SiteWise 控制台

  2. 在左侧导航窗格中,选择 Portals (门户)

  3. 选择要查找其服务角色的门户。

    附加到门户的角色显示在权限服务角色 下。

创建 SiteWise 监控服务角色(Amazon IoT SiteWise控制台)

创建 SiteWise 监控器门户时,可以为门户创建服务角色。有关更多信息,请参阅创建门户

您还可以在Amazon IoT SiteWise控制台中为现有门户创建服务角色。这取代了门户的现有服务角色。

为现有门户创建服务角色
  1. 导航到 Amazon IoT SiteWise 控制台

  2. 在导航窗格中,选择 Portals (门户)

  3. 选择要为其创建新服务角色的门户。

  4. 门户详细信息下,选择编辑

  5. 权限下,从列表中选择创建和使用新的服务角色

  6. 输入新角色的名称。

  7. 选择 Save(保存)。

创建 SiteWise 监控服务角色(IAM 控制台)

您可以在 IAM 控制台中使用服务角色模板创建服务角色。此角色模板包括AWSIoTSiteWiseMonitorPortalAccess托管策略,并将 M SiteWise onitor 指定为可信实体。

根据门户服务角色模板创建服务角色
  1. 导航到 IAM 控制台

  2. 在导航窗格中,选择 Roles(角色)。

  3. 选择 Create role(创建角色)。

  4. “选择用例” 中,选择 IoT SiteWise

  5. “选择您的用例” 中,选择IoT SiteWise Monitor - Portal

  6. 选择下一步: 权限

  7. 选择下一步: 标签

  8. 请选择下一步:审核

  9. 输入新服务角色的角色名称

  10. 选择 Create role(创建角色)。

更改门户的服务角色(控制台)

使用以下过程为入口选择不同的 SiteWise 监控器服务角色。

更改门户的服务角色
  1. 导航到 Amazon IoT SiteWise 控制台

  2. 在导航窗格中,选择 Portals (门户)

  3. 选择要更改其服务角色的门户。

  4. 门户详细信息下,选择编辑

  5. 权限下,选择使用现有角色

  6. 选择要附加到此门户的现有角色。

  7. 选择 Save(保存)。

管理 SiteWise 监控服务角色 (CLI)

您可以使用 Amazon CLI 来执行以下门户服务角色管理任务:

查找门户的服务角色 (CLI)

要查找附加到 SiteWise 监控器门户的服务角色,请运行以下命令以列出当前区域中的所有门户。

aws iotsitewise list-portals

此操作将按照以下格式返回包含门户摘要的响应。

{ "portalSummaries": [ { "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "name": "WindFarmPortal", "description": "A portal that contains wind farm projects for Example Corp.", "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name", "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "creationDate": "2020-02-04T23:01:52.90248068Z", "lastUpdateDate": "2020-02-04T23:01:52.90248078Z" } ] }

如果您知道门户的 ID,也可以使用该DescribePortal操作来查找门户的角色。

创建 SiteWise 监控服务角色 (CLI)

使用以下步骤创建新的 SiteWise 监控器服务角色。

创建 SiteWise 监控服务角色
  1. 使用允许 M SiteWise onitor 代入角色的信任策略创建角色。此示例根据存储在 JSON 字符串中的信任策略创建名为 MySiteWiseMonitorPortalRole 的角色。

    Linux, macOS, or Unix
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "monitor.iotsitewise.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }'
    Windows command prompt
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
  2. 从输出中的角色元数据复制角色 ARN。创建门户时,您可以使用此 ARN 将角色与门户关联。有关创建门户的更多信息,请参阅《Amazon IoT SiteWiseAPI 参考CreatePortal中的。

  3. AWSIoTSiteWiseMonitorPortalAccess策略附加到角色,或附加定义等效权限的策略。

    aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
将服务角色附加到现有门户
  1. 要检索门户的现有详细信息,请运行以下命令。将 portal-id 替换为该门户的 ID。

    aws iotsitewise describe-portal --portal-id portal-id

    该操作返回一个响应,其中包含如下格式的门户详细信息。

    { "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE", "portalName": "WindFarmPortal", "portalDescription": "A portal that contains wind farm projects for Example Corp.", "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE", "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws", "portalContactEmail": "support@example.com", "portalStatus": { "state": "ACTIVE" }, "portalCreationDate": "2020-04-29T23:01:52.90248068Z", "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z", "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE" }
  2. 要将服务角色附加到门户,请运行以下命令。将 role-arn 替换为服务角色 ARN,将其余参数替换为门户的现有值。

    aws iotsitewise update-portal \ --portal-id portal-id \ --role-arn role-arn \ --portal-name portal-name \ --portal-description portal-description \ --portal-contact-email portal-contact-email

SiteWise 监控更新 AWSIoTSiteWiseMonitorServiceRole

从该服务开始跟踪更改之日起,您可以查看 f AWSIoTSiteWiseMonitorServiceRole SiteWise or Monitor 更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon IoT SiteWise 文档历史记录页面上的 RSS 源。

更改 说明 日期

AWSIoTSiteWiseMonitorPortalAccess— 更新的政策

Amazon IoT SiteWise更新了警报功能的AWSIoTSiteWiseMonitorPortalAccess管理策略。

2021 年 5 月 27 日

Amazon IoT SiteWise 已开启跟踪更改

Amazon IoT SiteWise开始跟踪其服务角色的更改。

2020 年 12 月 15 日