将服务角色用于 Amazon IoT SiteWise Monitor - Amazon IoT SiteWise
SiteWise 监控器的服务角色权限管理服务角色(控制台)管理服务角色 (CLI)角色更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务角色用于 Amazon IoT SiteWise Monitor

服务角色是由一项服务担任、代表您执行操作的 IAM 角色。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》中的创建向 Amazon Web Service委派权限的角色

要允许联合的 M SiteWise onitor 门户用户访问您的 Amazon IoT SiteWise资源,您必须将服务角色附加到您创建的每个门户。服务角色必须将 M SiteWise onitor 指定为可信实体,并包含AWSIoTSiteWiseMonitorPortalAccess托管策略或定义等效权限。此策略由 M SiteWise onitor 维护 Amazon 并定义了用于访问您 Amazon IoT SiteWise 资源的一组权限。

创建 M SiteWise onitor 门户时,必须选择允许该门户的用户访问您 Amazon IoT SiteWise 资源的角色。 Amazon IoT SiteWise 控制台可以为您创建和配置角色。您可以稍后在 IAM 中编辑该角色。如果您从角色中移除所需的权限或删除该角色,您的门户用户在使用其 SiteWise 监控器门户时会遇到问题。

注意

2020 年 4 月 29 日之前创建的门户不需要服务角色。如果您是在此日期之后创建的门户,则必须附加服务角色才能继续使用。为此,请导航到 Amazon IoT SiteWise 控制台门户页面,再选择迁移所有门户以使用 IAM 角色

以下各节介绍如何在 Amazon Web Services Management Console 或中创建和管理 M SiteWise onitor 服务角色 Amazon Command Line Interface。

SiteWise 监控器的服务角色权限

创建门户时, Amazon IoT SiteWise 允许您创建名称以开头的角色AWSIoTSiteWiseMonitorServiceRole。此角色允许联合 SiteWise 监视器用户访问您的门户配置、资产、和资产数据

该角色信任以下服务来代入角色:

  • monitor.iotsitewise.amazonaws.com

该角色使用以下权限策略(名称以开头)来允许 M SiteWise onitor 用户对您账户中的资源完成操作。AWSIoTSiteWiseMonitorServicePortalPolicyAWSIoTSiteWiseMonitorPortalAccess托管策略定义了等效权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotsitewise:CreateProject",
        "iotsitewise:DescribeProject",
        "iotsitewise:UpdateProject",
        "iotsitewise:DeleteProject",
        "iotsitewise:ListProjects",
        "iotsitewise:BatchAssociateProjectAssets",
        "iotsitewise:BatchDisassociateProjectAssets",
        "iotsitewise:ListProjectAssets",
        "iotsitewise:CreateDashboard",
        "iotsitewise:DescribeDashboard",
        "iotsitewise:UpdateDashboard",
        "iotsitewise:DeleteDashboard",
        "iotsitewise:ListDashboards",
        "iotsitewise:CreateAccessPolicy",
        "iotsitewise:DescribeAccessPolicy",
        "iotsitewise:UpdateAccessPolicy",
        "iotsitewise:DeleteAccessPolicy",
        "iotsitewise:ListAccessPolicies",
        "iotsitewise:DescribeAsset",
        "iotsitewise:ListAssets",
        "iotsitewise:ListAssociatedAssets",
        "iotsitewise:DescribeAssetProperty",
        "iotsitewise:GetAssetPropertyValue",
        "iotsitewise:GetAssetPropertyValueHistory",
        "iotsitewise:GetAssetPropertyAggregates"
      ],
      "Resource": "*"
    }
  ]
}

有关警报所需权限的更多信息,请参阅 设置 Amazon IoT Events 警报权限

当门户用户登录时,M SiteWise onitor 会根据服务角色与该用户的访问策略的交叉点创建会话策略。访问策略定义 身份对门户和项目的访问级别。有关门户权限和访问策略的更多信息,请参阅管理您的 SiteWise 监控器门户CreateAccessPolicy

管理 SiteWise 监控服务角色(控制台)

Amazon IoT SiteWise 控制台 便于管理门户的 SiteWise 监控服务角色。创建入口后,控制台会检查是否存在适合附加的现有角色。如果没有可用的服务角色,则控制台可以为您创建和配置服务角色。有关更多信息,请参阅 创建门户

查找门户的服务角色(控制台)

使用以下步骤查找附加到 SiteWise 监控器门户的服务角色。

查找门户的服务角色

  1. 导航到 Amazon IoT SiteWise 控制台

  2. 在左侧导航窗格中,选择 门户

  3. 选择要查找其服务角色的门户。

    附加到门户的角色显示在权限服务角色 下。

创建 SiteWise 监控服务角色(Amazon IoT SiteWise 控制台)

创建 M SiteWise onitor 门户时,可以为门户创建服务角色。有关更多信息,请参阅 创建门户

您也可以在 Amazon IoT SiteWise 控制台中为现有门户创建服务角色。这将取代门户的现有服务角色。

为现有门户创建服务角色

  1. 导航到 Amazon IoT SiteWise 控制台

  2. 在导航窗格中,选择 门户

  3. 选择要为其创建新服务角色的门户。

  4. 门户详细信息下,选择编辑

  5. 权限下,从列表中选择创建和使用新的服务角色

  6. 输入新角色的名称。

  7. 选择保存

创建 SiteWise 监控服务角色(IAM 控制台)

您可以在 IAM 控制台中从服务角色模板创建服务角色。此角色模板包括AWSIoTSiteWiseMonitorPortalAccess托管策略,并将 Monito SiteWise r 指定为可信实体。

通过门户服务角色模板创建服务角色

  1. 导航到 IAM 控制台

  2. 在导航窗格中,选择 角色

  3. 选择 创建角色

  4. 选择用例中,选择物联网 SiteWise

  5. 选择您的使用案例中,选择 IoT SiteWise Monitor - Portal

  6. 选择下一步: 权限

  7. 选择下一步: 标签

  8. 选择下一步:审核

  9. 角色名称中,输入新服务角色名称。

  10. 选择 创建角色

更改门户的服务角色(控制台)

使用以下步骤为门户选择不同的 SiteWise 监控服务角色。

更改门户的服务角色

  1. 导航到 Amazon IoT SiteWise 控制台

  2. 在导航窗格中,选择 门户

  3. 选择要更改其服务角色的门户。

  4. 门户详细信息下,选择编辑

  5. 权限下,选择使用现有角色

  6. 选择要附加到此门户的现有角色。

  7. 选择保存

管理 SiteWise 监控服务角色 (CLI)

您可以将 Amazon CLI 用于以下门户服务角色管理任务:

查找门户的服务角色 (CLI)

要查找附加到 SiteWise 监控器门户的服务角色,请运行以下命令列出当前区域中的所有门户。

aws iotsitewise list-portals

此操作将按照以下格式返回包含门户摘要的响应。

{
  "portalSummaries": [
    {
      "id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "name": "WindFarmPortal",
      "description": "A portal that contains wind farm projects for Example Corp.",
      "roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
      "startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
      "creationDate": "2020-02-04T23:01:52.90248068Z",
      "lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
    }
  ]
}

如果您知道门户的 ID,也可以使用该DescribePortal操作来查找门户的角色。

创建 SiteWise 监控服务角色 (CLI)

使用以下步骤创建新的 SiteWise 监控服务角色。

创建 SiteWise 监控服务角色

  1. 使用允许 Monito SiteWise r 担任该角色的信任策略创建角色。此示例根据存储在 JSON 字符串中的信任策略创建名为 MySiteWiseMonitorPortalRole 的角色。

    Linux, macOS, or Unix
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitor.iotsitewise.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}'
    Windows command prompt
    aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"

  2. 从输出中的角色元数据复制角色 ARN。创建门户时,您可以使用此 ARN 将角色与门户关联。有关创建门户的更多信息,请参阅 Amazon IoT SiteWise API 参考CreatePortal中的。

  3. AWSIoTSiteWiseMonitorPortalAccess 策略附加到角色,或附加定义等效权限的策略。

    aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
将服务角色附加到现有门户

  1. 要检索门户的现有详细信息,请运行以下命令。将 portal-id 替换为该门户的 ID。

    aws iotsitewise describe-portal --portal-id portal-id

    该操作返回一个响应,其中包含如下格式的门户详细信息。

    {
    "portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
    "portalName": "WindFarmPortal",
    "portalDescription": "A portal that contains wind farm projects for Example Corp.",
    "portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
    "portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
    "portalContactEmail": "support@example.com",
    "portalStatus": {
        "state": "ACTIVE"
    },
    "portalCreationDate": "2020-04-29T23:01:52.90248068Z",
    "portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
    "roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}

  2. 要将服务角色附加到门户,请运行以下命令。将 role-arn 替换为服务角色 ARN,将其余参数替换为门户的现有值。

    aws iotsitewise update-portal \
  --portal-id portal-id \
  --role-arn role-arn \
  --portal-name portal-name \
  --portal-description portal-description \
  --portal-contact-email portal-contact-email

SiteWise 监视更新 AWSIoTSiteWiseMonitorServiceRole

您可以查看有关 for M SiteWise onit AWSIoTSiteWiseMonitorServiceRoleor 更新的详细信息,从该服务开始跟踪更改时开始。要获得有关此页面变更的自动提醒,请订阅 “ Amazon IoT SiteWise 文档历史记录” 页面上的 RSS feed。

更改 描述 日期

AWSIoTSiteWiseMonitorPortalAccess - 更新的策略

Amazon IoT SiteWise 更新了警报功能的AWSIoTSiteWiseMonitorPortalAccess托管策略。

 2021 年 5 月 27 日

Amazon IoT SiteWise 开始跟踪更改

Amazon IoT SiteWise 开始跟踪其服务角色的变化。

 2020 年 12 月 15 日