Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden Sie dienstbezogene Rollen für AWS IoT SiteWise
AWS IoT SiteWise verwendet [dienstverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) Rollen AWS Identity and Access Management (IAM). Eine dienstgebundene Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist AWS IoT SiteWise. Mit Diensten verknüpfte Rollen sind vordefiniert AWS IoT SiteWise und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Servicebezogene Rollen vereinfachen die Konfiguration von, AWS IoT SiteWise indem sie automatisch alle erforderlichen Berechtigungen einbeziehen. AWS IoT SiteWise definiert die Berechtigungen seiner dienstbezogenen Rollen und AWS IoT SiteWise kann, sofern nicht anders definiert, nur seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Und diese Berechtigungsrichtlinie kann keiner anderen IAM-Entität zugeordnet werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS IoT SiteWise Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rolle nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Topics**
+ [Berechtigungen von serviceverknüpften Rollen](service-linked-role-permissions.md)
+ [Erstellen einer serviceverknüpften Rolle](create-service-linked-role.md)
+ [Serviceverknüpfte Rolle aktualisieren](edit-service-linked-role.md)
+ [Löschen Sie eine serviceverknüpfte Rolle](delete-service-linked-role.md)
+ [Unterstützte -Regionen](#slr-regions)
+ [Verwenden Sie Servicerollen für SiteWise Monitor](monitor-service-role.md)
# Berechtigungen für serviceverknüpfte Rollen AWS IoT SiteWise
AWS IoT SiteWise verwendet die serviceverknüpfte Rolle namens **AWSServiceRoleForIoTSiteWise**. AWS IoT SiteWise verwendet diese dienstgebundene Rolle, um SiteWise Edge-Gateways (die auf laufen AWS IoT Greengrass) bereitzustellen und die Protokollierung durchzuführen.
Die `AWSServiceRoleForIoTSiteWise` dienstverknüpfte Rolle verwendet die `AWSServiceRoleForIoTSiteWise` Richtlinie mit den folgenden Berechtigungen. Diese Richtlinie:
+ Ermöglicht AWS IoT SiteWise die Bereitstellung von SiteWise Edge-Gateways (die auf ausgeführt werden`AWS IoT Greengrass`).
+ Ermöglicht die Durchführung AWS IoT SiteWise der Protokollierung.
+ Ermöglicht AWS IoT SiteWise die Ausführung einer Metadaten-Suchabfrage in der AWS IoT TwinMaker Datenbank.
Weitere Informationen zu den zulässigen Aktionen in finden Sie `AWSServiceRoleForIoTSiteWise` unter [AWS Verwaltete Richtlinien für AWS IoT SiteWise](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
Sie können die Protokolle verwenden, um Ihre SiteWise Edge-Gateways zu überwachen und Fehler zu beheben. Weitere Informationen finden Sie unter [SiteWise Edge-Gateway-Protokolle überwachen](monitor-gateway-logs.md).
Damit eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann, müssen Sie zunächst die Berechtigungen konfigurieren. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
# Erstellen Sie eine dienstbezogene Rolle für AWS IoT SiteWise
AWS IoT SiteWise erfordert eine dienstbezogene Rolle, um in Ihrem Namen bestimmte Aktionen auszuführen und auf Ressourcen zuzugreifen. Eine dienstverknüpfte Rolle ist eine einzigartige Art von AWS Identity and Access Management (IAM) -Rolle, mit der direkt verknüpft ist. AWS IoT SiteWise Durch die Erstellung dieser Rolle gewähren Sie AWS IoT SiteWise die erforderlichen Berechtigungen für den Zugriff auf andere AWS Dienste und Ressourcen, die für ihren Betrieb erforderlich sind, z. B. Amazon S3 für die Datenspeicherung oder AWS IoT für die Gerätekommunikation.
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die folgenden Operationen in der AWS IoT SiteWise Konsole ausführen, AWS IoT SiteWise wird die dienstbezogene Rolle für Sie erstellt.
+ Erstellen Sie ein Greengrass V1-Gateway.
+ Konfigurieren Sie die Protokollierungsoption.
+ Wählen Sie die Opt-in-Schaltfläche im Banner „Abfrage ausführen“.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Vorgang in der AWS IoT SiteWise Konsole ausführen, AWS IoT SiteWise wird die mit dem Dienst verknüpfte Rolle erneut für Sie erstellt.
Sie können auch die IAM-Konsole oder API verwenden, um eine serviceverknüpfte Rolle für zu erstellen. AWS IoT SiteWise
+ Erstellen Sie dazu in der IAM-Konsole eine Rolle mit der **AWSServiceRoleForIoTSiteWise-Richtlinie** und eine Vertrauensbeziehung mit. `iotsitewise.amazonaws.com`
+ Erstellen Sie dazu mithilfe der AWS CLI oder der IAM-API eine Rolle mit der `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise` Richtlinie und eine Vertrauensbeziehung mit. `iotsitewise.amazonaws.com`
Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role).
Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
# Aktualisieren Sie eine serviceverknüpfte Rolle für AWS IoT SiteWise
AWS IoT SiteWise erlaubt es Ihnen nicht, die mit dem AWSService RoleForIo TSite Wise-Dienst verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Aktualisieren einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) im *IAM-Benutzerhandbuch*.
# Löschen Sie eine dienstverknüpfte Rolle für AWS IoT SiteWise
Wenn eine Funktion oder ein Dienst, für den eine serviceverknüpfte Rolle erforderlich ist, nicht mehr verwendet wird, empfiehlt es sich, die zugehörige Rolle zu löschen. Auf diese Weise soll vermieden werden, dass eine inaktive Entität nicht überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der AWS IoT SiteWise Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AWS IoT SiteWise Ressourcen zu löschen, die von AWSService RoleForIo TSite Wise verwendet werden**
1. Deaktivieren Sie die Protokollierung für AWS IoT SiteWise. Weitere Informationen finden Sie unter [Ändern Sie Ihre Protokollierungsstufe](monitor-cloudwatch-logs.md#change-logging-level).
1. Löschen Sie alle aktiven SiteWise Edge-Gateways.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die mit dem AWSService RoleForIo TSite Wise-Dienst verknüpfte Rolle zu löschen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Rollen oder Instanzprofile löschen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role).
## Unterstützte Regionen für AWS IoT SiteWise serviceverknüpfte Rollen
AWS IoT SiteWise unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS IoT SiteWise -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html).
# Verwenden Sie Servicerollen für AWS IoT SiteWise Monitor
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
Um Benutzern des SiteWise Verbundmonitor-Portals den Zugriff auf Ihre AWS IAM Identity Center Ressourcen AWS IoT SiteWiseund Ihre Ressourcen zu ermöglichen, müssen Sie jedem Portal, das Sie erstellen, eine Servicerolle zuordnen. In der Servicerolle muss SiteWise Monitor als vertrauenswürdige Entität angegeben und die [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)verwaltete Richtlinie enthalten oder [entsprechende Berechtigungen](#monitor-service-role-permissions) definiert werden. Diese Richtlinie wird von den Berechtigungen verwaltet AWS und definiert die Berechtigungen, die SiteWise Monitor für den Zugriff auf Ihre AWS IoT SiteWise und IAM Identity Center-Ressourcen verwendet.
Wenn Sie ein SiteWise Monitor-Portal erstellen, müssen Sie eine Rolle auswählen, die Benutzern dieses Portals den Zugriff auf Ihre Ressourcen AWS IoT SiteWiseund die Ressourcen von IAM Identity Center ermöglicht. Die AWS IoT SiteWise Konsole kann die Rolle für Sie erstellen und konfigurieren. Sie können die Rolle später in IAM bearbeiten. Ihre Portalbenutzer werden Probleme bei der Verwendung ihrer SiteWise Monitor-Portale haben, wenn Sie die erforderlichen Berechtigungen aus der Rolle entfernen oder die Rolle löschen.
**Anmerkung**
Portale, die vor dem 29. April 2020 erstellt wurden, haben keine Servicerollen benötigt. Wenn Sie vor diesem Datum Portale erstellt haben, müssen Sie diesen Servicerollen anfügen, um sie weiter verwenden zu können. Navigieren Sie dazu in der [AWS IoT SiteWise Konsole](https://console.aws.amazon.com/iotsitewise/) zur Seite **Portale** und wählen Sie dann **Alle Portale migrieren, um IAM-Rollen zu verwenden**.
In den folgenden Abschnitten wird beschrieben, wie Sie die SiteWise Monitor-Servicerolle in der AWS-Managementkonsole oder der AWS Command Line Interface erstellen und verwalten.
**Contents**
+ [Berechtigungen für Servicerollen für SiteWise Monitor (Classic)](#monitor-service-role-permissions)
+ [Berechtigungen für Servicerollen für SiteWise Monitor (KI-fähig)](#monitor-ai-service-role-permissions)
+ [Die SiteWise Monitor-Servicerolle verwalten (Konsole)](#manage-portal-role-console)
+ [Finden Sie die Servicerolle (Konsole) eines Portals](#find-portal-role-console)
+ [Erstellen Sie eine SiteWise Monitor-Dienstrolle (AWS IoT SiteWise Konsole)](#create-portal-role-sitewise-console)
+ [Erstellen Sie eine SiteWise Monitor-Servicerolle (IAM-Konsole)](#create-portal-role-iam-console)
+ [Ändern Sie die Servicerolle eines Portals (Konsole)](#change-portal-role-console)
+ [Die SiteWise Monitor-Servicerolle (CLI) verwalten](#manage-portal-role-cli)
+ [Finden Sie die Servicerolle (CLI) eines Portals](#find-portal-role-cli)
+ [Erstellen Sie die SiteWise Monitor-Servicerolle (CLI)](#create-portal-role-cli)
+ [SiteWise Überwachen Sie Aktualisierungen für AWSIo TSite WiseMonitorServiceRole](#monitor-role-permission-updates)
## Berechtigungen für Servicerollen für SiteWise Monitor (Classic)
Wenn Sie ein Portal erstellen, AWS IoT SiteWise können Sie damit eine Rolle erstellen, deren Name mit beginnt **AWSIoTSiteWiseMonitorServiceRole**. Diese Rolle ermöglicht Benutzern von Federated SiteWise Monitor den Zugriff auf Ihre Portalkonfiguration, Ihre Assets, Asset-Daten sowie die IAM Identity Center-Konfiguration .
Die Rolle vertraut darauf, dass der folgende Service diese Rolle annimmt:
+ `monitor.iotsitewise.amazonaws.com`
Die Rolle verwendet die folgende Berechtigungsrichtlinie, die mit beginnt **AWSIoTSiteWiseMonitorServicePortalPolicy**, damit SiteWise Monitor-Benutzer Aktionen an Ressourcen in Ihrem Konto ausführen können. Die von [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) verwaltete Richtlinie definiert gleichwertige Berechtigungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen zu den erforderlichen Berechtigungen für Alarme finden Sie unter[Richten Sie Berechtigungen für Ereignisalarme ein in AWS IoT SiteWise](alarms-iam-permissions.md).
Wenn sich ein Portalbenutzer anmeldet, erstellt SiteWise Monitor eine [Sitzungsrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session), die auf der Schnittmenge zwischen der Servicerolle und den Zugriffsrichtlinien dieses Benutzers basiert. Zugriffsrichtlinien definieren die Zugriffsstufe von -Identitäten auf Ihre Portale und Projekte. Weitere Informationen zu Portalberechtigungen und Zugriffsrichtlinien finden Sie unter [Verwalten Sie Ihre SiteWise Monitor-Portale](administer-portals.md) und [CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html).
## Berechtigungen für Servicerollen für SiteWise Monitor (KI-fähig)
Wenn Sie ein Portal erstellen, AWS IoT SiteWise können Sie damit eine Rolle erstellen, deren Name mit **Io TSite WisePortalRole** beginnt. Diese Rolle ermöglicht Benutzern von Federated SiteWise Monitor den Zugriff auf Ihre Portalkonfiguration, Ihre Assets, Asset-Daten sowie die IAM Identity Center-Konfiguration .
**Warnung**
Die Rollen **„Projekteigentümer**“ und „**Projektbetrachter**“ werden für SiteWise Monitor (KI-fähig) nicht unterstützt.
Die Rolle vertraut darauf, dass der folgende Service diese Rolle annimmt:
+ `monitor.iotsitewise.amazonaws.com`
Die Rolle verwendet die folgende Berechtigungsrichtlinie, die mit **Io TSite Wise** beginnt AIPortalAccessPolicy, damit SiteWise Monitor-Benutzer Aktionen an Ressourcen in Ihrem Konto ausführen können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
Wenn sich ein Portalbenutzer anmeldet, erstellt SiteWise Monitor eine [Sitzungsrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session), die auf der Schnittmenge zwischen der Servicerolle und den Zugriffsrichtlinien dieses Benutzers basiert.
## Die SiteWise Monitor-Servicerolle verwalten (Konsole)
Das AWS-IoT-SiteWise-Konsole erleichtert die Verwaltung der SiteWise Monitor-Dienstrolle für Portale. Beim Erstellen eines Portals sucht die Konsole nach vorhandenen Rollen, die für eine Zuordnung geeignet sind. Wenn keine verfügbar sind, kann die Konsole eine Servicerolle für Sie erstellen und konfigurieren. Weitere Informationen finden Sie unter [Erstellen Sie ein Portal in SiteWise Monitor](monitor-create-portal.md).
**Topics**
+ [Finden Sie die Servicerolle (Konsole) eines Portals](#find-portal-role-console)
+ [Erstellen Sie eine SiteWise Monitor-Dienstrolle (AWS IoT SiteWise Konsole)](#create-portal-role-sitewise-console)
+ [Erstellen Sie eine SiteWise Monitor-Servicerolle (IAM-Konsole)](#create-portal-role-iam-console)
+ [Ändern Sie die Servicerolle eines Portals (Konsole)](#change-portal-role-console)
### Finden Sie die Servicerolle (Konsole) eines Portals
Gehen Sie wie folgt vor, um die einem SiteWise Monitor-Portal zugeordnete Servicerolle zu finden.
**So finden Sie die Servicerolle eines Portals**
1. Navigieren Sie zur [AWS IoT SiteWise -Konsole](https://console.aws.amazon.com/iotsitewise/).
1. Wählen Sie im linken Navigationsbereich die Option **Portale** aus.
1. Wählen Sie das Portal aus, dessen Servicerolle Sie finden möchten.
Die dem Portal angefügte Rolle wird unter **Permissions (Berechtigungen)**, **Service role (Servicerolle)** angezeigt.
### Erstellen Sie eine SiteWise Monitor-Dienstrolle (AWS IoT SiteWise Konsole)
Wenn Sie ein SiteWise Monitor-Portal erstellen, können Sie eine Servicerolle für Ihr Portal erstellen. Weitere Informationen finden Sie unter [Erstellen Sie ein Portal in SiteWise Monitor](monitor-create-portal.md).
Sie können auch eine Servicerolle für ein vorhandenes Portal in der AWS IoT SiteWise Konsole erstellen. Dies ersetzt die bestehende Servicerolle des Portals.
**So erstellen Sie eine Servicerolle für ein vorhandenes Portal**
1. Navigieren Sie zur [AWS IoT SiteWise -Konsole](https://console.aws.amazon.com/iotsitewise/).
1. Wählen Sie im linken Navigationsbereich die Option **Portale** aus.
1. Wählen Sie das Portal aus, für das Sie eine neue Servicerolle erstellen möchten.
1. Wählen Sie unter **Portal details (Portaldetails)** die Option **Edit (Bearbeiten)**.
1. Wählen Sie unter **Permissions (Berechtigungen)** die Option **Create and use a new service role (Eine neue Servicerolle erstellen und verwenden)** aus der Liste aus.
1. Geben Sie einen Namen für die neue Rolle ein.
1. Wählen Sie **Speichern**.
### Erstellen Sie eine SiteWise Monitor-Servicerolle (IAM-Konsole)
Sie können eine Servicerolle anhand der Servicerollenvorlage in der IAM-Konsole erstellen. Diese Rollenvorlage enthält die [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)verwaltete Richtlinie und gibt SiteWise Monitor als vertrauenswürdige Entität an.
**Um eine Servicerolle aus der Servicerollenvorlage des Portals zu erstellen**
1. Navigieren Sie zur [IAM-Konsole](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Create role** (Rolle erstellen) aus.
1. **Wählen Sie unter Wählen Sie einen Anwendungsfall** die Option **IoT** aus SiteWise.
1. **Wählen Sie unter Wählen Sie Ihren Anwendungsfall** aus die Option **IoT SiteWise Monitor - Portal**.
1. Wählen Sie **Next: Permissions** aus.
1. Wählen Sie **Next: Tags (Weiter: Tags)** aus.
1. Klicken Sie auf **Weiter: Prüfen**.
1. Geben Sie einen **Rollennamen** für die neue Servicerolle ein.
1. Wählen Sie **Rolle erstellen** aus.
### Ändern Sie die Servicerolle eines Portals (Konsole)
Gehen Sie wie folgt vor, um eine andere SiteWise Monitor-Servicerolle für ein Portal auszuwählen.
**So ändern Sie die Servicerolle eines Portals**
1. Navigieren Sie zur [AWS IoT SiteWise -Konsole](https://console.aws.amazon.com/iotsitewise/).
1. Wählen Sie im linken Navigationsbereich die Option **Portale** aus.
1. Wählen Sie das Portal aus, dessen Servicerolle Sie ändern möchten.
1. Wählen Sie unter **Portal details (Portaldetails)** die Option **Edit (Bearbeiten)**.
1. Wählen Sie unter **Permissions (Berechtigungen)** die Option **Use an existing role (Vorhandene Rolle verwenden)** aus.
1. Wählen Sie eine vorhandene Rolle aus, die diesem Portal angefügt werden soll.
1. Wählen Sie **Speichern**.
## Die SiteWise Monitor-Servicerolle (CLI) verwalten
Sie können den AWS CLI für die folgenden Aufgaben zur Verwaltung der Portaldienstrollen verwenden:
**Topics**
+ [Finden Sie die Servicerolle (CLI) eines Portals](#find-portal-role-cli)
+ [Erstellen Sie die SiteWise Monitor-Servicerolle (CLI)](#create-portal-role-cli)
### Finden Sie die Servicerolle (CLI) eines Portals
Um die einem SiteWise Monitor-Portal zugeordnete Servicerolle zu finden, führen Sie den folgenden Befehl aus, um alle Ihre Portale in der aktuellen Region aufzulisten.
```
aws iotsitewise list-portals
```
Die Operation gibt eine Antwort mit einer Portalzusammenfassung im folgenden Format zurück.
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
Sie können den [DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html)Vorgang auch verwenden, um die Rolle Ihres Portals zu ermitteln, wenn Sie die ID Ihres Portals kennen.
### Erstellen Sie die SiteWise Monitor-Servicerolle (CLI)
Gehen Sie wie folgt vor, um eine neue SiteWise Monitor-Dienstrolle zu erstellen.
**So erstellen Sie eine SiteWise Monitor-Dienstrolle**
1. Erstellen Sie eine Rolle mit einer Vertrauensrichtlinie, die es SiteWise Monitor ermöglicht, die Rolle zu übernehmen. In diesem Beispiel wird eine Rolle Mit dem Namen **MySiteWiseMonitorPortalRole** aus einer Vertrauensrichtlinie erstellt, die in einer JSON-Zeichenfolge gespeichert ist.
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Wenn Sie ein Portal erstellen, verwenden Sie diesen ARN, um die Rolle Ihrem Portal zuzuordnen. Weitere Informationen zum Erstellen eines Portals finden Sie [CreatePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html)in der *AWS IoT SiteWise API-Referenz*.
1.
1. Für den SiteWise Monitor (Classic) — Hängen Sie die `AWSIoTSiteWiseMonitorPortalAccess` Richtlinie an die Rolle an, oder fügen Sie eine Richtlinie hinzu, die entsprechende Berechtigungen definiert.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. Für den SiteWise Monitor (KI-fähig) — Hängen Sie die `IoTSiteWiseAIPortalAccessPolicy` Richtlinie an die Rolle an oder fügen Sie eine Richtlinie hinzu, die entsprechende Berechtigungen definiert. Erstellen Sie beispielsweise eine Richtlinie mit Portalzugriffsberechtigungen. Im folgenden Beispiel wird eine Richtlinie mit dem Namen erstellt`MySiteWiseMonitorPortalAccess`.
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**So fügen Sie einem vorhandenen Portal eine Servicerolle an**
1. Führen Sie den folgenden Befehl aus, um die vorhandenen Details des Portals abzurufen. *portal-id*Ersetzen Sie durch die ID des Portals.
```
aws iotsitewise describe-portal --portal-id portal-id
```
Die Operation gibt eine Antwort zurück, die die Details des Portals im folgenden Format enthält.
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. Führen Sie den folgenden Befehl aus, um einem Portal eine Servicerolle anzufügen. *role-arn*Ersetzen Sie durch die Servicerolle ARN und ersetzen Sie die verbleibenden Parameter durch die vorhandenen Werte des Portals.
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Überwachen Sie Aktualisierungen für AWSIo TSite WiseMonitorServiceRole
Sie können sich Details zu Updates **AWSIoTSiteWiseMonitorServiceRole**für SiteWise Monitor anzeigen lassen, und zwar ab dem Zeitpunkt, zu dem dieser Dienst mit der Nachverfolgung der Änderungen begann. Abonnieren Sie den RSS-Feed auf der Seite AWS IoT SiteWise Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions) – Richtlinie aktualisieren | AWS IoT SiteWise [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)hat die verwaltete Richtlinie für die Alarmfunktion aktualisiert. | 27. Mai 2021 |
| AWS IoT SiteWise hat begonnen, Änderungen zu verfolgen | AWS IoT SiteWise hat begonnen, Änderungen für seine Servicerolle zu verfolgen. | 15. Dezember 2020 |