Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Utilice funciones vinculadas al servicio para AWS IoT SiteWise
AWS IoT SiteWise utiliza funciones AWS Identity and Access Management vinculadas al [servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente AWS IoT SiteWise. Los roles vinculados al servicio están predefinidos AWS IoT SiteWise e incluyen todos los permisos que el servicio requiere para llamar a otros servicios en su nombre. AWS
Los roles vinculados al servicio simplifican la configuración al incluir automáticamente todos los permisos necesarios AWS IoT SiteWise . AWS IoT SiteWise define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS IoT SiteWise puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Y dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS IoT SiteWise recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Función vinculada a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Permisos de roles vinculados a servicios](service-linked-role-permissions.md)
+ [Creación de un rol vinculado al servicio](create-service-linked-role.md)
+ [Actualizar un rol vinculado a servicios](edit-service-linked-role.md)
+ [Eliminar un rol vinculado a un servicio](delete-service-linked-role.md)
+ [Regiones admitidas](#slr-regions)
+ [Utilice funciones de servicio para SiteWise Monitor](monitor-service-role.md)
# Permisos de rol vinculados al servicio para AWS IoT SiteWise
AWS IoT SiteWise **utiliza el rol vinculado al servicio denominado AWSService RoleForIo TSite Wise.** AWS IoT SiteWise utiliza esta función vinculada a un servicio para implementar las puertas de enlace SiteWise Edge (que se ejecutan en ellas) y realizar el AWS IoT Greengrass registro.
El rol vinculado a servicios de `AWSServiceRoleForIoTSiteWise` usa la política de `AWSServiceRoleForIoTSiteWise` con los siguientes permisos. Esta política:
+ Permite AWS IoT SiteWise implementar puertas de enlace SiteWise Edge (que se ejecutan en ellas). `AWS IoT Greengrass`
+ Permite AWS IoT SiteWise realizar el registro.
+ Permite AWS IoT SiteWise ejecutar una consulta de búsqueda de metadatos en la AWS IoT TwinMaker base de datos.
Para obtener más información sobre las acciones permitidas en `AWSServiceRoleForIoTSiteWise`, consulte [Políticas administradas por AWS para AWS IoT SiteWise](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
Puede usar los registros para monitorear y solucionar problemas de sus puertas de enlace SiteWise Edge. Para obtener más información, consulte [Supervise los registros de SiteWise Edge Gateway](monitor-gateway-logs.md).
Para permitir que una entidad de IAM (como un usuario, grupo o rol) cree, edite o elimine un rol vinculado al servicio, primero configure los permisos. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
# Cree un rol vinculado a un servicio para AWS IoT SiteWise
AWS IoT SiteWise requiere una función vinculada al servicio para realizar determinadas acciones y acceder a los recursos en su nombre. Un rol vinculado a un servicio es un tipo único de rol de AWS Identity and Access Management (IAM) al que se vincula directamente. AWS IoT SiteWise Al crear este rol, AWS IoT SiteWise concedes los permisos necesarios para acceder a otros AWS servicios y recursos necesarios para su funcionamiento, como Amazon S3 para el almacenamiento de datos o AWS IoT para la comunicación entre dispositivos.
No necesita crear manualmente un rol vinculado a servicios. Al realizar las siguientes operaciones en la AWS IoT SiteWise consola, AWS IoT SiteWise crea automáticamente el rol vinculado al servicio.
+ Cree una puerta de enlace Greengrass V1.
+ Configure la opción de registro.
+ Selección del botón de suscripción en el banner de ejecución de consultas.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al realizar cualquier operación en la AWS IoT SiteWise consola, vuelve a AWS IoT SiteWise crear el rol vinculado al servicio para usted.
También puede utilizar la consola o la API de IAM para crear un rol de IAM vinculado al servicio para AWS IoT SiteWise.
+ Para hacerlo en la consola de IAM, crea un rol con la política de **AWSServiceRoleForIoTSiteWise** y una relación de confianza con. `iotsitewise.amazonaws.com`
+ Para hacerlo mediante la API AWS CLI o la API de IAM, cree un rol con la `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise` política y una relación de confianza con. `iotsitewise.amazonaws.com`
Para obtener más información, consulte [Creación de un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role) en la *Guía del usuario de IAM*.
Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
# Actualice un rol vinculado a un servicio para AWS IoT SiteWise
AWS IoT SiteWise no permite editar el rol vinculado al servicio de AWSService RoleForIo TSite Wise. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Actualizar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) en la *Guía del usuario de IAM*.
# Elimina un rol vinculado a un servicio para AWS IoT SiteWise
Si ya no se utiliza una característica o un servicio que requiere un rol vinculado a servicios, se recomienda eliminar el rol asociado. Esto evita tener una entidad inactiva que no se supervisa ni mantiene. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el AWS IoT SiteWise servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. Si eso sucede, espere unos minutos e inténtelo de nuevo.
**Para eliminar AWS IoT SiteWise los recursos utilizados por The AWSService RoleForIo TSite Wise**
1. Desactivar el registro de AWS IoT SiteWise. Para obtener más información, consulte [Cambio del nivel de registro](monitor-cloudwatch-logs.md#change-logging-level)
1. Elimine todas las puertas de enlace SiteWise Edge activas.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar el rol vinculado al servicio de AWSService RoleForIo TSite Wise. Para obtener más información, consulte [Eliminar roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio AWS IoT SiteWise
AWS IoT SiteWise admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS IoT SiteWise](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html).
# Utilice los roles de servicio para AWS IoT SiteWise Monitor
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
Para permitir que los usuarios federados del portal SiteWise Monitor accedan a sus AWS IAM Identity Center recursos AWS IoT SiteWisey a sus recursos, debe asignar un rol de servicio a cada portal que cree. El rol de servicio debe especificar a SiteWise Monitor como entidad de confianza e incluir la política [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)administrada o definir [permisos equivalentes](#monitor-service-role-permissions). Esta política la mantiene AWS y define el conjunto de permisos que SiteWise Monitor utiliza para acceder a sus recursos AWS IoT SiteWise y a los del IAM Identity Center.
Al crear un portal de SiteWise Monitor, debe elegir una función que permita a los usuarios de ese portal acceder a sus recursos AWS IoT SiteWisey a los del IAM Identity Center. La AWS IoT SiteWise consola puede crear y configurar el rol por usted. Puede editar el rol en IAM más adelante. Los usuarios de su portal tendrán problemas al usar sus portales de SiteWise Monitor si quita los permisos necesarios del rol o elimina el rol.
**nota**
Los portales creados antes del 29 de abril de 2020 no requerían roles de servicio. Si creó portales antes de esta fecha, deberá asociarles roles de servicio para poder seguir usándolos. Para ello, vaya a la página **Portales** de la [consola de AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/) y elija **Migrar todos los portales a fin de utilizar roles de IAM**.
En las siguientes secciones se describe cómo crear y administrar el rol del servicio de SiteWise monitoreo en el Consola de administración de AWS o el AWS Command Line Interface.
**Contents**
+ [Permisos de rol de servicio para SiteWise Monitor (Classic)](#monitor-service-role-permissions)
+ [Permisos de rol de servicio para SiteWise Monitor (compatibles con la IA)](#monitor-ai-service-role-permissions)
+ [Administre la función de servicio SiteWise Supervisar (consola)](#manage-portal-role-console)
+ [Búsqueda del rol de servicio de un portal (consola)](#find-portal-role-console)
+ [Cree un rol de servicio de SiteWise monitoreo (AWS IoT SiteWise consola)](#create-portal-role-sitewise-console)
+ [Cree un rol de servicio de SiteWise supervisión (consola de IAM)](#create-portal-role-iam-console)
+ [Cambio del rol de servicio de un portal (consola)](#change-portal-role-console)
+ [Administrar la función de servicio de SiteWise supervisión (CLI)](#manage-portal-role-cli)
+ [Búsqueda del rol de servicio de un portal (CLI)](#find-portal-role-cli)
+ [Crear el rol de servicio de SiteWise monitoreo (CLI)](#create-portal-role-cli)
+ [SiteWise Supervise las actualizaciones de AWSIo TSite WiseMonitorServiceRole](#monitor-role-permission-updates)
## Permisos de rol de servicio para SiteWise Monitor (Classic)
Al crear un portal, AWS IoT SiteWise permite crear un rol cuyo nombre comience por **AWSIoTSiteWiseMonitorServiceRole**. Esta función permite a los usuarios federados de SiteWise Monitor acceder a la configuración del portal, a los activos, a los datos de activos y a los datos de configuración del IAM Identity Center.
El rol confía en el siguiente servicio para asumir el rol:
+ `monitor.iotsitewise.amazonaws.com`
El rol usa la siguiente política de permisos, que comienza con **AWSIoTSiteWiseMonitorServicePortalPolicy**, para permitir a los usuarios de SiteWise Monitor realizar acciones en los recursos de su cuenta. La política administrada [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) define permisos equivalentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información sobre los permisos necesarios para las alarmas, consulte [Configure los permisos para las alarmas de eventos en AWS IoT SiteWise](alarms-iam-permissions.md).
Cuando un usuario del portal inicia sesión, SiteWise Monitor crea una [política de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) basada en la intersección del rol de servicio y las políticas de acceso de ese usuario. Las políticas de acceso definen el nivel de acceso de las identidades de a sus portales y proyectos. Para obtener más información sobre los permisos y las políticas de acceso al portal, consulte [Administre sus portales de SiteWise Monitor](administer-portals.md) y [CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html).
## Permisos de rol de servicio para SiteWise Monitor (compatibles con la IA)
**Al crear un portal, AWS IoT SiteWise permite crear un rol cuyo nombre comience por Io. TSite WisePortalRole** Esta función permite a los usuarios federados de SiteWise Monitor acceder a la configuración del portal, a los activos, a los datos de activos y a los datos de configuración del IAM Identity Center.
**aviso**
SiteWise Monitor (compatible con la IA) no admite los roles de **propietario** del **proyecto y visor** del proyecto.
El rol confía en el siguiente servicio para asumir el rol:
+ `monitor.iotsitewise.amazonaws.com`
El rol usa la siguiente política de permisos, que comienza con **Io TSite Wise AIPortal AccessPolicy**, para permitir a los usuarios de SiteWise Monitor realizar acciones en los recursos de tu cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
Cuando un usuario del portal inicia sesión, SiteWise Monitor crea una [política de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) basada en la intersección del rol de servicio y las políticas de acceso de ese usuario.
## Administre la función de servicio SiteWise Supervisar (consola)
Esto Consola de AWS IoT SiteWise facilita la administración de la función de servicio de SiteWise monitoreo para los portales. Al crear un portal, la consola comprueba si los roles existentes son aptos para su asociación. Si no hay ninguno disponible, la consola puede crear y configurar un rol de servicio para usted. Para obtener más información, consulte [Cree un portal en SiteWise Monitor](monitor-create-portal.md).
**Topics**
+ [Búsqueda del rol de servicio de un portal (consola)](#find-portal-role-console)
+ [Cree un rol de servicio de SiteWise monitoreo (AWS IoT SiteWise consola)](#create-portal-role-sitewise-console)
+ [Cree un rol de servicio de SiteWise supervisión (consola de IAM)](#create-portal-role-iam-console)
+ [Cambio del rol de servicio de un portal (consola)](#change-portal-role-console)
### Búsqueda del rol de servicio de un portal (consola)
Siga los siguientes pasos para buscar el rol de servicio asociado a un portal de SiteWise Monitor.
**Para buscar el rol de servicio de un portal**
1. Vaya a la [consola de AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. En el panel de navegación izquierdo, elija **Portales**.
1. Elija el portal para el que desea buscar el rol de servicio.
El rol asociado al portal aparece en **Permisos**, **Rol de servicio**.
### Cree un rol de servicio de SiteWise monitoreo (AWS IoT SiteWise consola)
Al crear un portal de SiteWise Monitor, puede crear un rol de servicio para su portal. Para obtener más información, consulte [Cree un portal en SiteWise Monitor](monitor-create-portal.md).
También puede crear un rol de servicio para un portal existente en la AWS IoT SiteWise consola. Esto sustituye el rol de servicio existente del portal.
**Para crear un rol de servicio para un portal existente**
1. Vaya a la [consola de AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. En el panel de navegación, elija **Portales**.
1. Elija el portal para el que desea crear un nuevo rol de servicio.
1. En **Detalles del portal**, elija **Editar**.
1. En **Permisos**, elija **Crear y usar un nuevo rol de servicio** de la lista.
1. Escriba un nombre para el nuevo rol.
1. Seleccione **Save**.
### Cree un rol de servicio de SiteWise supervisión (consola de IAM)
Puede crear un rol de servicio a partir de la plantilla de rol de servicio de la consola de IAM. Esta plantilla de roles incluye la política [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)administrada y especifica a SiteWise Monitor como una entidad de confianza.
**Para crear un rol de servicio a partir de la plantilla de roles de servicio del portal**
1. Vaya a la [consola de IAM](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. Elija **Create role** (Crear rol).
1. En **Elige un caso de uso**, elige **IoT SiteWise**.
1. En **Seleccionar su caso de uso**, elija **IoT SiteWise Monitor - Portal**.
1. Elija **Siguiente: Permisos**.
1. Elija **Siguiente: Etiquetas**.
1. Elija **Siguiente: Revisar**.
1. Introduzca un **Nombre de rol** para el nuevo rol de servicio.
1. Elija **Crear rol**.
### Cambio del rol de servicio de un portal (consola)
Utilice el siguiente procedimiento para elegir un rol de servicio de SiteWise supervisión diferente para un portal.
**Para cambiar el rol de servicio de un portal**
1. Vaya a la [consola de AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. En el panel de navegación, elija **Portales**.
1. Elija el portal para el que desea cambiar el rol de servicio.
1. En **Detalles del portal**, elija **Editar**.
1. En **Permisos**, elija **Usar un rol existente**.
1. Elija un rol existente para asociar a este portal.
1. Seleccione **Save**.
## Administrar la función de servicio de SiteWise supervisión (CLI)
Puede utilizarla AWS CLI para las siguientes tareas de administración de funciones de servicio del portal:
**Topics**
+ [Búsqueda del rol de servicio de un portal (CLI)](#find-portal-role-cli)
+ [Crear el rol de servicio de SiteWise monitoreo (CLI)](#create-portal-role-cli)
### Búsqueda del rol de servicio de un portal (CLI)
Para encontrar el rol de servicio asociado a un portal de SiteWise Monitor, ejecute el siguiente comando para ver una lista de todos los portales de la región actual.
```
aws iotsitewise list-portals
```
La operación devuelve una respuesta que contiene los resúmenes de su portal en el siguiente formato.
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
También puede usar la [DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html)operación para encontrar la función de su portal si conoce el ID de su portal.
### Crear el rol de servicio de SiteWise monitoreo (CLI)
Siga los siguientes pasos para crear un nuevo rol de servicio de SiteWise monitoreo.
**Para crear un rol de servicio de SiteWise monitoreo**
1. Cree un rol con una política de confianza que permita a SiteWise Monitor asumir el rol. En este ejemplo se crea un rol denominado **MySiteWiseMonitorPortalRole** a partir de una política de confianza almacenada en una cadena JSON.
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. Copie el ARN del rol de los metadatos del rol en la salida. Al crear un portal, debe utilizar este ARN para asociar el rol al portal. Para obtener más información sobre la creación de un portal, consulte [CreatePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html)la *referencia de la AWS IoT SiteWise API*.
1.
1. Para el SiteWise monitor (clásico): adjunte la `AWSIoTSiteWiseMonitorPortalAccess` política al rol o adjunte una política que defina permisos equivalentes.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. Para el SiteWise monitor (compatible con la IA): asocie la `IoTSiteWiseAIPortalAccessPolicy` política al rol o adjunte una política que defina permisos equivalentes. Por ejemplo, cree una política con permisos de acceso al portal. En el siguiente ejemplo, se crea una política denominada`MySiteWiseMonitorPortalAccess`.
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**Para asociar un rol de servicio a un portal existente**
1. Para recuperar los detalles existentes del portal, ejecute el siguiente comando. *portal-id*Sustitúyalo por el ID del portal.
```
aws iotsitewise describe-portal --portal-id portal-id
```
La operación devuelve una respuesta que contiene los detalles del portal en el siguiente formato.
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. Para asociar un rol de servicio a un portal, ejecute el siguiente comando. Sustituya *role-arn* por el ARN del rol de servicio y sustituya los parámetros restantes por los valores existentes del portal.
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Supervise las actualizaciones de AWSIo TSite WiseMonitorServiceRole
Puede ver los detalles sobre las actualizaciones de **AWSIoTSiteWiseMonitorServiceRole**for SiteWise Monitor, empezando por el momento en que este servicio comenzó a realizar el seguimiento de los cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS IoT SiteWise documento.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions): política actualizada | AWS IoT SiteWise actualizó la política [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gestionada para la función de alarmas. | 27 de mayo de 2021 |
| AWS IoT SiteWise comenzó a rastrear los cambios | AWS IoT SiteWise comenzó a rastrear los cambios de su función de servicio. | 15 de diciembre de 2020 |