Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès pour AWS IoT SiteWise
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser AWS IoT SiteWise les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Audience dédiée à AWS IoT SiteWise la sécurité](security_iam_audience.md)
+ [Authentifiez-vous avec des identités dans AWS IoT SiteWise](security_iam_authentication.md)
+ [Comment AWS IoT SiteWise fonctionne avec IAM](security_iam_service-with-iam.md)
+ [AWS politiques gérées pour AWS IoT SiteWise](security-iam-awsmanpol.md)
+ [Utilisez des rôles liés à un service pour AWS IoT SiteWise](using-service-linked-roles.md)
+ [Configurer les autorisations pour les alarmes liées aux événements dans AWS IoT SiteWise](alarms-iam-permissions.md)
+ [Prévention interservices confuse des adjoints dans AWS IoT SiteWise](cross-service-confused-deputy-prevention.md)
+ [Résoudre les problèmes d' AWS IoT SiteWise identité et d'accès](security_iam_troubleshoot.md)
# Audience dédiée à AWS IoT SiteWise la sécurité
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résoudre les problèmes d' AWS IoT SiteWise identité et d'accès](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment AWS IoT SiteWise fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [AWS IoT SiteWise exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md))
# Authentifiez-vous avec des identités dans AWS IoT SiteWise
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
## Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
## Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
## Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Comment AWS IoT SiteWise fonctionne avec IAM
Avant d'utiliser Gestion des identités et des accès AWS (IAM) pour gérer l'accès à AWS IoT SiteWise, vous devez connaître les fonctionnalités IAM disponibles. AWS IoT SiteWise
| Fonctionnalité IAM | Soutenu par AWS IoT SiteWise ? |
| --- | --- |
| [Stratégies basées sur l'identité avec autorisations au niveau des ressources](security_iam_service-with-iam-id-based-policies.md) | Oui |
| [Actions de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| Politiques basées sur les ressources | Non |
| Listes de contrôle d'accès (ACLs) | Non |
| [Autorisation basée sur des balises (ABAC)](security_iam_service-with-iam-tags.md) | Oui |
| [Informations d’identification temporaires](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Sessions d'accès transféré (FAS)](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles liés à un service](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Oui |
| [Rôles de service](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont AWS IoT SiteWise les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur d'*IAM*.
**Contents**
+ [AWS IoT SiteWise Rôles IAM](security_iam_service-with-iam-roles.md)
+ [Utilisez des informations d'identification temporaires avec AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)
+ [Sessions d'accès direct (FAS) pour AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)
+ [Rôles liés à un service](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)
+ [Rôles du service](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service)
+ [Choisissez un rôle IAM dans AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-choose)
+ [Autorisation basée sur les AWS IoT SiteWise tags](security_iam_service-with-iam-tags.md)
+ [AWS IoT SiteWise politiques basées sur l'identité](security_iam_service-with-iam-id-based-policies.md)
+ [Actions de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)
+ [BatchPutAssetPropertyValue autorisation](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action)
+ [Ressources de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)
+ [Clés de condition de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemples](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-examples)
+ [AWS IoT SiteWise exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
+ [Bonnes pratiques en matière de politiques](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)
+ [Utiliser la AWS IoT SiteWise console](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permettre aux utilisateurs d'ingérer des données dans des actifs d'une seule hiérarchie](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Afficher les AWS IoT SiteWise ressources en fonction des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)
+ [Gérez l'accès à l'aide de politiques dans AWS IoT SiteWise](security_iam_access-manage.md)
+ [Politiques basées sur l’identité](security_iam_access-manage.md#security_iam_access-manage-id-based-policies)
+ [Politiques basées sur les ressources](security_iam_access-manage.md#security_iam_access-manage-resource-based-policies)
+ [Listes de contrôle d'accès (ACLs)](security_iam_access-manage.md#security_iam_access-manage-acl)
+ [Autres types de politique](security_iam_access-manage.md#security_iam_access-manage-other-policies)
+ [Plusieurs types de politique](security_iam_access-manage.md#security_iam_access-manage-multiple-policies)
# AWS IoT SiteWise Rôles IAM
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité au sein de votre compte AWS qui dispose d’autorisations spécifiques.
## Utilisez des informations d'identification temporaires avec AWS IoT SiteWise
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS IoT SiteWise prend en charge l'utilisation d'informations d'identification temporaires.
SiteWise Monitor aide les utilisateurs fédérés à accéder aux portails. Les utilisateurs du portail s'authentifient à l'aide de leurs informations d'identification IAM Identity Center ou IAM.
**Important**
Les utilisateurs ou les rôles doivent être `iotsitewise:DescribePortal` autorisés à se connecter au portail.
Lorsqu'un utilisateur se connecte à un portail, SiteWise Monitor génère une politique de session qui fournit les autorisations suivantes :
+ Accès en lecture seule aux actifs et aux données des actifs de AWS IoT SiteWise votre compte auxquels le rôle de ce portail permet d'accéder.
+ Accès aux projets de ce portail auxquels l'utilisateur dispose d'un accès administrateur (propriétaire du projet) ou en lecture seule (visualiseur de projet).
Pour de plus amples informations sur les autorisations utilisateur du portail fédéré, veuillez consulter [Utiliser les rôles de service pour AWS IoT SiteWise Monitor](monitor-service-role.md).
## Sessions d'accès direct (FAS) pour AWS IoT SiteWise
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles liés à un service
[Les rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) permettent aux AWS services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre AWS compte et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
AWS IoT SiteWise prend en charge les rôles liés aux services. Pour plus d'informations sur la création ou la gestion des rôles liés à un service AWS IoT SiteWise , consultez [Utilisez des rôles liés à un service pour AWS IoT SiteWise](using-service-linked-roles.md).
## Rôles du service
Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre AWS compte et sont détenus par le compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
AWS IoT SiteWise utilise un rôle de service pour permettre aux utilisateurs du portail SiteWise Monitor d'accéder à certaines de vos AWS IoT SiteWise ressources en votre nom. Pour de plus amples informations, veuillez consulter [Utiliser les rôles de service pour AWS IoT SiteWise Monitor](monitor-service-role.md).
Vous devez disposer des autorisations requises pour pouvoir créer des modèles AWS IoT Events d'alarme dans AWS IoT SiteWise. Pour de plus amples informations, veuillez consulter [Configurer les autorisations pour les alarmes liées aux événements dans AWS IoT SiteWise](alarms-iam-permissions.md).
## Choisissez un rôle IAM dans AWS IoT SiteWise
Lorsque vous créez une `portal` ressource dans AWS IoT SiteWise, vous devez choisir un rôle pour permettre aux utilisateurs fédérés de votre portail SiteWise Monitor d'y accéder en votre AWS IoT SiteWise nom. Si vous avez déjà créé un rôle de service, il vous AWS IoT SiteWise fournit une liste de rôles parmi lesquels choisir. Sinon, vous pouvez créer un rôle avec les autorisations requises lorsque vous créez un portail. Il est important de choisir un rôle qui permet d'accéder à vos actifs et à leurs données. Pour de plus amples informations, veuillez consulter [Utiliser les rôles de service pour AWS IoT SiteWise Monitor](monitor-service-role.md).
# Autorisation basée sur les AWS IoT SiteWise tags
Vous pouvez associer des balises aux AWS IoT SiteWise ressources ou transmettre des balises dans une demande à AWS IoT SiteWise. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d’informations sur le balisage des ressources AWS IoT SiteWise , consultez [Marquez vos AWS IoT SiteWise ressources](tag-resources.md).
Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez [Afficher les AWS IoT SiteWise ressources en fonction des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags).
# AWS IoT SiteWise politiques basées sur l'identité
Les politiques IAM vous permettent de contrôler qui peut faire quoi. AWS IoT SiteWise Vous pouvez décider quelles actions sont autorisées ou non et définir des conditions spécifiques pour ces actions. Par exemple, vous pouvez définir des règles concernant les personnes autorisées à consulter ou à modifier des informations dans AWS IoT SiteWise. AWS IoT SiteWise prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l'utilisateur IAM*.
## Actions de politique
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de politique en AWS IoT SiteWise cours utilisent le préfixe suivant avant l'action :`iotsitewise:`. Par exemple, pour autoriser une personne à télécharger les données relatives AWS IoT SiteWise aux propriétés des actifs dans le cadre de l'opération d'`BatchPutAssetPropertyValue`API, vous devez inclure l'`iotsitewise:BatchPutAssetPropertyValue`action dans sa politique. Les déclarations de politique doivent inclure un `NotAction` élément `Action` ou. AWS IoT SiteWise définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule instruction, séparez-les par des virgules, comme suit :
```
"Action": [
"iotsitewise:action1",
"iotsitewise:action2"
]
```
Vous pouvez aussi préciser plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante.
```
"Action": "iotsitewise:Describe*"
```
Pour consulter la liste des AWS IoT SiteWise actions, reportez-vous à la section [Actions définies par AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
### BatchPutAssetPropertyValue autorisation
AWS IoT SiteWise autorise l'accès à l'[BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html)action de manière inhabituelle. Pour la plupart des actions, lorsque vous autorisez ou refusez l'accès, cette action renvoie une erreur si les autorisations ne sont pas accordées. Avec`BatchPutAssetPropertyValue`, vous pouvez envoyer plusieurs entrées de données à différents actifs et propriétés d'actifs dans une seule demande d'API. AWS IoT SiteWise autorise chaque saisie de données de manière indépendante. Pour toute entrée individuelle dont l'autorisation échoue dans la demande, AWS IoT SiteWise inclut une erreur `AccessDeniedException` dans la liste d'erreurs renvoyée. AWS IoT SiteWise reçoit les données pour toute entrée autorisée et réussie, même si une autre entrée dans la même demande échoue.
**Important**
Avant d'ingérer des données dans un flux de données, procédez comme suit :
Autorisez la `time-series` ressource si vous utilisez un alias de propriété pour identifier le flux de données.
Autorisez la `asset` ressource si vous utilisez un ID d'actif pour identifier l'actif qui contient la propriété d'actif associée.
## Ressources de politique
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Chaque déclaration de politique IAM s'applique aux ressources que vous spécifiez à l'aide de leur. ARNs Un ARN a la syntaxe générale suivante :
```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```
Pour plus d'informations sur le format de ARNs, consultez [Identifier les AWS ressources avec Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Par exemple, pour spécifier l'actif avec l'ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` dans votre instruction, utilisez l'ARN suivant :
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```
Pour spécifier tous les flux de données appartenant à un compte spécifique, utilisez le caractère générique (\$1) :
```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```
Pour spécifier tous les actifs appartenant à un compte spécifique, utilisez le caractère générique (\$1) :
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```
Certaines AWS IoT SiteWise actions, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": [
"resource1",
"resource2"
]
```
Pour consulter la liste des types de AWS IoT SiteWise ressources et leurs caractéristiques ARNs, consultez la section [Types de ressources définis par AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies) dans le *guide de l'utilisateur IAM*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Clés de condition de politique
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
**Important**
Plusieurs clés de condition sont propres à une ressource et certaines actions d’API utilisent plusieurs ressources. Si vous écrivez une déclaration de stratégie avec une clé de condition, utilisez l'élément `Resource` de la déclaration pour spécifier la ressource à laquelle la clé de condition s'applique. Dans le cas contraire, la stratégie peut empêcher totalement les utilisateurs d'exécuter l'action, car le contrôle de la condition échoue pour les ressources auxquelles la clé de condition ne s'applique pas. Si vous ne voulez pas spécifier de ressource ou si vous avez écrit l'élément `Action` de votre stratégie pour inclure plusieurs actions d'API, vous devez utiliser le type de condition `...IfExists` pour garantir que la clé de condition est ignorée pour les ressources qui ne l'utilisent pas. Pour plus d'informations, voir[... IfExists conditions énoncées](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists) dans le *guide de l'utilisateur IAM*.
AWS IoT SiteWise définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
**AWS IoT SiteWise clés de condition**
| Clé de condition | Description | Types |
| --- | --- | --- |
| iotsitewise:isAssociatedWithAssetProperty | Si les flux de données sont associés à une propriété d'actif. Utilisez cette clé de condition pour définir les autorisations en fonction de l'existence d'une propriété d'actif associée pour les flux de données. Exemple de valeur : `true` | String |
| iotsitewise:assetHierarchyPath | Le chemin hiérarchique de la ressource, qui est une chaîne d'actifs séparés IDs chacun par une barre oblique. Utilisez cette clé de condition pour définir des autorisations en fonction d'un sous-ensemble de votre hiérarchie de tous les actifs de votre compte. Exemple de valeur : `/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:propertyId | ID d'une propriété d'actif. Utilisez cette clé de condition pour définir des autorisations basées sur une propriété spécifiée d'un modèle de ressource. Cette clé de condition s'applique à tous les actifs de ce modèle. Exemple de valeur : `a1b2c3d4-5678-90ab-cdef-33333EXAMPLE` | String |
| iotsitewise:childAssetId | ID d'une ressource associée en tant qu'enfant à une autre ressource. Utilisez cette clé de condition pour définir les autorisations en fonction des ressources enfants. Pour définir des autorisations en fonction des ressources parent, utilisez la section ressource d'une instruction de stratégie. Exemple de valeur : `a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:iam | L'ARN d'une identité IAM lors de la liste des politiques d'accès. Utilisez cette clé de condition pour définir les autorisations de politique d'accès pour une identité IAM. Exemple de valeur : `arn:aws:iam::123456789012:user/JohnDoe` | Chaîne, null |
| iotsitewise:propertyAlias | Alias qui identifie une propriété d'actif ou un flux de données. Utilisez cette clé de condition pour définir les autorisations en fonction de l'alias. | String |
| iotsitewise:user | ID d'un utilisateur du IAM Identity Center lors de la liste des politiques d'accès. Utilisez cette clé de condition pour définir les autorisations de politique d'accès pour un utilisateur d'IAM Identity Center. Exemple de valeur : `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE` | Chaîne, null |
| iotsitewise:group | ID d'un groupe IAM Identity Center lors de la liste des politiques d'accès. Utilisez cette clé de condition pour définir les autorisations de politique d'accès pour un groupe IAM Identity Center. Exemple de valeur : `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE` | Chaîne, null |
| iotsitewise:portal | ID d'un portail dans une stratégie d'accès. Utilisez cette clé de condition pour définir les autorisations de stratégie d'accès basées sur un portail. Exemple de valeur : `a1b2c3d4-5678-90ab-cdef-77777EXAMPLE` | Chaîne, null |
| iotsitewise:project | ID d'un projet dans une stratégie d'accès ou ID d'un projet pour un tableau de bord. Utilisez cette clé de condition pour définir des autorisations de stratégie d'accès ou de tableau de bord en fonction d'un projet. Exemple de valeur : `a1b2c3d4-5678-90ab-cdef-88888EXAMPLE` | Chaîne, null |
Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la section [Actions définies par AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Exemples
Pour consulter des exemples de politiques AWS IoT SiteWise basées sur l'identité, consultez. [AWS IoT SiteWise exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
# AWS IoT SiteWise exemples de politiques basées sur l'identité
Par défaut, les entités (utilisateurs et rôles) ne sont pas autorisées à créer ou à modifier AWS IoT SiteWise des ressources. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI) ou de AWS l'API. Pour ajuster les autorisations, un administrateur Gestion des identités et des accès AWS (IAM) doit effectuer les opérations suivantes :
1. Créez des politiques IAM qui accordent aux utilisateurs et aux rôles l'autorisation d'effectuer des opérations d'API spécifiques sur les ressources dont ils ont besoin.
1. Associez ces politiques aux utilisateurs ou aux groupes qui ont besoin de ces autorisations.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l’onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utiliser la AWS IoT SiteWise console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permettre aux utilisateurs d'ingérer des données dans des actifs d'une seule hiérarchie](#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Afficher les AWS IoT SiteWise ressources en fonction des balises](#security_iam_id-based-policy-examples-view-asset-tags)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer AWS IoT SiteWise des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utiliser la AWS IoT SiteWise console
Pour accéder à la AWS IoT SiteWise console, vous avez besoin d'un ensemble d'autorisations de base. Ces autorisations vous permettent de consulter et de gérer les informations relatives AWS IoT SiteWise aux ressources de votre AWS compte.
Si vous définissez une politique trop restrictive, la console risque de ne pas fonctionner comme prévu pour les utilisateurs ou les rôles (entités) concernés par cette politique. Pour garantir que ces entités peuvent toujours utiliser la AWS IoT SiteWise console, associez-leur la politique [AWSIoTSiteWiseConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/policies/arn:aws:iam::aws:policy/AWSIoTSiteWiseConsoleFullAccess)gérée ou définissez des autorisations équivalentes pour ces entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Si les entités utilisent uniquement la AWS Command Line Interface (CLI) ou l' AWS IoT SiteWise API, et non la console, elles n'ont pas besoin de ces autorisations minimales. Dans ce cas, donnez-leur simplement accès aux actions spécifiques dont ils ont besoin pour leurs tâches d'API.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Permettre aux utilisateurs d'ingérer des données dans des actifs d'une seule hiérarchie
Dans cet exemple, vous souhaitez autoriser un utilisateur de votre AWS compte à écrire des données sur toutes les propriétés des actifs dans une hiérarchie d'actifs spécifique, en commençant par l'actif racine`a1b2c3d4-5678-90ab-cdef-22222EXAMPLE`. La stratégie accorde l'autorisation `iotsitewise:BatchPutAssetPropertyValue` à l'utilisateur. Cette stratégie utilise la clé de condition `iotsitewise:assetHierarchyPath` pour restreindre l'accès aux ressources dont le chemin hiérarchique correspond à l'actif ou à ses descendants.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutAssetPropertyValuesForHierarchy",
"Effect": "Allow",
"Action": "iotsitewise:BatchPutAssetPropertyValue",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringLike": {
"iotsitewise:assetHierarchyPath": [
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
]
}
}
}
]
}
```
------
## Afficher les AWS IoT SiteWise ressources en fonction des balises
Utilisez les conditions de votre politique basée sur l'identité pour contrôler l'accès aux AWS IoT SiteWise ressources en fonction des balises. Cet exemple montre comment créer une politique permettant de visualiser les actifs. Toutefois, l'autorisation est accordée uniquement si la balise de ressource `Owner` a pour valeur le nom d'utilisateur de cet utilisateur. Cette politique accorde également l'autorisation d'effectuer cette action sur la console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAllAssets",
"Effect": "Allow",
"Action": [
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets"
],
"Resource": "*"
},
{
"Sid": "DescribeAssetIfOwner",
"Effect": "Allow",
"Action": "iotsitewise:DescribeAsset",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Associez cette politique aux utilisateurs de votre compte. Si un utilisateur nommé `richard-roe` tente de consulter une AWS IoT SiteWise ressource, celle-ci doit être étiquetée `Owner=richard-roe` ou`owner=richard-roe`. Dans le cas contraire, Richard se voit refuser l'accès. Les noms des clés des balises de condition ne distinguent pas les majuscules et minuscules. Donc, `Owner` correspond aux deux `Owner` et`owner`. Pour plus d'informations, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
# Gérez l'accès à l'aide de politiques dans AWS IoT SiteWise
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
## Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
## Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
## Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
## Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
## Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# AWS politiques gérées pour AWS IoT SiteWise
Simplifiez l'ajout d'autorisations aux utilisateurs, aux groupes et aux rôles à l'aide de politiques AWS gérées plutôt que de rédiger vous-même des politiques. Il faut du temps et de l'expertise pour [créer des politiques IAM gérées par les clients](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui fournissent des autorisations précises à votre équipe. Pour une configuration plus rapide, pensez à utiliser nos politiques AWS gérées pour les cas d'utilisation courants. Trouvez les politiques AWS gérées dans votre AWS compte. Pour plus d’informations sur les politiques gérées par AWS , consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
AWS les services se chargent de mettre à jour et de maintenir les politiques AWS gérées, ce qui signifie que vous ne pouvez pas modifier les autorisations de ces politiques. Occasionnellement, des autorisations AWS IoT SiteWise peuvent être ajoutées pour s'adapter aux nouvelles fonctionnalités, ce qui a un impact sur toutes les identités associées à la politique. Ces mises à jour sont courantes lors de l'introduction de nouveaux services ou fonctionnalités. Cependant, les autorisations ne sont jamais supprimées, ce qui garantit que vos configurations restent intactes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique **ReadOnlyAccess** AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste avec des descriptions des politiques relatives aux fonctions de travail, voir les [politiques AWS gérées pour les fonctions de travail](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *guide de l'utilisateur d'IAM*.
## AWS politique gérée : AWSIo TSite WiseReadOnlyAccess
Utilisez la politique `AWSIoTSiteWiseReadOnlyAccess` AWS gérée pour autoriser l'accès en lecture seule à. AWS IoT SiteWise
Vous pouvez associer la politique `AWSIoTSiteWiseReadOnlyAccess` à vos identités IAM.
**Autorisations au niveau du service**
Cette politique fournit un accès en lecture seule à AWS IoT SiteWise, y compris des autorisations pour exécuter des requêtes SQL en lecture seule. Cette politique n'inclut aucune autre autorisation de service.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:DescribeAction",
"iotsitewise:DescribeAsset",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:DescribeAssetModelInterfaceRelationship",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:DescribeBulkImportJob",
"iotsitewise:DescribeComputationModel",
"iotsitewise:DescribeComputationModelExecutionSummary",
"iotsitewise:DescribeDashboard",
"iotsitewise:DescribeDataset",
"iotsitewise:DescribeDefaultEncryptionConfiguration",
"iotsitewise:DescribeExecution",
"iotsitewise:DescribeGateway",
"iotsitewise:DescribeGatewayCapabilityConfiguration",
"iotsitewise:DescribeLoggingOptions",
"iotsitewise:DescribePortal",
"iotsitewise:DescribeProject",
"iotsitewise:DescribeStorageConfiguration",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:ListAccessPolicies",
"iotsitewise:ListActions",
"iotsitewise:ListAssetModelCompositeModels",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ListAssetModels",
"iotsitewise:ListAssetProperties",
"iotsitewise:ListAssetRelationships",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListBulkImportJobs",
"iotsitewise:ListCompositionRelationships",
"iotsitewise:ListComputationModelDataBindingUsages",
"iotsitewise:ListComputationModelResolveToResources",
"iotsitewise:ListComputationModels",
"iotsitewise:ListDashboards",
"iotsitewise:ListDatasets",
"iotsitewise:ListExecutions",
"iotsitewise:ListGateways",
"iotsitewise:ListInterfaceRelationships",
"iotsitewise:ListPortals",
"iotsitewise:ListProjectAssets",
"iotsitewise:ListProjects",
"iotsitewise:ListTagsForResource",
"iotsitewise:ListTimeSeries"
],
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AWSService RoleForIo TSite Wise
Le `AWSServiceRoleForIoTSiteWise` rôle utilise la `AWSServiceRoleForIoTSiteWise` politique avec les autorisations suivantes. Cette politique :
+ Permet AWS IoT SiteWise de déployer des passerelles SiteWise Edge (qui s'exécutent sur`AWS IoT Greengrass`).
+ Permet d' AWS IoT SiteWise effectuer une journalisation.
+ Permet AWS IoT SiteWise d'exécuter une requête de recherche de métadonnées sur la AWS IoT TwinMaker base de données.
Si vous utilisez AWS IoT SiteWise un compte utilisateur unique, le `AWSServiceRoleForIoTSiteWise` rôle crée la `AWSServiceRoleForIoTSiteWise` politique dans votre compte IAM et l'associe aux rôles `AWSServiceRoleForIoTSiteWise` [liés au service](using-service-linked-roles.md) pour. AWS IoT SiteWise
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
## AWS IoT SiteWise mises à jour des politiques AWS gérées
Vous pouvez consulter les informations relatives aux mises à jour des politiques AWS gérées pour AWS IoT SiteWise, à partir de la date à laquelle ce service a commencé à suivre les modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS IoT SiteWise document.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSServiceRoleForIoTSiteWise](#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise) — Mise à jour d'une politique existante | AWS IoT SiteWise peut désormais exécuter une requête de recherche de métadonnées sur la AWS IoT TwinMaker base de données. | 6 novembre 2023 |
| [AWSIoTSiteWiseReadOnlyAccess](#security-iam-awsmanpol-AWSIoTSiteWiseReadOnlyAccess) : mise à jour d’une politique existante | AWS IoT SiteWise a ajouté un nouveau préfixe de politique`BatchGet*`, qui vous permet d'effectuer des opérations de lecture par lots. | 16 septembre 2022 |
| [AWSIoTSiteWiseReadOnlyAccess](#security-iam-awsmanpol-AWSIoTSiteWiseReadOnlyAccess) : nouvelle politique | AWS IoT SiteWise a ajouté une nouvelle politique pour accorder un accès en lecture seule à. AWS IoT SiteWise | 24 novembre 2021 |
| AWS IoT SiteWise a commencé à suivre les modifications | AWS IoT SiteWise a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 24 novembre 2021 |
# Utilisez des rôles liés à un service pour AWS IoT SiteWise
AWS IoT SiteWise utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié AWS IoT SiteWise. Les rôles liés à un service sont prédéfinis par AWS IoT SiteWise et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Les rôles liés aux services simplifient la configuration de AWS IoT SiteWise en incluant automatiquement toutes les autorisations nécessaires. AWS IoT SiteWise définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS IoT SiteWise peut assumer ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. Et cette politique d'autorisation ne peut être attachée à aucune autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS IoT SiteWise ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôle lié au **service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
**Topics**
+ [Autorisations de rôles liés à un service](service-linked-role-permissions.md)
+ [Créer un rôle lié à un service](create-service-linked-role.md)
+ [Mise à jour d’un rôle lié à un service](edit-service-linked-role.md)
+ [Supprimer un rôle lié à un service](delete-service-linked-role.md)
+ [Régions prises en charge](#slr-regions)
+ [Utiliser les rôles de service pour SiteWise Monitor](monitor-service-role.md)
# Autorisations de rôle liées au service pour AWS IoT SiteWise
AWS IoT SiteWise **utilise le rôle lié au service nommé AWSService RoleForIo TSite Wise.** AWS IoT SiteWise utilise ce rôle lié à un service pour déployer des passerelles SiteWise Edge (qui s'exécutent AWS IoT Greengrass) et effectuer la journalisation.
Le rôle `AWSServiceRoleForIoTSiteWise` lié au service utilise la `AWSServiceRoleForIoTSiteWise` politique avec les autorisations suivantes. Cette politique :
+ Permet AWS IoT SiteWise de déployer des passerelles SiteWise Edge (qui s'exécutent sur`AWS IoT Greengrass`).
+ Permet d' AWS IoT SiteWise effectuer une journalisation.
+ Permet AWS IoT SiteWise d'exécuter une requête de recherche de métadonnées sur la AWS IoT TwinMaker base de données.
Pour plus d'informations sur les actions autorisées dans`AWSServiceRoleForIoTSiteWise`, consultez [les politiques AWS gérées pour AWS IoT SiteWise](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
Vous pouvez utiliser les journaux pour surveiller et dépanner vos passerelles SiteWise Edge. Pour de plus amples informations, veuillez consulter [Surveiller les journaux de la passerelle SiteWise Edge](monitor-gateway-logs.md).
Pour autoriser une entité IAM (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service, configurez d'abord les autorisations. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
# Créez un rôle lié à un service pour AWS IoT SiteWise
AWS IoT SiteWise nécessite un rôle lié au service pour effectuer certaines actions et accéder aux ressources en votre nom. Un rôle lié à un service est un type unique de rôle AWS Identity and Access Management (IAM) directement lié à. AWS IoT SiteWise En créant ce rôle, vous accordez AWS IoT SiteWise les autorisations nécessaires pour accéder à d'autres AWS services et ressources nécessaires à son fonctionnement, tels qu'Amazon S3 pour le stockage de données ou AWS IoT pour la communication entre appareils.
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous effectuez les opérations suivantes dans la AWS IoT SiteWise console, AWS IoT SiteWise crée le rôle lié au service pour vous.
+ Créez une passerelle Greengrass V1.
+ Configurez l'option de journalisation.
+ Choisir le bouton d'inscription dans le bandeau d'exécution de la requête.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous effectuez une opération dans la AWS IoT SiteWise console, AWS IoT SiteWise crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console ou l'API IAM pour créer un rôle lié à un service pour. AWS IoT SiteWise
+ Pour ce faire, dans la console IAM, créez un rôle avec la politique **AWSServiceRoleForIoTSiteWise** et une relation de confiance avec`iotsitewise.amazonaws.com`.
+ Pour ce faire, utilisez l'API AWS CLI ou IAM, créez un rôle avec la `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise` politique et une relation de confiance avec`iotsitewise.amazonaws.com`.
Pour plus d'informations, consultez la section [Créer un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role) dans le guide de l'utilisateur *IAM*.
Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
# Mettre à jour un rôle lié à un service pour AWS IoT SiteWise
AWS IoT SiteWise ne vous permet pas de modifier le rôle lié au service AWSService RoleForIo TSite Wise. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir [Mettre à jour un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) dans le Guide de l'utilisateur *IAM*.
# Supprimer un rôle lié à un service pour AWS IoT SiteWise
Si une fonctionnalité ou un service nécessitant un rôle lié à un service n'est plus utilisé, il est conseillé de supprimer le rôle associé. Cela permet d'éviter d'avoir une entité inactive qui n'est ni surveillée ni maintenue. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le AWS IoT SiteWise service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, attendez quelques minutes et réessayez.
**Pour supprimer les AWS IoT SiteWise ressources utilisées par les AWSService RoleForIo TSite Wise**
1. Désactivez la journalisation pour AWS IoT SiteWise. Pour de plus amples informations, consultez [Modifier votre niveau de journalisation](monitor-cloudwatch-logs.md#change-logging-level).
1. Supprimez toutes les passerelles SiteWise Edge actives.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au service AWSService RoleForIo TSite Wise. Pour plus d'informations, consultez la section [Supprimer des rôles ou des profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Régions prises en charge pour les rôles AWS IoT SiteWise liés à un service
AWS IoT SiteWise prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Points de terminaison et quotas AWS IoT SiteWise](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html).
# Utiliser les rôles de service pour AWS IoT SiteWise Monitor
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
Pour permettre aux utilisateurs du portail SiteWise Monitor fédéré d'accéder à vos AWS IAM Identity Center ressources AWS IoT SiteWiseet à vos ressources, vous devez attribuer un rôle de service à chaque portail que vous créez. Le rôle de service doit spécifier SiteWise Monitor en tant qu'entité de confiance et inclure la politique [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gérée ou définir [des autorisations équivalentes](#monitor-service-role-permissions). Cette politique est gérée par AWS et définit l'ensemble d'autorisations que SiteWise Monitor utilise pour accéder à vos ressources AWS IoT SiteWise et à celles d'IAM Identity Center.
Lorsque vous créez un portail SiteWise Monitor, vous devez choisir un rôle qui permet aux utilisateurs de ce portail d'accéder à vos ressources AWS IoT SiteWiseet à celles d'IAM Identity Center. La AWS IoT SiteWise console peut créer et configurer le rôle pour vous. Vous pourrez modifier le rôle dans IAM ultérieurement. Les utilisateurs de votre portail rencontreront des problèmes lors de l'utilisation de leurs portails SiteWise Monitor si vous supprimez les autorisations requises pour le rôle ou si vous supprimez le rôle.
**Note**
Les portails créés avant le 29 avril 2020 ne nécessitaient pas de rôles de service. Si vous avez créé des portails avant cette date, vous devez joindre des rôles de service pour continuer à les utiliser. Pour ce faire, accédez à la page **Portails** de la [AWS IoT SiteWise console](https://console.aws.amazon.com/iotsitewise/), puis choisissez **Migrer tous les portails pour utiliser les rôles IAM**.
Les sections suivantes décrivent comment créer et gérer le rôle de service SiteWise Monitor dans le AWS Management Console ou le AWS Command Line Interface.
**Contents**
+ [Autorisations de rôle de service pour SiteWise Monitor (Classic)](#monitor-service-role-permissions)
+ [Autorisations de rôle de service pour SiteWise Monitor (compatible avec l'IA)](#monitor-ai-service-role-permissions)
+ [Gérer le rôle de service SiteWise Monitor (console)](#manage-portal-role-console)
+ [Rechercher le rôle de service d'un portail (console)](#find-portal-role-console)
+ [Création d'un rôle de service de SiteWise surveillance (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Création d'un rôle de service de SiteWise surveillance (console IAM)](#create-portal-role-iam-console)
+ [Modifier le rôle de service d'un portail (console)](#change-portal-role-console)
+ [Gérer le rôle de service SiteWise Monitor (CLI)](#manage-portal-role-cli)
+ [Trouver le rôle de service d'un portail (CLI)](#find-portal-role-cli)
+ [Création du rôle de service SiteWise Monitor (CLI)](#create-portal-role-cli)
+ [SiteWise Surveillez les mises à jour de AWSIo TSite WiseMonitorServiceRole](#monitor-role-permission-updates)
## Autorisations de rôle de service pour SiteWise Monitor (Classic)
Lorsque vous créez un portail, vous AWS IoT SiteWise permet de créer un rôle dont le nom commence par **AWSIoTSiteWiseMonitorServiceRole**. Ce rôle permet aux utilisateurs fédérés de SiteWise Monitor d'accéder à la configuration de votre portail, aux actifs, aux données des actifs, ainsi qu'à la configuration d'IAM Identity Center.
Le rôle approuve le fait que le service suivant endosse le rôle :
+ `monitor.iotsitewise.amazonaws.com`
Le rôle utilise la politique d'autorisation suivante, qui commence par **AWSIoTSiteWiseMonitorServicePortalPolicy**, pour permettre aux utilisateurs de SiteWise Monitor d'effectuer des actions sur les ressources de votre compte. La stratégie [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) gérée définit des autorisations équivalentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur les autorisations requises pour les alarmes, consultez[Configurer les autorisations pour les alarmes liées aux événements dans AWS IoT SiteWise](alarms-iam-permissions.md).
Lorsqu'un utilisateur du portail se connecte, SiteWise Monitor crée une [politique de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) basée sur l'intersection entre le rôle de service et les politiques d'accès de cet utilisateur. Les stratégies d'accès définissent le niveau d'accès des identités à vos portails et projets. Pour plus d'informations sur les autorisations du portail et les politiques d'accès, consultez [Administrez vos portails SiteWise Monitor](administer-portals.md) et [CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html).
## Autorisations de rôle de service pour SiteWise Monitor (compatible avec l'IA)
Lorsque vous créez un portail, vous AWS IoT SiteWise permet de créer un rôle dont le nom commence par **Io TSite WisePortalRole**. Ce rôle permet aux utilisateurs fédérés de SiteWise Monitor d'accéder à la configuration de votre portail, aux actifs, aux données des actifs, ainsi qu'à la configuration d'IAM Identity Center.
**Avertissement**
Les rôles de **propriétaire** de **projet et de visionneur** de projet ne sont pas pris en charge pour SiteWise Monitor (compatible avec l'IA).
Le rôle approuve le fait que le service suivant endosse le rôle :
+ `monitor.iotsitewise.amazonaws.com`
Le rôle utilise la politique d'autorisation suivante, qui commence par **Io TSite Wise AIPortal AccessPolicy**, pour permettre aux utilisateurs de SiteWise Monitor d'effectuer des actions sur les ressources de votre compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
Lorsqu'un utilisateur du portail se connecte, SiteWise Monitor crée une [politique de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) basée sur l'intersection entre le rôle de service et les politiques d'accès de cet utilisateur.
## Gérer le rôle de service SiteWise Monitor (console)
Console AWS IoT SiteWise Facilite la gestion du rôle de service SiteWise Monitor pour les portails. Lors de la création d'un portail, la console vérifie les rôles existants susceptibles d'être rattachés. Si aucun n'est disponible, la console peut créer et configurer un rôle de service pour vous. Pour de plus amples informations, veuillez consulter [Création d'un portail dans SiteWise Monitor](monitor-create-portal.md).
**Topics**
+ [Rechercher le rôle de service d'un portail (console)](#find-portal-role-console)
+ [Création d'un rôle de service de SiteWise surveillance (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Création d'un rôle de service de SiteWise surveillance (console IAM)](#create-portal-role-iam-console)
+ [Modifier le rôle de service d'un portail (console)](#change-portal-role-console)
### Rechercher le rôle de service d'un portail (console)
Suivez les étapes ci-dessous pour trouver le rôle de service associé à un portail SiteWise Monitor.
**Pour rechercher le rôle de service d'un portail**
1. Accédez à la [console AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. Dans le volet de navigation de gauche, choisissez **Portals (Portails)**.
1. Choisissez le portail pour lequel vous souhaitez rechercher le rôle de service.
Le rôle associé au portail apparaît sous **Autorisations**, **rôle de service**.
### Création d'un rôle de service de SiteWise surveillance (AWS IoT SiteWise console)
Lorsque vous créez un portail SiteWise Monitor, vous pouvez créer un rôle de service pour votre portail. Pour de plus amples informations, veuillez consulter [Création d'un portail dans SiteWise Monitor](monitor-create-portal.md).
Vous pouvez également créer un rôle de service pour un portail existant dans la AWS IoT SiteWise console. Cela remplace le rôle de service existant du portail.
**Pour créer un rôle de service pour un portail existant**
1. Accédez à la [console AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. Dans le panneau de navigation, choisissez **Portails**.
1. Choisissez le portail pour lequel vous souhaitez créer un rôle de service.
1. Sous **Détails du portail**, choisissez **Modifier**.
1. Sous **Autorisations**, choisissez **Créer et utiliser un nouveau rôle de service** dans la liste.
1. Saisissez un nom pour votre nouveau rôle.
1. Choisissez **Enregistrer**.
### Création d'un rôle de service de SiteWise surveillance (console IAM)
Vous pouvez créer un rôle de service à partir du modèle de rôle de service de la console IAM. Ce modèle de rôle inclut la politique [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gérée et spécifie SiteWise Monitor comme une entité de confiance.
**Pour créer un rôle de service à partir du modèle de rôle de service du portail**
1. Accédez à la [Console IAM](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Sélectionnez **Create role** (Créer un rôle).
1. Dans **Choisir un cas d'utilisation**, sélectionnez **IoT SiteWise**.
1. Dans **Sélectionnez votre cas d'utilisation**, choisissez **IoT SiteWise Monitor - Portal**.
1. Choisissez **Suivant : Autorisations**.
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Entrez un **nom de rôle** pour le nouveau rôle de service.
1. Choisissez **Créer un rôle**.
### Modifier le rôle de service d'un portail (console)
Utilisez la procédure suivante pour choisir un autre rôle de service de SiteWise surveillance pour un portail.
**Pour modifier le rôle de service d'un portail**
1. Accédez à la [console AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. Dans le panneau de navigation, choisissez **Portails**.
1. Choisissez le portail pour lequel vous souhaitez modifier le rôle de service.
1. Sous **Détails du portail**, choisissez **Modifier**.
1. Sous **Autorisations**, choisissez **Utiliser un rôle existant**.
1. Choisissez un rôle existant à attacher à ce portail.
1. Choisissez **Enregistrer**.
## Gérer le rôle de service SiteWise Monitor (CLI)
Vous pouvez utiliser le AWS CLI pour les tâches de gestion des rôles de service de portail suivantes :
**Topics**
+ [Trouver le rôle de service d'un portail (CLI)](#find-portal-role-cli)
+ [Création du rôle de service SiteWise Monitor (CLI)](#create-portal-role-cli)
### Trouver le rôle de service d'un portail (CLI)
Pour trouver le rôle de service associé à un portail de SiteWise surveillance, exécutez la commande suivante pour répertorier tous vos portails dans la région actuelle.
```
aws iotsitewise list-portals
```
L'opération renvoie une réponse qui contient les résumés de vos portails au format suivant.
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
Vous pouvez également utiliser cette [DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html)opération pour trouver le rôle de votre portail si vous connaissez l'ID de votre portail.
### Création du rôle de service SiteWise Monitor (CLI)
Suivez les étapes ci-dessous pour créer un nouveau rôle de service de SiteWise surveillance.
**Pour créer un rôle SiteWise de service de surveillance**
1. Créez un rôle avec une politique de confiance qui permet à SiteWise Monitor d'assumer ce rôle. Cet exemple crée un rôle nommé **MySiteWiseMonitorPortalRole** à partir d'une stratégie d'approbation stockée dans une chaîne JSON.
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. Copiez l'ARN de rôle du rôle des métadonnées dans la sortie. Lorsque vous créez un portail, vous utilisez cet ARN pour associer le rôle à votre portail. Pour plus d'informations sur la création d'un portail, consultez [CreatePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html)la *référence des AWS IoT SiteWise API*.
1.
1. Pour le SiteWise moniteur (classique) : associez la `AWSIoTSiteWiseMonitorPortalAccess` politique au rôle ou associez une politique définissant des autorisations équivalentes.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. Pour le SiteWise moniteur (compatible avec l'IA) : attachez la `IoTSiteWiseAIPortalAccessPolicy` politique au rôle ou attachez une politique qui définit des autorisations équivalentes. Par exemple, créez une politique avec des autorisations d'accès au portail. L'exemple suivant crée une politique nommée`MySiteWiseMonitorPortalAccess`.
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**Pour attacher un rôle de service à un portail existant**
1. Pour récupérer les détails existants du portail, exécutez la commande suivante. Remplacez *portal-id* par l'ID du portail.
```
aws iotsitewise describe-portal --portal-id portal-id
```
L'opération renvoie une réponse qui contient les détails du portail dans le format suivant.
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. Pour attacher un rôle de service à un portail, exécutez la commande suivante. Remplacez *role-arn* par l'ARN du rôle de service et remplacez les paramètres restants par les valeurs existantes du portail.
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Surveillez les mises à jour de AWSIo TSite WiseMonitorServiceRole
Vous pouvez consulter les détails des mises à jour de **AWSIoTSiteWiseMonitorServiceRole**for SiteWise Monitor, à partir du moment où ce service a commencé à suivre les modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS IoT SiteWise document.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions)— Politique mise à jour | AWS IoT SiteWise a mis à jour la politique [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gérée pour la fonctionnalité d'alarmes. | 27 mai 2021 |
| AWS IoT SiteWise a commencé à suivre les modifications | AWS IoT SiteWise a commencé à suivre les modifications apportées à son rôle de service. | 15 décembre 2020 |
# Configurer les autorisations pour les alarmes liées aux événements dans AWS IoT SiteWise
Lorsque vous utilisez un modèle AWS IoT Events d'alarme pour surveiller la propriété AWS IoT SiteWise d'un actif, vous devez disposer des autorisations IAM suivantes :
+ Rôle de AWS IoT Events service qui permet d' AWS IoT Events envoyer des données à AWS IoT SiteWise. Pour plus d'informations, consultez la section [Gestion des identités et des accès AWS IoT Events](https://docs.aws.amazon.com/iotevents/latest/developerguide/security-iam.html) dans le *Guide du AWS IoT Events développeur*.
+ Vous devez disposer des autorisations AWS IoT SiteWise d'action suivantes : `iotsitewise:DescribeAssetModel` et`iotsitewise:UpdateAssetModelPropertyRouting`. Ces autorisations permettent d' AWS IoT SiteWise envoyer les valeurs des propriétés des actifs aux modèles AWS IoT Events d'alarme.
Pour plus d'informations, consultez la section [Politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) dans le guide de l'utilisateur *IAM*.
## Autorisations d'action requises
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**. L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique.
Avant de définir un modèle AWS IoT Events d'alarme, vous devez accorder les autorisations suivantes qui permettent d' AWS IoT SiteWise envoyer les valeurs des propriétés des actifs au modèle d'alarme.
+ `iotsitewise:DescribeAssetModel`, `iotsitewise:ListAssetModels` — Permet AWS IoT Events de vérifier si une propriété d'actif existe.
+ `iotsitewise:UpdateAssetModelPropertyRouting`— Permet AWS IoT SiteWise de créer automatiquement des abonnements permettant AWS IoT SiteWise d'envoyer des données à AWS IoT Events.
Pour plus d'informations sur les actions AWS IoT SiteWise prises en charge, consultez la section [Actions définies par AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) dans la *référence d'autorisation de service*.
**Example Exemple de politique d’autorisations 1**
La politique suivante permet d' AWS IoT SiteWise envoyer les valeurs des propriétés des actifs à n'importe quel modèle AWS IoT Events d'alarme.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:UpdateAlarmModel"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModelPropertyRouting"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
}
]
}
```
**Example Exemple de politique d’autorisations 2**
La politique suivante permet d' AWS IoT SiteWise envoyer les valeurs d'une propriété d'actif spécifiée à un modèle AWS IoT Events d'alarme spécifié.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:UpdateAlarmModel"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:UpdateAssetModelPropertyRouting"
],
"Resource": [
"arn:aws:iotsitewise:us-east-1:123456789012:asset-model/12345678-90ab-cdef-1234-567890abcdef"
],
"Condition": {
"StringLike": {
"iotsitewise:propertyId": "abcdef12-3456-7890-abcd-ef1234567890",
"aws:ResourceTag/AlarmModel": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/MyAlarmModel"
}
}
}
]
}
```
## ListInputRoutings Autorisation (facultative)
Lorsque vous mettez à jour ou supprimez un modèle d'actif, vous AWS IoT SiteWise pouvez vérifier si un modèle d'alarme AWS IoT Events surveille une propriété d'actif associée à ce modèle d'actif. Cela vous empêche de supprimer une propriété de ressource actuellement AWS IoT Events utilisée par une alarme. Pour activer cette fonctionnalité dans AWS IoT SiteWise, vous devez avoir l'`iotevents:ListInputRoutings`autorisation. Cette autorisation permet AWS IoT SiteWise d'appeler l'opération d'[ListInputRoutings](https://docs.aws.amazon.com/iotevents/latest/apireference/API_ListInputRoutings.html)API prise en charge par AWS IoT Events.
**Note**
Nous vous recommandons vivement d'ajouter cette `ListInputRoutings` autorisation.
**Example Exemple de politique d’autorisations**
La politique suivante vous permet de mettre à jour et de supprimer des modèles d'actifs, ainsi que d'utiliser l'`ListInputRoutings`API dans AWS IoT SiteWise.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:UpdateAssetModel",
"iotsitewise:DeleteAssetModel",
"iotevents:ListInputRoutings"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
}
]
}
```
------
## Autorisations requises pour SiteWise Monitor
Si vous souhaitez utiliser la fonctionnalité d'alarmes dans les portails de SiteWise surveillance, vous devez mettre à jour le [rôle de service de SiteWise surveillance](monitor-service-role.md) avec la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
# Prévention interservices confuse des adjoints dans AWS IoT SiteWise
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé pour utiliser ses autorisations afin d'agir sur les ressources d'un autre client de sorte qu'il n'y aurait pas accès autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS IoT SiteWise accordent un autre service à la ressource. Si la valeur `aws:SourceArn` ne contient pas l'ID de compte, tel que l'Amazon Resource Name (ARN) d'un compartiment Amazon S3, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations. Si vous utilisez les deux clés de contexte de condition globale et que la valeur `aws:SourceArn` contient l'ID de compte, la valeur `aws:SourceAccount` et le compte dans la valeur `aws:SourceArn` doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique.
+ Utilisez `aws:SourceArn` si vous souhaitez qu'une seule ressource soit associée à l'accès entre services.
+ Utilisez `aws:SourceAccount` si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices.
La valeur de `aws:SourceArn` doit être la ressource AWS IoT SiteWise client associée à la `sts:AssumeRole` demande.
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l'ARN. Par exemple, `arn:aws:servicename:*:123456789012:*`.
**Example — Prévention adjointe confuse**
L'exemple suivant montre comment utiliser les touches de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et globale AWS IoT SiteWise pour éviter le problème de confusion des adjoints.
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:iotsitewise:*:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
# Résoudre les problèmes d' AWS IoT SiteWise identité et d'accès
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS IoT SiteWise et Gestion des identités et des accès AWS (IAM).
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans AWS IoT SiteWise](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes AWS IoT SiteWise ressources](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans AWS IoT SiteWise
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni votre nom d’utilisateur et votre mot de passe.
L'exemple d'erreur suivant se produit lorsque l'utilisateur `mateojackson` IAM essaie d'utiliser la console pour afficher les détails d'un actif mais ne dispose pas des `iotsitewise:DescribeAsset` autorisations nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: iotsitewise:DescribeAsset on resource: a1b2c3d4-5678-90ab-cdef-22222EXAMPLE
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses stratégies pour lui permettre d'accéder à la ressource d'actif avec l'ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` à l'aide de l'action `iotsitewise:DescribeAsset`.
## Je ne suis pas autorisé à effectuer `iam:PassRole`
Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter `iam:PassRole` l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à AWS IoT SiteWise.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` essaie d’utiliser la console pour exécuter une action dans AWS IoT SiteWise. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes AWS IoT SiteWise ressources
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si ces fonctionnalités sont prises AWS IoT SiteWise en charge, consultez[Comment AWS IoT SiteWise fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.