Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisez des rôles liés à un service pour AWS IoT SiteWise
AWS IoT SiteWise utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié AWS IoT SiteWise. Les rôles liés à un service sont prédéfinis par AWS IoT SiteWise et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Les rôles liés aux services simplifient la configuration de AWS IoT SiteWise en incluant automatiquement toutes les autorisations nécessaires. AWS IoT SiteWise définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS IoT SiteWise peut assumer ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. Et cette politique d'autorisation ne peut être attachée à aucune autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS IoT SiteWise ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôle lié au **service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
**Topics**
+ [Autorisations de rôles liés à un service](service-linked-role-permissions.md)
+ [Créer un rôle lié à un service](create-service-linked-role.md)
+ [Mise à jour d’un rôle lié à un service](edit-service-linked-role.md)
+ [Supprimer un rôle lié à un service](delete-service-linked-role.md)
+ [Régions prises en charge](#slr-regions)
+ [Utiliser les rôles de service pour SiteWise Monitor](monitor-service-role.md)
# Autorisations de rôle liées au service pour AWS IoT SiteWise
AWS IoT SiteWise **utilise le rôle lié au service nommé AWSService RoleForIo TSite Wise.** AWS IoT SiteWise utilise ce rôle lié à un service pour déployer des passerelles SiteWise Edge (qui s'exécutent AWS IoT Greengrass) et effectuer la journalisation.
Le rôle `AWSServiceRoleForIoTSiteWise` lié au service utilise la `AWSServiceRoleForIoTSiteWise` politique avec les autorisations suivantes. Cette politique :
+ Permet AWS IoT SiteWise de déployer des passerelles SiteWise Edge (qui s'exécutent sur`AWS IoT Greengrass`).
+ Permet d' AWS IoT SiteWise effectuer une journalisation.
+ Permet AWS IoT SiteWise d'exécuter une requête de recherche de métadonnées sur la AWS IoT TwinMaker base de données.
Pour plus d'informations sur les actions autorisées dans`AWSServiceRoleForIoTSiteWise`, consultez [les politiques AWS gérées pour AWS IoT SiteWise](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
Vous pouvez utiliser les journaux pour surveiller et dépanner vos passerelles SiteWise Edge. Pour de plus amples informations, veuillez consulter [Surveiller les journaux de la passerelle SiteWise Edge](monitor-gateway-logs.md).
Pour autoriser une entité IAM (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service, configurez d'abord les autorisations. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
# Créez un rôle lié à un service pour AWS IoT SiteWise
AWS IoT SiteWise nécessite un rôle lié au service pour effectuer certaines actions et accéder aux ressources en votre nom. Un rôle lié à un service est un type unique de rôle AWS Identity and Access Management (IAM) directement lié à. AWS IoT SiteWise En créant ce rôle, vous accordez AWS IoT SiteWise les autorisations nécessaires pour accéder à d'autres AWS services et ressources nécessaires à son fonctionnement, tels qu'Amazon S3 pour le stockage de données ou AWS IoT pour la communication entre appareils.
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous effectuez les opérations suivantes dans la AWS IoT SiteWise console, AWS IoT SiteWise crée le rôle lié au service pour vous.
+ Créez une passerelle Greengrass V1.
+ Configurez l'option de journalisation.
+ Choisir le bouton d'inscription dans le bandeau d'exécution de la requête.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous effectuez une opération dans la AWS IoT SiteWise console, AWS IoT SiteWise crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console ou l'API IAM pour créer un rôle lié à un service pour. AWS IoT SiteWise
+ Pour ce faire, dans la console IAM, créez un rôle avec la politique **AWSServiceRoleForIoTSiteWise** et une relation de confiance avec`iotsitewise.amazonaws.com`.
+ Pour ce faire, utilisez l'API AWS CLI ou IAM, créez un rôle avec la `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise` politique et une relation de confiance avec`iotsitewise.amazonaws.com`.
Pour plus d'informations, consultez la section [Créer un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role) dans le guide de l'utilisateur *IAM*.
Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
# Mettre à jour un rôle lié à un service pour AWS IoT SiteWise
AWS IoT SiteWise ne vous permet pas de modifier le rôle lié au service AWSService RoleForIo TSite Wise. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir [Mettre à jour un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) dans le Guide de l'utilisateur *IAM*.
# Supprimer un rôle lié à un service pour AWS IoT SiteWise
Si une fonctionnalité ou un service nécessitant un rôle lié à un service n'est plus utilisé, il est conseillé de supprimer le rôle associé. Cela permet d'éviter d'avoir une entité inactive qui n'est ni surveillée ni maintenue. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le AWS IoT SiteWise service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, attendez quelques minutes et réessayez.
**Pour supprimer les AWS IoT SiteWise ressources utilisées par les AWSService RoleForIo TSite Wise**
1. Désactivez la journalisation pour AWS IoT SiteWise. Pour de plus amples informations, consultez [Modifier votre niveau de journalisation](monitor-cloudwatch-logs.md#change-logging-level).
1. Supprimez toutes les passerelles SiteWise Edge actives.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au service AWSService RoleForIo TSite Wise. Pour plus d'informations, consultez la section [Supprimer des rôles ou des profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Régions prises en charge pour les rôles AWS IoT SiteWise liés à un service
AWS IoT SiteWise prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Points de terminaison et quotas AWS IoT SiteWise](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html).
# Utiliser les rôles de service pour AWS IoT SiteWise Monitor
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
Pour permettre aux utilisateurs du portail SiteWise Monitor fédéré d'accéder à vos AWS IAM Identity Center ressources AWS IoT SiteWiseet à vos ressources, vous devez attribuer un rôle de service à chaque portail que vous créez. Le rôle de service doit spécifier SiteWise Monitor en tant qu'entité de confiance et inclure la politique [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gérée ou définir [des autorisations équivalentes](#monitor-service-role-permissions). Cette politique est gérée par AWS et définit l'ensemble d'autorisations que SiteWise Monitor utilise pour accéder à vos ressources AWS IoT SiteWise et à celles d'IAM Identity Center.
Lorsque vous créez un portail SiteWise Monitor, vous devez choisir un rôle qui permet aux utilisateurs de ce portail d'accéder à vos ressources AWS IoT SiteWiseet à celles d'IAM Identity Center. La AWS IoT SiteWise console peut créer et configurer le rôle pour vous. Vous pourrez modifier le rôle dans IAM ultérieurement. Les utilisateurs de votre portail rencontreront des problèmes lors de l'utilisation de leurs portails SiteWise Monitor si vous supprimez les autorisations requises pour le rôle ou si vous supprimez le rôle.
**Note**
Les portails créés avant le 29 avril 2020 ne nécessitaient pas de rôles de service. Si vous avez créé des portails avant cette date, vous devez joindre des rôles de service pour continuer à les utiliser. Pour ce faire, accédez à la page **Portails** de la [AWS IoT SiteWise console](https://console.aws.amazon.com/iotsitewise/), puis choisissez **Migrer tous les portails pour utiliser les rôles IAM**.
Les sections suivantes décrivent comment créer et gérer le rôle de service SiteWise Monitor dans le AWS Management Console ou le AWS Command Line Interface.
**Contents**
+ [Autorisations de rôle de service pour SiteWise Monitor (Classic)](#monitor-service-role-permissions)
+ [Autorisations de rôle de service pour SiteWise Monitor (compatible avec l'IA)](#monitor-ai-service-role-permissions)
+ [Gérer le rôle de service SiteWise Monitor (console)](#manage-portal-role-console)
+ [Rechercher le rôle de service d'un portail (console)](#find-portal-role-console)
+ [Création d'un rôle de service de SiteWise surveillance (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Création d'un rôle de service de SiteWise surveillance (console IAM)](#create-portal-role-iam-console)
+ [Modifier le rôle de service d'un portail (console)](#change-portal-role-console)
+ [Gérer le rôle de service SiteWise Monitor (CLI)](#manage-portal-role-cli)
+ [Trouver le rôle de service d'un portail (CLI)](#find-portal-role-cli)
+ [Création du rôle de service SiteWise Monitor (CLI)](#create-portal-role-cli)
+ [SiteWise Surveillez les mises à jour de AWSIo TSite WiseMonitorServiceRole](#monitor-role-permission-updates)
## Autorisations de rôle de service pour SiteWise Monitor (Classic)
Lorsque vous créez un portail, vous AWS IoT SiteWise permet de créer un rôle dont le nom commence par **AWSIoTSiteWiseMonitorServiceRole**. Ce rôle permet aux utilisateurs fédérés de SiteWise Monitor d'accéder à la configuration de votre portail, aux actifs, aux données des actifs, ainsi qu'à la configuration d'IAM Identity Center.
Le rôle approuve le fait que le service suivant endosse le rôle :
+ `monitor.iotsitewise.amazonaws.com`
Le rôle utilise la politique d'autorisation suivante, qui commence par **AWSIoTSiteWiseMonitorServicePortalPolicy**, pour permettre aux utilisateurs de SiteWise Monitor d'effectuer des actions sur les ressources de votre compte. La stratégie [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) gérée définit des autorisations équivalentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur les autorisations requises pour les alarmes, consultez[Configurer les autorisations pour les alarmes liées aux événements dans AWS IoT SiteWise](alarms-iam-permissions.md).
Lorsqu'un utilisateur du portail se connecte, SiteWise Monitor crée une [politique de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) basée sur l'intersection entre le rôle de service et les politiques d'accès de cet utilisateur. Les stratégies d'accès définissent le niveau d'accès des identités à vos portails et projets. Pour plus d'informations sur les autorisations du portail et les politiques d'accès, consultez [Administrez vos portails SiteWise Monitor](administer-portals.md) et [CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html).
## Autorisations de rôle de service pour SiteWise Monitor (compatible avec l'IA)
Lorsque vous créez un portail, vous AWS IoT SiteWise permet de créer un rôle dont le nom commence par **Io TSite WisePortalRole**. Ce rôle permet aux utilisateurs fédérés de SiteWise Monitor d'accéder à la configuration de votre portail, aux actifs, aux données des actifs, ainsi qu'à la configuration d'IAM Identity Center.
**Avertissement**
Les rôles de **propriétaire** de **projet et de visionneur** de projet ne sont pas pris en charge pour SiteWise Monitor (compatible avec l'IA).
Le rôle approuve le fait que le service suivant endosse le rôle :
+ `monitor.iotsitewise.amazonaws.com`
Le rôle utilise la politique d'autorisation suivante, qui commence par **Io TSite Wise AIPortal AccessPolicy**, pour permettre aux utilisateurs de SiteWise Monitor d'effectuer des actions sur les ressources de votre compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
Lorsqu'un utilisateur du portail se connecte, SiteWise Monitor crée une [politique de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) basée sur l'intersection entre le rôle de service et les politiques d'accès de cet utilisateur.
## Gérer le rôle de service SiteWise Monitor (console)
Console AWS IoT SiteWise Facilite la gestion du rôle de service SiteWise Monitor pour les portails. Lors de la création d'un portail, la console vérifie les rôles existants susceptibles d'être rattachés. Si aucun n'est disponible, la console peut créer et configurer un rôle de service pour vous. Pour de plus amples informations, veuillez consulter [Création d'un portail dans SiteWise Monitor](monitor-create-portal.md).
**Topics**
+ [Rechercher le rôle de service d'un portail (console)](#find-portal-role-console)
+ [Création d'un rôle de service de SiteWise surveillance (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Création d'un rôle de service de SiteWise surveillance (console IAM)](#create-portal-role-iam-console)
+ [Modifier le rôle de service d'un portail (console)](#change-portal-role-console)
### Rechercher le rôle de service d'un portail (console)
Suivez les étapes ci-dessous pour trouver le rôle de service associé à un portail SiteWise Monitor.
**Pour rechercher le rôle de service d'un portail**
1. Accédez à la [console AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. Dans le volet de navigation de gauche, choisissez **Portals (Portails)**.
1. Choisissez le portail pour lequel vous souhaitez rechercher le rôle de service.
Le rôle associé au portail apparaît sous **Autorisations**, **rôle de service**.
### Création d'un rôle de service de SiteWise surveillance (AWS IoT SiteWise console)
Lorsque vous créez un portail SiteWise Monitor, vous pouvez créer un rôle de service pour votre portail. Pour de plus amples informations, veuillez consulter [Création d'un portail dans SiteWise Monitor](monitor-create-portal.md).
Vous pouvez également créer un rôle de service pour un portail existant dans la AWS IoT SiteWise console. Cela remplace le rôle de service existant du portail.
**Pour créer un rôle de service pour un portail existant**
1. Accédez à la [console AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. Dans le panneau de navigation, choisissez **Portails**.
1. Choisissez le portail pour lequel vous souhaitez créer un rôle de service.
1. Sous **Détails du portail**, choisissez **Modifier**.
1. Sous **Autorisations**, choisissez **Créer et utiliser un nouveau rôle de service** dans la liste.
1. Saisissez un nom pour votre nouveau rôle.
1. Choisissez **Enregistrer**.
### Création d'un rôle de service de SiteWise surveillance (console IAM)
Vous pouvez créer un rôle de service à partir du modèle de rôle de service de la console IAM. Ce modèle de rôle inclut la politique [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gérée et spécifie SiteWise Monitor comme une entité de confiance.
**Pour créer un rôle de service à partir du modèle de rôle de service du portail**
1. Accédez à la [Console IAM](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Sélectionnez **Create role** (Créer un rôle).
1. Dans **Choisir un cas d'utilisation**, sélectionnez **IoT SiteWise**.
1. Dans **Sélectionnez votre cas d'utilisation**, choisissez **IoT SiteWise Monitor - Portal**.
1. Choisissez **Suivant : Autorisations**.
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Entrez un **nom de rôle** pour le nouveau rôle de service.
1. Choisissez **Créer un rôle**.
### Modifier le rôle de service d'un portail (console)
Utilisez la procédure suivante pour choisir un autre rôle de service de SiteWise surveillance pour un portail.
**Pour modifier le rôle de service d'un portail**
1. Accédez à la [console AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. Dans le panneau de navigation, choisissez **Portails**.
1. Choisissez le portail pour lequel vous souhaitez modifier le rôle de service.
1. Sous **Détails du portail**, choisissez **Modifier**.
1. Sous **Autorisations**, choisissez **Utiliser un rôle existant**.
1. Choisissez un rôle existant à attacher à ce portail.
1. Choisissez **Enregistrer**.
## Gérer le rôle de service SiteWise Monitor (CLI)
Vous pouvez utiliser le AWS CLI pour les tâches de gestion des rôles de service de portail suivantes :
**Topics**
+ [Trouver le rôle de service d'un portail (CLI)](#find-portal-role-cli)
+ [Création du rôle de service SiteWise Monitor (CLI)](#create-portal-role-cli)
### Trouver le rôle de service d'un portail (CLI)
Pour trouver le rôle de service associé à un portail de SiteWise surveillance, exécutez la commande suivante pour répertorier tous vos portails dans la région actuelle.
```
aws iotsitewise list-portals
```
L'opération renvoie une réponse qui contient les résumés de vos portails au format suivant.
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
Vous pouvez également utiliser cette [DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html)opération pour trouver le rôle de votre portail si vous connaissez l'ID de votre portail.
### Création du rôle de service SiteWise Monitor (CLI)
Suivez les étapes ci-dessous pour créer un nouveau rôle de service de SiteWise surveillance.
**Pour créer un rôle SiteWise de service de surveillance**
1. Créez un rôle avec une politique de confiance qui permet à SiteWise Monitor d'assumer ce rôle. Cet exemple crée un rôle nommé **MySiteWiseMonitorPortalRole** à partir d'une stratégie d'approbation stockée dans une chaîne JSON.
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. Copiez l'ARN de rôle du rôle des métadonnées dans la sortie. Lorsque vous créez un portail, vous utilisez cet ARN pour associer le rôle à votre portail. Pour plus d'informations sur la création d'un portail, consultez [CreatePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html)la *référence des AWS IoT SiteWise API*.
1.
1. Pour le SiteWise moniteur (classique) : associez la `AWSIoTSiteWiseMonitorPortalAccess` politique au rôle ou associez une politique définissant des autorisations équivalentes.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. Pour le SiteWise moniteur (compatible avec l'IA) : attachez la `IoTSiteWiseAIPortalAccessPolicy` politique au rôle ou attachez une politique qui définit des autorisations équivalentes. Par exemple, créez une politique avec des autorisations d'accès au portail. L'exemple suivant crée une politique nommée`MySiteWiseMonitorPortalAccess`.
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**Pour attacher un rôle de service à un portail existant**
1. Pour récupérer les détails existants du portail, exécutez la commande suivante. Remplacez *portal-id* par l'ID du portail.
```
aws iotsitewise describe-portal --portal-id portal-id
```
L'opération renvoie une réponse qui contient les détails du portail dans le format suivant.
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. Pour attacher un rôle de service à un portail, exécutez la commande suivante. Remplacez *role-arn* par l'ARN du rôle de service et remplacez les paramètres restants par les valeurs existantes du portail.
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Surveillez les mises à jour de AWSIo TSite WiseMonitorServiceRole
Vous pouvez consulter les détails des mises à jour de **AWSIoTSiteWiseMonitorServiceRole**for SiteWise Monitor, à partir du moment où ce service a commencé à suivre les modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS IoT SiteWise document.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions)— Politique mise à jour | AWS IoT SiteWise a mis à jour la politique [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gérée pour la fonctionnalité d'alarmes. | 27 mai 2021 |
| AWS IoT SiteWise a commencé à suivre les modifications | AWS IoT SiteWise a commencé à suivre les modifications apportées à son rôle de service. | 15 décembre 2020 |