Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Identitas dan manajemen akses untuk AWS IoT SiteWise
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. AWS IoT SiteWise IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [
# Audiens untuk AWS IoT SiteWise keamanan
](security_iam_audience.md)
+ [
# Otentikasi dengan identitas di AWS IoT SiteWise
](security_iam_authentication.md)
+ [
# Bagaimana AWS IoT SiteWise bekerja dengan IAM
](security_iam_service-with-iam.md)
+ [
# AWS kebijakan terkelola untuk AWS IoT SiteWise
](security-iam-awsmanpol.md)
+ [
# Gunakan peran terkait layanan untuk AWS IoT SiteWise
](using-service-linked-roles.md)
+ [
# Siapkan izin untuk alarm acara di AWS IoT SiteWise
](alarms-iam-permissions.md)
+ [
# Cross-service membingungkan deputi pencegahan di AWS IoT SiteWise
](cross-service-confused-deputy-prevention.md)
+ [
# Memecahkan masalah AWS IoT SiteWise identitas dan akses
](security_iam_troubleshoot.md)
# Audiens untuk AWS IoT SiteWise keamanan
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS IoT SiteWise identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS IoT SiteWise bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [AWS IoT SiteWise contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md))
# Otentikasi dengan identitas di AWS IoT SiteWise
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensyal dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensyal. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
## Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
## Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensyal sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
## Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
# Bagaimana AWS IoT SiteWise bekerja dengan IAM
Sebelum Anda menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses AWS IoT SiteWise, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan. AWS IoT SiteWise
| Fitur IAM | Didukung oleh AWS IoT SiteWise? |
| --- | --- |
| [Kebijakan berbasis identitas dengan izin tingkat sumber daya](security_iam_service-with-iam-id-based-policies.md) | Ya |
| [Tindakan kebijakan](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [Kunci kondisi kebijakan](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| Kebijakan berbasis sumber daya | Tidak |
| Daftar kontrol akses (ACLs) | Tidak |
| [Otorisasi berbasis tag (ABAC)](security_iam_service-with-iam-tags.md) | Ya |
| [Kredensial sementara](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Sesi akses teruskan (FAS)](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran terkait layanan](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Ya |
| [Peran layanan](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Ya |
Untuk mendapatkan pandangan tingkat tinggi tentang bagaimana AWS IoT SiteWise dan AWS layanan lain bekerja dengan IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Contents**
+ [
# AWS IoT SiteWise Peran IAM
](security_iam_service-with-iam-roles.md)
+ [
## Gunakan kredensyal sementara dengan AWS IoT SiteWise
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)
+ [
## Sesi akses teruskan (FAS) untuk AWS IoT SiteWise
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)
+ [
## Peran terkait layanan
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)
+ [
## Peran layanan
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service)
+ [
## Pilih peran IAM di AWS IoT SiteWise
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-choose)
+ [
# Otorisasi berdasarkan tag AWS IoT SiteWise
](security_iam_service-with-iam-tags.md)
+ [
# AWS IoT SiteWise kebijakan berbasis identitas
](security_iam_service-with-iam-id-based-policies.md)
+ [
## Tindakan kebijakan
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)
+ [
### BatchPutAssetPropertyValue otorisasi
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action)
+ [
## Sumber daya kebijakan
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)
+ [
## Kunci kondisi kebijakan
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [
## Contoh
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-examples)
+ [
# AWS IoT SiteWise contoh kebijakan berbasis identitas
](security_iam_id-based-policy-examples.md)
+ [
## Praktik terbaik kebijakan
](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)
+ [
## Gunakan AWS IoT SiteWise konsol
](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)
+ [
## Mengizinkan pengguna melihat izin mereka sendiri
](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Izinkan pengguna untuk menyerap data ke aset dalam satu hierarki
](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [
## Lihat AWS IoT SiteWise aset berdasarkan tag
](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)
+ [
# Mengelola akses menggunakan kebijakan di AWS IoT SiteWise
](security_iam_access-manage.md)
+ [
## Kebijakan berbasis identitas
](security_iam_access-manage.md#security_iam_access-manage-id-based-policies)
+ [
## Kebijakan berbasis sumber daya
](security_iam_access-manage.md#security_iam_access-manage-resource-based-policies)
+ [
## Daftar kontrol akses (ACLs)
](security_iam_access-manage.md#security_iam_access-manage-acl)
+ [
## Jenis-jenis kebijakan lain
](security_iam_access-manage.md#security_iam_access-manage-other-policies)
+ [
## Berbagai jenis kebijakan
](security_iam_access-manage.md#security_iam_access-manage-multiple-policies)
# AWS IoT SiteWise Peran IAM
[Peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) IAM adalah entitas di dalam akun AWS Anda yang memiliki izin tertentu.
## Gunakan kredensyal sementara dengan AWS IoT SiteWise
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
AWS IoT SiteWise mendukung menggunakan kredensi sementara.
SiteWise Monitor mendukung pengguna federasi untuk mengakses portal. Pengguna portal mengautentikasi dengan Pusat Identitas IAM atau kredensil IAM mereka.
**penting**
Pengguna atau peran harus memiliki `iotsitewise:DescribePortal` izin untuk masuk ke portal.
Saat pengguna masuk ke portal, SiteWise Monitor akan membuat kebijakan sesi yang memberikan izin berikut:
+ Akses hanya-baca ke aset dan data aset AWS IoT SiteWise di akun Anda yang peran portal tersebut menyediakan akses.
+ Akses ke proyek di portal tempat pengguna memiliki akses administrator (pemilik proyek) atau hanya-baca (penampil proyek).
Untuk informasi selengkapnya tentang izin pengguna portal federasi, lihat. [Gunakan peran layanan untuk AWS IoT SiteWise Monitor](monitor-service-role.md)
## Sesi akses teruskan (FAS) untuk AWS IoT SiteWise
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. peran terkait layanan muncul di AWS akun Anda dan dimiliki oleh layanan. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
AWS IoT SiteWise mendukung peran terkait layanan. Untuk informasi selengkapnya tentang cara membuat atau mengelola peran terkait layanan AWS IoT SiteWise , lihat [Gunakan peran terkait layanan untuk AWS IoT SiteWise](using-service-linked-roles.md).
## Peran layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di AWS akun Anda dan dimiliki oleh akun. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
AWS IoT SiteWise menggunakan peran layanan untuk memungkinkan pengguna portal SiteWise Monitor mengakses beberapa sumber AWS IoT SiteWise daya Anda atas nama Anda. Untuk informasi selengkapnya, lihat [Gunakan peran layanan untuk AWS IoT SiteWise Monitor](monitor-service-role.md).
Anda harus memiliki izin yang diperlukan sebelum Anda dapat membuat model AWS IoT Events alarm di AWS IoT SiteWise. Untuk informasi selengkapnya, lihat [Siapkan izin untuk alarm acara di AWS IoT SiteWise](alarms-iam-permissions.md).
## Pilih peran IAM di AWS IoT SiteWise
Saat Anda membuat `portal` sumber daya AWS IoT SiteWise, Anda harus memilih peran untuk memungkinkan pengguna federasi portal SiteWise Monitor Anda mengakses AWS IoT SiteWise atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan, AWS IoT SiteWise berikan daftar peran untuk dipilih. Jika tidak, Anda dapat membuat peran dengan izin yang diperlukan saat membuat portal. Penting untuk memilih peran yang memungkinkan akses ke aset dan data aset Anda. Untuk informasi selengkapnya, lihat [Gunakan peran layanan untuk AWS IoT SiteWise Monitor](monitor-service-role.md).
# Otorisasi berdasarkan tag AWS IoT SiteWise
Anda dapat melampirkan tag ke AWS IoT SiteWise sumber daya atau meneruskan tag dalam permintaan AWS IoT SiteWise. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang penandaan sumber daya AWS IoT SiteWise , lihat [Tandai AWS IoT SiteWise sumber daya Anda](tag-resources.md).
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tanda pada sumber daya tersebut, lihat [Lihat AWS IoT SiteWise aset berdasarkan tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags).
# AWS IoT SiteWise kebijakan berbasis identitas
Kebijakan IAM memungkinkan Anda mengontrol siapa yang dapat melakukan apa. AWS IoT SiteWise Anda dapat memutuskan tindakan apa yang diizinkan atau tidak dan menetapkan kondisi khusus untuk tindakan ini. Misalnya, Anda dapat membuat aturan tentang siapa yang dapat melihat atau mengubah informasi AWS IoT SiteWise. AWS IoT SiteWise mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
## Tindakan kebijakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan AWS IoT SiteWise menggunakan awalan berikut sebelum tindakan:`iotsitewise:`. Misalnya, untuk memberikan izin kepada seseorang untuk mengunggah data properti aset AWS IoT SiteWise dengan operasi `BatchPutAssetPropertyValue` API, Anda menyertakan `iotsitewise:BatchPutAssetPropertyValue` tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu `Action` atau `NotAction` elemen. AWS IoT SiteWise mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan tindakan dengan koma seperti berikut:
```
"Action": [
"iotsitewise:action1",
"iotsitewise:action2"
]
```
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut.
```
"Action": "iotsitewise:Describe*"
```
Untuk melihat daftar AWS IoT SiteWise tindakan, lihat [Tindakan yang ditentukan oleh AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) dalam *Panduan Pengguna IAM*.
### BatchPutAssetPropertyValue otorisasi
AWS IoT SiteWise mengizinkan akses ke [BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html)tindakan dengan cara yang tidak biasa. Untuk sebagian besar tindakan, saat Anda mengizinkan atau menolak akses, tindakan tersebut mengembalikan kesalahan jika izin tidak diberikan. Dengan`BatchPutAssetPropertyValue`, Anda dapat mengirim beberapa entri data ke aset dan properti aset yang berbeda dalam satu permintaan API. AWS IoT SiteWise mengotorisasi setiap entri data secara independen. Untuk setiap entri individu yang gagal otorisasi dalam permintaan, AWS IoT SiteWise termasuk `AccessDeniedException` dalam daftar kesalahan yang dikembalikan. AWS IoT SiteWise menerima data untuk setiap entri yang mengotorisasi dan berhasil, bahkan jika entri lain dalam permintaan yang sama gagal.
**penting**
Sebelum Anda menyerap data ke aliran data, lakukan hal berikut:
Otorisasi `time-series` sumber daya jika Anda menggunakan alias properti untuk mengidentifikasi aliran data.
Otorisasi `asset` sumber daya jika Anda menggunakan ID aset untuk mengidentifikasi aset yang berisi properti aset terkait.
## Sumber daya kebijakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Setiap pernyataan kebijakan IAM berlaku untuk sumber daya yang Anda tentukan dengan menggunakan ARNs. ARN memiliki sintaks umum berikut.
```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```
Untuk informasi selengkapnya tentang format ARNs, lihat [Mengidentifikasi AWS sumber daya dengan Nama Sumber Daya Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Misalnya, untuk menentukan aset dengan ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` dalam pernyataan Anda, gunakan ARN berikut. ;
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```
Untuk menentukan semua aliran data milik akun tertentu, gunakan wildcard (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```
Untuk menentukan semua aset milik akun tertentu, gunakan wildcard (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```
Beberapa AWS IoT SiteWise tindakan, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
]
```
Untuk melihat daftar jenis AWS IoT SiteWise sumber daya dan jenis sumber daya ARNs, lihat [Jenis sumber daya yang ditentukan oleh AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies) dalam *Panduan Pengguna IAM*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Kunci kondisi kebijakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
**penting**
Beberapa kunci syarat bersifat khusus untuk sumber daya, dan beberapa tindakan API menggunakan beberapa sumber daya. Jika Anda menulis pernyataan kebijakan dengan kunci kondisi, gunakan `Resource` elemen pernyataan untuk menentukan sumber daya yang diterapkan kunci kondisi. Jika Anda tidak melakukannya, kebijakan tersebut dapat mencegah pengguna melakukan tindakan sama sekali, karena pemeriksaan kondisi gagal untuk sumber daya yang tidak diterapkan oleh kunci kondisi. Jika Anda tidak ingin menentukan sumber daya, atau jika Anda telah menulis `Action` elemen kebijakan untuk menyertakan beberapa tindakan API, Anda harus menggunakan tipe `...IfExists` kondisi untuk memastikan bahwa kunci kondisi diabaikan untuk sumber daya yang tidak menggunakannya. Untuk informasi lebih lanjut, lihat[... IfExists ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists)kondisi dalam *Panduan Pengguna IAM*.
AWS IoT SiteWise mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
**AWS IoT SiteWise kunci kondisi**
| Kunci syarat | Deskripsi | Tipe |
| --- | --- | --- |
| iotsitewise:isAssociatedWithAssetProperty | Apakah aliran data dikaitkan dengan properti aset. Gunakan kunci kondisi ini untuk menentukan izin berdasarkan keberadaan properti aset terkait untuk aliran data. Nilai contoh: `true` | String |
| iotsitewise:assetHierarchyPath | Jalur hierarki aset, yang merupakan string aset yang IDs masing-masing dipisahkan oleh garis miring ke depan. Gunakan kunci kondisi ini untuk menentukan izin berdasarkan subset hierarki semua aset di akun Anda. Nilai contoh: `/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:propertyId | ID properti aset. Gunakan kunci kondisi ini untuk menentukan izin berdasarkan properti tertentu dari model aset. Kunci kondisi ini berlaku untuk semua aset model itu. Nilai contoh: `a1b2c3d4-5678-90ab-cdef-33333EXAMPLE` | String |
| iotsitewise:childAssetId | ID aset yang dikaitkan sebagai anak ke aset lain. Gunakan kunci kondisi ini untuk menentukan izin berdasarkan aset anak. Untuk menentukan izin berdasarkan aset induk, gunakan bagian sumber daya dari pernyataan kebijakan. Nilai contoh: `a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:iam | ARN identitas IAM saat mencantumkan kebijakan akses. Gunakan kunci kondisi ini untuk menentukan izin kebijakan akses untuk identitas IAM. Nilai contoh: `arn:aws:iam::123456789012:user/JohnDoe` | Tali, Null |
| iotsitewise:propertyAlias | Alias yang mengidentifikasi properti aset atau aliran data. Gunakan tombol kondisi ini untuk menentukan izin berdasarkan alias. | String |
| iotsitewise:user | ID pengguna Pusat Identitas IAM saat mencantumkan kebijakan akses. Gunakan kunci kondisi ini untuk menentukan izin kebijakan akses bagi pengguna Pusat Identitas IAM. Nilai contoh: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE` | Tali, Null |
| iotsitewise:group | ID grup Pusat Identitas IAM saat mencantumkan kebijakan akses. Gunakan kunci kondisi ini untuk menentukan izin kebijakan akses untuk grup Pusat Identitas IAM. Nilai contoh: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE` | Tali, Null |
| iotsitewise:portal | ID portal dalam kebijakan akses. Gunakan kunci kondisi ini untuk menentukan izin kebijakan akses berdasarkan portal. Nilai contoh: `a1b2c3d4-5678-90ab-cdef-77777EXAMPLE` | Tali, Null |
| iotsitewise:project | ID proyek dalam kebijakan akses, atau ID proyek untuk dasbor. Gunakan tombol kondisi ini untuk menentukan dasbor atau akses izin kebijakan berdasarkan proyek. Nilai contoh: `a1b2c3d4-5678-90ab-cdef-88888EXAMPLE` | Tali, Null |
Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Contoh
Untuk melihat contoh kebijakan AWS IoT SiteWise berbasis identitas, lihat. [AWS IoT SiteWise contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
# AWS IoT SiteWise contoh kebijakan berbasis identitas
Secara default, entitas (pengguna dan peran) tidak memiliki izin untuk membuat atau memodifikasi AWS IoT SiteWise sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS Command Line Interface (AWS CLI), atau AWS API. Untuk menyesuaikan izin, administrator AWS Identity and Access Management (IAM) harus melakukan hal berikut:
1. Buat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang mereka butuhkan.
1. Lampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan pada tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [
## Praktik terbaik kebijakan
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Gunakan AWS IoT SiteWise konsol
](#security_iam_id-based-policy-examples-console)
+ [
## Mengizinkan pengguna melihat izin mereka sendiri
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Izinkan pengguna untuk menyerap data ke aset dalam satu hierarki
](#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [
## Lihat AWS IoT SiteWise aset berdasarkan tag
](#security_iam_id-based-policy-examples-view-asset-tags)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus AWS IoT SiteWise sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Gunakan AWS IoT SiteWise konsol
Untuk mengakses AWS IoT SiteWise konsol, Anda memerlukan satu set izin dasar. Izin ini memungkinkan Anda melihat dan mengelola detail tentang AWS IoT SiteWise sumber daya di AWS akun Anda.
Jika Anda membuat kebijakan yang terlalu ketat, konsol mungkin tidak berfungsi seperti yang diharapkan untuk pengguna atau peran (entitas) dengan kebijakan tersebut. Untuk memastikan bahwa entitas tersebut masih dapat menggunakan AWS IoT SiteWise konsol, lampirkan kebijakan [AWSIoTSiteWiseConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/policies/arn:aws:iam::aws:policy/AWSIoTSiteWiseConsoleFullAccess)terkelola ke mereka atau tentukan izin yang setara untuk entitas tersebut. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Jika entitas hanya menggunakan AWS Command Line Interface (CLI) atau AWS IoT SiteWise API, dan bukan konsol, mereka tidak memerlukan izin minimum ini. Dalam hal ini, cukup beri mereka akses ke tindakan spesifik yang mereka butuhkan untuk tugas API mereka.
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Izinkan pengguna untuk menyerap data ke aset dalam satu hierarki
Dalam contoh ini, Anda ingin memberi pengguna di AWS akun Anda akses untuk menulis data ke semua properti aset dalam hierarki aset tertentu, mulai dari aset `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` root. Kebijakan memberikan `iotsitewise:BatchPutAssetPropertyValue` izin kepada pengguna. Kebijakan ini menggunakan kunci `iotsitewise:assetHierarchyPath` kondisi untuk membatasi akses ke aset yang jalur hierarki cocok dengan aset atau turunannya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutAssetPropertyValuesForHierarchy",
"Effect": "Allow",
"Action": "iotsitewise:BatchPutAssetPropertyValue",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringLike": {
"iotsitewise:assetHierarchyPath": [
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
]
}
}
}
]
}
```
------
## Lihat AWS IoT SiteWise aset berdasarkan tag
Gunakan kondisi dalam kebijakan berbasis identitas Anda untuk mengontrol akses ke AWS IoT SiteWise sumber daya berdasarkan tag. Contoh ini menunjukkan cara membuat kebijakan yang memungkinkan penayangan aset. Namun, izin diberikan hanya jika tag aset `Owner` memiliki nilai nama pengguna pengguna tersebut. Kebijakan ini juga memberikan izin untuk menyelesaikan tindakan ini di konsol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAllAssets",
"Effect": "Allow",
"Action": [
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets"
],
"Resource": "*"
},
{
"Sid": "DescribeAssetIfOwner",
"Effect": "Allow",
"Action": "iotsitewise:DescribeAsset",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Lampirkan kebijakan ini ke pengguna di akun Anda. Jika pengguna bernama `richard-roe` mencoba untuk melihat AWS IoT SiteWise aset, aset harus ditandai `Owner=richard-roe` atau`owner=richard-roe`. Jika tidak, Richard ditolak aksesnya. Nama kunci tag kondisi tidak peka huruf besar/kecil. Jadi, `Owner` cocok dengan keduanya `Owner` dan`owner`. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
# Mengelola akses menggunakan kebijakan di AWS IoT SiteWise
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
## Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
## Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
## Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
## Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
## Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# AWS kebijakan terkelola untuk AWS IoT SiteWise
Sederhanakan menambahkan izin ke pengguna, grup, dan peran menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan terkelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang memberikan izin yang tepat kepada tim Anda. Untuk penyiapan yang lebih cepat, pertimbangkan untuk menggunakan kebijakan AWS terkelola kami untuk kasus penggunaan umum. Temukan kebijakan AWS terkelola di AWS akun Anda. Untuk informasi lebih lanjut tentang kebijakan yang dikelola AWS , lihat [kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS Layanan menangani pembaruan dan pemeliharaan kebijakan AWS terkelola, artinya Anda tidak dapat mengubah izin kebijakan ini. Terkadang, AWS IoT SiteWise dapat menambahkan izin untuk mengakomodasi fitur baru, yang memengaruhi semua identitas dengan kebijakan yang dilampirkan. Pembaruan semacam itu biasa terjadi pada pengenalan layanan atau fitur baru. Namun, izin tidak pernah dihapus, memastikan pengaturan Anda tetap utuh.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan **ReadOnlyAccess** AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk daftar dengan deskripsi kebijakan fungsi pekerjaan, lihat [kebijakan AWS terkelola untuk fungsi pekerjaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AWSIo TSite WiseReadOnlyAccess
Gunakan kebijakan `AWSIoTSiteWiseReadOnlyAccess` AWS terkelola untuk mengizinkan akses hanya-baca. AWS IoT SiteWise
Anda dapat melampirkan kebijakan `AWSIoTSiteWiseReadOnlyAccess` ke identitas IAM Anda.
**Izin tingkat layanan**
Kebijakan ini menyediakan akses hanya-baca AWS IoT SiteWise, termasuk izin untuk menjalankan kueri SQL hanya-baca. Tidak ada izin layanan lain yang disertakan dalam kebijakan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:DescribeAction",
"iotsitewise:DescribeAsset",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:DescribeAssetModelInterfaceRelationship",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:DescribeBulkImportJob",
"iotsitewise:DescribeComputationModel",
"iotsitewise:DescribeComputationModelExecutionSummary",
"iotsitewise:DescribeDashboard",
"iotsitewise:DescribeDataset",
"iotsitewise:DescribeDefaultEncryptionConfiguration",
"iotsitewise:DescribeExecution",
"iotsitewise:DescribeGateway",
"iotsitewise:DescribeGatewayCapabilityConfiguration",
"iotsitewise:DescribeLoggingOptions",
"iotsitewise:DescribePortal",
"iotsitewise:DescribeProject",
"iotsitewise:DescribeStorageConfiguration",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:ListAccessPolicies",
"iotsitewise:ListActions",
"iotsitewise:ListAssetModelCompositeModels",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ListAssetModels",
"iotsitewise:ListAssetProperties",
"iotsitewise:ListAssetRelationships",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListBulkImportJobs",
"iotsitewise:ListCompositionRelationships",
"iotsitewise:ListComputationModelDataBindingUsages",
"iotsitewise:ListComputationModelResolveToResources",
"iotsitewise:ListComputationModels",
"iotsitewise:ListDashboards",
"iotsitewise:ListDatasets",
"iotsitewise:ListExecutions",
"iotsitewise:ListGateways",
"iotsitewise:ListInterfaceRelationships",
"iotsitewise:ListPortals",
"iotsitewise:ListProjectAssets",
"iotsitewise:ListProjects",
"iotsitewise:ListTagsForResource",
"iotsitewise:ListTimeSeries"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AWSService RoleForIo TSite Bijaksana
`AWSServiceRoleForIoTSiteWise`Peran menggunakan `AWSServiceRoleForIoTSiteWise` kebijakan dengan izin berikut. Kebijakan ini:
+ Memungkinkan AWS IoT SiteWise untuk menyebarkan gateway SiteWise Edge (yang berjalan). `AWS IoT Greengrass`
+ Memungkinkan AWS IoT SiteWise untuk melakukan logging.
+ Memungkinkan AWS IoT SiteWise untuk menjalankan kueri pencarian metadata, terhadap database. AWS IoT TwinMaker
Jika Anda menggunakan AWS IoT SiteWise akun pengguna singe, `AWSServiceRoleForIoTSiteWise` peran akan membuat `AWSServiceRoleForIoTSiteWise` kebijakan di akun IAM Anda, dan melampirkannya ke peran yang ditautkan `AWSServiceRoleForIoTSiteWise` [Layanan](using-service-linked-roles.md) untuk. AWS IoT SiteWise
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
## AWS IoT SiteWise pembaruan kebijakan AWS terkelola
Anda dapat melihat detail tentang pembaruan kebijakan AWS terkelola AWS IoT SiteWise, mulai dari saat layanan ini mulai melacak perubahan. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS IoT SiteWise dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWSServiceRoleForIoTSiteBijaksana](#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise) - Perbarui ke kebijakan yang ada | AWS IoT SiteWise sekarang dapat menjalankan kueri pencarian metadata, terhadap database. AWS IoT TwinMaker | 6 November 2023 |
| [AWSIoTSiteWiseReadOnlyAccess](#security-iam-awsmanpol-AWSIoTSiteWiseReadOnlyAccess) – Pembaruan ke kebijakan yang ada | AWS IoT SiteWise menambahkan awalan kebijakan baru,`BatchGet*`, yang memungkinkan Anda melakukan operasi pembacaan batch. | September 16, 2022 |
| [AWSIoTSiteWiseReadOnlyAccess](#security-iam-awsmanpol-AWSIoTSiteWiseReadOnlyAccess) – Kebijakan baru | AWS IoT SiteWise menambahkan kebijakan baru untuk memberikan akses hanya-baca ke. AWS IoT SiteWise | 24 November 2021 |
| AWS IoT SiteWise mulai melacak perubahan | AWS IoT SiteWise mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 24 November 2021 |
# Gunakan peran terkait layanan untuk AWS IoT SiteWise
AWS IoT SiteWise menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke AWS IoT SiteWise. Peran terkait layanan telah ditentukan sebelumnya oleh AWS IoT SiteWise dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS
Peran terkait layanan menyederhanakan konfigurasi AWS IoT SiteWise dengan secara otomatis menyertakan semua izin yang diperlukan. AWS IoT SiteWise mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS IoT SiteWise dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin. Dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS IoT SiteWise sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [AWS layanan yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan cari layanan yang memiliki **Ya** di kolom Peran Tertaut **Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
**Topics**
+ [Izin peran terkait layanan](service-linked-role-permissions.md)
+ [Buat peran tertaut layanan](create-service-linked-role.md)
+ [Memperbarui peran terkait layanan](edit-service-linked-role.md)
+ [Hapus peran tertaut layanan](delete-service-linked-role.md)
+ [Wilayah yang didukung](#slr-regions)
+ [Gunakan peran layanan untuk SiteWise Monitor](monitor-service-role.md)
# Izin peran terkait layanan untuk AWS IoT SiteWise
AWS IoT SiteWise **menggunakan peran terkait layanan bernama AWSService RoleForIo TSite Wise.** AWS IoT SiteWise menggunakan peran terkait layanan ini untuk menerapkan gateway SiteWise Edge (yang berjalan) dan melakukan logging. AWS IoT Greengrass
Peran `AWSServiceRoleForIoTSiteWise` terkait layanan menggunakan `AWSServiceRoleForIoTSiteWise` kebijakan dengan izin berikut. Kebijakan ini:
+ Memungkinkan AWS IoT SiteWise untuk menyebarkan gateway SiteWise Edge (yang berjalan). `AWS IoT Greengrass`
+ Memungkinkan AWS IoT SiteWise untuk melakukan logging.
+ Memungkinkan AWS IoT SiteWise untuk menjalankan kueri pencarian metadata, terhadap database. AWS IoT TwinMaker
Untuk informasi selengkapnya tentang tindakan yang diizinkan`AWSServiceRoleForIoTSiteWise`, lihat [kebijakan AWS terkelola untuk AWS IoT SiteWise](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
Anda dapat menggunakan log untuk memantau dan memecahkan masalah gateway SiteWise Edge Anda. Untuk informasi selengkapnya, lihat [Pantau log gateway SiteWise Edge](monitor-gateway-logs.md).
Untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan, pertama-tama konfigurasikan izin. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
# Membuat peran terkait layanan untuk AWS IoT SiteWise
AWS IoT SiteWise memerlukan peran terkait layanan untuk melakukan tindakan tertentu dan mengakses sumber daya atas nama Anda. Peran terkait layanan adalah jenis unik dari peran AWS Identity and Access Management (IAM) dan Access Management (IAM) yang ditautkan langsung ke. AWS IoT SiteWise Dengan membuat peran ini, Anda memberikan izin AWS IoT SiteWise yang diperlukan untuk mengakses AWS layanan dan sumber daya lain yang diperlukan untuk operasinya, seperti Amazon S3 untuk penyimpanan data AWS IoT atau untuk komunikasi perangkat.
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda melakukan operasi berikut di AWS IoT SiteWise konsol, AWS IoT SiteWise buat peran terkait layanan untuk Anda.
+ Buat gateway Greengrass V1.
+ Konfigurasikan opsi logging.
+ Memilih tombol keikutsertaan di spanduk eksekusi kueri.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda melakukan operasi apa pun di AWS IoT SiteWise konsol, AWS IoT SiteWise buat peran terkait layanan untuk Anda lagi.
Anda juga dapat menggunakan konsol IAM atau API untuk membuat peran terkait layanan. AWS IoT SiteWise
+ Untuk melakukannya di konsol IAM, buat peran dengan kebijakan **AWSServiceRoleForIoTSiteWise** dan hubungan kepercayaan dengan`iotsitewise.amazonaws.com`.
+ Untuk melakukannya menggunakan API AWS CLI atau IAM, buat peran dengan `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise` kebijakan dan hubungan kepercayaan dengan`iotsitewise.amazonaws.com`.
Untuk informasi selengkapnya, lihat [Membuat peran terkait layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role) Pengguna *IAM*.
Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.
# Memperbarui peran terkait layanan untuk AWS IoT SiteWise
AWS IoT SiteWise tidak memungkinkan Anda untuk mengedit peran terkait layanan AWSService RoleForIo TSite Wise. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Memperbarui peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) di Panduan Pengguna *IAM*.
# Menghapus peran terkait layanan untuk AWS IoT SiteWise
Jika fitur atau layanan yang memerlukan peran terkait layanan tidak lagi digunakan, disarankan untuk menghapus peran terkait. Ini untuk menghindari entitas tidak aktif yang tidak dipantau atau dipelihara. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.
**catatan**
Jika AWS IoT SiteWise layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal tersebut terjadi, tunggu beberapa menit dan coba lagi.
**Untuk menghapus AWS IoT SiteWise sumber daya yang digunakan oleh AWSService RoleForIo TSite Wise**
1. Nonaktifkan logging untuk AWS IoT SiteWise. Untuk informasi selengkapnya, lihat [Ubah level logging Anda](monitor-cloudwatch-logs.md#change-logging-level)
1. Hapus gateway SiteWise Edge yang aktif.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran terkait layanan AWSService RoleForIo TSite Wise. Untuk informasi selengkapnya, lihat [Menghapus peran atau profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk AWS IoT SiteWise peran terkait layanan
AWS IoT SiteWise mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Kuota dan Titik Akhir AWS IoT SiteWise](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html).
# Gunakan peran layanan untuk AWS IoT SiteWise Monitor
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
Untuk memungkinkan pengguna portal SiteWise Monitor federasi mengakses sumber daya Anda AWS IoT SiteWisedan AWS IAM Identity Center sumber daya, Anda harus melampirkan peran layanan ke setiap portal yang Anda buat. Peran layanan harus menentukan SiteWise Monitor sebagai entitas tepercaya dan menyertakan kebijakan [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)terkelola atau menentukan [izin yang setara](#monitor-service-role-permissions). Kebijakan ini dikelola oleh AWS dan menentukan kumpulan izin yang digunakan SiteWise Monitor untuk mengakses sumber daya Pusat Identitas IAM Anda AWS IoT SiteWise dan IAM.
Saat membuat portal SiteWise Monitor, Anda harus memilih peran yang memungkinkan pengguna portal tersebut mengakses sumber daya Pusat Identitas IAM AWS IoT SiteWise dan IAM Anda. AWS IoT SiteWise Konsol dapat membuat dan mengonfigurasi peran untuk Anda. Anda dapat mengedit peran di IAM nanti. Pengguna portal Anda akan mengalami masalah dalam menggunakan portal SiteWise Monitor mereka jika Anda menghapus izin yang diperlukan dari peran atau menghapus peran tersebut.
**catatan**
Portal yang dibuat sebelum 29 April 2020 tidak memerlukan peran layanan. Jika Anda membuat portal sebelum tanggal ini, Anda harus melampirkan peran layanan untuk terus menggunakannya. Untuk melakukannya, navigasikan ke halaman **Portal** di [AWS IoT SiteWise konsol](https://console.aws.amazon.com/iotsitewise/), lalu pilih **Migrasi semua portal untuk menggunakan** peran IAM.
Bagian berikut menjelaskan cara membuat dan mengelola peran layanan SiteWise Monitor di Konsol Manajemen AWS atau AWS Command Line Interface.
**Contents**
+ [
## Izin peran layanan untuk SiteWise Monitor (Klasik)
](#monitor-service-role-permissions)
+ [
## Izin peran layanan untuk SiteWise Monitor (AI-aware)
](#monitor-ai-service-role-permissions)
+ [
## Mengelola peran layanan SiteWise Monitor (konsol)
](#manage-portal-role-console)
+ [
### Temukan peran layanan portal (konsol)
](#find-portal-role-console)
+ [
### Membuat peran layanan SiteWise Monitor (AWS IoT SiteWise konsol)
](#create-portal-role-sitewise-console)
+ [
### Membuat peran layanan SiteWise Monitor (konsol IAM)
](#create-portal-role-iam-console)
+ [
### Mengubah peran layanan portal (konsol)
](#change-portal-role-console)
+ [
## Mengelola peran layanan SiteWise Monitor (CLI)
](#manage-portal-role-cli)
+ [
### Temukan peran layanan portal (CLI)
](#find-portal-role-cli)
+ [
### Buat peran layanan SiteWise Monitor (CLI)
](#create-portal-role-cli)
+ [
## SiteWise Pantau pembaruan ke AWSIo TSite WiseMonitorServiceRole
](#monitor-role-permission-updates)
## Izin peran layanan untuk SiteWise Monitor (Klasik)
Saat membuat portal, AWS IoT SiteWise Anda dapat membuat peran yang namanya dimulai **AWSIoTSiteWiseMonitorServiceRole**. Peran ini memungkinkan pengguna SiteWise Monitor federasi untuk mengakses konfigurasi portal, aset, data aset, dan konfigurasi Pusat Identitas IAM Anda.
Peran tersebut mempercayai layanan berikut untuk mengambil peran:
+ `monitor.iotsitewise.amazonaws.com`
Peran tersebut menggunakan kebijakan izin berikut, yang dimulai dengan **AWSIoTSiteWiseMonitorServicePortalPolicy**, untuk memungkinkan pengguna SiteWise Monitor menyelesaikan tindakan pada sumber daya di akun Anda. Kebijakan [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)terkelola mendefinisikan izin yang setara.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang izin yang diperlukan untuk alarm, lihat. [Siapkan izin untuk alarm acara di AWS IoT SiteWise](alarms-iam-permissions.md)
Saat pengguna portal masuk, SiteWise Monitor akan membuat [kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) berdasarkan persimpangan peran layanan dan kebijakan akses pengguna tersebut. Kebijakan akses menentukan tingkat akses identitas ke portal dan proyek Anda. Untuk informasi selengkapnya tentang izin portal dan kebijakan akses, lihat [Mengelola portal SiteWise Monitor Anda](administer-portals.md) dan [CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html).
## Izin peran layanan untuk SiteWise Monitor (AI-aware)
Saat Anda membuat portal, AWS IoT SiteWise memungkinkan Anda membuat peran yang namanya dimulai dengan **Io TSite WisePortalRole**. Peran ini memungkinkan pengguna SiteWise Monitor federasi untuk mengakses konfigurasi portal, aset, data aset, dan konfigurasi Pusat Identitas IAM Anda.
**Awas**
**Pemilik proyek** **dan peran penampil Proyek** tidak didukung untuk SiteWise Monitor (sadar AI).
Peran tersebut mempercayai layanan berikut untuk mengambil peran:
+ `monitor.iotsitewise.amazonaws.com`
Peran tersebut menggunakan kebijakan izin berikut, yang dimulai dengan **Io TSite Wise AIPortal AccessPolicy**, untuk memungkinkan pengguna SiteWise Monitor menyelesaikan tindakan pada sumber daya di akun Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
Saat pengguna portal masuk, SiteWise Monitor akan membuat [kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) berdasarkan persimpangan peran layanan dan kebijakan akses pengguna tersebut.
## Mengelola peran layanan SiteWise Monitor (konsol)
Konsol AWS IoT SiteWise Memfasilitasi pengelolaan peran layanan SiteWise Monitor untuk portal. Setelah membuat portal, konsol memeriksa peran yang ada yang cocok untuk lampiran. Jika tidak ada yang tersedia, konsol dapat membuat dan mengonfigurasi peran layanan untuk Anda. Untuk informasi selengkapnya, lihat [Buat portal di SiteWise Monitor](monitor-create-portal.md).
**Topics**
+ [
### Temukan peran layanan portal (konsol)
](#find-portal-role-console)
+ [
### Membuat peran layanan SiteWise Monitor (AWS IoT SiteWise konsol)
](#create-portal-role-sitewise-console)
+ [
### Membuat peran layanan SiteWise Monitor (konsol IAM)
](#create-portal-role-iam-console)
+ [
### Mengubah peran layanan portal (konsol)
](#change-portal-role-console)
### Temukan peran layanan portal (konsol)
Gunakan langkah-langkah berikut untuk menemukan peran layanan yang dilampirkan ke portal SiteWise Monitor.
**Untuk menemukan peran layanan portal**
1. Navigasikan ke [konsol AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/) tersebut.
1. Di panel navigasi kiri, pilih **Portal**.
1. Pilih portal yang ingin Anda temukan peran layanannya.
Peran yang dilampirkan ke portal muncul di bawah **Izin**, **peran Layanan**.
### Membuat peran layanan SiteWise Monitor (AWS IoT SiteWise konsol)
Saat membuat portal SiteWise Monitor, Anda dapat membuat peran layanan untuk portal Anda. Untuk informasi selengkapnya, lihat [Buat portal di SiteWise Monitor](monitor-create-portal.md).
Anda juga dapat membuat peran layanan untuk portal yang ada di AWS IoT SiteWise konsol. Ini menggantikan peran layanan portal yang ada.
**Untuk membuat peran layanan untuk portal yang ada**
1. Navigasikan ke [konsol AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/) tersebut.
1. Di panel navigasi, pilih **Portal**.
1. Pilih portal yang ingin Anda buat peran layanan baru.
1. Di bawah **Detail Portal**, pilih **Edit**.
1. Di bawah **Izin**, pilih **Buat dan gunakan peran layanan baru** dari daftar.
1. Masukkan nama untuk peran baru Anda.
1. Pilih **Simpan**.
### Membuat peran layanan SiteWise Monitor (konsol IAM)
Anda dapat membuat peran layanan dari templat peran layanan di konsol IAM. Templat peran ini mencakup kebijakan [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)terkelola dan menetapkan SiteWise Monitor sebagai entitas tepercaya.
**Untuk membuat peran layanan dari template peran layanan portal**
1. Arahkan ke [konsol IAM](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Dalam **Pilih kasus penggunaan**, pilih **IoT SiteWise**.
1. Di **Pilih kasus penggunaan Anda**, pilih **IoT SiteWise Monitor - Portal**.
1. Pilih **Berikutnya: Izin**.
1. Pilih **Berikutnya: Tanda**.
1. Pilih **Berikutnya: Tinjau**.
1. Masukkan **nama Peran** untuk peran layanan baru.
1. Pilih **Buat peran**.
### Mengubah peran layanan portal (konsol)
Gunakan prosedur berikut untuk memilih peran layanan SiteWise Monitor yang berbeda untuk portal.
**Untuk mengubah peran layanan portal**
1. Navigasikan ke [konsol AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/) tersebut.
1. Di panel navigasi, pilih **Portal**.
1. Pilih portal yang ingin Anda ubah peran layanannya.
1. Di bawah **Detail Portal**, pilih **Edit**.
1. Di bawah **Izin**, pilih **Gunakan peran yang ada**.
1. Pilih peran yang ada untuk dilampirkan ke portal ini.
1. Pilih **Simpan**.
## Mengelola peran layanan SiteWise Monitor (CLI)
Anda dapat menggunakan AWS CLI untuk tugas manajemen peran layanan portal berikut:
**Topics**
+ [
### Temukan peran layanan portal (CLI)
](#find-portal-role-cli)
+ [
### Buat peran layanan SiteWise Monitor (CLI)
](#create-portal-role-cli)
### Temukan peran layanan portal (CLI)
Untuk menemukan peran layanan yang dilampirkan ke portal SiteWise Monitor, jalankan perintah berikut untuk mencantumkan semua portal Anda di Wilayah saat ini.
```
aws iotsitewise list-portals
```
Operasi mengembalikan respons yang berisi ringkasan portal Anda dalam format berikut.
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
Anda juga dapat menggunakan [DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html)operasi untuk menemukan peran portal Anda jika Anda mengetahui ID portal Anda.
### Buat peran layanan SiteWise Monitor (CLI)
Gunakan langkah-langkah berikut untuk membuat peran layanan SiteWise Monitor baru.
**Untuk membuat peran layanan SiteWise Monitor**
1. Buat peran dengan kebijakan kepercayaan yang memungkinkan SiteWise Monitor untuk mengambil peran. Contoh ini membuat peran bernama **MySiteWiseMonitorPortalRole** dari kebijakan kepercayaan yang disimpan dalam string JSON.
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. Salin peran ARN dari metadata peran dalam output. Saat Anda membuat portal, Anda menggunakan ARN ini untuk mengaitkan peran dengan portal Anda. Untuk informasi selengkapnya tentang membuat portal, lihat [CreatePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html)di *Referensi AWS IoT SiteWise API*.
1.
1. Untuk SiteWise Monitor (Klasik) — Lampirkan `AWSIoTSiteWiseMonitorPortalAccess` kebijakan ke peran, atau lampirkan kebijakan yang menentukan izin yang setara.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. Untuk SiteWise Monitor (AI-aware) — Lampirkan `IoTSiteWiseAIPortalAccessPolicy` kebijakan ke peran, atau lampirkan kebijakan yang menentukan izin yang setara. Misalnya, buat kebijakan dengan izin akses portal. Contoh berikut membuat kebijakan bernama`MySiteWiseMonitorPortalAccess`.
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**Untuk melampirkan peran layanan ke portal yang ada**
1. Untuk mengambil detail portal yang ada, jalankan perintah berikut. Ganti *portal-id* dengan ID portal.
```
aws iotsitewise describe-portal --portal-id portal-id
```
Operasi mengembalikan respon yang berisi rincian portal dalam format berikut.
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. Untuk melampirkan peran layanan ke portal, jalankan perintah berikut. Ganti *role-arn* dengan ARN peran layanan, dan ganti parameter yang tersisa dengan nilai portal yang ada.
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Pantau pembaruan ke AWSIo TSite WiseMonitorServiceRole
Anda dapat melihat detail tentang pembaruan **AWSIoTSiteWiseMonitorServiceRole**untuk SiteWise Monitor, mulai dari saat layanan ini mulai melacak perubahan. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS IoT SiteWise dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions)— Kebijakan yang diperbarui | AWS IoT SiteWise memperbarui kebijakan [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)terkelola untuk fitur alarm. | 27 Mei 2021 |
| AWS IoT SiteWise mulai melacak perubahan | AWS IoT SiteWise mulai melacak perubahan untuk peran layanannya. | 15 Desember 2020 |
# Siapkan izin untuk alarm acara di AWS IoT SiteWise
Bila Anda menggunakan model AWS IoT Events alarm untuk memantau properti AWS IoT SiteWise aset, Anda harus memiliki izin IAM berikut:
+ Peran AWS IoT Events layanan yang memungkinkan AWS IoT Events untuk mengirim data ke AWS IoT SiteWise. Untuk informasi selengkapnya, lihat [Identitas dan manajemen akses AWS IoT Events](https://docs.aws.amazon.com/iotevents/latest/developerguide/security-iam.html) di *Panduan AWS IoT Events Pengembang*.
+ Anda harus memiliki izin AWS IoT SiteWise tindakan berikut: `iotsitewise:DescribeAssetModel` dan`iotsitewise:UpdateAssetModelPropertyRouting`. Izin ini memungkinkan AWS IoT SiteWise untuk mengirim nilai properti aset ke model AWS IoT Events alarm.
*Untuk informasi selengkapnya, lihat [Kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) di Panduan Pengguna IAM.*
## Izin tindakan yang diperlukan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**. Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan.
Sebelum menentukan model AWS IoT Events alarm, Anda harus memberikan izin berikut yang memungkinkan AWS IoT SiteWise untuk mengirim nilai properti aset ke model alarm.
+ `iotsitewise:DescribeAssetModel`, `iotsitewise:ListAssetModels` — Memungkinkan AWS IoT Events untuk memeriksa apakah properti aset ada.
+ `iotsitewise:UpdateAssetModelPropertyRouting`— Memungkinkan AWS IoT SiteWise untuk secara otomatis membuat langganan yang memungkinkan AWS IoT SiteWise untuk mengirim data ke AWS IoT Events.
Untuk informasi selengkapnya tentang tindakan yang AWS IoT SiteWise didukung, lihat [Tindakan yang ditentukan oleh AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) dalam *Referensi Otorisasi Layanan*.
**Example Contoh kebijakan izin 1**
Kebijakan berikut memungkinkan AWS IoT SiteWise untuk mengirim nilai properti aset ke model AWS IoT Events alarm apa pun.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:UpdateAlarmModel"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModelPropertyRouting"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
}
]
}
```
**Example Contoh kebijakan izin 2**
Kebijakan berikut memungkinkan AWS IoT SiteWise untuk mengirim nilai properti aset tertentu ke model AWS IoT Events alarm tertentu.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:UpdateAlarmModel"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:UpdateAssetModelPropertyRouting"
],
"Resource": [
"arn:aws:iotsitewise:us-east-1:123456789012:asset-model/12345678-90ab-cdef-1234-567890abcdef"
],
"Condition": {
"StringLike": {
"iotsitewise:propertyId": "abcdef12-3456-7890-abcd-ef1234567890",
"aws:ResourceTag/AlarmModel": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/MyAlarmModel"
}
}
}
]
}
```
## ListInputRoutings Izin (Opsional)
Saat Anda memperbarui atau menghapus model aset, AWS IoT SiteWise dapat memeriksa apakah model alarm di AWS IoT Events memantau properti aset yang terkait dengan model aset ini. Ini mencegah Anda menghapus properti aset yang saat ini digunakan AWS IoT Events alarm. Untuk mengaktifkan fitur ini AWS IoT SiteWise, Anda harus memiliki `iotevents:ListInputRoutings` izin. Izin ini memungkinkan AWS IoT SiteWise untuk melakukan panggilan ke operasi [ListInputRoutings](https://docs.aws.amazon.com/iotevents/latest/apireference/API_ListInputRoutings.html)API yang didukung oleh AWS IoT Events.
**catatan**
Kami sangat menyarankan Anda menambahkan `ListInputRoutings` izin.
**Example Contoh kebijakan izin**
Kebijakan berikut memungkinkan Anda memperbarui dan menghapus model aset, dan menggunakan `ListInputRoutings` API di dalamnya AWS IoT SiteWise.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:UpdateAssetModel",
"iotsitewise:DeleteAssetModel",
"iotevents:ListInputRoutings"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
}
]
}
```
------
## Izin yang diperlukan untuk Monitor SiteWise
Jika ingin menggunakan fitur alarm di portal SiteWise Monitor, Anda harus memperbarui [peran layanan SiteWise Monitor](monitor-service-role.md) dengan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
# Cross-service membingungkan deputi pencegahan di AWS IoT SiteWise
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain dengan cara yang seharusnya tidak memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan dalam kebijakan sumber daya untuk membatasi izin yang AWS IoT SiteWise memberikan layanan lain ke sumber daya. Jika `aws:SourceArn` nilai tidak berisi ID akun, seperti bucket Amazon S3 Nama Sumber Daya Amazon (ARN), Anda harus menggunakan kedua kunci konteks kondisi global untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai `aws:SourceArn` berisi ID akun, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.
+ Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan.
+ Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Nilai `aws:SourceArn` harus menjadi sumber daya AWS IoT SiteWise pelanggan yang terkait dengan `sts:AssumeRole` permintaan.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:servicename:*:123456789012:*`.
**Example — Pencegahan Deputi Bingung**
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan AWS IoT SiteWise untuk mencegah masalah wakil yang membingungkan.
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:iotsitewise:*:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
# Memecahkan masalah AWS IoT SiteWise identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS IoT SiteWise dan AWS Identity and Access Management (IAM).
**Topics**
+ [
## Saya tidak berwenang untuk melakukan tindakan di AWS IoT SiteWise
](#security_iam_troubleshoot-no-permissions)
+ [
## Saya tidak berwenang untuk melakukan `iam:PassRole`
](#security_iam_troubleshoot-passrole)
+ [
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses AWS IoT SiteWise sumber daya saya
](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di AWS IoT SiteWise
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberikan nama pengguna dan kata sandi Anda.
Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` IAM mencoba menggunakan konsol untuk melihat detail tentang aset tetapi tidak memiliki `iotsitewise:DescribeAsset` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: iotsitewise:DescribeAsset on resource: a1b2c3d4-5678-90ab-cdef-22222EXAMPLE
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk memungkinkannya mengakses sumber daya aset dengan ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` menggunakan `iotsitewise:DescribeAsset` tindakan tersebut.
## Saya tidak berwenang untuk melakukan `iam:PassRole`
Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran AWS IoT SiteWise.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di AWS IoT SiteWise. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses AWS IoT SiteWise sumber daya saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah AWS IoT SiteWise mendukung fitur-fitur ini, lihat[Bagaimana AWS IoT SiteWise bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*