Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bagaimana AWS IoT SiteWise bekerja dengan IAM
Sebelum Anda menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses AWS IoT SiteWise, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan. AWS IoT SiteWise
| Fitur IAM | Didukung oleh AWS IoT SiteWise? |
| --- | --- |
| [Kebijakan berbasis identitas dengan izin tingkat sumber daya](security_iam_service-with-iam-id-based-policies.md) | Ya |
| [Tindakan kebijakan](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [Kunci kondisi kebijakan](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| Kebijakan berbasis sumber daya | Tidak |
| Daftar kontrol akses (ACLs) | Tidak |
| [Otorisasi berbasis tag (ABAC)](security_iam_service-with-iam-tags.md) | Ya |
| [Kredensial sementara](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Sesi akses teruskan (FAS)](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran terkait layanan](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Ya |
| [Peran layanan](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Ya |
Untuk mendapatkan pandangan tingkat tinggi tentang bagaimana AWS IoT SiteWise dan AWS layanan lain bekerja dengan IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Contents**
+ [AWS IoT SiteWise Peran IAM](security_iam_service-with-iam-roles.md)
+ [Gunakan kredensyal sementara dengan AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)
+ [Sesi akses teruskan (FAS) untuk AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)
+ [Peran terkait layanan](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)
+ [Peran layanan](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service)
+ [Pilih peran IAM di AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-choose)
+ [Otorisasi berdasarkan tag AWS IoT SiteWise](security_iam_service-with-iam-tags.md)
+ [AWS IoT SiteWise kebijakan berbasis identitas](security_iam_service-with-iam-id-based-policies.md)
+ [Tindakan kebijakan](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)
+ [BatchPutAssetPropertyValue otorisasi](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action)
+ [Sumber daya kebijakan](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)
+ [Kunci kondisi kebijakan](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Contoh](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-examples)
+ [AWS IoT SiteWise contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [Praktik terbaik kebijakan](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)
+ [Gunakan AWS IoT SiteWise konsol](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-own-permissions)
+ [Izinkan pengguna untuk menyerap data ke aset dalam satu hierarki](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Lihat AWS IoT SiteWise aset berdasarkan tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)
+ [Mengelola akses menggunakan kebijakan di AWS IoT SiteWise](security_iam_access-manage.md)
+ [Kebijakan berbasis identitas](security_iam_access-manage.md#security_iam_access-manage-id-based-policies)
+ [Kebijakan berbasis sumber daya](security_iam_access-manage.md#security_iam_access-manage-resource-based-policies)
+ [Daftar kontrol akses (ACLs)](security_iam_access-manage.md#security_iam_access-manage-acl)
+ [Jenis-jenis kebijakan lain](security_iam_access-manage.md#security_iam_access-manage-other-policies)
+ [Berbagai jenis kebijakan](security_iam_access-manage.md#security_iam_access-manage-multiple-policies)
# AWS IoT SiteWise Peran IAM
[Peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) IAM adalah entitas di dalam akun AWS Anda yang memiliki izin tertentu.
## Gunakan kredensyal sementara dengan AWS IoT SiteWise
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
AWS IoT SiteWise mendukung menggunakan kredensi sementara.
SiteWise Monitor mendukung pengguna federasi untuk mengakses portal. Pengguna portal mengautentikasi dengan Pusat Identitas IAM atau kredensil IAM mereka.
**penting**
Pengguna atau peran harus memiliki `iotsitewise:DescribePortal` izin untuk masuk ke portal.
Saat pengguna masuk ke portal, SiteWise Monitor akan membuat kebijakan sesi yang memberikan izin berikut:
+ Akses hanya-baca ke aset dan data aset AWS IoT SiteWise di akun Anda yang peran portal tersebut menyediakan akses.
+ Akses ke proyek di portal tempat pengguna memiliki akses administrator (pemilik proyek) atau hanya-baca (penampil proyek).
Untuk informasi selengkapnya tentang izin pengguna portal federasi, lihat. [Gunakan peran layanan untuk AWS IoT SiteWise Monitor](monitor-service-role.md)
## Sesi akses teruskan (FAS) untuk AWS IoT SiteWise
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. peran terkait layanan muncul di AWS akun Anda dan dimiliki oleh layanan. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
AWS IoT SiteWise mendukung peran terkait layanan. Untuk informasi selengkapnya tentang cara membuat atau mengelola peran terkait layanan AWS IoT SiteWise , lihat [Gunakan peran terkait layanan untuk AWS IoT SiteWise](using-service-linked-roles.md).
## Peran layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di AWS akun Anda dan dimiliki oleh akun. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
AWS IoT SiteWise menggunakan peran layanan untuk memungkinkan pengguna portal SiteWise Monitor mengakses beberapa sumber AWS IoT SiteWise daya Anda atas nama Anda. Untuk informasi selengkapnya, lihat [Gunakan peran layanan untuk AWS IoT SiteWise Monitor](monitor-service-role.md).
Anda harus memiliki izin yang diperlukan sebelum Anda dapat membuat model AWS IoT Events alarm di AWS IoT SiteWise. Untuk informasi selengkapnya, lihat [Siapkan izin untuk alarm acara di AWS IoT SiteWise](alarms-iam-permissions.md).
## Pilih peran IAM di AWS IoT SiteWise
Saat Anda membuat `portal` sumber daya AWS IoT SiteWise, Anda harus memilih peran untuk memungkinkan pengguna federasi portal SiteWise Monitor Anda mengakses AWS IoT SiteWise atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan, AWS IoT SiteWise berikan daftar peran untuk dipilih. Jika tidak, Anda dapat membuat peran dengan izin yang diperlukan saat membuat portal. Penting untuk memilih peran yang memungkinkan akses ke aset dan data aset Anda. Untuk informasi selengkapnya, lihat [Gunakan peran layanan untuk AWS IoT SiteWise Monitor](monitor-service-role.md).
# Otorisasi berdasarkan tag AWS IoT SiteWise
Anda dapat melampirkan tag ke AWS IoT SiteWise sumber daya atau meneruskan tag dalam permintaan AWS IoT SiteWise. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang penandaan sumber daya AWS IoT SiteWise , lihat [Tandai AWS IoT SiteWise sumber daya Anda](tag-resources.md).
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tanda pada sumber daya tersebut, lihat [Lihat AWS IoT SiteWise aset berdasarkan tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags).
# AWS IoT SiteWise kebijakan berbasis identitas
Kebijakan IAM memungkinkan Anda mengontrol siapa yang dapat melakukan apa. AWS IoT SiteWise Anda dapat memutuskan tindakan apa yang diizinkan atau tidak dan menetapkan kondisi khusus untuk tindakan ini. Misalnya, Anda dapat membuat aturan tentang siapa yang dapat melihat atau mengubah informasi AWS IoT SiteWise. AWS IoT SiteWise mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
## Tindakan kebijakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan AWS IoT SiteWise menggunakan awalan berikut sebelum tindakan:`iotsitewise:`. Misalnya, untuk memberikan izin kepada seseorang untuk mengunggah data properti aset AWS IoT SiteWise dengan operasi `BatchPutAssetPropertyValue` API, Anda menyertakan `iotsitewise:BatchPutAssetPropertyValue` tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu `Action` atau `NotAction` elemen. AWS IoT SiteWise mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan tindakan dengan koma seperti berikut:
```
"Action": [
"iotsitewise:action1",
"iotsitewise:action2"
]
```
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut.
```
"Action": "iotsitewise:Describe*"
```
Untuk melihat daftar AWS IoT SiteWise tindakan, lihat [Tindakan yang ditentukan oleh AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) dalam *Panduan Pengguna IAM*.
### BatchPutAssetPropertyValue otorisasi
AWS IoT SiteWise mengizinkan akses ke [BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html)tindakan dengan cara yang tidak biasa. Untuk sebagian besar tindakan, saat Anda mengizinkan atau menolak akses, tindakan tersebut mengembalikan kesalahan jika izin tidak diberikan. Dengan`BatchPutAssetPropertyValue`, Anda dapat mengirim beberapa entri data ke aset dan properti aset yang berbeda dalam satu permintaan API. AWS IoT SiteWise mengotorisasi setiap entri data secara independen. Untuk setiap entri individu yang gagal otorisasi dalam permintaan, AWS IoT SiteWise termasuk `AccessDeniedException` dalam daftar kesalahan yang dikembalikan. AWS IoT SiteWise menerima data untuk setiap entri yang mengotorisasi dan berhasil, bahkan jika entri lain dalam permintaan yang sama gagal.
**penting**
Sebelum Anda menyerap data ke aliran data, lakukan hal berikut:
Otorisasi `time-series` sumber daya jika Anda menggunakan alias properti untuk mengidentifikasi aliran data.
Otorisasi `asset` sumber daya jika Anda menggunakan ID aset untuk mengidentifikasi aset yang berisi properti aset terkait.
## Sumber daya kebijakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Setiap pernyataan kebijakan IAM berlaku untuk sumber daya yang Anda tentukan dengan menggunakan ARNs. ARN memiliki sintaks umum berikut.
```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```
Untuk informasi selengkapnya tentang format ARNs, lihat [Mengidentifikasi AWS sumber daya dengan Nama Sumber Daya Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Misalnya, untuk menentukan aset dengan ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` dalam pernyataan Anda, gunakan ARN berikut. ;
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```
Untuk menentukan semua aliran data milik akun tertentu, gunakan wildcard (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```
Untuk menentukan semua aset milik akun tertentu, gunakan wildcard (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```
Beberapa AWS IoT SiteWise tindakan, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
]
```
Untuk melihat daftar jenis AWS IoT SiteWise sumber daya dan jenis sumber daya ARNs, lihat [Jenis sumber daya yang ditentukan oleh AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies) dalam *Panduan Pengguna IAM*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Kunci kondisi kebijakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
**penting**
Beberapa kunci syarat bersifat khusus untuk sumber daya, dan beberapa tindakan API menggunakan beberapa sumber daya. Jika Anda menulis pernyataan kebijakan dengan kunci kondisi, gunakan `Resource` elemen pernyataan untuk menentukan sumber daya yang diterapkan kunci kondisi. Jika Anda tidak melakukannya, kebijakan tersebut dapat mencegah pengguna melakukan tindakan sama sekali, karena pemeriksaan kondisi gagal untuk sumber daya yang tidak diterapkan oleh kunci kondisi. Jika Anda tidak ingin menentukan sumber daya, atau jika Anda telah menulis `Action` elemen kebijakan untuk menyertakan beberapa tindakan API, Anda harus menggunakan tipe `...IfExists` kondisi untuk memastikan bahwa kunci kondisi diabaikan untuk sumber daya yang tidak menggunakannya. Untuk informasi lebih lanjut, lihat[... IfExists ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists)kondisi dalam *Panduan Pengguna IAM*.
AWS IoT SiteWise mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
**AWS IoT SiteWise kunci kondisi**
| Kunci syarat | Deskripsi | Tipe |
| --- | --- | --- |
| iotsitewise:isAssociatedWithAssetProperty | Apakah aliran data dikaitkan dengan properti aset. Gunakan kunci kondisi ini untuk menentukan izin berdasarkan keberadaan properti aset terkait untuk aliran data. Nilai contoh: `true` | String |
| iotsitewise:assetHierarchyPath | Jalur hierarki aset, yang merupakan string aset yang IDs masing-masing dipisahkan oleh garis miring ke depan. Gunakan kunci kondisi ini untuk menentukan izin berdasarkan subset hierarki semua aset di akun Anda. Nilai contoh: `/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:propertyId | ID properti aset. Gunakan kunci kondisi ini untuk menentukan izin berdasarkan properti tertentu dari model aset. Kunci kondisi ini berlaku untuk semua aset model itu. Nilai contoh: `a1b2c3d4-5678-90ab-cdef-33333EXAMPLE` | String |
| iotsitewise:childAssetId | ID aset yang dikaitkan sebagai anak ke aset lain. Gunakan kunci kondisi ini untuk menentukan izin berdasarkan aset anak. Untuk menentukan izin berdasarkan aset induk, gunakan bagian sumber daya dari pernyataan kebijakan. Nilai contoh: `a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:iam | ARN identitas IAM saat mencantumkan kebijakan akses. Gunakan kunci kondisi ini untuk menentukan izin kebijakan akses untuk identitas IAM. Nilai contoh: `arn:aws:iam::123456789012:user/JohnDoe` | Tali, Null |
| iotsitewise:propertyAlias | Alias yang mengidentifikasi properti aset atau aliran data. Gunakan tombol kondisi ini untuk menentukan izin berdasarkan alias. | String |
| iotsitewise:user | ID pengguna Pusat Identitas IAM saat mencantumkan kebijakan akses. Gunakan kunci kondisi ini untuk menentukan izin kebijakan akses bagi pengguna Pusat Identitas IAM. Nilai contoh: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE` | Tali, Null |
| iotsitewise:group | ID grup Pusat Identitas IAM saat mencantumkan kebijakan akses. Gunakan kunci kondisi ini untuk menentukan izin kebijakan akses untuk grup Pusat Identitas IAM. Nilai contoh: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE` | Tali, Null |
| iotsitewise:portal | ID portal dalam kebijakan akses. Gunakan kunci kondisi ini untuk menentukan izin kebijakan akses berdasarkan portal. Nilai contoh: `a1b2c3d4-5678-90ab-cdef-77777EXAMPLE` | Tali, Null |
| iotsitewise:project | ID proyek dalam kebijakan akses, atau ID proyek untuk dasbor. Gunakan tombol kondisi ini untuk menentukan dasbor atau akses izin kebijakan berdasarkan proyek. Nilai contoh: `a1b2c3d4-5678-90ab-cdef-88888EXAMPLE` | Tali, Null |
Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Contoh
Untuk melihat contoh kebijakan AWS IoT SiteWise berbasis identitas, lihat. [AWS IoT SiteWise contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
# AWS IoT SiteWise contoh kebijakan berbasis identitas
Secara default, entitas (pengguna dan peran) tidak memiliki izin untuk membuat atau memodifikasi AWS IoT SiteWise sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS Command Line Interface (AWS CLI), atau AWS API. Untuk menyesuaikan izin, administrator AWS Identity and Access Management (IAM) harus melakukan hal berikut:
1. Buat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang mereka butuhkan.
1. Lampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan pada tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Gunakan AWS IoT SiteWise konsol](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Izinkan pengguna untuk menyerap data ke aset dalam satu hierarki](#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Lihat AWS IoT SiteWise aset berdasarkan tag](#security_iam_id-based-policy-examples-view-asset-tags)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus AWS IoT SiteWise sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Gunakan AWS IoT SiteWise konsol
Untuk mengakses AWS IoT SiteWise konsol, Anda memerlukan satu set izin dasar. Izin ini memungkinkan Anda melihat dan mengelola detail tentang AWS IoT SiteWise sumber daya di AWS akun Anda.
Jika Anda membuat kebijakan yang terlalu ketat, konsol mungkin tidak berfungsi seperti yang diharapkan untuk pengguna atau peran (entitas) dengan kebijakan tersebut. Untuk memastikan bahwa entitas tersebut masih dapat menggunakan AWS IoT SiteWise konsol, lampirkan kebijakan [AWSIoTSiteWiseConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/policies/arn:aws:iam::aws:policy/AWSIoTSiteWiseConsoleFullAccess)terkelola ke mereka atau tentukan izin yang setara untuk entitas tersebut. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Jika entitas hanya menggunakan AWS Command Line Interface (CLI) atau AWS IoT SiteWise API, dan bukan konsol, mereka tidak memerlukan izin minimum ini. Dalam hal ini, cukup beri mereka akses ke tindakan spesifik yang mereka butuhkan untuk tugas API mereka.
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Izinkan pengguna untuk menyerap data ke aset dalam satu hierarki
Dalam contoh ini, Anda ingin memberi pengguna di AWS akun Anda akses untuk menulis data ke semua properti aset dalam hierarki aset tertentu, mulai dari aset `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` root. Kebijakan memberikan `iotsitewise:BatchPutAssetPropertyValue` izin kepada pengguna. Kebijakan ini menggunakan kunci `iotsitewise:assetHierarchyPath` kondisi untuk membatasi akses ke aset yang jalur hierarki cocok dengan aset atau turunannya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutAssetPropertyValuesForHierarchy",
"Effect": "Allow",
"Action": "iotsitewise:BatchPutAssetPropertyValue",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringLike": {
"iotsitewise:assetHierarchyPath": [
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
]
}
}
}
]
}
```
------
## Lihat AWS IoT SiteWise aset berdasarkan tag
Gunakan kondisi dalam kebijakan berbasis identitas Anda untuk mengontrol akses ke AWS IoT SiteWise sumber daya berdasarkan tag. Contoh ini menunjukkan cara membuat kebijakan yang memungkinkan penayangan aset. Namun, izin diberikan hanya jika tag aset `Owner` memiliki nilai nama pengguna pengguna tersebut. Kebijakan ini juga memberikan izin untuk menyelesaikan tindakan ini di konsol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAllAssets",
"Effect": "Allow",
"Action": [
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets"
],
"Resource": "*"
},
{
"Sid": "DescribeAssetIfOwner",
"Effect": "Allow",
"Action": "iotsitewise:DescribeAsset",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Lampirkan kebijakan ini ke pengguna di akun Anda. Jika pengguna bernama `richard-roe` mencoba untuk melihat AWS IoT SiteWise aset, aset harus ditandai `Owner=richard-roe` atau`owner=richard-roe`. Jika tidak, Richard ditolak aksesnya. Nama kunci tag kondisi tidak peka huruf besar/kecil. Jadi, `Owner` cocok dengan keduanya `Owner` dan`owner`. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
# Mengelola akses menggunakan kebijakan di AWS IoT SiteWise
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
## Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
## Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
## Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
## Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
## Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.