Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Usa ruoli collegati ai servizi per AWS IoT SiteWise
AWS IoT SiteWise utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente AWS IoT SiteWise. I ruoli collegati ai servizi sono predefiniti AWS IoT SiteWise e includono tutte le autorizzazioni necessarie al servizio per chiamare altri servizi per tuo conto. AWS
I ruoli collegati ai servizi semplificano la configurazione di includendo automaticamente tutte le autorizzazioni necessarie. AWS IoT SiteWise AWS IoT SiteWise definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS IoT SiteWise Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. E quella politica di autorizzazione non può essere associata a nessun'altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. Questo protegge AWS IoT SiteWise le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruolo collegato ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
**Topics**
+ [Autorizzazioni del ruolo collegato ai servizi](service-linked-role-permissions.md)
+ [Crea un ruolo collegato al servizio](create-service-linked-role.md)
+ [Aggiornamento di un ruolo collegato ai servizi](edit-service-linked-role.md)
+ [Eliminazione di un ruolo collegato al servizio](delete-service-linked-role.md)
+ [Regioni supportate](#slr-regions)
+ [Usa i ruoli di servizio per SiteWise Monitor](monitor-service-role.md)
# Autorizzazioni di ruolo collegate ai servizi per AWS IoT SiteWise
AWS IoT SiteWise **utilizza il ruolo collegato al servizio denominato AWSService RoleForIo TSite Wise.** AWS IoT SiteWise utilizza questo ruolo collegato al servizio per distribuire i gateway SiteWise Edge (che funzionano su) ed eseguire la registrazione. AWS IoT Greengrass
Il ruolo `AWSServiceRoleForIoTSiteWise` collegato al servizio utilizza la policy con le seguenti autorizzazioni. `AWSServiceRoleForIoTSiteWise` Questa politica:
+ Consente di AWS IoT SiteWise implementare gateway SiteWise Edge (che funzionano su`AWS IoT Greengrass`).
+ Consente di eseguire AWS IoT SiteWise la registrazione.
+ Consente di AWS IoT SiteWise eseguire una query di ricerca di metadati nel AWS IoT TwinMaker database.
Per ulteriori informazioni sulle azioni consentite in`AWSServiceRoleForIoTSiteWise`, consulta le [politiche AWS gestite per AWS IoT SiteWise](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
È possibile utilizzare i log per monitorare e risolvere i problemi dei gateway Edge. SiteWise Per ulteriori informazioni, consulta [Monitora i log del gateway SiteWise Edge](monitor-gateway-logs.md).
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio, configura innanzitutto le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
# Crea un ruolo collegato al servizio per AWS IoT SiteWise
AWS IoT SiteWise richiede un ruolo collegato al servizio per eseguire determinate azioni e accedere alle risorse per conto dell'utente. Un ruolo collegato al servizio è un tipo unico di ruolo AWS Identity and Access Management (IAM) a cui è collegato direttamente. AWS IoT SiteWise Creando questo ruolo, AWS IoT SiteWise concedi le autorizzazioni necessarie per accedere ad altri AWS servizi e risorse necessari per il suo funzionamento, come Amazon S3 per l'archiviazione dei dati AWS IoT o per la comunicazione tra dispositivi.
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esegui le seguenti operazioni nella AWS IoT SiteWise console, AWS IoT SiteWise crea automaticamente il ruolo collegato al servizio.
+ Crea un gateway Greengrass V1.
+ Configura l'opzione di registrazione.
+ Scegliendo il pulsante di attivazione nel banner di esecuzione della query.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando esegui un'operazione nella AWS IoT SiteWise console, AWS IoT SiteWise crea nuovamente il ruolo collegato al servizio.
Puoi anche utilizzare la console o l'API IAM per creare un ruolo collegato al servizio per. AWS IoT SiteWise
+ Per farlo nella console IAM, crea un ruolo con la policy **AWSServiceRoleForIoTSiteWise** e instaura una relazione di fiducia con. `iotsitewise.amazonaws.com`
+ Per farlo utilizzando la AWS CLI nostra API IAM, crea un ruolo con la `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise` policy e instaura una relazione di fiducia con`iotsitewise.amazonaws.com`.
Per ulteriori informazioni, consulta [Create a service linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role) nella *IAM User* Guide.
Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
# Aggiorna un ruolo collegato al servizio per AWS IoT SiteWise
AWS IoT SiteWise non consente di modificare il ruolo collegato al servizio AWSService RoleForIo TSite Wise. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. *Per maggiori informazioni, consulta [Aggiornare un ruolo collegato al servizio nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) User Guide.*
# Elimina un ruolo collegato al servizio per AWS IoT SiteWise
Se una funzionalità o un servizio che richiede un ruolo collegato al servizio non è più in uso, è consigliabile eliminare il ruolo associato. Questo per evitare di avere un'entità inattiva che non viene monitorata o gestita. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il AWS IoT SiteWise servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e riprova.
**Per eliminare AWS IoT SiteWise le risorse utilizzate da AWSService RoleForIo TSite Wise**
1. Disabilita la registrazione per AWS IoT SiteWise. Per ulteriori informazioni, consulta [Cambia il tuo livello di registrazione](monitor-cloudwatch-logs.md#change-logging-level)
1. Eliminare tutti i gateway SiteWise Edge attivi.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Usa la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio AWSService RoleForIo TSite Wise. Per ulteriori informazioni, consulta [Eliminare ruoli o profili di istanza nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role) per l'*utente IAM*.
## Regioni supportate per i ruoli AWS IoT SiteWise collegati ai servizi
AWS IoT SiteWise supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote per AWS IoT SiteWise](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html).
# Utilizza i ruoli di servizio per AWS IoT SiteWise Monitor
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
Per consentire agli utenti federati del portale SiteWise Monitor di accedere AWS IoT SiteWisealle AWS IAM Identity Center proprie risorse, è necessario assegnare un ruolo di servizio a ciascun portale creato. Il ruolo di servizio deve specificare SiteWise Monitor come entità attendibile e includere la policy [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gestita o definire [autorizzazioni equivalenti](#monitor-service-role-permissions). Questa policy è gestita AWS e definisce il set di autorizzazioni che SiteWise Monitor utilizza per accedere alle tue risorse AWS IoT SiteWise e a quelle di IAM Identity Center.
Quando crei un portale SiteWise Monitor, devi scegliere un ruolo che consenta agli utenti di quel portale di accedere alle tue risorse AWS IoT SiteWisee a quelle di IAM Identity Center. La AWS IoT SiteWise console può creare e configurare il ruolo per te. Puoi modificare il ruolo in IAM in un secondo momento. Gli utenti del portale avranno problemi a utilizzare i loro portali SiteWise Monitor se rimuovi le autorizzazioni richieste dal ruolo o elimini il ruolo.
**Nota**
I portali creati prima del 29 aprile 2020 non richiedevano ruoli del servizio. Se hai creato portali prima di tale data, devi collegare ruoli del servizio per continuare a utilizzarli. Per farlo, vai alla pagina **Portali** nella [AWS IoT SiteWise console](https://console.aws.amazon.com/iotsitewise/), quindi scegli **Migra tutti i portali** per utilizzare i ruoli IAM.
Le sezioni seguenti descrivono come creare e gestire il ruolo del servizio SiteWise Monitor in o in. Console di gestione AWS AWS Command Line Interface
**Contents**
+ [Autorizzazioni del ruolo di servizio per SiteWise Monitor (Classic)](#monitor-service-role-permissions)
+ [Autorizzazioni per ruoli di servizio per SiteWise Monitor (AI-Aware)](#monitor-ai-service-role-permissions)
+ [Gestisci il ruolo del servizio SiteWise Monitor (console)](#manage-portal-role-console)
+ [Trova il ruolo di servizio di un portale (console)](#find-portal-role-console)
+ [Crea un ruolo SiteWise del servizio Monitor (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Crea un ruolo SiteWise del servizio Monitor (console IAM)](#create-portal-role-iam-console)
+ [Modificare il ruolo di servizio di un portale (console)](#change-portal-role-console)
+ [Gestire il ruolo del servizio SiteWise Monitor (CLI)](#manage-portal-role-cli)
+ [Trova il ruolo di servizio (CLI) di un portale](#find-portal-role-cli)
+ [Creare il ruolo del servizio SiteWise Monitor (CLI)](#create-portal-role-cli)
+ [SiteWise Monitora gli aggiornamenti di AWSIo TSite WiseMonitorServiceRole](#monitor-role-permission-updates)
## Autorizzazioni del ruolo di servizio per SiteWise Monitor (Classic)
Quando si crea un portale, AWS IoT SiteWise consente di creare un ruolo il cui nome inizia con **AWSIoTSiteWiseMonitorServiceRole**. Questo ruolo consente agli utenti federati di SiteWise Monitor di accedere alla configurazione del portale, agli asset, ai dati degli asset e ai dati di configurazione di IAM Identity Center.
Ai fini dell'assunzione del ruolo, il ruolo considera attendibile il seguente servizio:
+ `monitor.iotsitewise.amazonaws.com`
Il ruolo utilizza la seguente politica di autorizzazioni, che inizia con **AWSIoTSiteWiseMonitorServicePortalPolicy**, per consentire agli utenti di SiteWise Monitor di completare azioni sulle risorse del tuo account. La politica [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gestita definisce autorizzazioni equivalenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni sulle autorizzazioni richieste per gli allarmi, consulta. [Imposta le autorizzazioni per gli allarmi relativi agli eventi in AWS IoT SiteWise](alarms-iam-permissions.md)
Quando un utente del portale accede, SiteWise Monitor crea una [politica di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) basata sull'intersezione tra il ruolo del servizio e le politiche di accesso dell'utente. Le policy di accesso definiscono il livello di accesso delle identità ai portali e ai progetti. Per ulteriori informazioni sulle autorizzazioni del portale e sulle politiche di accesso, consulta [Amministra i tuoi portali SiteWise Monitor](administer-portals.md) e. [CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html)
## Autorizzazioni per ruoli di servizio per SiteWise Monitor (AI-Aware)
**Quando si crea un portale, AWS IoT SiteWise consente di creare un ruolo il cui nome inizia con Io. TSite WisePortalRole** Questo ruolo consente agli utenti federati di SiteWise Monitor di accedere alla configurazione del portale, agli asset, ai dati degli asset e ai dati di configurazione di IAM Identity Center.
**avvertimento**
I ruoli di **proprietario del progetto** **e visualizzatore del progetto** non sono supportati per SiteWise Monitor (AI-Aware).
Ai fini dell'assunzione del ruolo, il ruolo considera attendibile il seguente servizio:
+ `monitor.iotsitewise.amazonaws.com`
Il ruolo utilizza la seguente politica di autorizzazioni, che inizia con **Io TSite Wise AIPortal AccessPolicy**, per consentire agli utenti di SiteWise Monitor di completare azioni sulle risorse del proprio account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
Quando un utente del portale accede, SiteWise Monitor crea una [politica di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) basata sull'intersezione tra il ruolo del servizio e le politiche di accesso di quell'utente.
## Gestisci il ruolo del servizio SiteWise Monitor (console)
Console AWS IoT SiteWise Facilita la gestione del ruolo del servizio SiteWise Monitor per i portali. Al momento della creazione di un portale, la console verifica i ruoli esistenti adatti all'allegato. Se non ce ne sono disponibili, la console può creare e configurare automaticamente un ruolo di servizio. Per ulteriori informazioni, consulta [Crea un portale in Monitor SiteWise](monitor-create-portal.md).
**Topics**
+ [Trova il ruolo di servizio di un portale (console)](#find-portal-role-console)
+ [Crea un ruolo SiteWise del servizio Monitor (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Crea un ruolo SiteWise del servizio Monitor (console IAM)](#create-portal-role-iam-console)
+ [Modificare il ruolo di servizio di un portale (console)](#change-portal-role-console)
### Trova il ruolo di servizio di un portale (console)
Utilizza i seguenti passaggi per trovare il ruolo di servizio associato a un portale SiteWise Monitor.
**Per individuare il ruolo del servizio di un portale**
1. Passare alla [console AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. Nel riquadro di navigazione a sinistra scegliere **Portals (Portali)**.
1. Scegliere il portale per il quale si desidera individuare il ruolo del servizio.
Il ruolo collegato al portale viene visualizzato in **Permissions (Autorizzazioni)**, **Service role (Ruolo del servizio)**.
### Crea un ruolo SiteWise del servizio Monitor (AWS IoT SiteWise console)
Quando crei un portale SiteWise Monitor, puoi creare un ruolo di servizio per il tuo portale. Per ulteriori informazioni, consulta [Crea un portale in Monitor SiteWise](monitor-create-portal.md).
È inoltre possibile creare un ruolo di servizio per un portale esistente nella AWS IoT SiteWise console. Questo sostituisce il ruolo di servizio esistente del portale.
**Per creare un ruolo del servizio per un portale esistente**
1. Passare alla [console AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. Nel riquadro di navigazione scegli **Portali**.
1. Scegliere il portale per il quale si desidera creare un nuovo ruolo del servizio.
1. In **Portal details (Dettagli portale)**, scegliere **Edit (Modifica)**.
1. In **Permissions (Autorizzazioni)**, scegliere **Create and use a new service role (Crea e utilizza un nuovo ruolo del servizio)** dall'elenco.
1. Immettere un nome per il nuovo ruolo.
1. Scegli **Save** (Salva).
### Crea un ruolo SiteWise del servizio Monitor (console IAM)
Puoi creare un ruolo di servizio dal modello di ruolo di servizio nella console IAM. Questo modello di ruolo include la policy [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gestita e specifica SiteWise Monitor come entità affidabile.
**Per creare un ruolo di servizio dal modello di ruolo di servizio del portale**
1. Passare alla [IAM console](https://console.aws.amazon.com/iam/) (Console IAM).
1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).
1. Selezionare **Create role (Crea ruolo)**.
1. In **Scegli un caso d'uso**, scegli **IoT SiteWise**.
1. In **Seleziona il tuo caso d'uso**, scegli **IoT SiteWise Monitor - Portal**.
1. Scegliere **Next: Permissions (Successivo: Autorizzazioni)**.
1. Scegliere **Next: Tags (Successivo: Tag)**.
1. Scegliere **Next:Review (Successivo: Rivedi)**.
1. Immettete un **nome di ruolo** per il nuovo ruolo di servizio.
1. Scegli **Crea ruolo**.
### Modificare il ruolo di servizio di un portale (console)
Utilizzare la procedura seguente per scegliere un ruolo del servizio di SiteWise monitoraggio diverso per un portale.
**Per modificare il ruolo del servizio di un portale**
1. Passare alla [console AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. Nel riquadro di navigazione scegli **Portali**.
1. Scegliere il portale per il quale si desidera modificare il ruolo del servizio.
1. In **Portal details (Dettagli portale)**, scegliere **Edit (Modifica)**.
1. In **Permissions (Autorizzazioni)**, scegliere **Use an existing role (Utilizza un ruolo esistente)**.
1. Scegliere un ruolo esistente da collegare al portale.
1. Scegli **Save** (Salva).
## Gestire il ruolo del servizio SiteWise Monitor (CLI)
È possibile utilizzare il AWS CLI per le seguenti attività di gestione dei ruoli del servizio del portale:
**Topics**
+ [Trova il ruolo di servizio (CLI) di un portale](#find-portal-role-cli)
+ [Creare il ruolo del servizio SiteWise Monitor (CLI)](#create-portal-role-cli)
### Trova il ruolo di servizio (CLI) di un portale
Per trovare il ruolo di servizio associato a un portale di SiteWise monitoraggio, esegui il comando seguente per elencare tutti i portali nella regione corrente.
```
aws iotsitewise list-portals
```
L'operazione restituisce una risposta contenente i riepiloghi del portale nel formato seguente.
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
Puoi anche utilizzare l'[DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html)operazione per trovare il ruolo del tuo portale se conosci l'ID del tuo portale.
### Creare il ruolo del servizio SiteWise Monitor (CLI)
Utilizza i passaggi seguenti per creare un nuovo ruolo del servizio SiteWise Monitor.
**Per creare un ruolo SiteWise del servizio Monitor**
1. Crea un ruolo con una politica di fiducia che consenta a SiteWise Monitor di assumere il ruolo. In questo esempio viene creato un ruolo denominato **MySiteWiseMonitorPortalRole** da una policy di attendibilità archiviata in una stringa JSON.
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. Copiare il ruolo ARN dai metadati del ruolo nell'output. Quando si crea un portale, utilizzare questo ARN per associare il ruolo al portale. Per ulteriori informazioni sulla creazione di un portale, [CreatePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html)consulta l'*AWS IoT SiteWise API Reference*.
1.
1. Per il SiteWise monitor (versione classica): allega la `AWSIoTSiteWiseMonitorPortalAccess` policy al ruolo o allega una policy che definisca autorizzazioni equivalenti.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. Per il SiteWise monitor (compatibile con l'intelligenza artificiale): collega la `IoTSiteWiseAIPortalAccessPolicy` policy al ruolo o allega una policy che definisca autorizzazioni equivalenti. Ad esempio, crea una policy con autorizzazioni di accesso al portale. L'esempio seguente crea una politica denominata`MySiteWiseMonitorPortalAccess`.
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**Per collegare un ruolo del servizio a un portale esistente**
1. Per recuperare i dettagli esistenti del portale, eseguire il comando seguente. Sostituisci *portal-id* con l'ID del portale.
```
aws iotsitewise describe-portal --portal-id portal-id
```
L'operazione restituisce una risposta contenente i dettagli del portale nel formato seguente.
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. Per collegare un ruolo del servizio a un portale, eseguire il comando seguente. Sostituisci *role-arn* con il ruolo di servizio ARN e sostituisci i parametri rimanenti con i valori esistenti del portale.
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Monitora gli aggiornamenti di AWSIo TSite WiseMonitorServiceRole
È possibile visualizzare i dettagli sugli aggiornamenti di **AWSIoTSiteWiseMonitorServiceRole**for SiteWise Monitor, a partire da quando questo servizio ha iniziato a tenere traccia delle modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS IoT SiteWise documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions)— Politica aggiornata | AWS IoT SiteWise ha aggiornato la politica di [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gestione per la funzionalità degli allarmi. | 27 maggio 2021 |
| AWS IoT SiteWise ha iniziato a tenere traccia delle modifiche | AWS IoT SiteWise ha iniziato a tenere traccia delle modifiche relative al suo ruolo di servizio. | 15 dicembre 2020 |