翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS IoT SiteWise IAM ロール
<a name="security_iam_service-with-iam-roles"></a>

[IAM 役割](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は特定のアクセス許可を持つ、 AWS アカウント内のエンティティです。

## で一時的な認証情報を使用する AWS IoT SiteWise
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) または [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。

AWS IoT SiteWise では、一時的な認証情報の使用がサポートされています。

SiteWise Monitor は、ポータルにアクセスするためのフェデレーティッドユーザーをサポートします。ポータルのユーザーは、IAM Identity Center または IAM の認証情報を使って認証を受けます。

**重要**  <a name="iam-portal-user-permissions"></a>
ユーザーまたはロールがこのポータルにサインインするには `iotsitewise:DescribePortal` アクセス許可が必要です。

ユーザーがポータルにサインインすると、SiteWise Monitor が次のアクセス許可を提供するセッションポリシーを生成します。
+ そのポータルのロールがアクセスを提供するアカウント AWS IoT SiteWise 内の のアセットとアセットデータへの読み取り専用アクセス。
+ ユーザーが管理者 (プロジェクト所有者) または読み取り専用 (プロジェクトビューワー) のアクセス権を持つ、そのポータル内のプロジェクトへのアクセス。

フェデレーティッドユーザーのアクセス許可の詳細については、「[のサービスロールを使用する AWS IoT SiteWise Monitor](monitor-service-role.md)」を参照してください。

## の転送アクセスセッション (FAS) AWS IoT SiteWise
<a name="security_iam_service-with-iam-principal-permissions"></a>

**転送アクセスセッション (FAS) のサポート:** あり

 転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。

## サービスリンクロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)を使用すると、 AWS サービスは他の サービスのリソースにアクセスしてユーザーに代わってアクションを実行できます。 サービスにリンクされたロールは AWS アカウントに表示され、 サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

AWS IoT SiteWise は、サービスにリンクされたロールをサポートします。 AWS IoT SiteWise サービスにリンクされたロールの作成または管理の詳細については、「[のサービスにリンクされたロールを使用する AWS IoT SiteWise](using-service-linked-roles.md)」を参照してください。

## サービス役割
<a name="security_iam_service-with-iam-roles-service"></a>

この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールは AWS アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

AWS IoT SiteWise はサービスロールを使用して、SiteWise Monitor ポータルユーザーがユーザーに代わって一部のリソース AWS IoT SiteWise にアクセスできるようにします。詳細については、「[のサービスロールを使用する AWS IoT SiteWise Monitor](monitor-service-role.md)」を参照してください。

 AWS IoT Events アラームモデルを作成する前に、必要なアクセス許可が必要です AWS IoT SiteWise。詳細については、「[でイベントアラームのアクセス許可を設定する AWS IoT SiteWise](alarms-iam-permissions.md)」を参照してください。

## で IAM ロールを選択する AWS IoT SiteWise
<a name="security_iam_service-with-iam-roles-choose"></a>

で`portal`リソースを作成するときは AWS IoT SiteWise、SiteWise Monitor ポータルのフェデレーティッドユーザーが AWS IoT SiteWise ユーザーに代わって にアクセスすることを許可するロールを選択する必要があります。以前にサービスロールを作成している場合、 AWS IoT SiteWise は選択するロールのリストを提供します。それ以外の場合は、ポータルの作成時に必要なアクセス許可を持つロールを作成できます。アセットとアセットデータへのアクセスを許可するロールを選択することが重要です。詳細については、「[のサービスロールを使用する AWS IoT SiteWise Monitor](monitor-service-role.md)」を参照してください。