翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のサービスにリンクされたロールを使用する AWS IoT SiteWise
AWS IoT SiteWise は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS IoT SiteWise。 サービスにリンクされたロールは、 によって事前定義 AWS IoT SiteWise されており、ユーザーに代わってサービスが他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールは、必要なすべてのアクセス許可を自動的に含め AWS IoT SiteWise ることで、 の設定を簡素化します。 は、サービスにリンクされたロールのアクセス許可 AWS IoT SiteWise を定義します。特に定義されている場合を除き、 のみがそのロールを引き受け AWS IoT SiteWise ることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。また、このアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、 AWS IoT SiteWise リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
**Topics**
+ [サービスにリンクされたロールのアクセス許可](service-linked-role-permissions.md)
+ [サービスにリンクされたロールの作成](create-service-linked-role.md)
+ [サービスにリンクされたロールを更新する](edit-service-linked-role.md)
+ [サービスにリンクされたロールを削除](delete-service-linked-role.md)
+ [サポート対象のリージョン](#slr-regions)
+ [SiteWise Monitor にサービスロールを使用する。](monitor-service-role.md)
# のサービスにリンクされたロールのアクセス許可 AWS IoT SiteWise
AWS IoT SiteWise は、**AWSServiceRoleForIoTSiteWise** という名前のサービスにリンクされたロールを使用します。 はこのサービスにリンクされたロール AWS IoT SiteWise を使用して SiteWise Edge ゲートウェイ ( で実行される AWS IoT Greengrass) をデプロイし、ログ記録を実行します。
`AWSServiceRoleForIoTSiteWise` サービスリンクロールは、次のアクセス許可を持つ `AWSServiceRoleForIoTSiteWise` ポリシーを使用します。このポリシー:
+ AWS IoT SiteWise が SiteWise Edge ゲートウェイ ( で実行される) をデプロイできるようにします`AWS IoT Greengrass`。
+ AWS IoT SiteWise ログ記録の実行を に許可します。
+ AWS IoT SiteWise が AWS IoT TwinMaker データベースに対してメタデータ検索クエリを実行できるようにします。
`AWSServiceRoleForIoTSiteWise` で許可されるアクションの詳細については、「[AWS IoT SiteWiseのAWS マネージドポリシー](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
ログを使用して、SiteWise Edge ゲートウェイのモニタリングとトラブルシューティングができます。詳細については、「[SiteWise Edge ゲートウェイログをモニタリングする](monitor-gateway-logs.md)」を参照してください。
IAM エンティティ (ユーザ、グループ、ロールなど) にサービスリンクロールの作成、編集、削除を許可するには、まずアクセス許可を設定します。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)」を参照してください。
# のサービスにリンクされたロールを作成する AWS IoT SiteWise
AWS IoT SiteWise では、特定のアクションを実行し、ユーザーに代わってリソースにアクセスするために、サービスにリンクされたロールが必要です。サービスにリンクされたロールは、直接リンクされた一意のタイプの AWS Identity and Access Management (IAM) ロールです AWS IoT SiteWise。このロールを作成することで、データストレージや AWS IoT デバイス通信用の Amazon S3 など、そのオペレーションに必要な他の AWS サービスやリソースにアクセスするために必要なアクセス AWS IoT SiteWise 許可を付与します。
サービスリンクロールを手動で作成する必要はありません。 AWS IoT SiteWise コンソールで次のオペレーションを実行すると、 によってサービスにリンクされたロールが自動的に AWS IoT SiteWise 作成されます。
+ Greengrass V1 ゲートウェイを作成します。
+ ログ記録オプションを設定します。
+ クエリ実行バナーでオプトインボタンを選択します。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。 AWS IoT SiteWise コンソールでオペレーションを実行すると、 はサービスにリンクされたロールを再度 AWS IoT SiteWise 作成します。
IAM コンソールまたは API を使用して、 AWS IoT SiteWiseに対してサービスにリンクされたロールを作成することもできます。
+ IAM コンソールでこれを行うには、**AWSServiceRoleForIoTSiteWise** ポリシーと`iotsitewise.amazonaws.com` との信頼関係でロールを作成します。
+ AWS CLI または IAM API を使用してこれを行うには、 `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise`ポリシーと との信頼関係を持つロールを作成します`iotsitewise.amazonaws.com`。
詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role)」を参照してください。
このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
# のサービスにリンクされたロールを更新する AWS IoT SiteWise
AWS IoT SiteWise では、AWSServiceRoleForIoTSiteWise サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの更新](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html)」を参照してください。
# のサービスにリンクされたロールを削除する AWS IoT SiteWise
サービスリンクロールを必要とする機能またはサービスが使用されなくなった場合は、関連付けられたロールを削除することをお勧めします。これは、モニタリングまたは維持されていない非アクティブなエンティティが発生しないようにするためです。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除しようとしたときに AWS IoT SiteWise サービスがロールを使用している場合、削除が失敗する可能性があります。その場合は、数分待ってから再試行してください。
**AWSServiceRoleForIoTSiteWise で使用される AWS IoT SiteWise リソースを削除するには**
1. のログ記録を無効にします AWS IoT SiteWise。詳細については、[ログ記録レベルを変更する](monitor-cloudwatch-logs.md#change-logging-level)を参照してください。
1. アクティブな SiteWise Edge ゲートウェイを削除します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForIoTSiteWise サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role)」を参照してください。
## AWS IoT SiteWise サービスにリンクされたロールでサポートされているリージョン
AWS IoT SiteWise は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS IoT SiteWise エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html)」を参照してください。
# のサービスロールを使用する AWS IoT SiteWise Monitor
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
SiteWise Monitor ポータルのフェデレーティッドユーザーに AWS IoT SiteWise および AWS IAM アイデンティティセンター リソースへのアクセスを許可するには、作成する各ポータルにサービスロールをアタッチする必要があります。サービスロールは、信頼されたエンティティとして SiteWise Monitor を指定し、[AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) 管理ポリシーを含めるか、[[equivalent permissions]](#monitor-service-role-permissions) (同等のアクセス許可) を定義する必要があります。このポリシーは によって維持 AWS され、SiteWise Monitor が AWS IoT SiteWise および IAM Identity Center リソースにアクセスするために使用する一連のアクセス許可を定義します。
SiteWise Monitor ポータルの作成では、そのポータルのユーザーが AWS IoT SiteWise および IAM Identity Center のリソースにアクセスすることを許可するロールを選択する必要があります。 AWS IoT SiteWise コンソールでロールを作成して設定できます。ロールは IAM で後から編集できます。ロールから必要なアクセス許可を削除したり、ロールを削除したりすると、SiteWise Monitor ポータルのユーザーがポータルを使用できなくなります。
**注記**
2020 年 4 月 29 日より前に作成されたポータルでは、サービスロールは必須ではありませんでした。この日付より前に作成されたポータルを引き続き使用する場合は、サービスロールをアタッチする必要があります。これを行うには、[[AWS IoT SiteWise console]](https://console.aws.amazon.com/iotsitewise/) (コンソール) で**[Portals]** (ポータル) ページに移動し、**[Migrate all portals to use IAM roles]** (すべてのポータルでIAMロールを使用できるように移行する) を選択します。
次のセクションでは、 AWS マネジメントコンソール または AWS Command Line Interfaceで SiteWise Monitor のサービスロールを作成および管理する方法について説明します。
**Contents**
+ [SiteWise Monitor (Classic) のサービスロールのアクセス許可](#monitor-service-role-permissions)
+ [SiteWise Monitor のサービスロールのアクセス許可 (AI 対応)](#monitor-ai-service-role-permissions)
+ [SiteWise Monitor サービスロールを管理する (コンソール)](#manage-portal-role-console)
+ [ポータルのサービスロールを見つける (コンソール)](#find-portal-role-console)
+ [SiteWise Monitor サービスロールを作成する (AWS IoT SiteWise コンソール)](#create-portal-role-sitewise-console)
+ [SiteWise Monitor サービスロールを作成する (IAM コンソール)](#create-portal-role-iam-console)
+ [ポータルのサービスロールを変更する (コンソール)](#change-portal-role-console)
+ [SiteWise Monitor サービスロールを管理する (CLI)](#manage-portal-role-cli)
+ [ポータルのサービスロールを見つける (CLI)](#find-portal-role-cli)
+ [SiteWise Monitor サービスロールを作成する (CLI)](#create-portal-role-cli)
+ [SiteWise Monitor の AWSIoTSiteWiseMonitorServiceRole に対する更新](#monitor-role-permission-updates)
## SiteWise Monitor (Classic) のサービスロールのアクセス許可
ポータルを作成すると、 は名前が **AWSIoTSiteWiseMonitorServiceRole** で始まるロール AWS IoT SiteWise を作成します。このロールにより、フェデレーティッド SiteWise Monitor ユーザーはポータルの設定、アセット、アセットデータ、IAM Identity Center 設定、にアクセスすることができます。
このロールは、その前提として以下のサービスを信頼します。
+ `monitor.iotsitewise.amazonaws.com`
このロールは、**AWSIoTSiteWiseMonitorServicePortalPolicy** で始まる次のアクセス許可ポリシーを使用して、SiteWise Monitor ユーザーがアカウントのリソースに対するアクションを完了できるようにします。[AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) 管理ポリシーは、同等のアクセス許可を定義しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
アラームに必要なアクセス許可の詳細については、[でイベントアラームのアクセス許可を設定する AWS IoT SiteWise](alarms-iam-permissions.md) を参照してください。
ポータルユーザーがサインインすると、SiteWise Monitor は、サービスロールとそのユーザーのアクセスポリシーの交点に基づいて、[[session policy]](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) (セッションポリシー) を作成します。アクセスポリシーによって、ポータルおよびプロジェクトへの アイデンティティのアクセスレベルが定義されます。ポータルのアクセス許可とアクセスポリシーの詳細については、「[SiteWise Monitor ポータルを管理する](administer-portals.md)」および「[CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html)」を参照してください。
## SiteWise Monitor のサービスロールのアクセス許可 (AI 対応)
ポータルを作成すると、 は **IoTSiteWisePortalRole** で始まる名前のロール AWS IoT SiteWise を作成します。このロールにより、フェデレーティッド SiteWise Monitor ユーザーはポータルの設定、アセット、アセットデータ、IAM Identity Center 設定、にアクセスすることができます。
**警告**
SiteWise Monitor (AI 対応) では、プロジェクト**所有者**ロールと**プロジェクトビューワー**ロールはサポートされていません。
このロールは、その前提として以下のサービスを信頼します。
+ `monitor.iotsitewise.amazonaws.com`
このロールは、 **IoTSiteWiseAIPortalAccessPolicy** で始まる次のアクセス許可ポリシーを使用して、SiteWise Monitor ユーザーがアカウントのリソースに対してアクションを実行できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
ポータルユーザーがサインインすると、SiteWise Monitor は、サービスロールとそのユーザーのアクセスポリシーの交点に基づいて、[[session policy]](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) (セッションポリシー) を作成します。
## SiteWise Monitor サービスロールを管理する (コンソール)
は、ポータルの SiteWise Monitor サービスロールの管理 AWS IoT SiteWise コンソール を容易にします。ポータルを作成すると、コンソールはアタッチメントに適した既存のロールをチェックします。何も使用できない場合、コンソールはサービスロールを自動的に作成および設定できます。詳細については、「[SiteWise Monitor でポータルを作成する](monitor-create-portal.md)」を参照してください。
**Topics**
+ [ポータルのサービスロールを見つける (コンソール)](#find-portal-role-console)
+ [SiteWise Monitor サービスロールを作成する (AWS IoT SiteWise コンソール)](#create-portal-role-sitewise-console)
+ [SiteWise Monitor サービスロールを作成する (IAM コンソール)](#create-portal-role-iam-console)
+ [ポータルのサービスロールを変更する (コンソール)](#change-portal-role-console)
### ポータルのサービスロールを見つける (コンソール)
SiteWise Monitor ポータルにアタッチされているサービスロールを確認するには、次のステップに従います。
**ポータルのサービスロールを確認するには**
1. [AWS IoT SiteWise コンソール](https://console.aws.amazon.com/iotsitewise/)に移動します。
1. 左のナビゲーションペインで、[**ポータル**] を選択します。
1. サービスロールを確認するポータルを選択します。
ポータルにアタッチされているロールが [**アクセス許可**]、[**サービスロール**] で表示されます。
### SiteWise Monitor サービスロールを作成する (AWS IoT SiteWise コンソール)
SiteWise Monitor ポータルを作成すると、ポータル用のサービスロールを作成することができます。詳細については、「[SiteWise Monitor でポータルを作成する](monitor-create-portal.md)」を参照してください。
AWS IoT SiteWise コンソールで既存のポータルのサービスロールを作成することもできます。これは、ポータルの既存のサービスロールを置き換えるものです。
**既存のポータルのサービスロールを作成するには**
1. [AWS IoT SiteWise コンソール](https://console.aws.amazon.com/iotsitewise/)に移動します。
1. ナビゲーションペインで、[**Portals (ポータル) **] を選択します。
1. 新しいサービスロールを作成するポータルを選択します。
1. [**Portal details (ポータルの詳細) **] で、[**編集**] を選択します。
1. [**アクセス許可**] で、リストから [**Create and use a new service role (新しいサービスロールを作成および使用) **] を選択します。
1. 新しいロールの名前を入力します。
1. **[保存]** を選択します。
### SiteWise Monitor サービスロールを作成する (IAM コンソール)
IAM コンソールのサービスロールテンプレートから、サービスロールを作成することができます。このロールテンプレートは、[AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) 管理ポリシーを含み、信頼できるエンティティとして SiteWise モニターを指定します。
**ポータルサービスロールテンプレートからサービスロールを作成するステップ。**
1. [[IAM console]](https://console.aws.amazon.com/iam/) (IAM コンソール) に入ります。
1. ナビゲーションペインで [**Roles (ロール) **] を選択します。
1. [**ロールの作成**] を選択してください。
1. **[Choose a use case]** (ユースケースを選択する) で、**[IoT SiteWise]**を選択します。
1. **[Select your use case] ** (ユースケースの選択) で、**IoT SiteWise Monitor - Portal** を選択します。
1. [**Next: Permissions (次へ: アクセス許可) **] を選択します。
1. [**次へ: タグ**] を選択します。
1. **[次へ: レビュー]** を選択します。
1. 新しいサービスロールの**[Role name]** (ロール名) を入力します。
1. [**ロールの作成**] を選択してください。
### ポータルのサービスロールを変更する (コンソール)
ポータルに SiteWise Monitor の別のサービスロールを選択するには、次のステップに従います。
**ポータルのサービスロールを変更するには**
1. [AWS IoT SiteWise コンソール](https://console.aws.amazon.com/iotsitewise/)に移動します。
1. ナビゲーションペインで、[**Portals (ポータル) **] を選択します。
1. サービスロールを変更するポータルを選択します。
1. [**Portal details (ポータルの詳細) **] で、[**編集**] を選択します。
1. [**アクセス許可**] で、[**Use an existing role (既存のロールを使用) **] を選択します。
1. そのポータルにアタッチする既存のロールを選択します。
1. **[保存]** を選択します。
## SiteWise Monitor サービスロールを管理する (CLI)
は、次のポータルサービスロール管理タスク AWS CLI に使用できます。
**Topics**
+ [ポータルのサービスロールを見つける (CLI)](#find-portal-role-cli)
+ [SiteWise Monitor サービスロールを作成する (CLI)](#create-portal-role-cli)
### ポータルのサービスロールを見つける (CLI)
SiteWise Monitor ポータルにアタッチされているサービスロールを確認するには、次のコマンドを実行して現在のリージョンのすべてのポータルを一覧表示します。
```
aws iotsitewise list-portals
```
このオペレーションは、ポータルの概要を含むレスポンスを次の形式で返します。
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
ポータルの ID が分かっている場合は、[DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html) オペレーションを使用してポータルのロールを確認することもできます。
### SiteWise Monitor サービスロールを作成する (CLI)
SiteWise Monitor のサービスロールを新しく作成するには、次のステップに従います。
**SiteWise Monitor のサービス・ロールを作成するには。**
1. SiteWise Monitor にロールの引き受けを許可する信頼ポリシーを設定したロールを作成します。この例では、JSON 文字列に保存された信頼ポリシーから **MySiteWiseMonitorPortalRole** という名前のロールを作成します。
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. 出力のロールメタデータからロールの ARN をコピーします。ポータルの作成時に、この ARN を使用してロールとポータルを関連付けます。ポータルの作成の詳細については、*[AWS IoT SiteWise API Reference]* (API リファレンス) の[[CreatePortal]](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html) (ポータルの作成) を参照してください。
1.
1. SiteWise Monitor (Classic) の場合 – `AWSIoTSiteWiseMonitorPortalAccess`ポリシーをロールにアタッチするか、同等のアクセス許可を定義するポリシーをアタッチします。
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. SiteWise Monitor (AI 対応) の場合 – `IoTSiteWiseAIPortalAccessPolicy`ポリシーをロールにアタッチするか、同等のアクセス許可を定義するポリシーをアタッチします。例えば、ポータルアクセス許可を持つポリシーを作成します。次の例では、 という名前のポリシーを作成します`MySiteWiseMonitorPortalAccess`。
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**既存のポータルにサービスロールをアタッチするには**
1. ポータルの既存の詳細を取得するには、次のコマンドを実行します。*portal-id* をポータルの ID で置き換えてください。
```
aws iotsitewise describe-portal --portal-id portal-id
```
このオペレーションは、ポータルの詳細を含むレスポンスを次の形式で返します。
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. サービスロールをポータルにアタッチするには、次のコマンドを実行します。*role-arn* をサービスロールの ARN で置き換え、その他のパラメータをポータルの既存の値で置き換えてください。
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Monitor の AWSIoTSiteWiseMonitorServiceRole に対する更新
本サービスが変更の追跡を開始した時点から、SiteWise Monitor の **AWSIoTSiteWiseMonitorServiceRole** に対する更新に関する詳細を表示することができます。このページの変更に関する自動アラートについては、 AWS IoT SiteWise ドキュメント履歴ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions) – ポリシーの更新 | AWS IoT SiteWise は、アラーム機能の [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) 管理ポリシーを更新しました。 | 2021 年 5 月 27 日 |
| AWS IoT SiteWise が変更の追跡を開始しました | AWS IoT SiteWise は、サービスロールの変更の追跡を開始しました。 | 2020 年 12 月 15 日 |