As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso para AWS IoT SiteWise
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS IoT SiteWise os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público para AWS IoT SiteWise segurança](security_iam_audience.md)
+ [Autenticar com identidades em AWS IoT SiteWise](security_iam_authentication.md)
+ [Como AWS IoT SiteWise funciona com o IAM](security_iam_service-with-iam.md)
+ [AWS políticas gerenciadas para AWS IoT SiteWise](security-iam-awsmanpol.md)
+ [Use funções vinculadas ao serviço para AWS IoT SiteWise](using-service-linked-roles.md)
+ [Configure permissões para alarmes de eventos em AWS IoT SiteWise](alarms-iam-permissions.md)
+ [Prevenção confusa de delegados entre serviços em AWS IoT SiteWise](cross-service-confused-deputy-prevention.md)
+ [Solucionar problemas de AWS IoT SiteWise identidade e acesso](security_iam_troubleshoot.md)
# Público para AWS IoT SiteWise segurança
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solucionar problemas de AWS IoT SiteWise identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS IoT SiteWise funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [AWS IoT SiteWise exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md))
# Autenticar com identidades em AWS IoT SiteWise
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
## Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
## Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
## Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Como AWS IoT SiteWise funciona com o IAM
Antes de usar o AWS Identity and Access Management (IAM) para gerenciar o acesso AWS IoT SiteWise, você deve entender quais recursos do IAM estão disponíveis para uso AWS IoT SiteWise.
| Recurso do IAM | Apoiado por AWS IoT SiteWise? |
| --- | --- |
| [Políticas baseadas em identidade com permissões em nível de recurso](security_iam_service-with-iam-id-based-policies.md) | Sim |
| [Ações de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| Políticas baseadas em recurso | Não |
| Listas de controle de acesso (ACLs) | Não |
| [Autorização baseada em etiquetas (ABAC)](security_iam_service-with-iam-tags.md) | Sim |
| [Credenciais temporárias](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis vinculados a serviço](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Sim |
| [Perfis de serviço](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como AWS IoT SiteWise e outros AWS serviços funcionam com o IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Contents**
+ [AWS IoT SiteWise Funções do IAM](security_iam_service-with-iam-roles.md)
+ [Use credenciais temporárias com AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)
+ [Sessões de acesso direto (FAS) para AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)
+ [Perfis vinculados ao serviço](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)
+ [Perfis de serviço](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service)
+ [Escolha uma função do IAM em AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-choose)
+ [Autorização baseada em AWS IoT SiteWise tags](security_iam_service-with-iam-tags.md)
+ [AWS IoT SiteWise políticas baseadas em identidade](security_iam_service-with-iam-id-based-policies.md)
+ [Ações de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)
+ [BatchPutAssetPropertyValue autorização](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action)
+ [Recursos de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)
+ [Chaves de condição de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemplos](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-examples)
+ [AWS IoT SiteWise exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [Práticas recomendadas de política](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)
+ [Use o AWS IoT SiteWise console](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permitir que os usuários façam a ingestão de dados para ativos em uma hierarquia](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Visualize AWS IoT SiteWise ativos com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)
+ [Gerencie o acesso usando políticas em AWS IoT SiteWise](security_iam_access-manage.md)
+ [Políticas baseadas em identidade](security_iam_access-manage.md#security_iam_access-manage-id-based-policies)
+ [Políticas baseadas em recursos](security_iam_access-manage.md#security_iam_access-manage-resource-based-policies)
+ [Listas de controle de acesso (ACLs)](security_iam_access-manage.md#security_iam_access-manage-acl)
+ [Outros tipos de política](security_iam_access-manage.md#security_iam_access-manage-other-policies)
+ [Vários tipos de política](security_iam_access-manage.md#security_iam_access-manage-multiple-policies)
# AWS IoT SiteWise Funções do IAM
[Perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua conta da AWS que tem permissões específicas.
## Use credenciais temporárias com AWS IoT SiteWise
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Obtenha credenciais de segurança temporárias chamando operações de API AWS STS tais como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS IoT SiteWise suporta o uso de credenciais temporárias.
SiteWise O Monitor oferece suporte a usuários federados para acessar portais. Os usuários do portal são autenticados com suas credenciais do IAM Identity Center ou do IAM.
**Importante**
Usuários ou perfis devem ter a permissão de `iotsitewise:DescribePortal` para entrar no portal.
Quando um usuário entra em um portal, o SiteWise Monitor gera uma política de sessão que fornece as seguintes permissões:
+ Acesso somente para leitura aos ativos e dados do ativo AWS IoT SiteWise em sua conta à qual a função desse portal fornece acesso.
+ Acesso a projetos nesse portal aos quais o usuário tem acesso de administrador (proprietário do projeto) ou somente leitura (visualizador do projeto).
Para obter mais informações sobre permissões de usuário federado do portal, consulte [Use funções de serviço para AWS IoT SiteWise Monitor](monitor-service-role.md).
## Sessões de acesso direto (FAS) para AWS IoT SiteWise
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) permitem que os AWS serviços acessem recursos em outros serviços para concluir uma ação em seu nome. As funções vinculadas ao serviço aparecem na sua AWS conta e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
AWS IoT SiteWise oferece suporte a funções vinculadas a serviços. Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviço do AWS IoT SiteWise , consulte [Use funções vinculadas ao serviço para AWS IoT SiteWise](using-service-linked-roles.md).
## Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções de serviço aparecem na sua AWS conta e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
AWS IoT SiteWise usa uma função de serviço para permitir que os usuários do portal SiteWise Monitor acessem alguns de seus AWS IoT SiteWise recursos em seu nome. Para obter mais informações, consulte [Use funções de serviço para AWS IoT SiteWise Monitor](monitor-service-role.md).
Você deve ter as permissões necessárias antes de poder criar modelos de AWS IoT Events alarme no AWS IoT SiteWise. Para obter mais informações, consulte [Configure permissões para alarmes de eventos em AWS IoT SiteWise](alarms-iam-permissions.md).
## Escolha uma função do IAM em AWS IoT SiteWise
Ao criar um `portal` recurso no AWS IoT SiteWise, você deve escolher uma função para permitir que os usuários federados do seu portal SiteWise Monitor AWS IoT SiteWise acessem em seu nome. Se você já criou uma função de serviço, AWS IoT SiteWise fornece uma lista de funções para escolher. Caso contrário, crie uma função com as permissões necessárias ao criar um portal. É importante escolher uma função que permita o acesso aos seus ativos e dados de ativos. Para obter mais informações, consulte [Use funções de serviço para AWS IoT SiteWise Monitor](monitor-service-role.md).
# Autorização baseada em AWS IoT SiteWise tags
Você pode anexar tags a AWS IoT SiteWise recursos ou passar tags em uma solicitação para AWS IoT SiteWise. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`. Para obter mais informações sobre recursos de marcação do AWS IoT SiteWise , consulte [Marque seus AWS IoT SiteWise recursos](tag-resources.md).
Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Visualize AWS IoT SiteWise ativos com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags).
# AWS IoT SiteWise políticas baseadas em identidade
As políticas do IAM permitem que você controle quem pode fazer o quê no AWS IoT SiteWise. Você pode decidir quais ações são permitidas ou não e definir condições específicas para essas ações. Por exemplo, você pode criar regras sobre quem pode ver ou alterar as informações AWS IoT SiteWise. AWS IoT SiteWise oferece suporte a ações, recursos e chaves de condição específicos. Para saber mais sobre todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
## Ações de políticas
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações políticas AWS IoT SiteWise usam o seguinte prefixo antes da ação:`iotsitewise:`. Por exemplo, para conceder permissão a alguém para fazer upload de dados de propriedades de ativos AWS IoT SiteWise com a operação da `BatchPutAssetPropertyValue` API, você inclui a `iotsitewise:BatchPutAssetPropertyValue` ação na política dessa pessoa. As declarações de política devem incluir um `NotAction` elemento `Action` ou. AWS IoT SiteWise define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme a seguir.
```
"Action": [
"iotsitewise:action1",
"iotsitewise:action2"
]
```
Você também pode especificar várias ações utilizando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a ação a seguir:
```
"Action": "iotsitewise:Describe*"
```
Para ver uma lista de AWS IoT SiteWise ações, consulte [Ações definidas AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) no *Guia do usuário do IAM*.
### BatchPutAssetPropertyValue autorização
AWS IoT SiteWise autoriza o acesso à [BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html)ação de uma forma incomum. Para a maioria das ações, quando você permite ou nega acesso a uma ação, esta ação retornará um erro se as permissões não tiverem sido concedidas. Com `BatchPutAssetPropertyValue`, você pode enviar várias entradas de dados para diferentes ativos e propriedades de ativo em uma única solicitação de API. O AWS IoT SiteWise autoriza cada entrada de dados de maneira independente. Para qualquer entrada individual que falhe na autorização na solicitação, AWS IoT SiteWise inclua um `AccessDeniedException` na lista de erros retornada. AWS IoT SiteWise recebe os dados de qualquer entrada autorizada e bem-sucedida, mesmo que outra entrada na mesma solicitação falhe.
**Importante**
Antes de ingerir dados em um fluxo de dados, faça o seguinte:
Autorize o recurso `time-series` se você usar um alias de propriedade para identificar o fluxo de dados.
Autorize o recurso `asset` se você usar um ID de ativo para identificar o ativo que contém a propriedade de ativo associada.
## Recursos de políticas
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Cada declaração de política do IAM se aplica aos recursos que você especifica usando seus ARNs. Um ARN tem a seguinte sintaxe geral.
```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```
Para obter mais informações sobre o formato de ARNs, consulte [Identificar AWS recursos com nomes de recursos da Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Por exemplo, para especificar ativo com o ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` em sua instrução, use o seguinte ARN.
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```
Para especificar todos os fluxos de dados que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```
Para especificar todos os ativos que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```
Algumas AWS IoT SiteWise ações, como as de criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver uma lista dos tipos de AWS IoT SiteWise recursos e seus ARNs, consulte [Tipos de recursos definidos AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies) no *Guia do usuário do IAM*. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte [Ações definidas pelo AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Chaves de condição de políticas
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
**Importante**
Muitas chaves de condição são específicas a um recurso, e algumas ações da API usam vários recursos. Se você gravar uma declaração de política com uma chave de condição, use o elemento `Resource` da declaração para especificar o recurso ao qual a chave de condição se aplica. Caso contrário, a política pode impedir que os usuários executem a ação, porque a verificação da condição falhará para os recursos aos quais a chave de condição não se aplica. Se você não quiser especificar um recurso, ou se escreveu o elemento `Action` da política para incluir várias ações da API, use o tipo de condição `...IfExists` para garantir que a chave de condição seja ignorada pelos recursos que não a usam. Para obter mais informações, consulte[... IfExists ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists)condições no *Guia do usuário do IAM*.
AWS IoT SiteWise define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
**AWS IoT SiteWise chaves de condição**
| Chave de condição | Description | Tipos |
| --- | --- | --- |
| iotsitewise:isAssociatedWithAssetProperty | Se os fluxos de dados estão associados a uma propriedade do ativo. Use essa chave de condição para definir permissões com base na existência de uma propriedade do ativo associada ao fluxo de dados. Valor de exemplo: `true` | String |
| iotsitewise:assetHierarchyPath | O caminho da hierarquia do ativo, que é uma sequência de ativos, IDs cada um separado por uma barra. Use essa chave de condição para definir permissões com base em um subconjunto da hierarquia de todos os ativos em sua conta. Valor de exemplo: `/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:propertyId | O ID de uma propriedade de ativo. Use essa chave de condição para definir permissões com base em uma propriedade especificada de um modelo de ativo. Esta chave de condição aplica-se a todos os ativos desse modelo. Valor de exemplo: `a1b2c3d4-5678-90ab-cdef-33333EXAMPLE` | String |
| iotsitewise:childAssetId | ID de um ativo que está sendo associado como filho a outro ativo. Use essa chave de condição para definir permissões com base em ativos filhos. Para definir permissões com base em ativos pai, use a seção de recurso de uma declaração de política. Valor de exemplo: `a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:iam | O ARN de uma identidade do IAM ao listar políticas de acesso. Utilize essa chave de condição para definir permissões de política de acesso para uma identidade do IAM. Valor de exemplo: `arn:aws:iam::123456789012:user/JohnDoe` | Sequência, nula |
| iotsitewise:propertyAlias | O alias que identifica uma propriedade do ativo ou fluxo de dados. Use essa chave de condição para definir permissões com base no alias. | String |
| iotsitewise:user | O ID de um usuário do IAM Identity Center ao listar políticas de acesso. Utilize essa chave de condição para definir permissões de política de acesso para um usuário do IAM Identity Center. Valor de exemplo: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE` | Sequência, nula |
| iotsitewise:group | O ID de um grupo do IAM Identity Center ao listar políticas de acesso. Utilize essa chave de condição para definir permissões de política de acesso para um grupo do IAM Identity Center. Valor de exemplo: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE` | Sequência, nula |
| iotsitewise:portal | O ID de um portal em uma política de acesso. Use essa chave de condição para definir permissões de política de acesso com base em um portal. Valor de exemplo: `a1b2c3d4-5678-90ab-cdef-77777EXAMPLE` | Sequência, nula |
| iotsitewise:project | O ID de um projeto em uma política de acesso ou o ID de um projeto de um painel. Use essa chave de condição para definir permissões de painel ou política de acesso com base em um projeto. Valor de exemplo: `a1b2c3d4-5678-90ab-cdef-88888EXAMPLE` | Sequência, nula |
Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas por AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Exemplos
Para ver exemplos de políticas AWS IoT SiteWise baseadas em identidade, consulte. [AWS IoT SiteWise exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
# AWS IoT SiteWise exemplos de políticas baseadas em identidade
Por padrão, as entidades (usuários e perfis) não têm permissão para criar ou modificar recursos do AWS IoT SiteWise . Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS, AWS Command Line Interface (AWS CLI) ou. Para ajustar as permissões, um administrador AWS Identity and Access Management (IAM) deve fazer o seguinte:
1. Criar políticas do IAM que concedam aos usuários e perfis permissão para realizar operações de API específicas nos recursos necessários.
1. Anexar essas políticas aos usuários ou grupos que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM utilizando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Use o AWS IoT SiteWise console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permitir que os usuários façam a ingestão de dados para ativos em uma hierarquia](#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Visualize AWS IoT SiteWise ativos com base em tags](#security_iam_id-based-policy-examples-view-asset-tags)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS IoT SiteWise recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Use o AWS IoT SiteWise console
Para acessar o AWS IoT SiteWise console, você precisa de um conjunto básico de permissões. Essas permissões permitem que você veja e gerencie detalhes sobre os AWS IoT SiteWise recursos em sua AWS conta.
Se você criar uma política muito restritiva, o console poderá não funcionar conforme o esperado para usuários ou perfis (entidades) com essa política. Para garantir que essas entidades ainda possam usar o AWS IoT SiteWise console, anexe a política [AWSIoTSiteWiseConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/policies/arn:aws:iam::aws:policy/AWSIoTSiteWiseConsoleFullAccess)gerenciada a elas ou defina permissões equivalentes para essas entidades. Para saber mais, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Se as entidades estiverem usando apenas a AWS Command Line Interface (CLI) ou a AWS IoT SiteWise API, e não o console, elas não precisarão dessas permissões mínimas. Nesse caso, basta conceder a elas acesso às ações específicas de que precisam para as tarefas de API.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Permitir que os usuários façam a ingestão de dados para ativos em uma hierarquia
Neste exemplo, você deseja conceder a um usuário da sua AWS conta acesso para gravar dados em todas as propriedades do ativo em uma hierarquia específica de ativos, começando pelo ativo `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` raiz. A política concede a permissão `iotsitewise:BatchPutAssetPropertyValue` ao usuário. Essa política usa a chave de condição `iotsitewise:assetHierarchyPath` para restringir o acesso a ativos cujo caminho de hierarquia corresponde ao ativo ou a seus descendentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutAssetPropertyValuesForHierarchy",
"Effect": "Allow",
"Action": "iotsitewise:BatchPutAssetPropertyValue",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringLike": {
"iotsitewise:assetHierarchyPath": [
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
]
}
}
}
]
}
```
------
## Visualize AWS IoT SiteWise ativos com base em tags
Use condições em sua política baseada em identidade para controlar o acesso a AWS IoT SiteWise recursos com base em tags. Este exemplo mostra como criar uma política que permita a visualização de ativos. No entanto, a permissão será concedida somente se a tag do ativo do `Owner` tiver o valor do nome de usuário desse usuário. Essa política também concede permissão para concluir essa ação no console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAllAssets",
"Effect": "Allow",
"Action": [
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets"
],
"Resource": "*"
},
{
"Sid": "DescribeAssetIfOwner",
"Effect": "Allow",
"Action": "iotsitewise:DescribeAsset",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Você pode anexar essa política aos usuários na conta. Se um usuário chamado `richard-roe` tentar visualizar um AWS IoT SiteWise ativo, o ativo deverá ser marcado com `Owner=richard-roe` ou`owner=richard-roe`. Do contrário, Richard terá o acesso negado. Os nomes de chave de etiqueta da condição não diferenciam maiúsculas de minúsculas. Assim, `Owner` corresponde a `Owner` e `owner`. Para obter mais informações, consulte [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos da política JSON do IAM: Condição) no *Guia do usuário do IAM*.
# Gerencie o acesso usando políticas em AWS IoT SiteWise
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
## Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
## Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
## Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
## Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
## Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# AWS políticas gerenciadas para AWS IoT SiteWise
Simplifique a adição de permissões a usuários, grupos e funções usando políticas AWS gerenciadas em vez de escrever políticas você mesmo. É necessário tempo e experiência para [criar políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que concedam permissões precisas à equipe. Para uma configuração mais rápida, considere usar nossas políticas AWS gerenciadas para casos de uso comuns. Encontre políticas AWS gerenciadas em sua AWS conta. Para obter mais informações sobre as políticas gerenciadas da AWS , consulte [Políticas gerenciadas da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços cuidam da atualização e manutenção das políticas AWS gerenciadas, o que significa que você não pode modificar as permissões dessas políticas. Ocasionalmente, AWS IoT SiteWise pode adicionar permissões para acomodar novos recursos, afetando todas as identidades com a política anexada. Essas atualizações são comuns com a introdução de novos serviços ou recursos. No entanto, as permissões jamais são removidas, garantindo que as configurações permaneçam intactas.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista com descrições das políticas de funções de trabalho, consulte [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSIo TSite WiseReadOnlyAccess
Use a política `AWSIoTSiteWiseReadOnlyAccess` AWS gerenciada para permitir acesso somente para leitura a. AWS IoT SiteWise
É possível anexar a política `AWSIoTSiteWiseReadOnlyAccess` às suas identidades do IAM.
**Permissões no nível do serviço**
Essa política fornece acesso somente para leitura AWS IoT SiteWise, incluindo permissões para executar consultas SQL somente para leitura. Nenhuma outra permissão de serviço está incluída nesta política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:DescribeAction",
"iotsitewise:DescribeAsset",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:DescribeAssetModelInterfaceRelationship",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:DescribeBulkImportJob",
"iotsitewise:DescribeComputationModel",
"iotsitewise:DescribeComputationModelExecutionSummary",
"iotsitewise:DescribeDashboard",
"iotsitewise:DescribeDataset",
"iotsitewise:DescribeDefaultEncryptionConfiguration",
"iotsitewise:DescribeExecution",
"iotsitewise:DescribeGateway",
"iotsitewise:DescribeGatewayCapabilityConfiguration",
"iotsitewise:DescribeLoggingOptions",
"iotsitewise:DescribePortal",
"iotsitewise:DescribeProject",
"iotsitewise:DescribeStorageConfiguration",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:ListAccessPolicies",
"iotsitewise:ListActions",
"iotsitewise:ListAssetModelCompositeModels",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ListAssetModels",
"iotsitewise:ListAssetProperties",
"iotsitewise:ListAssetRelationships",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListBulkImportJobs",
"iotsitewise:ListCompositionRelationships",
"iotsitewise:ListComputationModelDataBindingUsages",
"iotsitewise:ListComputationModelResolveToResources",
"iotsitewise:ListComputationModels",
"iotsitewise:ListDashboards",
"iotsitewise:ListDatasets",
"iotsitewise:ListExecutions",
"iotsitewise:ListGateways",
"iotsitewise:ListInterfaceRelationships",
"iotsitewise:ListPortals",
"iotsitewise:ListProjectAssets",
"iotsitewise:ListProjects",
"iotsitewise:ListTagsForResource",
"iotsitewise:ListTimeSeries"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AWSService RoleForIo TSite Wise
O perfil de `AWSServiceRoleForIoTSiteWise` utiliza a política de `AWSServiceRoleForIoTSiteWise` com as seguintes permissões. Esta política:
+ Permite AWS IoT SiteWise implantar gateways SiteWise Edge (que funcionam em`AWS IoT Greengrass`).
+ Permite AWS IoT SiteWise realizar o registro.
+ Permite AWS IoT SiteWise executar uma consulta de pesquisa de metadados no AWS IoT TwinMaker banco de dados.
Se você estiver usando AWS IoT SiteWise com uma única conta de usuário, a `AWSServiceRoleForIoTSiteWise` função cria a `AWSServiceRoleForIoTSiteWise` política na sua conta do IAM e a anexa ao formulário de funções `AWSServiceRoleForIoTSiteWise` [vinculadas ao serviço](using-service-linked-roles.md). AWS IoT SiteWise
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
## AWS IoT SiteWise atualizações nas políticas AWS gerenciadas
Você pode ver detalhes sobre as atualizações das políticas AWS gerenciadas AWS IoT SiteWise, a partir de quando esse serviço começou a rastrear as alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS IoT SiteWise documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSServiceRoleForIoTSiteWise](#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise) — Atualização de uma política existente | AWS IoT SiteWise agora pode executar uma consulta de pesquisa de metadados no AWS IoT TwinMaker banco de dados. | 6 de novembro de 2023 |
| [AWSIoTSiteWiseReadOnlyAccess](#security-iam-awsmanpol-AWSIoTSiteWiseReadOnlyAccess) – atualização para uma política existente | AWS IoT SiteWise adicionou um novo prefixo de política,`BatchGet*`, que permite realizar operações de leitura em lote. | 16 de setembro de 2022 |
| [AWSIoTSiteWiseReadOnlyAccess](#security-iam-awsmanpol-AWSIoTSiteWiseReadOnlyAccess) – Nova política | AWS IoT SiteWise adicionou uma nova política para conceder acesso somente para leitura a. AWS IoT SiteWise | 24 de novembro de 2021 |
| AWS IoT SiteWise começou a rastrear as alterações | AWS IoT SiteWise começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 24 de novembro de 2021 |
# Use funções vinculadas ao serviço para AWS IoT SiteWise
AWS IoT SiteWise usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. As funções vinculadas ao serviço são predefinidas AWS IoT SiteWise e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome AWS IoT SiteWise.
As funções vinculadas ao serviço simplificam a configuração do AWS IoT SiteWise , incluindo automaticamente todas as permissões necessárias. AWS IoT SiteWise define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS IoT SiteWise pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. E essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS IoT SiteWise recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Função **vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
**Topics**
+ [Permissões de perfil vinculado ao serviço](service-linked-role-permissions.md)
+ [Criar um perfil vinculado ao serviço](create-service-linked-role.md)
+ [Atualizar um perfil vinculado ao serviço](edit-service-linked-role.md)
+ [Excluir um perfil vinculado ao serviço](delete-service-linked-role.md)
+ [Regiões compatíveis](#slr-regions)
+ [Use funções de serviço para o SiteWise Monitor](monitor-service-role.md)
# Permissões de função vinculadas ao serviço para AWS IoT SiteWise
AWS IoT SiteWise **usa a função vinculada ao serviço chamada AWSService RoleForIo TSite Wise.** AWS IoT SiteWise usa essa função vinculada ao serviço para implantar gateways SiteWise Edge (que são executados em AWS IoT Greengrass) e realizar o registro.
O perfil vinculado ao serviço `AWSServiceRoleForIoTSiteWise` usa a política `AWSServiceRoleForIoTSiteWise` com as permissões a seguir. Esta política:
+ Permite AWS IoT SiteWise implantar gateways SiteWise Edge (que funcionam em`AWS IoT Greengrass`).
+ Permite AWS IoT SiteWise realizar o registro.
+ Permite AWS IoT SiteWise executar uma consulta de pesquisa de metadados no AWS IoT TwinMaker banco de dados.
Para ter mais informações sobre as ações permitidas em `AWSServiceRoleForIoTSiteWise`, consulte [AWS managed policies for AWS IoT SiteWise](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
Você pode usar os registros para monitorar e solucionar problemas em seus gateways do SiteWise Edge. Para obter mais informações, consulte [Monitore os registros do gateway SiteWise Edge](monitor-gateway-logs.md).
Primeiro configure as permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
# Crie uma função vinculada ao serviço para AWS IoT SiteWise
AWS IoT SiteWise requer uma função vinculada ao serviço para realizar determinadas ações e acessar recursos em seu nome. Uma função vinculada a serviços é um tipo exclusivo de função de AWS Identity and Access Management (IAM) vinculada diretamente a. AWS IoT SiteWise Ao criar essa função, você AWS IoT SiteWise concede as permissões necessárias para acessar outros AWS serviços e recursos necessários para sua operação, como o Amazon S3 para armazenamento de dados ou AWS IoT comunicação com dispositivos.
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você executa as seguintes operações no AWS IoT SiteWise console, AWS IoT SiteWise cria a função vinculada ao serviço para você.
+ Criar um gateway do Greengrass V1.
+ Configurar a opção de registro em log.
+ Escolher o botão de aceitação no banner de execução da consulta.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você executa qualquer operação no AWS IoT SiteWise console, AWS IoT SiteWise cria a função vinculada ao serviço para você novamente.
Você também pode usar o console ou a API do IAM para criar uma função vinculada ao serviço para o AWS IoT SiteWise.
+ Para fazer isso no console do IAM, crie uma função com a política da **AWSServiceRoleForIoTSiteWise** e uma relação de confiança com`iotsitewise.amazonaws.com`.
+ Para fazer isso usando a API AWS CLI ou IAM, crie uma função com a `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise` política e uma relação de confiança com`iotsitewise.amazonaws.com`.
Para ter mais informações, consulte [Criar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role) no *Guia do usuário do IAM*.
Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
# Atualizar uma função vinculada ao serviço para AWS IoT SiteWise
AWS IoT SiteWise não permite que você edite a função vinculada ao serviço da AWSService RoleForIo TSite Wise. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte [Atualizar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) no *Guia do usuário do IAM*.
# Excluir uma função vinculada ao serviço para AWS IoT SiteWise
Se um recurso ou um serviço que exige um perfil vinculado ao serviço não está mais em uso, é recomendável excluí-lo. Isso é para evitar a presença de uma entidade inativa que não esteja sendo monitorada nem mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o AWS IoT SiteWise serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, aguarde alguns minutos e tente novamente.
**Para excluir AWS IoT SiteWise recursos usados pelo AWSService RoleForIo TSite Wise**
1. Desative o registro para AWS IoT SiteWise. Para obter mais informações, consulte [Alterar o nível de registro em log](monitor-cloudwatch-logs.md#change-logging-level).
1. Exclua todos os gateways ativos SiteWise do Edge.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função vinculada ao serviço da AWSService RoleForIo TSite Wise. Para ter mais informações, consulte [Delete roles or instance profiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a AWS IoT SiteWise serviços
AWS IoT SiteWise suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints e cotas do AWS IoT SiteWise](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html).
# Use funções de serviço para AWS IoT SiteWise Monitor
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
Para permitir que usuários federados do portal SiteWise Monitor acessem seus Centro de Identidade do AWS IAM recursos AWS IoT SiteWisee seus, você deve anexar uma função de serviço a cada portal que você criar. A função de serviço deve especificar o SiteWise Monitor como uma entidade confiável e incluir a política [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gerenciada ou definir [permissões equivalentes](#monitor-service-role-permissions). Essa política é mantida AWS e define o conjunto de permissões que o SiteWise Monitor usa para acessar seus recursos AWS IoT SiteWise e os do IAM Identity Center.
Ao criar um portal do SiteWise Monitor, você deve escolher uma função que permita que os usuários desse portal acessem seus recursos AWS IoT SiteWisee os do IAM Identity Center. O AWS IoT SiteWise console pode criar e configurar a função para você. Você pode editar o perfil no IAM posteriormente. Os usuários do seu portal terão problemas ao usar seus portais SiteWise Monitor se você remover as permissões necessárias da função ou excluir a função.
**nota**
Os portais criados antes de 29 de abril de 2020 não exigiram funções de serviço. Se você criou portais antes dessa data, deverá anexar funções de serviço para continuar usando-as. Para fazer isso, navegue até a página **Portais** no [AWS IoT SiteWise console](https://console.aws.amazon.com/iotsitewise/) e escolha **Migrar todos os portais para usar os perfis do IAM**.
As seções a seguir descrevem como criar e gerenciar a função de serviço SiteWise Monitor no Console de gerenciamento da AWS ou no AWS Command Line Interface.
**Contents**
+ [Permissões de função de serviço para SiteWise Monitor (Classic)](#monitor-service-role-permissions)
+ [Permissões de função de serviço para SiteWise Monitor (com reconhecimento de IA)](#monitor-ai-service-role-permissions)
+ [Gerenciar a função de serviço SiteWise Monitor (console)](#manage-portal-role-console)
+ [Encontrar um perfil de serviço do portal (console)](#find-portal-role-console)
+ [Criar uma função de serviço do SiteWise Monitor (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Crie uma função de serviço do SiteWise Monitor (console do IAM)](#create-portal-role-iam-console)
+ [Alterar um perfil de serviço do portal (console)](#change-portal-role-console)
+ [Gerenciar a função de serviço do SiteWise Monitor (CLI)](#manage-portal-role-cli)
+ [Encontrar um perfil de serviço do portal (CLI)](#find-portal-role-cli)
+ [Crie a função de serviço do SiteWise Monitor (CLI)](#create-portal-role-cli)
+ [SiteWise Monitore as atualizações do AWSIo TSite WiseMonitorServiceRole](#monitor-role-permission-updates)
## Permissões de função de serviço para SiteWise Monitor (Classic)
Quando você cria um portal, AWS IoT SiteWise permite criar uma função cujo nome comece com **AWSIoTSiteWiseMonitorServiceRole**. Essa função permite que usuários federados do SiteWise Monitor acessem sua configuração do portal, ativos, dados de ativos e dados de configuração do IAM Identity Center.
A função confia que o seguinte serviço assuma a função:
+ `monitor.iotsitewise.amazonaws.com`
A função usa a seguinte política de permissões, que começa com **AWSIoTSiteWiseMonitorServicePortalPolicy**, para permitir que os usuários do SiteWise Monitor concluam ações nos recursos da sua conta. A política gerenciada [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) define permissões equivalentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
Para mais informações sobre as permissões necessárias para alarmes, consulte [Configure permissões para alarmes de eventos em AWS IoT SiteWise](alarms-iam-permissions.md).
Quando um usuário do portal entra, o SiteWise Monitor cria uma [política de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) com base na interseção da função de serviço e das políticas de acesso desse usuário. As políticas de acesso definem o nível de acesso das identidades aos seus portais e projetos. Para obter mais informações sobre permissões do portal e políticas de acesso, consulte [Administre seus portais do SiteWise Monitor](administer-portals.md) [CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html)e.
## Permissões de função de serviço para SiteWise Monitor (com reconhecimento de IA)
Quando você cria um portal, AWS IoT SiteWise permite criar uma função cujo nome começa com **Io TSite WisePortalRole**. Essa função permite que usuários federados do SiteWise Monitor acessem sua configuração do portal, ativos, dados de ativos e dados de configuração do IAM Identity Center.
**Atenção**
As funções de **proprietário** **do projeto e visualizador** do projeto não são suportadas pelo SiteWise Monitor (compatível com IA).
A função confia que o seguinte serviço assuma a função:
+ `monitor.iotsitewise.amazonaws.com`
A função usa a seguinte política de permissões, que começa com **Io TSite Wise AIPortal AccessPolicy**, para permitir que os usuários do SiteWise Monitor concluam ações nos recursos da sua conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
Quando um usuário do portal entra, o SiteWise Monitor cria uma [política de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) com base na interseção da função de serviço e das políticas de acesso desse usuário.
## Gerenciar a função de serviço SiteWise Monitor (console)
Isso Console do AWS IoT SiteWise facilita o gerenciamento da função de serviço SiteWise Monitor para portais. Ao criar um portal, o console verifica os perfis existentes adequados para anexação. Se nenhum estiver disponível, o console poderá criar e configurar um perfil de serviço para você. Para obter mais informações, consulte [Crie um portal no SiteWise Monitor](monitor-create-portal.md).
**Topics**
+ [Encontrar um perfil de serviço do portal (console)](#find-portal-role-console)
+ [Criar uma função de serviço do SiteWise Monitor (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Crie uma função de serviço do SiteWise Monitor (console do IAM)](#create-portal-role-iam-console)
+ [Alterar um perfil de serviço do portal (console)](#change-portal-role-console)
### Encontrar um perfil de serviço do portal (console)
Use as etapas a seguir para encontrar a função de serviço anexada a um portal do SiteWise Monitor.
**Como encontrar a função de serviço de um portal**
1. Navegue até o [console do AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. No painel de navegação à esquerda, escolha **Portais**.
1. Escolha o portal para o qual deseja encontrar a função de serviço.
A função anexada ao portal aparece em **Permissions (Permissões)**, **Service Role (Função de serviço)**.
### Criar uma função de serviço do SiteWise Monitor (AWS IoT SiteWise console)
Ao criar um portal SiteWise Monitor, você pode criar uma função de serviço para seu portal. Para obter mais informações, consulte [Crie um portal no SiteWise Monitor](monitor-create-portal.md).
Você também pode criar uma função de serviço para um portal existente no AWS IoT SiteWise console. Isso substitui o perfil de serviço existente do portal.
**Como criar uma função de serviço para um portal existente**
1. Navegue até o [console do AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. No painel de navegação, selecione **Portais**.
1. Escolha o portal para o qual você deseja criar uma função de serviço.
1. Em **Portal details (Detalhes do portal)**, escolha **Edit (Editar)**.
1. Em **Permissions (Permissões)**, escolha **Create and use a new service role (Criar e usar uma nova função de serviço)** na lista.
1. Insira um nome para a nova função.
1. Escolha **Salvar**.
### Crie uma função de serviço do SiteWise Monitor (console do IAM)
É possível criar um perfil de serviço a partir do modelo de perfil de serviço no console do IAM. Esse modelo de função inclui a política [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gerenciada e especifica o SiteWise Monitor como uma entidade confiável.
**Para criar um perfil de serviço a partir do modelo de perfil de serviço do portal**
1. Navegue até o [console do IAM](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Escolha **Criar Perfil**.
1. Em **Escolha um caso de uso**, escolha **IoT SiteWise**.
1. Em **Selecione seu caso de uso**, escolha **IoT SiteWise Monitor - Portal**.
1. Escolha **Próximo: Permissões**.
1. Escolha **Next: Tags (Próximo: tags)**.
1. Selecione **Próximo: revisar**.
1. Insira um **Nome do perfil** para o novo perfil de serviço.
1. Selecione **Criar perfil**.
### Alterar um perfil de serviço do portal (console)
Use o procedimento a seguir para escolher uma função de serviço SiteWise Monitor diferente para um portal.
**Como alterar a função de serviço de um portal**
1. Navegue até o [console do AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. No painel de navegação, selecione **Portais**.
1. Escolha o portal para o qual você deseja alterar a função de serviço.
1. Em **Portal details (Detalhes do portal)**, escolha **Edit (Editar)**.
1. Em **Permissions (Permissões)**, escolha **Use an existing role (Usar uma função existente)**.
1. Escolha uma função existente para anexar a este portal.
1. Escolha **Salvar**.
## Gerenciar a função de serviço do SiteWise Monitor (CLI)
Você pode usar o AWS CLI para as seguintes tarefas de gerenciamento de função de serviço do portal:
**Topics**
+ [Encontrar um perfil de serviço do portal (CLI)](#find-portal-role-cli)
+ [Crie a função de serviço do SiteWise Monitor (CLI)](#create-portal-role-cli)
### Encontrar um perfil de serviço do portal (CLI)
Para encontrar a função de serviço anexada a um portal do SiteWise Monitor, execute o comando a seguir para listar todos os seus portais na região atual.
```
aws iotsitewise list-portals
```
A operação retorna uma resposta que contém os resumos de seu portal no formato a seguir.
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
Você também pode utilizar a [DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html)operação para localizar a função do seu portal se você souber a ID do seu portal.
### Crie a função de serviço do SiteWise Monitor (CLI)
Use as etapas a seguir para criar uma nova função de serviço do SiteWise Monitor.
**Para criar uma função de serviço do SiteWise Monitor**
1. Crie uma função com uma política de confiança que permita que o SiteWise Monitor assuma a função. Este exemplo cria uma função chamada **MySiteWiseMonitorPortalRole** de uma política de confiança armazenada em uma string JSON.
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. Copie o ARN da função dos metadados da função na saída. Ao criar um portal, você usa esse ARN para associar a função ao portal. Para obter mais informações sobre a criação de um portal, consulte [CreatePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html)na *Referência AWS IoT SiteWise da API*.
1.
1. Para o SiteWise Monitor (Clássico) — anexe a `AWSIoTSiteWiseMonitorPortalAccess` política à função ou anexe uma política que defina permissões equivalentes.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. Para o SiteWise monitor (compatível com IA) — anexe a `IoTSiteWiseAIPortalAccessPolicy` política à função ou anexe uma política que defina permissões equivalentes. Por exemplo, crie uma política com permissões de acesso ao portal. O exemplo a seguir cria uma política chamada`MySiteWiseMonitorPortalAccess`.
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**Como anexar uma função de serviço a um portal existente**
1. Para recuperar os detalhes existentes do portal, execute o comando a seguir. *portal-id*Substitua pela ID do portal.
```
aws iotsitewise describe-portal --portal-id portal-id
```
A operação retorna uma resposta que contém os detalhes do portal no seguinte formato.
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. Para anexar uma função de serviço a um portal, execute o comando a seguir. *role-arn*Substitua pelo ARN da função de serviço e substitua os parâmetros restantes pelos valores existentes do portal.
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Monitore as atualizações do AWSIo TSite WiseMonitorServiceRole
Você pode ver detalhes sobre as atualizações do SiteWise Monitor, a **AWSIoTSiteWiseMonitorServiceRole**partir de quando esse serviço começou a rastrear as alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS IoT SiteWise documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions): política atualizada | AWS IoT SiteWise atualizou a política [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gerenciada para o recurso de alarmes. | 27 de maio de 2021 |
| AWS IoT SiteWise começou a rastrear as alterações | AWS IoT SiteWise começou a rastrear as alterações em sua função de serviço. | 15 de dezembro de 2020 |
# Configure permissões para alarmes de eventos em AWS IoT SiteWise
Ao usar um modelo de AWS IoT Events alarme para monitorar uma propriedade AWS IoT SiteWise de ativo, você deve ter as seguintes permissões do IAM:
+ Uma função AWS IoT Events de serviço que AWS IoT Events permite enviar dados para AWS IoT SiteWise o. Para mais informações, consulte [Gerenciamento de identidade e acesso para o AWS IoT Events](https://docs.aws.amazon.com/iotevents/latest/developerguide/security-iam.html) no *Guia do desenvolvedor do AWS IoT Events *.
+ Você deve ter as seguintes permissões de AWS IoT SiteWise ação: `iotsitewise:DescribeAssetModel` `iotsitewise:UpdateAssetModelPropertyRouting` e. Essas permissões permitem AWS IoT SiteWise enviar valores de propriedades de ativos para modelos AWS IoT Events de alarme.
Para obter mais informações, consulte [Políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) no *Manual do usuário do IAM*.
## Permissões obrigatórias para ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**. O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política.
Antes de definir um modelo de AWS IoT Events alarme, você deve conceder as seguintes permissões que permitem AWS IoT SiteWise enviar valores de propriedades do ativo para o modelo de alarme.
+ `iotsitewise:DescribeAssetModel`, `iotsitewise:ListAssetModels` — Permite AWS IoT Events verificar se existe uma propriedade do ativo.
+ `iotsitewise:UpdateAssetModelPropertyRouting`— Permite AWS IoT SiteWise criar automaticamente assinaturas que permitem enviar dados AWS IoT SiteWise para. AWS IoT Events
Para obter mais informações sobre as ações AWS IoT SiteWise suportadas, consulte [Ações definidas por AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) na *Referência de Autorização de Serviço*.
**Example Exemplo 1 de política de permissões**
A política a seguir permite AWS IoT SiteWise enviar valores de propriedades de ativos para qualquer modelo de AWS IoT Events alarme.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:UpdateAlarmModel"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModelPropertyRouting"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
}
]
}
```
**Example Exemplo 2 de política de permissões**
A política a seguir permite AWS IoT SiteWise enviar valores de uma propriedade de ativo especificada para um modelo de AWS IoT Events alarme especificado.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:UpdateAlarmModel"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:UpdateAssetModelPropertyRouting"
],
"Resource": [
"arn:aws:iotsitewise:us-east-1:123456789012:asset-model/12345678-90ab-cdef-1234-567890abcdef"
],
"Condition": {
"StringLike": {
"iotsitewise:propertyId": "abcdef12-3456-7890-abcd-ef1234567890",
"aws:ResourceTag/AlarmModel": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/MyAlarmModel"
}
}
}
]
}
```
## ListInputRoutings Permissão (opcional)
Quando você atualiza ou exclui um modelo de ativo, AWS IoT SiteWise pode verificar se um modelo de alarme AWS IoT Events está monitorando uma propriedade de ativo associada a esse modelo de ativo. Isso impede que você exclua uma propriedade do ativo que um AWS IoT Events alarme está usando atualmente. Para ativar esse recurso AWS IoT SiteWise, você deve ter a `iotevents:ListInputRoutings` permissão. Essa permissão permite AWS IoT SiteWise fazer chamadas para a operação de [ListInputRoutings](https://docs.aws.amazon.com/iotevents/latest/apireference/API_ListInputRoutings.html)API suportada pelo AWS IoT Events.
**nota**
É altamente recomendável adicionar a permissão `ListInputRoutings`.
**Example Exemplo de política de permissões**
A política a seguir permite que você atualize e exclua modelos de ativos e use a `ListInputRoutings` API em AWS IoT SiteWise.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:UpdateAssetModel",
"iotsitewise:DeleteAssetModel",
"iotevents:ListInputRoutings"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
}
]
}
```
------
## Permissões necessárias para o SiteWise Monitor
Se quiser usar o recurso de alarmes nos portais do SiteWise Monitor, você deve atualizar a [função de serviço SiteWise Monitor](monitor-service-role.md) com a seguinte política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
# Prevenção confusa de delegados entre serviços em AWS IoT SiteWise
O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS IoT SiteWise concedem outro serviço ao recurso. Se o valor `aws:SourceArn` não contiver o ID da conta, como um nome do recurso da Amazon (ARN) do bucket do Amazon S3, você deverá usar ambas as chaves de contexto de condição global para limitar as permissões. Se você utilizar ambas as chaves de contexto de condição global e o valor de `aws:SourceArn` contiver o ID da conta, o valor de `aws:SourceAccount` e a conta no valor de `aws:SourceArn` deverão utilizar o mesmo ID de conta quando utilizados na mesma declaração da política.
+ Use `aws:SourceArn` se quiser apenas um recurso associado a acessibilidade de serviço.
+ Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.
O valor de `aws:SourceArn` deve ser o recurso AWS IoT SiteWise do cliente associado à `sts:AssumeRole` solicitação.
A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se estiver especificando vários recursos, use a chave da condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:servicename:*:123456789012:*`
**Example – Prevenção contra representante confuso**
O exemplo a seguir mostra como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves de contexto AWS IoT SiteWise para evitar o confuso problema substituto.
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:iotsitewise:*:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
# Solucionar problemas de AWS IoT SiteWise identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS IoT SiteWise e AWS Identity and Access Management (IAM).
**Topics**
+ [Não estou autorizado a realizar uma ação em AWS IoT SiteWise](#security_iam_troubleshoot-no-permissions)
+ [Não tenho autorização para executar uma `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus AWS IoT SiteWise recursos](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação em AWS IoT SiteWise
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. O administrador é a pessoa que forneceu o seu nome de usuário e senha.
O erro do exemplo a seguir ocorre quando o usuário do IAM de `mateojackson` tenta usar o console para visualizar detalhes sobre um ativo, mas não tem permissões `iotsitewise:DescribeAsset`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: iotsitewise:DescribeAsset on resource: a1b2c3d4-5678-90ab-cdef-22222EXAMPLE
```
Nesse caso, Mateo pede ao administrador para atualizar suas políticas a fim de obter acesso ao recurso do ativo com o ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` usando a ação `iotsitewise:DescribeAsset`.
## Não tenho autorização para executar uma `iam:PassRole`
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o AWS IoT SiteWise.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no AWS IoT SiteWise. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha AWS conta acessem meus AWS IoT SiteWise recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se é AWS IoT SiteWise compatível com esses recursos, consulte[Como AWS IoT SiteWise funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.