As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Use funções vinculadas ao serviço para AWS IoT SiteWise
AWS IoT SiteWise usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. As funções vinculadas ao serviço são predefinidas AWS IoT SiteWise e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome AWS IoT SiteWise.
As funções vinculadas ao serviço simplificam a configuração do AWS IoT SiteWise , incluindo automaticamente todas as permissões necessárias. AWS IoT SiteWise define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS IoT SiteWise pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. E essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS IoT SiteWise recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Função **vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
**Topics**
+ [Permissões de perfil vinculado ao serviço](service-linked-role-permissions.md)
+ [Criar um perfil vinculado ao serviço](create-service-linked-role.md)
+ [Atualizar um perfil vinculado ao serviço](edit-service-linked-role.md)
+ [Excluir um perfil vinculado ao serviço](delete-service-linked-role.md)
+ [Regiões compatíveis](#slr-regions)
+ [Use funções de serviço para o SiteWise Monitor](monitor-service-role.md)
# Permissões de função vinculadas ao serviço para AWS IoT SiteWise
AWS IoT SiteWise **usa a função vinculada ao serviço chamada AWSService RoleForIo TSite Wise.** AWS IoT SiteWise usa essa função vinculada ao serviço para implantar gateways SiteWise Edge (que são executados em AWS IoT Greengrass) e realizar o registro.
O perfil vinculado ao serviço `AWSServiceRoleForIoTSiteWise` usa a política `AWSServiceRoleForIoTSiteWise` com as permissões a seguir. Esta política:
+ Permite AWS IoT SiteWise implantar gateways SiteWise Edge (que funcionam em`AWS IoT Greengrass`).
+ Permite AWS IoT SiteWise realizar o registro.
+ Permite AWS IoT SiteWise executar uma consulta de pesquisa de metadados no AWS IoT TwinMaker banco de dados.
Para ter mais informações sobre as ações permitidas em `AWSServiceRoleForIoTSiteWise`, consulte [AWS managed policies for AWS IoT SiteWise](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
Você pode usar os registros para monitorar e solucionar problemas em seus gateways do SiteWise Edge. Para obter mais informações, consulte [Monitore os registros do gateway SiteWise Edge](monitor-gateway-logs.md).
Primeiro configure as permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
# Crie uma função vinculada ao serviço para AWS IoT SiteWise
AWS IoT SiteWise requer uma função vinculada ao serviço para realizar determinadas ações e acessar recursos em seu nome. Uma função vinculada a serviços é um tipo exclusivo de função de AWS Identity and Access Management (IAM) vinculada diretamente a. AWS IoT SiteWise Ao criar essa função, você AWS IoT SiteWise concede as permissões necessárias para acessar outros AWS serviços e recursos necessários para sua operação, como o Amazon S3 para armazenamento de dados ou AWS IoT comunicação com dispositivos.
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você executa as seguintes operações no AWS IoT SiteWise console, AWS IoT SiteWise cria a função vinculada ao serviço para você.
+ Criar um gateway do Greengrass V1.
+ Configurar a opção de registro em log.
+ Escolher o botão de aceitação no banner de execução da consulta.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você executa qualquer operação no AWS IoT SiteWise console, AWS IoT SiteWise cria a função vinculada ao serviço para você novamente.
Você também pode usar o console ou a API do IAM para criar uma função vinculada ao serviço para o AWS IoT SiteWise.
+ Para fazer isso no console do IAM, crie uma função com a política da **AWSServiceRoleForIoTSiteWise** e uma relação de confiança com`iotsitewise.amazonaws.com`.
+ Para fazer isso usando a API AWS CLI ou IAM, crie uma função com a `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise` política e uma relação de confiança com`iotsitewise.amazonaws.com`.
Para ter mais informações, consulte [Criar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role) no *Guia do usuário do IAM*.
Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
# Atualizar uma função vinculada ao serviço para AWS IoT SiteWise
AWS IoT SiteWise não permite que você edite a função vinculada ao serviço da AWSService RoleForIo TSite Wise. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte [Atualizar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) no *Guia do usuário do IAM*.
# Excluir uma função vinculada ao serviço para AWS IoT SiteWise
Se um recurso ou um serviço que exige um perfil vinculado ao serviço não está mais em uso, é recomendável excluí-lo. Isso é para evitar a presença de uma entidade inativa que não esteja sendo monitorada nem mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o AWS IoT SiteWise serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, aguarde alguns minutos e tente novamente.
**Para excluir AWS IoT SiteWise recursos usados pelo AWSService RoleForIo TSite Wise**
1. Desative o registro para AWS IoT SiteWise. Para obter mais informações, consulte [Alterar o nível de registro em log](monitor-cloudwatch-logs.md#change-logging-level).
1. Exclua todos os gateways ativos SiteWise do Edge.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função vinculada ao serviço da AWSService RoleForIo TSite Wise. Para ter mais informações, consulte [Delete roles or instance profiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a AWS IoT SiteWise serviços
AWS IoT SiteWise suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints e cotas do AWS IoT SiteWise](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html).
# Use funções de serviço para AWS IoT SiteWise Monitor
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
Para permitir que usuários federados do portal SiteWise Monitor acessem seus Centro de Identidade do AWS IAM recursos AWS IoT SiteWisee seus, você deve anexar uma função de serviço a cada portal que você criar. A função de serviço deve especificar o SiteWise Monitor como uma entidade confiável e incluir a política [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gerenciada ou definir [permissões equivalentes](#monitor-service-role-permissions). Essa política é mantida AWS e define o conjunto de permissões que o SiteWise Monitor usa para acessar seus recursos AWS IoT SiteWise e os do IAM Identity Center.
Ao criar um portal do SiteWise Monitor, você deve escolher uma função que permita que os usuários desse portal acessem seus recursos AWS IoT SiteWisee os do IAM Identity Center. O AWS IoT SiteWise console pode criar e configurar a função para você. Você pode editar o perfil no IAM posteriormente. Os usuários do seu portal terão problemas ao usar seus portais SiteWise Monitor se você remover as permissões necessárias da função ou excluir a função.
**nota**
Os portais criados antes de 29 de abril de 2020 não exigiram funções de serviço. Se você criou portais antes dessa data, deverá anexar funções de serviço para continuar usando-as. Para fazer isso, navegue até a página **Portais** no [AWS IoT SiteWise console](https://console.aws.amazon.com/iotsitewise/) e escolha **Migrar todos os portais para usar os perfis do IAM**.
As seções a seguir descrevem como criar e gerenciar a função de serviço SiteWise Monitor no Console de gerenciamento da AWS ou no AWS Command Line Interface.
**Contents**
+ [Permissões de função de serviço para SiteWise Monitor (Classic)](#monitor-service-role-permissions)
+ [Permissões de função de serviço para SiteWise Monitor (com reconhecimento de IA)](#monitor-ai-service-role-permissions)
+ [Gerenciar a função de serviço SiteWise Monitor (console)](#manage-portal-role-console)
+ [Encontrar um perfil de serviço do portal (console)](#find-portal-role-console)
+ [Criar uma função de serviço do SiteWise Monitor (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Crie uma função de serviço do SiteWise Monitor (console do IAM)](#create-portal-role-iam-console)
+ [Alterar um perfil de serviço do portal (console)](#change-portal-role-console)
+ [Gerenciar a função de serviço do SiteWise Monitor (CLI)](#manage-portal-role-cli)
+ [Encontrar um perfil de serviço do portal (CLI)](#find-portal-role-cli)
+ [Crie a função de serviço do SiteWise Monitor (CLI)](#create-portal-role-cli)
+ [SiteWise Monitore as atualizações do AWSIo TSite WiseMonitorServiceRole](#monitor-role-permission-updates)
## Permissões de função de serviço para SiteWise Monitor (Classic)
Quando você cria um portal, AWS IoT SiteWise permite criar uma função cujo nome comece com **AWSIoTSiteWiseMonitorServiceRole**. Essa função permite que usuários federados do SiteWise Monitor acessem sua configuração do portal, ativos, dados de ativos e dados de configuração do IAM Identity Center.
A função confia que o seguinte serviço assuma a função:
+ `monitor.iotsitewise.amazonaws.com`
A função usa a seguinte política de permissões, que começa com **AWSIoTSiteWiseMonitorServicePortalPolicy**, para permitir que os usuários do SiteWise Monitor concluam ações nos recursos da sua conta. A política gerenciada [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) define permissões equivalentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
Para mais informações sobre as permissões necessárias para alarmes, consulte [Configure permissões para alarmes de eventos em AWS IoT SiteWise](alarms-iam-permissions.md).
Quando um usuário do portal entra, o SiteWise Monitor cria uma [política de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) com base na interseção da função de serviço e das políticas de acesso desse usuário. As políticas de acesso definem o nível de acesso das identidades aos seus portais e projetos. Para obter mais informações sobre permissões do portal e políticas de acesso, consulte [Administre seus portais do SiteWise Monitor](administer-portals.md) [CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html)e.
## Permissões de função de serviço para SiteWise Monitor (com reconhecimento de IA)
Quando você cria um portal, AWS IoT SiteWise permite criar uma função cujo nome começa com **Io TSite WisePortalRole**. Essa função permite que usuários federados do SiteWise Monitor acessem sua configuração do portal, ativos, dados de ativos e dados de configuração do IAM Identity Center.
**Atenção**
As funções de **proprietário** **do projeto e visualizador** do projeto não são suportadas pelo SiteWise Monitor (compatível com IA).
A função confia que o seguinte serviço assuma a função:
+ `monitor.iotsitewise.amazonaws.com`
A função usa a seguinte política de permissões, que começa com **Io TSite Wise AIPortal AccessPolicy**, para permitir que os usuários do SiteWise Monitor concluam ações nos recursos da sua conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
Quando um usuário do portal entra, o SiteWise Monitor cria uma [política de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) com base na interseção da função de serviço e das políticas de acesso desse usuário.
## Gerenciar a função de serviço SiteWise Monitor (console)
Isso Console do AWS IoT SiteWise facilita o gerenciamento da função de serviço SiteWise Monitor para portais. Ao criar um portal, o console verifica os perfis existentes adequados para anexação. Se nenhum estiver disponível, o console poderá criar e configurar um perfil de serviço para você. Para obter mais informações, consulte [Crie um portal no SiteWise Monitor](monitor-create-portal.md).
**Topics**
+ [Encontrar um perfil de serviço do portal (console)](#find-portal-role-console)
+ [Criar uma função de serviço do SiteWise Monitor (AWS IoT SiteWise console)](#create-portal-role-sitewise-console)
+ [Crie uma função de serviço do SiteWise Monitor (console do IAM)](#create-portal-role-iam-console)
+ [Alterar um perfil de serviço do portal (console)](#change-portal-role-console)
### Encontrar um perfil de serviço do portal (console)
Use as etapas a seguir para encontrar a função de serviço anexada a um portal do SiteWise Monitor.
**Como encontrar a função de serviço de um portal**
1. Navegue até o [console do AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. No painel de navegação à esquerda, escolha **Portais**.
1. Escolha o portal para o qual deseja encontrar a função de serviço.
A função anexada ao portal aparece em **Permissions (Permissões)**, **Service Role (Função de serviço)**.
### Criar uma função de serviço do SiteWise Monitor (AWS IoT SiteWise console)
Ao criar um portal SiteWise Monitor, você pode criar uma função de serviço para seu portal. Para obter mais informações, consulte [Crie um portal no SiteWise Monitor](monitor-create-portal.md).
Você também pode criar uma função de serviço para um portal existente no AWS IoT SiteWise console. Isso substitui o perfil de serviço existente do portal.
**Como criar uma função de serviço para um portal existente**
1. Navegue até o [console do AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. No painel de navegação, selecione **Portais**.
1. Escolha o portal para o qual você deseja criar uma função de serviço.
1. Em **Portal details (Detalhes do portal)**, escolha **Edit (Editar)**.
1. Em **Permissions (Permissões)**, escolha **Create and use a new service role (Criar e usar uma nova função de serviço)** na lista.
1. Insira um nome para a nova função.
1. Escolha **Salvar**.
### Crie uma função de serviço do SiteWise Monitor (console do IAM)
É possível criar um perfil de serviço a partir do modelo de perfil de serviço no console do IAM. Esse modelo de função inclui a política [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gerenciada e especifica o SiteWise Monitor como uma entidade confiável.
**Para criar um perfil de serviço a partir do modelo de perfil de serviço do portal**
1. Navegue até o [console do IAM](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Escolha **Criar Perfil**.
1. Em **Escolha um caso de uso**, escolha **IoT SiteWise**.
1. Em **Selecione seu caso de uso**, escolha **IoT SiteWise Monitor - Portal**.
1. Escolha **Próximo: Permissões**.
1. Escolha **Next: Tags (Próximo: tags)**.
1. Selecione **Próximo: revisar**.
1. Insira um **Nome do perfil** para o novo perfil de serviço.
1. Selecione **Criar perfil**.
### Alterar um perfil de serviço do portal (console)
Use o procedimento a seguir para escolher uma função de serviço SiteWise Monitor diferente para um portal.
**Como alterar a função de serviço de um portal**
1. Navegue até o [console do AWS IoT SiteWise](https://console.aws.amazon.com/iotsitewise/).
1. No painel de navegação, selecione **Portais**.
1. Escolha o portal para o qual você deseja alterar a função de serviço.
1. Em **Portal details (Detalhes do portal)**, escolha **Edit (Editar)**.
1. Em **Permissions (Permissões)**, escolha **Use an existing role (Usar uma função existente)**.
1. Escolha uma função existente para anexar a este portal.
1. Escolha **Salvar**.
## Gerenciar a função de serviço do SiteWise Monitor (CLI)
Você pode usar o AWS CLI para as seguintes tarefas de gerenciamento de função de serviço do portal:
**Topics**
+ [Encontrar um perfil de serviço do portal (CLI)](#find-portal-role-cli)
+ [Crie a função de serviço do SiteWise Monitor (CLI)](#create-portal-role-cli)
### Encontrar um perfil de serviço do portal (CLI)
Para encontrar a função de serviço anexada a um portal do SiteWise Monitor, execute o comando a seguir para listar todos os seus portais na região atual.
```
aws iotsitewise list-portals
```
A operação retorna uma resposta que contém os resumos de seu portal no formato a seguir.
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
Você também pode utilizar a [DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html)operação para localizar a função do seu portal se você souber a ID do seu portal.
### Crie a função de serviço do SiteWise Monitor (CLI)
Use as etapas a seguir para criar uma nova função de serviço do SiteWise Monitor.
**Para criar uma função de serviço do SiteWise Monitor**
1. Crie uma função com uma política de confiança que permita que o SiteWise Monitor assuma a função. Este exemplo cria uma função chamada **MySiteWiseMonitorPortalRole** de uma política de confiança armazenada em uma string JSON.
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. Copie o ARN da função dos metadados da função na saída. Ao criar um portal, você usa esse ARN para associar a função ao portal. Para obter mais informações sobre a criação de um portal, consulte [CreatePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html)na *Referência AWS IoT SiteWise da API*.
1.
1. Para o SiteWise Monitor (Clássico) — anexe a `AWSIoTSiteWiseMonitorPortalAccess` política à função ou anexe uma política que defina permissões equivalentes.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. Para o SiteWise monitor (compatível com IA) — anexe a `IoTSiteWiseAIPortalAccessPolicy` política à função ou anexe uma política que defina permissões equivalentes. Por exemplo, crie uma política com permissões de acesso ao portal. O exemplo a seguir cria uma política chamada`MySiteWiseMonitorPortalAccess`.
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**Como anexar uma função de serviço a um portal existente**
1. Para recuperar os detalhes existentes do portal, execute o comando a seguir. *portal-id*Substitua pela ID do portal.
```
aws iotsitewise describe-portal --portal-id portal-id
```
A operação retorna uma resposta que contém os detalhes do portal no seguinte formato.
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. Para anexar uma função de serviço a um portal, execute o comando a seguir. *role-arn*Substitua pelo ARN da função de serviço e substitua os parâmetros restantes pelos valores existentes do portal.
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Monitore as atualizações do AWSIo TSite WiseMonitorServiceRole
Você pode ver detalhes sobre as atualizações do SiteWise Monitor, a **AWSIoTSiteWiseMonitorServiceRole**partir de quando esse serviço começou a rastrear as alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS IoT SiteWise documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions): política atualizada | AWS IoT SiteWise atualizou a política [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)gerenciada para o recurso de alarmes. | 27 de maio de 2021 |
| AWS IoT SiteWise começou a rastrear as alterações | AWS IoT SiteWise começou a rastrear as alterações em sua função de serviço. | 15 de dezembro de 2020 |