本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS IoT SiteWise IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 AWS 账户中具有特定权限的实体。

## 使用临时证书 AWS IoT SiteWise
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

可以使用临时凭证进行联合身份验证登录，分派 IAM 角色或分派跨账户角色。您可以调用 AWS STS API 操作（如[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) ）以获取临时安全凭证。

AWS IoT SiteWise 支持使用临时证书。

SiteWise Monitor 支持联合用户访问门户。门户用户使用其 IAM Identity Center 或 IAM 凭证进行身份验证。

**重要**  <a name="iam-portal-user-permissions"></a>
用户或角色必须具有登录门户的 `iotsitewise:DescribePortal` 权限。

当用户登录门户时，M SiteWise onitor 会生成一个提供以下权限的会话策略：
+ 该门户角色提供对您账户 AWS IoT SiteWise 中资产和资产数据的只读访问权限。
+ 对该门户中的项目（用户对这些项目具有管理员（项目拥有者）或只读（项目查看者）访问权限）的访问权限。

有关联合身份门户用户权限的更多信息，请参阅[将服务角色用于 AWS IoT SiteWise Monitor](monitor-service-role.md)。

## 的转发访问会话 (FAS) AWS IoT SiteWise
<a name="security_iam_service-with-iam-principal-permissions"></a>

**支持转发访问会话（FAS）：**是

 转发访问会话 (FAS) 使用调用主体的权限 AWS 服务，再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情，请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。

## 服务关联角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务相关角色出现在您的 AWS 账户中并归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。

AWS IoT SiteWise 支持服务相关角色。有关创建或管理 AWS IoT SiteWise 服务关联角色的详细信息，请参阅 [将服务相关角色用于 AWS IoT SiteWise](using-service-linked-roles.md)。

## 服务角色
<a name="security_iam_service-with-iam-roles-service"></a>

此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 AWS 账户中，并归该账户所有。这意味着，IAM 管理员可以更改该角色的权限。但是，这样做可能会中断服务的功能。

AWS IoT SiteWise 使用服务角色允许 M SiteWise onitor 门户用户代表您访问您的某些 AWS IoT SiteWise 资源。有关更多信息，请参阅 [将服务角色用于 AWS IoT SiteWise Monitor](monitor-service-role.md)。

您必须拥有所需的权限才能在中创建 AWS IoT Events 警报模型 AWS IoT SiteWise。有关更多信息，请参阅 [在中设置事件警报的权限 AWS IoT SiteWise](alarms-iam-permissions.md)。

## 在中选择一个 IAM 角色 AWS IoT SiteWise
<a name="security_iam_service-with-iam-roles-choose"></a>

在中创建`portal`资源时 AWS IoT SiteWise，必须选择一个角色才能允许 Monito SiteWise r 门户的联合用户 AWS IoT SiteWise 代表您进行访问。如果您之前创建过服务角色，则会 AWS IoT SiteWise 为您提供可供选择的角色列表。否则，可以在创建门户时创建具有所需权限的角色。选择一个允许访问您的资产和资产数据的角色非常重要。有关更多信息，请参阅 [将服务角色用于 AWS IoT SiteWise Monitor](monitor-service-role.md)。