Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für AWS IoT SiteWise
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS IoT SiteWise IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [
# Zielgruppe für Sicherheit AWS IoT SiteWise
](security_iam_audience.md)
+ [
# Authentifizieren Sie sich mit Identitäten in AWS IoT SiteWise
](security_iam_authentication.md)
+ [
# Wie AWS IoT SiteWise funktioniert mit IAM
](security_iam_service-with-iam.md)
+ [
# AWS verwaltete Richtlinien für AWS IoT SiteWise
](security-iam-awsmanpol.md)
+ [
# Verwenden Sie dienstbezogene Rollen für AWS IoT SiteWise
](using-service-linked-roles.md)
+ [
# Richten Sie Berechtigungen für Ereignisalarme ein in AWS IoT SiteWise
](alarms-iam-permissions.md)
+ [
# Dienstübergreifende Prävention verwirrter Stellvertreter in AWS IoT SiteWise
](cross-service-confused-deputy-prevention.md)
+ [
# Probleme mit AWS IoT SiteWise Identität und Zugriff beheben
](security_iam_troubleshoot.md)
# Zielgruppe für Sicherheit AWS IoT SiteWise
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Probleme mit AWS IoT SiteWise Identität und Zugriff beheben](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS IoT SiteWise funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS IoT SiteWise Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)).
# Authentifizieren Sie sich mit Identitäten in AWS IoT SiteWise
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
## AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
## IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
## IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Wie AWS IoT SiteWise funktioniert mit IAM
Bevor Sie AWS Identity and Access Management (IAM) zur Verwaltung des Zugriffs auf verwenden AWS IoT SiteWise, sollten Sie wissen, mit welchen IAM-Funktionen Sie arbeiten können. AWS IoT SiteWise
| IAM-Feature | Unterstützt von? AWS IoT SiteWise |
| --- | --- |
| [Identitätsbasierte Richtlinien mit Berechtigungen auf Ressourcenebene](security_iam_service-with-iam-id-based-policies.md) | Ja |
| [Richtlinienaktionen](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| Ressourcenbasierte Richtlinien | Nein |
| Zugriffskontrolllisten (ACLs) | Nein |
| [Tagbasierte Autorisierung (ABAC)](security_iam_service-with-iam-tags.md) | Ja |
| [Temporäre Anmeldeinformationen](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Zugriffssitzungen weiterleiten (FAS)](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions) | Ja |
| [Service-verknüpfte Rollen](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Ja |
| [Servicerollen](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Ja |
*Einen allgemeinen Überblick darüber, wie AWS IoT SiteWise und andere AWS Dienste mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Contents**
+ [
# AWS IoT SiteWise IAM-Rollen
](security_iam_service-with-iam-roles.md)
+ [
## Verwenden Sie temporäre Anmeldeinformationen mit AWS IoT SiteWise
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)
+ [
## Zugriffssitzungen (FAS) weiterleiten für AWS IoT SiteWise
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)
+ [
## Service-verknüpfte Rollen
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)
+ [
## Servicerollen
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service)
+ [
## Wählen Sie eine IAM-Rolle in AWS IoT SiteWise
](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-choose)
+ [
# Autorisierung auf der Grundlage von AWS IoT SiteWise Tags
](security_iam_service-with-iam-tags.md)
+ [
# AWS IoT SiteWise identitätsbasierte Richtlinien
](security_iam_service-with-iam-id-based-policies.md)
+ [
## Richtlinienaktionen
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)
+ [
### BatchPutAssetPropertyValue Autorisierung
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action)
+ [
## Richtlinienressourcen
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)
+ [
## Bedingungsschlüssel für die Richtlinie
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [
## Beispiele
](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-examples)
+ [
# AWS IoT SiteWise Beispiele für identitätsbasierte Richtlinien
](security_iam_id-based-policy-examples.md)
+ [
## Best Practices für Richtlinien
](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)
+ [
## AWS IoT SiteWise Verwenden Sie die Konsole
](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)
+ [
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Erlaubt Benutzern, Daten in Assets in einer Hierarchie aufzunehmen
](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [
## Auf Tags basierende AWS IoT SiteWise Assets anzeigen
](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)
+ [
# Verwalten Sie den Zugriff mithilfe von Richtlinien in AWS IoT SiteWise
](security_iam_access-manage.md)
+ [
## Identitätsbasierte Richtlinien
](security_iam_access-manage.md#security_iam_access-manage-id-based-policies)
+ [
## Ressourcenbasierte Richtlinien
](security_iam_access-manage.md#security_iam_access-manage-resource-based-policies)
+ [
## Zugriffskontrolllisten () ACLs
](security_iam_access-manage.md#security_iam_access-manage-acl)
+ [
## Weitere Richtlinientypen
](security_iam_access-manage.md#security_iam_access-manage-other-policies)
+ [
## Mehrere Richtlinientypen
](security_iam_access-manage.md#security_iam_access-manage-multiple-policies)
# AWS IoT SiteWise IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS -Konto mit spezifischen Berechtigungen.
## Verwenden Sie temporäre Anmeldeinformationen mit AWS IoT SiteWise
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS IoT SiteWise unterstützt die Verwendung temporärer Anmeldeinformationen.
SiteWise Monitor unterstützt Verbundbenutzer beim Zugriff auf Portale. Portalbenutzer authentifizieren sich mit ihren IAM Identity Center- oder IAM-Anmeldeinformationen.
**Wichtig**
Benutzer oder Rollen müssen über die `iotsitewise:DescribePortal` Berechtigung verfügen, sich beim Portal anzumelden.
Wenn sich ein Benutzer bei einem Portal anmeldet, generiert SiteWise Monitor eine Sitzungsrichtlinie, die die folgenden Berechtigungen bietet:
+ Schreibgeschützter Zugriff auf die Assets und Asset-Daten AWS IoT SiteWise in Ihrem Konto, auf die die Rolle dieses Portals Zugriff gewährt.
+ Zugriff auf Projekte in diesem Portal, auf die der Benutzer Administratorzugriff (Projektbesitzer) oder schreibgeschützten Zugriff (Projektanzeiger) hat.
Weitere Informationen zu föderierten Portalbenutzerberechtigungen finden Sie unter [Verwenden Sie Servicerollen für AWS IoT SiteWise Monitor](monitor-service-role.md).
## Zugriffssitzungen (FAS) weiterleiten für AWS IoT SiteWise
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Service-verknüpfte Rollen
Mit [dienstverknüpften Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Mit Diensten verknüpfte Rollen werden in Ihrem AWS Konto angezeigt und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
AWS IoT SiteWise unterstützt dienstbezogene Rollen. Details zum Erstellen oder Verwalten von serviceverknüpften AWS IoT SiteWise -Rollen finden Sie unter [Verwenden Sie dienstbezogene Rollen für AWS IoT SiteWise](using-service-linked-roles.md).
## Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem AWS Konto angezeigt und gehören dem Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
AWS IoT SiteWise verwendet eine Servicerolle, damit SiteWise Monitor-Portalbenutzer in Ihrem Namen auf einige Ihrer AWS IoT SiteWise Ressourcen zugreifen können. Weitere Informationen finden Sie unter [Verwenden Sie Servicerollen für AWS IoT SiteWise Monitor](monitor-service-role.md).
Sie müssen über die erforderlichen Berechtigungen verfügen, bevor Sie AWS IoT Events Alarmmodelle in erstellen können AWS IoT SiteWise. Weitere Informationen finden Sie unter [Richten Sie Berechtigungen für Ereignisalarme ein in AWS IoT SiteWise](alarms-iam-permissions.md).
## Wählen Sie eine IAM-Rolle in AWS IoT SiteWise
Wenn Sie eine `portal` Ressource in erstellen AWS IoT SiteWise, müssen Sie eine Rolle auswählen, auf die die Verbundbenutzer Ihres SiteWise Monitor-Portals in Ihrem Namen zugreifen AWS IoT SiteWise können. Wenn Sie zuvor eine Servicerolle erstellt haben, AWS IoT SiteWise erhalten Sie eine Liste mit Rollen, aus denen Sie wählen können. Andernfalls können Sie beim Erstellen eines Portals eine Rolle mit den erforderlichen Berechtigungen erstellen. Es ist wichtig, eine Rolle auszuwählen, die den Zugriff auf Ihre Komponenten und Komponentendaten ermöglicht. Weitere Informationen finden Sie unter [Verwenden Sie Servicerollen für AWS IoT SiteWise Monitor](monitor-service-role.md).
# Autorisierung auf der Grundlage von AWS IoT SiteWise Tags
Sie können Tags an AWS IoT SiteWise Ressourcen anhängen oder Tags in einer Anfrage an übergeben AWS IoT SiteWise. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Weitere Informationen über das Markieren von AWS IoT SiteWise -Ressourcen mit Tags finden Sie unter [Kennzeichnen Sie Ihre AWS IoT SiteWise Ressourcen](tag-resources.md).
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Auf Tags basierende AWS IoT SiteWise Assets anzeigen](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags).
# AWS IoT SiteWise identitätsbasierte Richtlinien
Mit IAM-Richtlinien können Sie kontrollieren, wer was tun kann. AWS IoT SiteWise Sie können entscheiden, welche Aktionen zulässig sind oder nicht, und spezifische Bedingungen für diese Aktionen festlegen. Sie können beispielsweise Regeln dafür festlegen, wer Informationen sehen oder ändern kann AWS IoT SiteWise. AWS IoT SiteWise unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS IoT SiteWise verwendet:`iotsitewise:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, Objektdaten im Rahmen des `BatchPutAssetPropertyValue` API-Vorgangs hochzuladen, nehmen Sie die `iotsitewise:BatchPutAssetPropertyValue` Aktion in seine Richtlinie auf. AWS IoT SiteWise Richtlinienerklärungen müssen `Action` entweder ein `NotAction` Oder-Element enthalten. AWS IoT SiteWise definiert einen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere -Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie folgendermaßen durch Kommas.
```
"Action": [
"iotsitewise:action1",
"iotsitewise:action2"
]
```
Sie können auch Platzhalter (\$1) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "iotsitewise:Describe*"
```
Eine Liste der AWS IoT SiteWise [Aktionen finden Sie AWS IoT SiteWise im *IAM-Benutzerhandbuch* unter Definierte Aktionen von](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
### BatchPutAssetPropertyValue Autorisierung
AWS IoT SiteWise autorisiert den Zugriff auf die [BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html)Aktion auf ungewöhnliche Weise. Wenn Sie bei den meisten Aktionen den Zugriff zulassen oder verweigern, gibt diese Aktion einen Fehler zurück, wenn keine Berechtigungen erteilt wurden. Mit `BatchPutAssetPropertyValue` können Sie in einer einzigen API-Anfrage mehrere Dateneinträge an verschiedene Assets und Asset-Eigenschaften senden. AWS IoT SiteWise autorisiert jede Dateneingabe unabhängig. Fügt für jeden einzelnen Eintrag, bei dem die Autorisierung in der Anfrage fehlschlägt AWS IoT SiteWise , eine Fehlerliste `AccessDeniedException` in die zurückgegebene Liste ein. AWS IoT SiteWise empfängt die Daten für jeden Eintrag, der autorisiert wurde und erfolgreich ist, auch wenn ein anderer Eintrag in derselben Anfrage fehlschlägt.
**Wichtig**
Gehen Sie wie folgt vor, bevor Sie Daten in einen Datenstream aufnehmen:
Autorisieren Sie die `time-series` Ressource, wenn Sie einen Eigenschaftsalias verwenden, um den Datenstrom zu identifizieren.
Autorisieren Sie die `asset` Ressource, wenn Sie eine Asset-ID verwenden, um das Asset zu identifizieren, das die zugehörige Asset-Eigenschaft enthält.
## Richtlinienressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Jede IAM-Richtlinienerklärung gilt für die Ressourcen, die Sie mithilfe ihrer ARNs angeben. Ein ARN weist die folgende allgemeine Syntax auf:
```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Identifizieren von AWS Ressourcen mit Amazon-Ressourcennamen (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Um beispielsweise die Komponente mit der ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN.
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```
Um alle Datenströme anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```
Um alle Komponenten anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1).
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```
Einige AWS IoT SiteWise Aktionen, z. B. die zum Erstellen von Ressourcen, können für eine bestimmte Ressource nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2"
]
```
Eine Liste der AWS IoT SiteWise Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Ressourcentypen definiert von AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies) im *IAM-Benutzerhandbuch*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS IoT SiteWise definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Bedingungsschlüssel für die Richtlinie
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
**Wichtig**
Einige API-Aktionen verwenden mehrere Ressourcen. Viele Bedingungsschlüssel sind jedoch ressourcenspezifisch. Wenn Sie eine Richtlinienanweisung mit einem Bedingungsschlüssel schreiben, legen Sie über das `Resource`-Element der Anweisung fest, für welche Ressource der Bedingungsschlüssel gültig ist. Andernfalls verhindert die Richtlinie möglicherweise, dass Benutzer die Aktion überhaupt ausführen können, da die Bedingungsprüfung für die Ressourcen fehlschlägt, für die der Bedingungsschlüssel nicht gilt. Wenn Sie keine Ressource angeben möchten oder über das `Action`-Element Ihrer Richtlinie mehrere API-Aktionen hinzugefügt haben, müssen Sie mit dem `...IfExists`-Bedingungstyp sicherstellen, dass der Bedingungsschlüssel für die Ressourcen, die ihn nicht verwenden, ignoriert wird. [Weitere Informationen finden Sie unter... IfExists ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists)Bedingungen im *IAM-Benutzerhandbuch*.
AWS IoT SiteWise definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
**AWS IoT SiteWise Bedingungsschlüssel**
| Bedingungsschlüssel | Description | Typen |
| --- | --- | --- |
| iotsitewise:isAssociatedWithAssetProperty | Ob Datenströme mit einer Anlageneigenschaft verknüpft sind. Verwenden Sie diesen Bedingungsschlüssel, um Berechtigungen zu definieren, die auf dem Vorhandensein einer zugehörigen Asset-Eigenschaft für Datenstreams basieren. Beispielwert: `true` | Zeichenfolge |
| iotsitewise:assetHierarchyPath | Der Hierarchiepfad des Assets, bei dem es sich um eine Reihe von Assets handelt, die IDs jeweils durch einen Schrägstrich getrennt sind. Verwenden Sie diesen Bedingungsschlüssel, um Berechtigungen basierend auf einer Teilmenge Ihrer Hierarchie aller Komponenten in Ihrem Konto zu definieren. Beispielwert: `/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | Zeichenfolge |
| iotsitewise:propertyId | Die ID einer Komponenteneigenschaft. Verwenden Sie diesen Bedingungsschlüssel, um Berechtigungen basierend auf der angegebenen Eigenschaft eines Komponentenmodells zu definieren. Dieser Bedingungsschlüssel gilt für alle Komponenten dieses Modells. Beispielwert: `a1b2c3d4-5678-90ab-cdef-33333EXAMPLE` | Zeichenfolge |
| iotsitewise:childAssetId | ID einer Komponente, die als untergeordnetes Element mit einer anderen Komponente verknüpft ist. Verwenden Sie diesen Bedingungsschlüssel, um Berechtigungen basierend auf untergeordneten Komponenten zu definieren. Um Berechtigungen basierend auf übergeordneten Komponenten zu definieren, verwenden Sie den Ressourcenabschnitt einer Richtlinienanweisung. Beispielwert: `a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | Zeichenfolge |
| iotsitewise:iam | Der ARN einer IAM-Identität beim Auflisten von Zugriffsrichtlinien. Verwenden Sie diesen Bedingungsschlüssel, um Zugriffsrichtlinienberechtigungen für eine IAM-Identität zu definieren. Beispielwert: `arn:aws:iam::123456789012:user/JohnDoe` | Zeichenfolge, Null |
| iotsitewise:propertyAlias | Der Alias, der eine Asset-Eigenschaft oder einen Datenstrom identifiziert. Verwenden Sie diesen Bedingungsschlüssel, um Berechtigungen auf der Grundlage des Alias zu definieren. | Zeichenfolge |
| iotsitewise:user | Die ID eines IAM Identity Center-Benutzers beim Auflisten von Zugriffsrichtlinien. Verwenden Sie diesen Bedingungsschlüssel, um Zugriffsrichtlinienberechtigungen für einen IAM Identity Center-Benutzer zu definieren. Beispielwert: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE` | Zeichenfolge, Null |
| iotsitewise:group | Die ID einer IAM Identity Center-Gruppe bei der Auflistung der Zugriffsrichtlinien. Verwenden Sie diesen Bedingungsschlüssel, um Zugriffsrichtlinienberechtigungen für eine IAM Identity Center-Gruppe zu definieren. Beispielwert: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE` | Zeichenfolge, Null |
| iotsitewise:portal | Die ID eines Portals in einer Zugriffsrichtlinie. Verwenden Sie diesen Bedingungsschlüssel, um Zugriffsrichtlinienberechtigungen basierend auf einem Portal zu definieren. Beispielwert: `a1b2c3d4-5678-90ab-cdef-77777EXAMPLE` | Zeichenfolge, Null |
| iotsitewise:project | Die ID eines Projekts in einer Zugriffsrichtlinie oder die ID eines Projekts für ein Dashboard. Verwenden Sie diesen Bedingungsschlüssel, um Dashboard- oder Zugriffsrichtlinienberechtigungen basierend auf einem Projekt zu definieren. Beispielwert: `a1b2c3d4-5678-90ab-cdef-88888EXAMPLE` | Zeichenfolge, Null |
Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Aktionen definiert von AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Beispiele
Beispiele für AWS IoT SiteWise identitätsbasierte Richtlinien finden Sie unter. [AWS IoT SiteWise Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
# AWS IoT SiteWise Beispiele für identitätsbasierte Richtlinien
Standardmäßig sind Entitäten (Benutzer und Rollen) nicht berechtigt, AWS IoT SiteWise Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) oder AWS API ausführen. Um Berechtigungen anzupassen, muss ein AWS Identity and Access Management (IAM-) Administrator wie folgt vorgehen:
1. Erstellen Sie IAM-Richtlinien, die Benutzern und Rollen die Berechtigung gewähren, bestimmte API-Operationen für Ressourcen auszuführen, die sie benötigen.
1. Ordnen Sie diese Richtlinien den Benutzern oder Gruppen zu, für die diese Berechtigungen erforderlich sind.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [
## Best Practices für Richtlinien
](#security_iam_service-with-iam-policy-best-practices)
+ [
## AWS IoT SiteWise Verwenden Sie die Konsole
](#security_iam_id-based-policy-examples-console)
+ [
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Erlaubt Benutzern, Daten in Assets in einer Hierarchie aufzunehmen
](#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [
## Auf Tags basierende AWS IoT SiteWise Assets anzeigen
](#security_iam_id-based-policy-examples-view-asset-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS IoT SiteWise Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## AWS IoT SiteWise Verwenden Sie die Konsole
Um auf die AWS IoT SiteWise Konsole zugreifen zu können, benötigen Sie grundlegende Berechtigungen. Mit diesen Berechtigungen können Sie Details zu den AWS IoT SiteWise Ressourcen in Ihrem AWS Konto einsehen und verwalten.
Wenn Sie eine zu restriktive Richtlinie festlegen, funktioniert die Konsole für Benutzer oder Rollen (Entitäten) mit dieser Richtlinie möglicherweise nicht wie erwartet. Um sicherzustellen, dass diese Entitäten die AWS IoT SiteWise Konsole weiterhin verwenden können, fügen Sie ihnen die [AWSIoTSiteWiseConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/policies/arn:aws:iam::aws:policy/AWSIoTSiteWiseConsoleFullAccess)verwaltete Richtlinie bei oder definieren Sie entsprechende Berechtigungen für diese Entitäten. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
Wenn Entitäten nur die AWS Command Line Interface (CLI) oder die AWS IoT SiteWise API und nicht die Konsole verwenden, benötigen sie diese Mindestberechtigungen nicht. Geben Sie ihnen in diesem Fall einfach Zugriff auf die spezifischen Aktionen, die sie für ihre API-Aufgaben benötigen.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie beinhaltet Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Erlaubt Benutzern, Daten in Assets in einer Hierarchie aufzunehmen
In diesem Beispiel möchten Sie einem Benutzer in Ihrem AWS Konto Zugriff darauf gewähren, Daten für alle Asset-Eigenschaften in einer bestimmten Asset-Hierarchie zu schreiben, beginnend mit dem Stammobjekt. `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` Die Richtlinie erteilt dem Benutzer die `iotsitewise:BatchPutAssetPropertyValue`-Berechtigung. Diese Richtlinie verwendet den `iotsitewise:assetHierarchyPath`-Bedingungsschlüssel, um den Zugriff auf Komponenten einzuschränken, deren Hierarchiepfad mit der Komponenten oder ihren abhängigen Elementen übereinstimmt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutAssetPropertyValuesForHierarchy",
"Effect": "Allow",
"Action": "iotsitewise:BatchPutAssetPropertyValue",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringLike": {
"iotsitewise:assetHierarchyPath": [
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
]
}
}
}
]
}
```
------
## Auf Tags basierende AWS IoT SiteWise Assets anzeigen
Verwenden Sie Bedingungen in Ihrer identitätsbasierten Richtlinie, um den Zugriff auf AWS IoT SiteWise Ressourcen auf der Grundlage von Tags zu steuern. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen, die das Anzeigen von Assets ermöglicht. Die Berechtigung wird jedoch nur erteilt, wenn das Tag der Komponente `Owner` den Wert des Benutzernamens dieses Benutzers hat. Diese Richtlinie gewährt auch die Erlaubnis, diese Aktion auf der Konsole abzuschließen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAllAssets",
"Effect": "Allow",
"Action": [
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets"
],
"Resource": "*"
},
{
"Sid": "DescribeAssetIfOwner",
"Effect": "Allow",
"Action": "iotsitewise:DescribeAsset",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Hängen Sie diese Richtlinie den Benutzern in Ihrem Konto an. Wenn ein benannter Benutzer `richard-roe` versucht, ein AWS IoT SiteWise Asset aufzurufen, muss das Asset mit `Owner=richard-roe` oder markiert werden`owner=richard-roe`. Andernfalls wird Richard der Zugriff verweigert. Bei den Schlüsselnamen der Bedingungstags wird nicht zwischen Groß- und Kleinschreibung unterschieden. `Owner`Entspricht also sowohl als `Owner` auch`owner`. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
# Verwalten Sie den Zugriff mithilfe von Richtlinien in AWS IoT SiteWise
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
## Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
## Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
## Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
## Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
## Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für AWS IoT SiteWise
Vereinfachen Sie das Hinzufügen von Berechtigungen für Benutzer, Gruppen und Rollen mithilfe AWS verwalteter Richtlinien, anstatt Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um vom [Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team präzise Berechtigungen gewähren. Für eine schnellere Einrichtung sollten Sie in Erwägung ziehen, unsere AWS verwalteten Richtlinien für allgemeine Anwendungsfälle zu verwenden. Suchen Sie in Ihrem AWS Konto nach AWS verwalteten Richtlinien. Weitere Informationen zu verwalteten AWS -Richtlinien finden Sie unter [Verwaltete AWS -Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Leitfaden*.
AWS Die Dienste kümmern sich um die Aktualisierung und Pflege der AWS verwalteten Richtlinien, sodass Sie die Berechtigungen dieser Richtlinien nicht ändern können. Gelegentlich AWS IoT SiteWise können Berechtigungen hinzugefügt werden, um neuen Funktionen gerecht zu werden, was sich auf alle Identitäten auswirkt, an die die Richtlinie angehängt ist. Solche Updates sind bei der Einführung neuer Dienste oder Funktionen üblich. Berechtigungen werden jedoch niemals entfernt, um sicherzustellen, dass Ihre Einstellungen intakt bleiben.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die **ReadOnlyAccess** AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste mit Beschreibungen der Richtlinien für Jobfunktionen finden Sie im *IAM-Benutzerhandbuch* unter [AWS Verwaltete Richtlinien für Jobfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html).
## AWS verwaltete Richtlinie: AWSIo TSite WiseReadOnlyAccess
Verwenden Sie die `AWSIoTSiteWiseReadOnlyAccess` AWS verwaltete Richtlinie, um schreibgeschützten Zugriff auf zu gewähren. AWS IoT SiteWise
Sie können die `AWSIoTSiteWiseReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
**Berechtigungen auf Dienstebene**
Diese Richtlinie bietet schreibgeschützten Zugriff auf AWS IoT SiteWise, einschließlich der Berechtigungen zur Ausführung schreibgeschützter SQL-Abfragen. In dieser Richtlinie sind keine anderen Dienstberechtigungen enthalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:DescribeAction",
"iotsitewise:DescribeAsset",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:DescribeAssetModelInterfaceRelationship",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:DescribeBulkImportJob",
"iotsitewise:DescribeComputationModel",
"iotsitewise:DescribeComputationModelExecutionSummary",
"iotsitewise:DescribeDashboard",
"iotsitewise:DescribeDataset",
"iotsitewise:DescribeDefaultEncryptionConfiguration",
"iotsitewise:DescribeExecution",
"iotsitewise:DescribeGateway",
"iotsitewise:DescribeGatewayCapabilityConfiguration",
"iotsitewise:DescribeLoggingOptions",
"iotsitewise:DescribePortal",
"iotsitewise:DescribeProject",
"iotsitewise:DescribeStorageConfiguration",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:ListAccessPolicies",
"iotsitewise:ListActions",
"iotsitewise:ListAssetModelCompositeModels",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ListAssetModels",
"iotsitewise:ListAssetProperties",
"iotsitewise:ListAssetRelationships",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListBulkImportJobs",
"iotsitewise:ListCompositionRelationships",
"iotsitewise:ListComputationModelDataBindingUsages",
"iotsitewise:ListComputationModelResolveToResources",
"iotsitewise:ListComputationModels",
"iotsitewise:ListDashboards",
"iotsitewise:ListDatasets",
"iotsitewise:ListExecutions",
"iotsitewise:ListGateways",
"iotsitewise:ListInterfaceRelationships",
"iotsitewise:ListPortals",
"iotsitewise:ListProjectAssets",
"iotsitewise:ListProjects",
"iotsitewise:ListTagsForResource",
"iotsitewise:ListTimeSeries"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: Wise AWSService RoleForIo TSite
Die `AWSServiceRoleForIoTSiteWise` Rolle verwendet die `AWSServiceRoleForIoTSiteWise` Richtlinie mit den folgenden Berechtigungen. Diese Richtlinie:
+ Ermöglicht AWS IoT SiteWise die Bereitstellung von SiteWise Edge-Gateways (die auf ausgeführt werden`AWS IoT Greengrass`).
+ Ermöglicht die Durchführung AWS IoT SiteWise der Protokollierung.
+ Ermöglicht AWS IoT SiteWise die Ausführung einer Metadaten-Suchabfrage in der AWS IoT TwinMaker Datenbank.
Wenn Sie AWS IoT SiteWise mit einem einzelnen Benutzerkonto arbeiten, erstellt die `AWSServiceRoleForIoTSiteWise` Rolle die `AWSServiceRoleForIoTSiteWise` Richtlinie in Ihrem IAM-Konto und fügt sie den mit dem `AWSServiceRoleForIoTSiteWise` [Dienst](using-service-linked-roles.md) verknüpften Rollen für hinzu. AWS IoT SiteWise
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
## AWS IoT SiteWise Aktualisierungen der verwalteten Richtlinien AWS
Sie können sich Details zu Aktualisierungen AWS verwalteter Richtlinien anzeigen lassen, und zwar ab dem Zeitpunkt AWS IoT SiteWise, zu dem dieser Dienst mit der Nachverfolgung der Änderungen begann. Abonnieren Sie den RSS-Feed auf der Seite AWS IoT SiteWise Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSServiceRoleForIoTSiteWise](#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise) — Aktualisierung einer bestehenden Richtlinie | AWS IoT SiteWise kann jetzt eine Metadaten-Suchabfrage in der AWS IoT TwinMaker Datenbank ausführen. | 6. November 2023 |
| [AWSIoTSiteWiseReadOnlyAccess](#security-iam-awsmanpol-AWSIoTSiteWiseReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | AWS IoT SiteWise hat ein neues Richtlinienpräfix hinzugefügt`BatchGet*`, das es Ihnen ermöglicht, Batch-Lesevorgänge durchzuführen. | 16. September 2022 |
| [AWSIoTSiteWiseReadOnlyAccess](#security-iam-awsmanpol-AWSIoTSiteWiseReadOnlyAccess) – Neue Richtlinie | AWS IoT SiteWise hat eine neue Richtlinie hinzugefügt, auf die nur Lesezugriff gewährt werden kann. AWS IoT SiteWise | 24. November 2021 |
| AWS IoT SiteWise hat begonnen, Änderungen zu verfolgen | AWS IoT SiteWise hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 24. November 2021 |
# Verwenden Sie dienstbezogene Rollen für AWS IoT SiteWise
AWS IoT SiteWise verwendet [dienstverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) Rollen AWS Identity and Access Management (IAM). Eine dienstgebundene Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist AWS IoT SiteWise. Mit Diensten verknüpfte Rollen sind vordefiniert AWS IoT SiteWise und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Servicebezogene Rollen vereinfachen die Konfiguration von, AWS IoT SiteWise indem sie automatisch alle erforderlichen Berechtigungen einbeziehen. AWS IoT SiteWise definiert die Berechtigungen seiner dienstbezogenen Rollen und AWS IoT SiteWise kann, sofern nicht anders definiert, nur seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Und diese Berechtigungsrichtlinie kann keiner anderen IAM-Entität zugeordnet werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS IoT SiteWise Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rolle nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Topics**
+ [Berechtigungen von serviceverknüpften Rollen](service-linked-role-permissions.md)
+ [Erstellen einer serviceverknüpften Rolle](create-service-linked-role.md)
+ [Serviceverknüpfte Rolle aktualisieren](edit-service-linked-role.md)
+ [Löschen Sie eine serviceverknüpfte Rolle](delete-service-linked-role.md)
+ [Unterstützte -Regionen](#slr-regions)
+ [Verwenden Sie Servicerollen für SiteWise Monitor](monitor-service-role.md)
# Berechtigungen für serviceverknüpfte Rollen AWS IoT SiteWise
AWS IoT SiteWise verwendet die serviceverknüpfte Rolle namens **AWSServiceRoleForIoTSiteWise**. AWS IoT SiteWise verwendet diese dienstgebundene Rolle, um SiteWise Edge-Gateways (die auf laufen AWS IoT Greengrass) bereitzustellen und die Protokollierung durchzuführen.
Die `AWSServiceRoleForIoTSiteWise` dienstverknüpfte Rolle verwendet die `AWSServiceRoleForIoTSiteWise` Richtlinie mit den folgenden Berechtigungen. Diese Richtlinie:
+ Ermöglicht AWS IoT SiteWise die Bereitstellung von SiteWise Edge-Gateways (die auf ausgeführt werden`AWS IoT Greengrass`).
+ Ermöglicht die Durchführung AWS IoT SiteWise der Protokollierung.
+ Ermöglicht AWS IoT SiteWise die Ausführung einer Metadaten-Suchabfrage in der AWS IoT TwinMaker Datenbank.
Weitere Informationen zu den zulässigen Aktionen in finden Sie `AWSServiceRoleForIoTSiteWise` unter [AWS Verwaltete Richtlinien für AWS IoT SiteWise](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceRoleForIoTSiteWise).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-us-gov:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-us-gov:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSiteWiseReadGreenGrass",
"Effect": "Allow",
"Action": [
"greengrass:GetAssociatedRole",
"greengrass:GetCoreDefinition",
"greengrass:GetCoreDefinitionVersion",
"greengrass:GetGroup",
"greengrass:GetGroupVersion"
],
"Resource": "*"
},
{
"Sid": "AllowSiteWiseAccessLogGroup",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*"
},
{
"Sid": "AllowSiteWiseAccessLog",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws-cn:logs:*:*:log-group:/aws/iotsitewise*:log-stream:*"
},
{
"Sid": "AllowSiteWiseAccessSiteWiseManagedWorkspaceInTwinMaker",
"Effect": "Allow",
"Action": [
"iottwinmaker:GetWorkspace",
"iottwinmaker:ExecuteQuery"
],
"Resource": "arn:aws-cn:iottwinmaker:*:*:workspace/*",
"Condition": {
"ForAnyValue:StringEquals": {
"iottwinmaker:linkedServices": [
"IOTSITEWISE"
]
}
}
}
]
}
```
------
Sie können die Protokolle verwenden, um Ihre SiteWise Edge-Gateways zu überwachen und Fehler zu beheben. Weitere Informationen finden Sie unter [SiteWise Edge-Gateway-Protokolle überwachen](monitor-gateway-logs.md).
Damit eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann, müssen Sie zunächst die Berechtigungen konfigurieren. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
# Erstellen Sie eine dienstbezogene Rolle für AWS IoT SiteWise
AWS IoT SiteWise erfordert eine dienstbezogene Rolle, um in Ihrem Namen bestimmte Aktionen auszuführen und auf Ressourcen zuzugreifen. Eine dienstverknüpfte Rolle ist eine einzigartige Art von AWS Identity and Access Management (IAM) -Rolle, mit der direkt verknüpft ist. AWS IoT SiteWise Durch die Erstellung dieser Rolle gewähren Sie AWS IoT SiteWise die erforderlichen Berechtigungen für den Zugriff auf andere AWS Dienste und Ressourcen, die für ihren Betrieb erforderlich sind, z. B. Amazon S3 für die Datenspeicherung oder AWS IoT für die Gerätekommunikation.
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die folgenden Operationen in der AWS IoT SiteWise Konsole ausführen, AWS IoT SiteWise wird die dienstbezogene Rolle für Sie erstellt.
+ Erstellen Sie ein Greengrass V1-Gateway.
+ Konfigurieren Sie die Protokollierungsoption.
+ Wählen Sie die Opt-in-Schaltfläche im Banner „Abfrage ausführen“.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen Vorgang in der AWS IoT SiteWise Konsole ausführen, AWS IoT SiteWise wird die mit dem Dienst verknüpfte Rolle erneut für Sie erstellt.
Sie können auch die IAM-Konsole oder API verwenden, um eine serviceverknüpfte Rolle für zu erstellen. AWS IoT SiteWise
+ Erstellen Sie dazu in der IAM-Konsole eine Rolle mit der **AWSServiceRoleForIoTSiteWise-Richtlinie** und eine Vertrauensbeziehung mit. `iotsitewise.amazonaws.com`
+ Erstellen Sie dazu mithilfe der AWS CLI oder der IAM-API eine Rolle mit der `arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForIoTSiteWise` Richtlinie und eine Vertrauensbeziehung mit. `iotsitewise.amazonaws.com`
Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#create-service-linked-role).
Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
# Aktualisieren Sie eine serviceverknüpfte Rolle für AWS IoT SiteWise
AWS IoT SiteWise erlaubt es Ihnen nicht, die mit dem AWSService RoleForIo TSite Wise-Dienst verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Aktualisieren einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) im *IAM-Benutzerhandbuch*.
# Löschen Sie eine dienstverknüpfte Rolle für AWS IoT SiteWise
Wenn eine Funktion oder ein Dienst, für den eine serviceverknüpfte Rolle erforderlich ist, nicht mehr verwendet wird, empfiehlt es sich, die zugehörige Rolle zu löschen. Auf diese Weise soll vermieden werden, dass eine inaktive Entität nicht überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der AWS IoT SiteWise Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AWS IoT SiteWise Ressourcen zu löschen, die von AWSService RoleForIo TSite Wise verwendet werden**
1. Deaktivieren Sie die Protokollierung für AWS IoT SiteWise. Weitere Informationen finden Sie unter [Ändern Sie Ihre Protokollierungsstufe](monitor-cloudwatch-logs.md#change-logging-level).
1. Löschen Sie alle aktiven SiteWise Edge-Gateways.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die mit dem AWSService RoleForIo TSite Wise-Dienst verknüpfte Rolle zu löschen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Rollen oder Instanzprofile löschen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role).
## Unterstützte Regionen für AWS IoT SiteWise serviceverknüpfte Rollen
AWS IoT SiteWise unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS IoT SiteWise -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/iot-sitewise.html).
# Verwenden Sie Servicerollen für AWS IoT SiteWise Monitor
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
Um Benutzern des SiteWise Verbundmonitor-Portals den Zugriff auf Ihre AWS IAM Identity Center Ressourcen AWS IoT SiteWiseund Ihre Ressourcen zu ermöglichen, müssen Sie jedem Portal, das Sie erstellen, eine Servicerolle zuordnen. In der Servicerolle muss SiteWise Monitor als vertrauenswürdige Entität angegeben und die [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)verwaltete Richtlinie enthalten oder [entsprechende Berechtigungen](#monitor-service-role-permissions) definiert werden. Diese Richtlinie wird von den Berechtigungen verwaltet AWS und definiert die Berechtigungen, die SiteWise Monitor für den Zugriff auf Ihre AWS IoT SiteWise und IAM Identity Center-Ressourcen verwendet.
Wenn Sie ein SiteWise Monitor-Portal erstellen, müssen Sie eine Rolle auswählen, die Benutzern dieses Portals den Zugriff auf Ihre Ressourcen AWS IoT SiteWiseund die Ressourcen von IAM Identity Center ermöglicht. Die AWS IoT SiteWise Konsole kann die Rolle für Sie erstellen und konfigurieren. Sie können die Rolle später in IAM bearbeiten. Ihre Portalbenutzer werden Probleme bei der Verwendung ihrer SiteWise Monitor-Portale haben, wenn Sie die erforderlichen Berechtigungen aus der Rolle entfernen oder die Rolle löschen.
**Anmerkung**
Portale, die vor dem 29. April 2020 erstellt wurden, haben keine Servicerollen benötigt. Wenn Sie vor diesem Datum Portale erstellt haben, müssen Sie diesen Servicerollen anfügen, um sie weiter verwenden zu können. Navigieren Sie dazu in der [AWS IoT SiteWise Konsole](https://console.aws.amazon.com/iotsitewise/) zur Seite **Portale** und wählen Sie dann **Alle Portale migrieren, um IAM-Rollen zu verwenden**.
In den folgenden Abschnitten wird beschrieben, wie Sie die SiteWise Monitor-Servicerolle in der AWS-Managementkonsole oder der AWS Command Line Interface erstellen und verwalten.
**Contents**
+ [
## Berechtigungen für Servicerollen für SiteWise Monitor (Classic)
](#monitor-service-role-permissions)
+ [
## Berechtigungen für Servicerollen für SiteWise Monitor (KI-fähig)
](#monitor-ai-service-role-permissions)
+ [
## Die SiteWise Monitor-Servicerolle verwalten (Konsole)
](#manage-portal-role-console)
+ [
### Finden Sie die Servicerolle (Konsole) eines Portals
](#find-portal-role-console)
+ [
### Erstellen Sie eine SiteWise Monitor-Dienstrolle (AWS IoT SiteWise Konsole)
](#create-portal-role-sitewise-console)
+ [
### Erstellen Sie eine SiteWise Monitor-Servicerolle (IAM-Konsole)
](#create-portal-role-iam-console)
+ [
### Ändern Sie die Servicerolle eines Portals (Konsole)
](#change-portal-role-console)
+ [
## Die SiteWise Monitor-Servicerolle (CLI) verwalten
](#manage-portal-role-cli)
+ [
### Finden Sie die Servicerolle (CLI) eines Portals
](#find-portal-role-cli)
+ [
### Erstellen Sie die SiteWise Monitor-Servicerolle (CLI)
](#create-portal-role-cli)
+ [
## SiteWise Überwachen Sie Aktualisierungen für AWSIo TSite WiseMonitorServiceRole
](#monitor-role-permission-updates)
## Berechtigungen für Servicerollen für SiteWise Monitor (Classic)
Wenn Sie ein Portal erstellen, AWS IoT SiteWise können Sie damit eine Rolle erstellen, deren Name mit beginnt **AWSIoTSiteWiseMonitorServiceRole**. Diese Rolle ermöglicht Benutzern von Federated SiteWise Monitor den Zugriff auf Ihre Portalkonfiguration, Ihre Assets, Asset-Daten sowie die IAM Identity Center-Konfiguration .
Die Rolle vertraut darauf, dass der folgende Service diese Rolle annimmt:
+ `monitor.iotsitewise.amazonaws.com`
Die Rolle verwendet die folgende Berechtigungsrichtlinie, die mit beginnt **AWSIoTSiteWiseMonitorServicePortalPolicy**, damit SiteWise Monitor-Benutzer Aktionen an Ressourcen in Ihrem Konto ausführen können. Die von [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess) verwaltete Richtlinie definiert gleichwertige Berechtigungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen zu den erforderlichen Berechtigungen für Alarme finden Sie unter[Richten Sie Berechtigungen für Ereignisalarme ein in AWS IoT SiteWise](alarms-iam-permissions.md).
Wenn sich ein Portalbenutzer anmeldet, erstellt SiteWise Monitor eine [Sitzungsrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session), die auf der Schnittmenge zwischen der Servicerolle und den Zugriffsrichtlinien dieses Benutzers basiert. Zugriffsrichtlinien definieren die Zugriffsstufe von -Identitäten auf Ihre Portale und Projekte. Weitere Informationen zu Portalberechtigungen und Zugriffsrichtlinien finden Sie unter [Verwalten Sie Ihre SiteWise Monitor-Portale](administer-portals.md) und [CreateAccessPolicy](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAccessPolicy.html).
## Berechtigungen für Servicerollen für SiteWise Monitor (KI-fähig)
Wenn Sie ein Portal erstellen, AWS IoT SiteWise können Sie damit eine Rolle erstellen, deren Name mit **Io TSite WisePortalRole** beginnt. Diese Rolle ermöglicht Benutzern von Federated SiteWise Monitor den Zugriff auf Ihre Portalkonfiguration, Ihre Assets, Asset-Daten sowie die IAM Identity Center-Konfiguration .
**Warnung**
Die Rollen **„Projekteigentümer**“ und „**Projektbetrachter**“ werden für SiteWise Monitor (KI-fähig) nicht unterstützt.
Die Rolle vertraut darauf, dass der folgende Service diese Rolle annimmt:
+ `monitor.iotsitewise.amazonaws.com`
Die Rolle verwendet die folgende Berechtigungsrichtlinie, die mit **Io TSite Wise** beginnt AIPortalAccessPolicy, damit SiteWise Monitor-Benutzer Aktionen an Ressourcen in Ihrem Konto ausführen können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
Wenn sich ein Portalbenutzer anmeldet, erstellt SiteWise Monitor eine [Sitzungsrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session), die auf der Schnittmenge zwischen der Servicerolle und den Zugriffsrichtlinien dieses Benutzers basiert.
## Die SiteWise Monitor-Servicerolle verwalten (Konsole)
Das AWS-IoT-SiteWise-Konsole erleichtert die Verwaltung der SiteWise Monitor-Dienstrolle für Portale. Beim Erstellen eines Portals sucht die Konsole nach vorhandenen Rollen, die für eine Zuordnung geeignet sind. Wenn keine verfügbar sind, kann die Konsole eine Servicerolle für Sie erstellen und konfigurieren. Weitere Informationen finden Sie unter [Erstellen Sie ein Portal in SiteWise Monitor](monitor-create-portal.md).
**Topics**
+ [
### Finden Sie die Servicerolle (Konsole) eines Portals
](#find-portal-role-console)
+ [
### Erstellen Sie eine SiteWise Monitor-Dienstrolle (AWS IoT SiteWise Konsole)
](#create-portal-role-sitewise-console)
+ [
### Erstellen Sie eine SiteWise Monitor-Servicerolle (IAM-Konsole)
](#create-portal-role-iam-console)
+ [
### Ändern Sie die Servicerolle eines Portals (Konsole)
](#change-portal-role-console)
### Finden Sie die Servicerolle (Konsole) eines Portals
Gehen Sie wie folgt vor, um die einem SiteWise Monitor-Portal zugeordnete Servicerolle zu finden.
**So finden Sie die Servicerolle eines Portals**
1. Navigieren Sie zur [AWS IoT SiteWise -Konsole](https://console.aws.amazon.com/iotsitewise/).
1. Wählen Sie im linken Navigationsbereich die Option **Portale** aus.
1. Wählen Sie das Portal aus, dessen Servicerolle Sie finden möchten.
Die dem Portal angefügte Rolle wird unter **Permissions (Berechtigungen)**, **Service role (Servicerolle)** angezeigt.
### Erstellen Sie eine SiteWise Monitor-Dienstrolle (AWS IoT SiteWise Konsole)
Wenn Sie ein SiteWise Monitor-Portal erstellen, können Sie eine Servicerolle für Ihr Portal erstellen. Weitere Informationen finden Sie unter [Erstellen Sie ein Portal in SiteWise Monitor](monitor-create-portal.md).
Sie können auch eine Servicerolle für ein vorhandenes Portal in der AWS IoT SiteWise Konsole erstellen. Dies ersetzt die bestehende Servicerolle des Portals.
**So erstellen Sie eine Servicerolle für ein vorhandenes Portal**
1. Navigieren Sie zur [AWS IoT SiteWise -Konsole](https://console.aws.amazon.com/iotsitewise/).
1. Wählen Sie im linken Navigationsbereich die Option **Portale** aus.
1. Wählen Sie das Portal aus, für das Sie eine neue Servicerolle erstellen möchten.
1. Wählen Sie unter **Portal details (Portaldetails)** die Option **Edit (Bearbeiten)**.
1. Wählen Sie unter **Permissions (Berechtigungen)** die Option **Create and use a new service role (Eine neue Servicerolle erstellen und verwenden)** aus der Liste aus.
1. Geben Sie einen Namen für die neue Rolle ein.
1. Wählen Sie **Speichern**.
### Erstellen Sie eine SiteWise Monitor-Servicerolle (IAM-Konsole)
Sie können eine Servicerolle anhand der Servicerollenvorlage in der IAM-Konsole erstellen. Diese Rollenvorlage enthält die [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)verwaltete Richtlinie und gibt SiteWise Monitor als vertrauenswürdige Entität an.
**Um eine Servicerolle aus der Servicerollenvorlage des Portals zu erstellen**
1. Navigieren Sie zur [IAM-Konsole](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Create role** (Rolle erstellen) aus.
1. **Wählen Sie unter Wählen Sie einen Anwendungsfall** die Option **IoT** aus SiteWise.
1. **Wählen Sie unter Wählen Sie Ihren Anwendungsfall** aus die Option **IoT SiteWise Monitor - Portal**.
1. Wählen Sie **Next: Permissions** aus.
1. Wählen Sie **Next: Tags (Weiter: Tags)** aus.
1. Klicken Sie auf **Weiter: Prüfen**.
1. Geben Sie einen **Rollennamen** für die neue Servicerolle ein.
1. Wählen Sie **Rolle erstellen** aus.
### Ändern Sie die Servicerolle eines Portals (Konsole)
Gehen Sie wie folgt vor, um eine andere SiteWise Monitor-Servicerolle für ein Portal auszuwählen.
**So ändern Sie die Servicerolle eines Portals**
1. Navigieren Sie zur [AWS IoT SiteWise -Konsole](https://console.aws.amazon.com/iotsitewise/).
1. Wählen Sie im linken Navigationsbereich die Option **Portale** aus.
1. Wählen Sie das Portal aus, dessen Servicerolle Sie ändern möchten.
1. Wählen Sie unter **Portal details (Portaldetails)** die Option **Edit (Bearbeiten)**.
1. Wählen Sie unter **Permissions (Berechtigungen)** die Option **Use an existing role (Vorhandene Rolle verwenden)** aus.
1. Wählen Sie eine vorhandene Rolle aus, die diesem Portal angefügt werden soll.
1. Wählen Sie **Speichern**.
## Die SiteWise Monitor-Servicerolle (CLI) verwalten
Sie können den AWS CLI für die folgenden Aufgaben zur Verwaltung der Portaldienstrollen verwenden:
**Topics**
+ [
### Finden Sie die Servicerolle (CLI) eines Portals
](#find-portal-role-cli)
+ [
### Erstellen Sie die SiteWise Monitor-Servicerolle (CLI)
](#create-portal-role-cli)
### Finden Sie die Servicerolle (CLI) eines Portals
Um die einem SiteWise Monitor-Portal zugeordnete Servicerolle zu finden, führen Sie den folgenden Befehl aus, um alle Ihre Portale in der aktuellen Region aufzulisten.
```
aws iotsitewise list-portals
```
Die Operation gibt eine Antwort mit einer Portalzusammenfassung im folgenden Format zurück.
```
{
"portalSummaries": [
{
"id": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"name": "WindFarmPortal",
"description": "A portal that contains wind farm projects for Example Corp.",
"roleArn": "arn:aws:iam::123456789012:role/service-role/role-name",
"startUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"creationDate": "2020-02-04T23:01:52.90248068Z",
"lastUpdateDate": "2020-02-04T23:01:52.90248078Z"
}
]
}
```
Sie können den [DescribePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribePortal.html)Vorgang auch verwenden, um die Rolle Ihres Portals zu ermitteln, wenn Sie die ID Ihres Portals kennen.
### Erstellen Sie die SiteWise Monitor-Servicerolle (CLI)
Gehen Sie wie folgt vor, um eine neue SiteWise Monitor-Dienstrolle zu erstellen.
**So erstellen Sie eine SiteWise Monitor-Dienstrolle**
1. Erstellen Sie eine Rolle mit einer Vertrauensrichtlinie, die es SiteWise Monitor ermöglicht, die Rolle zu übernehmen. In diesem Beispiel wird eine Rolle Mit dem Namen **MySiteWiseMonitorPortalRole** aus einer Vertrauensrichtlinie erstellt, die in einer JSON-Zeichenfolge gespeichert ist.
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "monitor.iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MySiteWiseMonitorPortalRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"monitor.iotsitewise.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
```
------
1. Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Wenn Sie ein Portal erstellen, verwenden Sie diesen ARN, um die Rolle Ihrem Portal zuzuordnen. Weitere Informationen zum Erstellen eines Portals finden Sie [CreatePortal](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreatePortal.html)in der *AWS IoT SiteWise API-Referenz*.
1.
1. Für den SiteWise Monitor (Classic) — Hängen Sie die `AWSIoTSiteWiseMonitorPortalAccess` Richtlinie an die Rolle an, oder fügen Sie eine Richtlinie hinzu, die entsprechende Berechtigungen definiert.
```
aws iam attach-role-policy --role-name MySiteWiseMonitorPortalRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess
```
1. Für den SiteWise Monitor (KI-fähig) — Hängen Sie die `IoTSiteWiseAIPortalAccessPolicy` Richtlinie an die Rolle an oder fügen Sie eine Richtlinie hinzu, die entsprechende Berechtigungen definiert. Erstellen Sie beispielsweise eine Richtlinie mit Portalzugriffsberechtigungen. Im folgenden Beispiel wird eine Richtlinie mit dem Namen erstellt`MySiteWiseMonitorPortalAccess`.
```
aws iam create-policy \
--policy-name MySiteWiseMonitorPortalAccess \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:CreateProject",
"iotsitewise:DescribePortal",
"iotsitewise:ListProjects",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:ListAssets",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:ListAssetProperties",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:GetInterpolatedAssetPropertyValues",
"iotsitewise:BatchGetAssetPropertyAggregates",
"iotsitewise:BatchGetAssetPropertyValue",
"iotsitewise:BatchGetAssetPropertyValueHistory",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:DescribeAssetCompositeModel",
"iotsitewise:DescribeAssetModelCompositeModel",
"iotsitewise:ListAssetModelProperties",
"iotsitewise:ExecuteQuery",
"iotsitewise:ListTimeSeries",
"iotsitewise:DescribeTimeSeries",
"iotsitewise:InvokeAssistant",
"iotsitewise:DescribeDataset",
"iotsitewise:ListDatasets",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource",
"iottwinmaker:ListWorkspaces",
"iottwinmaker:ExecuteQuery",
"iottwinmaker:GetWorkspace",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}'
```
**So fügen Sie einem vorhandenen Portal eine Servicerolle an**
1. Führen Sie den folgenden Befehl aus, um die vorhandenen Details des Portals abzurufen. *portal-id*Ersetzen Sie durch die ID des Portals.
```
aws iotsitewise describe-portal --portal-id portal-id
```
Die Operation gibt eine Antwort zurück, die die Details des Portals im folgenden Format enthält.
```
{
"portalId": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalArn": "arn:aws:iotsitewise:region:account-id:portal/a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
"portalName": "WindFarmPortal",
"portalDescription": "A portal that contains wind farm projects for Example Corp.",
"portalClientId": "E-1a2b3c4d5e6f_sn6tbqHVzLWVEXAMPLE",
"portalStartUrl": "https://a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE.app.iotsitewise.aws",
"portalContactEmail": "support@example.com",
"portalStatus": {
"state": "ACTIVE"
},
"portalCreationDate": "2020-04-29T23:01:52.90248068Z",
"portalLastUpdateDate": "2020-04-29T00:28:26.103548287Z",
"roleArn": "arn:aws:iam::123456789012:role/service-role/AWSIoTSiteWiseMonitorServiceRole_1aEXAMPLE"
}
```
1. Führen Sie den folgenden Befehl aus, um einem Portal eine Servicerolle anzufügen. *role-arn*Ersetzen Sie durch die Servicerolle ARN und ersetzen Sie die verbleibenden Parameter durch die vorhandenen Werte des Portals.
```
aws iotsitewise update-portal \
--portal-id portal-id \
--role-arn role-arn \
--portal-name portal-name \
--portal-description portal-description \
--portal-contact-email portal-contact-email
```
## SiteWise Überwachen Sie Aktualisierungen für AWSIo TSite WiseMonitorServiceRole
Sie können sich Details zu Updates **AWSIoTSiteWiseMonitorServiceRole**für SiteWise Monitor anzeigen lassen, und zwar ab dem Zeitpunkt, zu dem dieser Dienst mit der Nachverfolgung der Änderungen begann. Abonnieren Sie den RSS-Feed auf der Seite AWS IoT SiteWise Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSIoTSiteWiseMonitorPortalAccess](#monitor-service-role-permissions) – Richtlinie aktualisieren | AWS IoT SiteWise [AWSIoTSiteWiseMonitorPortalAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTSiteWiseMonitorPortalAccess)hat die verwaltete Richtlinie für die Alarmfunktion aktualisiert. | 27. Mai 2021 |
| AWS IoT SiteWise hat begonnen, Änderungen zu verfolgen | AWS IoT SiteWise hat begonnen, Änderungen für seine Servicerolle zu verfolgen. | 15. Dezember 2020 |
# Richten Sie Berechtigungen für Ereignisalarme ein in AWS IoT SiteWise
Wenn Sie ein AWS IoT Events Alarmmodell zur Überwachung einer AWS IoT SiteWise Anlageneigenschaft verwenden, benötigen Sie die folgenden IAM-Berechtigungen:
+ Eine AWS IoT Events Servicerolle, AWS IoT Events an die Daten gesendet werden können. AWS IoT SiteWise Weitere Informationen finden Sie unter [Identitäts- und Zugriffsmanagement für AWS IoT Events](https://docs.aws.amazon.com/iotevents/latest/developerguide/security-iam.html) im *AWS IoT Events Entwicklerhandbuch*.
+ Sie müssen über die folgenden AWS IoT SiteWise Aktionsberechtigungen verfügen: `iotsitewise:DescribeAssetModel` und`iotsitewise:UpdateAssetModelPropertyRouting`. Diese Berechtigungen ermöglichen AWS IoT SiteWise das Senden von Objekteigenschaftswerten an AWS IoT Events Alarmmodelle.
Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based).
## Erforderliche Aktionsberechtigungen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann. Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können.
Bevor Sie ein AWS IoT Events Alarmmodell definieren, müssen Sie die folgenden Berechtigungen erteilen, die es ermöglichen, Asset-Eigenschaftswerte AWS IoT SiteWise an das Alarmmodell zu senden.
+ `iotsitewise:DescribeAssetModel`, `iotsitewise:ListAssetModels` — Ermöglicht AWS IoT Events die Überprüfung, ob eine Anlageneigenschaft existiert.
+ `iotsitewise:UpdateAssetModelPropertyRouting`— Ermöglicht AWS IoT SiteWise das automatische Erstellen von Abonnements, AWS IoT SiteWise an die Daten gesendet werden können AWS IoT Events.
Weitere Informationen zu den AWS IoT SiteWise unterstützten Aktionen finden Sie unter [Aktionen definiert von AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) in der *Service Authorization Reference*.
**Example Beispiel Berechtigungsrichtlinie 1**
Die folgende Richtlinie ermöglicht AWS IoT SiteWise das Senden von Objekteigenschaftswerten an beliebige AWS IoT Events Alarmmodelle.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:UpdateAlarmModel"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModelPropertyRouting"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
}
]
}
```
**Example Beispiel Berechtigungsrichtlinie 2**
Die folgende Richtlinie ermöglicht AWS IoT SiteWise das Senden von Werten einer bestimmten Anlageneigenschaft an ein bestimmtes AWS IoT Events Alarmmodell.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:UpdateAlarmModel"
],
"Resource": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:UpdateAssetModelPropertyRouting"
],
"Resource": [
"arn:aws:iotsitewise:us-east-1:123456789012:asset-model/12345678-90ab-cdef-1234-567890abcdef"
],
"Condition": {
"StringLike": {
"iotsitewise:propertyId": "abcdef12-3456-7890-abcd-ef1234567890",
"aws:ResourceTag/AlarmModel": "arn:aws:iotevents:us-east-1:123456789012:alarmModel/MyAlarmModel"
}
}
}
]
}
```
## (Optionale) ListInputRoutings Erlaubnis
Wenn Sie ein Asset-Modell aktualisieren oder löschen, AWS IoT SiteWise kann überprüft werden, ob ein Alarmmodell eine mit diesem Asset-Modell verknüpfte Anlageneigenschaft überwacht. AWS IoT Events Dadurch wird verhindert, dass Sie eine Anlageneigenschaft löschen, die derzeit von einem AWS IoT Events Alarm verwendet wird. Um diese Funktion in zu aktivieren AWS IoT SiteWise, benötigen Sie die `iotevents:ListInputRoutings` entsprechende Genehmigung. Diese Berechtigung AWS IoT SiteWise ermöglicht Aufrufe des [ListInputRoutings](https://docs.aws.amazon.com/iotevents/latest/apireference/API_ListInputRoutings.html)API-Vorgangs, der von unterstützt wird AWS IoT Events.
**Anmerkung**
Wir empfehlen dringend, dass Sie die `ListInputRoutings` Erlaubnis hinzufügen.
**Example Beispiel für eine Berechtigungsrichtlinie**
Die folgende Richtlinie ermöglicht es Ihnen, Asset-Modelle zu aktualisieren und zu löschen und die `ListInputRoutings` API in zu verwenden AWS IoT SiteWise.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:UpdateAssetModel",
"iotsitewise:DeleteAssetModel",
"iotevents:ListInputRoutings"
],
"Resource": "arn:aws:iotsitewise:us-east-1:123456789012:asset-model/*"
}
]
}
```
------
## Erforderliche Berechtigungen für SiteWise Monitor
Wenn Sie die Alarmfunktion in SiteWise Monitor-Portalen verwenden möchten, müssen Sie die [SiteWise Monitor-Servicerolle](monitor-service-role.md) mit der folgenden Richtlinie aktualisieren:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribePortal",
"iotsitewise:CreateProject",
"iotsitewise:DescribeProject",
"iotsitewise:UpdateProject",
"iotsitewise:DeleteProject",
"iotsitewise:ListProjects",
"iotsitewise:BatchAssociateProjectAssets",
"iotsitewise:BatchDisassociateProjectAssets",
"iotsitewise:ListProjectAssets",
"iotsitewise:CreateDashboard",
"iotsitewise:DescribeDashboard",
"iotsitewise:UpdateDashboard",
"iotsitewise:DeleteDashboard",
"iotsitewise:ListDashboards",
"iotsitewise:CreateAccessPolicy",
"iotsitewise:DescribeAccessPolicy",
"iotsitewise:UpdateAccessPolicy",
"iotsitewise:DeleteAccessPolicy",
"iotsitewise:ListAccessPolicies",
"iotsitewise:DescribeAsset",
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets",
"iotsitewise:DescribeAssetProperty",
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetAssetPropertyValueHistory",
"iotsitewise:GetAssetPropertyAggregates",
"iotsitewise:BatchPutAssetPropertyValue",
"iotsitewise:ListAssetRelationships",
"iotsitewise:DescribeAssetModel",
"iotsitewise:ListAssetModels",
"iotsitewise:UpdateAssetModel",
"iotsitewise:UpdateAssetModelPropertyRouting",
"sso-directory:DescribeUsers",
"sso-directory:DescribeUser",
"iotevents:DescribeAlarmModel",
"iotevents:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotevents:BatchAcknowledgeAlarm",
"iotevents:BatchSnoozeAlarm",
"iotevents:BatchEnableAlarm",
"iotevents:BatchDisableAlarm"
],
"Resource": "*",
"Condition": {
"Null": {
"iotevents:keyValue": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:CreateAlarmModel",
"iotevents:TagResource"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotevents:UpdateAlarmModel",
"iotevents:DeleteAlarmModel"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/iotsitewisemonitor": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"iotevents.amazonaws.com"
]
}
}
}
]
}
```
------
# Dienstübergreifende Prävention verwirrter Stellvertreter in AWS IoT SiteWise
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In kann AWS ein dienstübergreifender Identitätswechsel zum Problem des verwirrten Stellvertreters führen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der *Anruf-Service*) einen anderen Service anruft (den *aufgerufenen Service*). Der Anruf-Service kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWS IoT SiteWise Ressource einen anderen Dienst gewähren. Wenn der `aws:SourceArn`-Wert nicht die Konto-ID enthält, z. B. den Amazon-Ressourcennamen (ARN) eines Amazon-S3-Buckets, müssen Sie beide globale Bedingungskontext-Schlüssel verwenden, um Berechtigungen einzuschränken. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird.
+ Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten.
+ Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der Wert von `aws:SourceArn` muss die AWS IoT SiteWise Kundenressource sein, die der `sts:AssumeRole` Anfrage zugeordnet ist.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:servicename:*:123456789012:*`.
**Example — Verwirrter Stellvertreter, Prävention**
Das folgende Beispiel zeigt, wie Sie die Kontexttasten `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung verwenden können, AWS IoT SiteWise um das Problem mit dem verwirrten Stellvertreter zu verhindern.
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "iotsitewise.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:iotsitewise:*:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
# Probleme mit AWS IoT SiteWise Identität und Zugriff beheben
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS IoT SiteWise und AWS Identity and Access Management (IAM) auftreten können.
**Topics**
+ [
## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS IoT SiteWise
](#security_iam_troubleshoot-no-permissions)
+ [
## Ich bin nicht zur Ausführung von `iam:PassRole` autorisiert.
](#security_iam_troubleshoot-passrole)
+ [
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine AWS IoT SiteWise Ressourcen ermöglichen
](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS IoT SiteWise
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort zur Verfügung gestellt hat.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zu verwenden, um Details zu einem Asset anzuzeigen, aber nicht über die `iotsitewise:DescribeAsset` entsprechenden Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: iotsitewise:DescribeAsset on resource: a1b2c3d4-5678-90ab-cdef-22222EXAMPLE
```
In diesem Fall bittet Mateo den Administrator, die Richtlinien zu aktualisieren, um ihm den Zugriff auf die Ressource mit der ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` über die Aktion `iotsitewise:DescribeAsset` zu ermöglichen.
## Ich bin nicht zur Ausführung von `iam:PassRole` autorisiert.
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS IoT SiteWiseübergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS IoT SiteWise auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine AWS IoT SiteWise Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen AWS IoT SiteWise unterstützt werden, finden Sie unter. [Wie AWS IoT SiteWise funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.