Erstellen einer Dashboard-IAM-Rolle - AWS IoT TwinMaker
Eine IAM-Richtlinie erstellenVideo vom Edge hochladenWeitere Berechtigungen hinzufügenErstellen der Grafana-Dashboard-IAM-Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer Dashboard-IAM-Rolle

Mit können AWS IoT TwinMakerSie den Datenzugriff auf Ihre Grafana-Dashboards steuern. Grafana-Dashboard-Benutzer sollten unterschiedliche Berechtigungsbereiche haben, um Daten anzuzeigen und in einigen Fällen Daten zu schreiben. Beispielsweise verfügt ein Alarmoperator möglicherweise nicht über die Berechtigung zum Anzeigen von Videos, während ein Administrator über die Berechtigung für alle Ressourcen verfügt. Grafana definiert die Berechtigungen über Datenquellen, in denen Anmeldeinformationen und eine IAM-Rolle bereitgestellt werden. Die AWS IoT TwinMaker Datenquelle ruft AWS Anmeldeinformationen mit Berechtigungen für diese Rolle ab. Wenn keine IAM-Rolle bereitgestellt wird, verwendet Grafana den Umfang der Anmeldeinformationen, der nicht um reduziert werden kannAWS IoT TwinMaker.

Um Ihre AWS IoT TwinMaker Dashboards in Grafana zu verwenden, erstellen Sie eine IAM-Rolle und fügen Richtlinien an. Sie können die folgenden Vorlagen verwenden, um diese Richtlinien zu erstellen.

Eine IAM-Richtlinie erstellen

Erstellen Sie eine IAM-Richtlinie mit dem Namen YourWorkspaceIdDashboardPolicy in der IAM-Konsole. Diese Richtlinie gewährt Ihren Workspaces Zugriff auf Amazon S3-Bucket und -AWS IoT TwinMakerRessourcen. Sie können auch den AWS IoT Greengrass Edge Connector für Amazon Kinesis Video Streams verwenden, der Berechtigungen für die Kinesis Video Streams und für die Komponente konfigurierten AWS IoT SiteWise Komponenten erfordert. Wählen Sie eine der folgenden Richtlinienvorlagen aus, um sie an Ihren Anwendungsfall anzupassen.

1. Keine Richtlinie für Videoberechtigungen

Wenn Sie den Grafana-Video-Player-Bereich nicht verwenden möchten, erstellen Sie die Richtlinie mit der folgenden Vorlage.

{
  "Version": "2012-10-17",
  "Statement": [
    { 
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/*",
        "arn:aws:s3:::bucketName"
        ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iottwinmaker:Get*",
        "iottwinmaker:List*"
      ],
      "Resource": [
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId",
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "iottwinmaker:ListWorkspaces",
      "Resource": "*"
    }
  ]
}

Für jeden Workspace wird ein Amazon S3-Bucket erstellt. Es enthält die 3D-Modelle und Szenen, die auf einem Dashboard angezeigt werden sollen. Das SceneViewer Panel lädt Elemente aus diesem Bucket.

2. Eingrenzung der Richtlinie für Videoberechtigungen

Um den Zugriff auf den Video-Player-Bereich in Grafana einzuschränken, gruppieren Sie Ihren AWS IoT Greengrass Edge Connector für Amazon Kinesis Video Streams-Ressourcen nach Tags. Weitere Informationen zum Heruntergrenzen von Berechtigungen für Ihre Videoressourcen finden Sie unter Erstellen einer AWS IoT TwinMaker -Videoplayer-Richtlinie.

3. Alle Videoberechtigungen

Wenn Sie Ihre Videos nicht gruppieren möchten, können Sie sie alle über den Grafana Video Player zugänglich machen. Jeder, der Zugriff auf einen Grafana-Workspace hat, kann Videos für jeden Stream in Ihrem Konto abspielen und schreibgeschützten Zugriff auf jede AWS IoT SiteWise Komponente haben. Dies schließt alle Ressourcen ein, die in der Zukunft erstellt werden.

Erstellen Sie die Richtlinie mit der folgenden Vorlage:

{
  "Version": "2012-10-17",
  "Statement": [
    { 
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/*",
        "arn:aws:s3:::bucketName"
        ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iottwinmaker:Get*",
        "iottwinmaker:List*"
      ],
      "Resource": [
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId",
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "iottwinmaker:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kinesisvideo:GetDataEndpoint",
        "kinesisvideo:GetHLSStreamingSessionURL"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iotsitewise:GetAssetPropertyValue",
        "iotsitewise:GetInterpolatedAssetPropertyValues"
      ],
      "Resource": "*"
    },
    {
       "Effect": "Allow",
       "Action": [
        "iotsitewise:BatchPutAssetPropertyValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
        } 
      }
    }
  ]
}

Diese Richtlinienvorlage bietet die folgenden Berechtigungen:

  • Schreibgeschützter Zugriff auf einen S3-Bucket zum Laden einer Szene.

  • Schreibgeschützter Zugriff auf AWS IoT TwinMaker für alle Entitäten und Komponenten in einem Workspace.

  • Schreibgeschützter Zugriff zum Streamen aller Videos von Kinesis Video Streams in Ihrem Konto.

  • Schreibgeschützter Zugriff auf den Eigenschaftswertverlauf aller AWS IoT SiteWise Komponenten in Ihrem Konto.

  • Datenaufnahme in eine beliebige Eigenschaft einer AWS IoT SiteWise Komponente, die mit dem Schlüssel EdgeConnectorForKVS und dem Wert gekennzeichnet istworkspaceId.

Markieren des Video-Uploads Ihrer AWS IoT SiteWise Kamerakomponente von Edge

Mit dem Video Player in Grafana können Benutzer manuell anfordern, dass Videos aus dem Edge-Cache in Kinesis Video Streams hochgeladen werden. Sie können diese Funktion für jede AWS IoT SiteWise Komponente aktivieren, die Ihrem AWS IoT Greengrass Edge Connector für Amazon Kinesis Video Streams zugeordnet ist und mit dem Schlüssel gekennzeichnet istEdgeConnectorForKVS.

Der Tag-Wert kann eine Liste von workspaceIds sein, die durch eines der folgenden Zeichen getrennt sind: . : + = @ _ / -. Wenn Sie beispielsweise eine AWS IoT SiteWise Komponente verwenden möchten, die einem AWS IoT Greengrass Edge Connector für Amazon Kinesis Video Streams über AWS IoT TwinMaker Workspaces hinweg zugeordnet ist, können Sie ein Tag verwenden, das diesem Muster folgt: WorkspaceA/WorkspaceB/WorkspaceC. Das Grafana-Plugin erzwingt, dass die AWS IoT TwinMaker workspaceId verwendet wird, um die Aufnahme von AWS IoT SiteWise Komponentendaten zu gruppieren.

Fügen Sie Ihrer Dashboard-Richtlinie weitere Berechtigungen hinzu

Das AWS IoT TwinMaker Grafana-Plugin verwendet Ihren Authentifizierungsanbieter, um AssumeRole für die von Ihnen erstellte Dashboard-Rolle aufzurufen. Intern schränkt das Plugin den höchsten Umfang von Berechtigungen ein, auf die Sie zugreifen können, indem es eine Sitzungsrichtlinie im AssumeRole Aufruf verwendet. Weitere Informationen zu Sitzungsrichtlinien finden Sie unter Sitzungsrichtlinien.

Dies ist die maximal zulässige Richtlinie, die Sie für Ihre Dashboard-Rolle für einen -AWS IoT TwinMakerWorkspace haben können:

{
  "Version": "2012-10-17",
  "Statement": [
    { 
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/*",
        "arn:aws:s3:::bucketName"
        ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iottwinmaker:Get*",
        "iottwinmaker:List*"
      ],
      "Resource": [
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId",
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "iottwinmaker:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kinesisvideo:GetDataEndpoint",
        "kinesisvideo:GetHLSStreamingSessionURL"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iotsitewise:GetAssetPropertyValue",
        "iotsitewise:GetInterpolatedAssetPropertyValues"
      ],
      "Resource": "*"
    },
    {
       "Effect": "Allow",
       "Action": [
        "iotsitewise:BatchPutAssetPropertyValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
        } 
      }
    }
  ]
}

Wenn Sie Anweisungen hinzufügen, die Allow mehr Berechtigungen enthalten, funktionieren diese nicht auf dem AWS IoT TwinMaker Plugin. Dies ist vorgesehen, um sicherzustellen, dass das Plug-In die erforderlichen Mindestberechtigungen verwendet.

Sie können die Berechtigungen jedoch weiter einschränken. Weitere Informationen finden Sie unter Erstellen einer AWS IoT TwinMaker -Videoplayer-Richtlinie.

Erstellen der Grafana-Dashboard-IAM-Rolle

Erstellen Sie in der IAM-Konsole eine IAM-Rolle mit dem Namen YourWorkspaceIdDashboardRole. Hängen Sie die YourWorkspaceIdDashboardPolicy an die Rolle an.

Um die Vertrauensrichtlinie der Dashboard-Rolle zu bearbeiten, müssen Sie dem Grafana-Authentifizierungsanbieter die Berechtigung erteilen, für AssumeRole die Dashboard-Rolle aufzurufen. Aktualisieren Sie die Vertrauensrichtlinie mit der folgenden Vorlage:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "ARN of Grafana authentication provider" 
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Weitere Informationen zum Erstellen einer Grafana-Umgebung und zum Suchen Ihres Authentifizierungsanbieters finden Sie unter Einrichten Ihrer Grafana-Umgebung.