Erstellen einer AWS IoT TwinMaker -Videoplayer-Richtlinie - AWS IoT TwinMaker
Einschränken des Zugriffs auf Ihre -RessourcenEinschränken von GET-BerechtigungenAWS IoT SiteWise BatchPutAssetPropertyValue Eingrenzungsberechtigung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer AWS IoT TwinMaker -Videoplayer-Richtlinie

Im Folgenden finden Sie eine Richtlinienvorlage mit allen Videoberechtigungen, die Sie für das AWS IoT TwinMaker Plugin in Grafana benötigen:

{
  "Version": "2012-10-17",
  "Statement": [
    { 
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/*",
        "arn:aws:s3:::bucketName"
        ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iottwinmaker:Get*",
        "iottwinmaker:List*"
      ],
      "Resource": [
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId",
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "iottwinmaker:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kinesisvideo:GetDataEndpoint",
        "kinesisvideo:GetHLSStreamingSessionURL"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iotsitewise:GetAssetPropertyValue",
        "iotsitewise:GetInterpolatedAssetPropertyValues"
      ],
      "Resource": "*"
    },
    {
       "Effect": "Allow",
       "Action": [
        "iotsitewise:BatchPutAssetPropertyValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
        } 
      }
    }
  ]
}

Weitere Informationen zur vollständigen Richtlinie finden Sie in der Vorlage Alle Videoberechtigungsrichtlinien im Eine IAM-Richtlinie erstellen Thema .

Einschränken des Zugriffs auf Ihre -Ressourcen

Das Video-Player-Bedienfeld in Grafana ruft Kinesis Video Streams und IoT SiteWise direkt auf, um ein vollständiges Videowiedergabeerlebnis zu bieten. Um unbefugten Zugriff auf Ressourcen zu vermeiden, die nicht mit Ihrem AWS IoT TwinMaker Workspace verknüpft sind, fügen Sie der IAM-Richtlinie für Ihre Workspace-Dashboard-Rolle Bedingungen hinzu.

Einschränken von GET-Berechtigungen

Sie können den Zugriff auf Ihre Amazon Kinesis Video Streams und AWS IoT SiteWise Ressourcen einschränken, indem Sie Ressourcen markieren. Möglicherweise haben Sie Ihre AWS IoT SiteWise Kamerakomponente bereits basierend auf der AWS IoT TwinMaker workspaceId markiert, um die Funktion für die Video-Upload-Anforderung zu aktivieren. Weitere Informationen finden Sie im Thema Video aus dem Edge hochladen. Sie können dasselbe Tag-Schlüssel-Wert-Paar verwenden, um den GET-Zugriff auf AWS IoT SiteWise Komponenten einzuschränken und Ihre Kinesis Video Streams auf die gleiche Weise zu markieren.

Sie können diese Bedingung dann zu den Anweisungen kinesisvideo und iotsitewise in der hinzufügenYourWorkspaceIdDashboardPolicy:

"Condition": {
  "StringLike": {
    "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
  } 
}

Realer Anwendungsfall: Gruppieren von Kameras

In diesem Szenario haben Sie eine große Reihe von Kameras, die den Prozess von Back-Cookies in einer Fabrik überwachen. Im Batterroom werden Cookie-Batter-Batches erstellt, der Batter wird im Freezer-Raum eingefroren und die Cookies werden im Bakking-Raum gebacken. In jedem dieser Räume gibt es Kameras mit unterschiedlichen Teams von Operatoren, die jeden Prozess separat überwachen. Sie möchten, dass jede Gruppe von Operatoren für ihren jeweiligen Raum autorisiert wird. Beim Erstellen eines digitalen Trichters für die Cookie-Factory wird ein einziger Workspace verwendet, aber die Kameraberechtigungen müssen nach Raum unterteilt werden.

Sie können diese Trennung von Berechtigungen erreichen, indem Sie Gruppen von Kameras basierend auf ihrer groupingId markieren. In diesem Szenario sind die groupingIds BatterRoom FreezerRoom, und BakingRoom. Die Kamera in jedem Raum ist mit Kinesis Video Streams verbunden und sollte ein Tag haben mit: Schlüssel = EdgeConnectorForKVS, Wert = BatterRoom. Der Wert kann eine Liste von Gruppierungen sein, die durch eines der folgenden Zeichen getrennt sind:. : + = @ _ / -

Verwenden Sie die folgenden RichtlinienanweisungenYourWorkspaceIdDashboardPolicy, um die zu ändern:

...,
{
  "Effect": "Allow",
  "Action": [
    "kinesisvideo:GetDataEndpoint",
    "kinesisvideo:GetHLSStreamingSessionURL"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
    } 
  }
},
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:GetAssetPropertyValue",
    "iotsitewise:GetInterpolatedAssetPropertyValues"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
    } 
  }
},
...

Diese Anweisungen beschränken den Zugriff auf die Streaming-Videowiedergabe und den AWS IoT SiteWise Eigenschaftsverlauf auf bestimmte Ressourcen in einer Gruppierung. Die groupingId wird durch Ihren Anwendungsfall definiert. In unserem Szenario wäre es die roomId .

AWS IoT SiteWise BatchPutAssetPropertyValue Eingrenzungsberechtigung

Wenn Sie diese Berechtigung erteilen, wird die Funktion Video-Upload-Anforderung im Video Player aktiviert. Wenn Sie ein Video hochladen, können Sie einen Zeitraum angeben und die Anfrage von senden, indem Sie im Bereich im Grafana-Dashboard auf Senden klicken.

Um iotsitewise:BatchPutAssetPropertyValue permissions zu erteilen, verwenden Sie die Standardrichtlinie: 

...,
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:BatchPutAssetPropertyValue"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
    } 
  }
},
...

Mithilfe dieser Richtlinie können Benutzer BatchPutAssetPropertyValue für jede Eigenschaft auf der AWS IoT SiteWise Kamerakomponente aufrufen. Sie können die Autorisierung für eine bestimmte propertyId einschränken, indem Sie sie in der Bedingung der Anweisung angeben.

{
  ...
  "Condition": {
    "StringEquals": {
      "iotsitewise:propertyId": "propertyId"
    } 
  }
  ...
}

Das Video-Player-Bedienfeld in Grafana nimmt Daten in die Messungseigenschaft namens auf VideoUploadRequest, um das Hochladen von Videos aus dem Edge-Cache in Kinesis Video Streams zu initiieren. Suchen Sie die propertyId dieser Eigenschaft in der -AWS IoT SiteWiseKonsole. Verwenden Sie die folgende RichtlinienanweisungYourWorkspaceIdDashboardPolicy, um die zu ändern: 

...,
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:BatchPutAssetPropertyValue"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
    },
    "StringEquals": {
      "iotsitewise:propertyId": "VideoUploadRequestPropertyId"
    }
  }
},
...

Diese Anweisung schränkt die Aufnahme von Daten auf eine bestimmte Eigenschaft Ihrer markierten AWS IoT SiteWise Kamerakomponente ein. Weitere Informationen finden Sie unter Funktionsweise AWS IoT SiteWise von mit IAM.