Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de un rol de IAM en el panel
Con AWS IoT TwinMaker, puede controlar el acceso a los datos en sus paneles de Grafana. Los usuarios del panel de control de Grafana deben tener diferentes ámbitos de permiso para ver los datos y, en algunos casos, escribirlos. Por ejemplo, es posible que un operador de alarma no tenga permiso para ver vídeos, mientras que un administrador sí lo tiene para todos los recursos. Grafana define los permisos a través de fuentes de datos, donde se proporcionan las credenciales y un rol de IAM. La AWS IoT TwinMaker fuente de datos obtiene las AWS credenciales con permisos para ese rol. Si no se proporciona una función de IAM, Grafana utiliza el alcance de las credenciales, que no se puede reducir en nada. AWS IoT TwinMaker
Para usar sus AWS IoT TwinMaker paneles de control en Grafana, debe crear un rol de IAM y adjuntar políticas. Puede utilizar las siguientes plantillas para crear estas políticas.
Creación de una política de IAM
Cree una política de IAM llamada YourWorkspaceIdDashboardPolicy
- 1. Sin política de permisos de vídeo
Si no quiere usar el panel del Reproductor de vídeo
de Grafana, cree la política con la siguiente plantilla. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketName/*", "arn:aws:s3:::bucketName" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId", "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" } ] }Se crea un bucket de Amazon S3 para cada espacio de trabajo. Contiene los modelos 3D y las escenas que se pueden ver en un panel de control. El SceneViewer
panel carga los elementos de este depósito. - 2. Política de permisos de vídeo restringida
Para limitar el acceso al panel del reproductor de vídeo de Grafana, agrupe los recursos de AWS IoT Greengrass Edge Connector para Amazon Kinesis Video Streams por etiquetas. Para obtener más información acerca de la administración de permisos para los recursos de vídeo, consulte Crear una política AWS IoT TwinMaker de reproducción de vídeo.
- 3. Todos los permisos de vídeo
Si no desea agrupar sus vídeos, puede hacer que todos sean accesibles desde el Reproductor de Vídeo de Grafana. Cualquier persona con acceso a un espacio de trabajo de Grafana puede reproducir vídeo para cualquier transmisión de tu cuenta y tener acceso de solo lectura a cualquier AWS IoT SiteWise activo. Esto incluye cualquier recurso que se cree en el futuro.
Cree la política con la siguiente plantilla:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketName/*", "arn:aws:s3:::bucketName" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId", "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kinesisvideo:GetDataEndpoint", "kinesisvideo:GetHLSStreamingSessionURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetInterpolatedAssetPropertyValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:BatchPutAssetPropertyValue" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*" } } } ] }La siguiente política de ejemplo proporciona los siguientes permisos:
Acceso de solo lectura a un bucket de S3 para cargar una escena.
Acceso de solo lectura AWS IoT TwinMaker para todas las entidades y componentes de un espacio de trabajo.
Acceso de solo lectura para reproducir todos los vídeos de Kinesis Video Streams de su cuenta.
Acceso de solo lectura al historial del valor de las propiedades de todos AWS IoT SiteWise los activos de su cuenta.
Incorporación de datos a cualquier propiedad de un AWS IoT SiteWise activo etiquetado con la clave
EdgeConnectorForKVSy el valorworkspaceId.
Etiquetar el AWS IoT SiteWise recurso de la cámara: solicite la carga de vídeo desde Edge
Con el reproductor de vídeo de Grafana, los usuarios pueden solicitar manualmente que el vídeo se cargue desde la memoria caché perimetral a Kinesis Video Streams. Puede activar esta función para cualquier AWS IoT SiteWise activo que esté asociado a su AWS IoT Greengrass Edge Connector para Amazon Kinesis Video Streams y que esté etiquetado con la EdgeConnectorForKVS clave.
El valor de la etiqueta puede ser una lista de ID de espacio de trabajo delimitada por cualquiera de los siguientes caracteres: . : + = @ _ / -. Por ejemplo, si desea utilizar un AWS IoT SiteWise activo asociado a un conector AWS IoT Greengrass Edge para las transmisiones de Amazon Kinesis Video Streams AWS IoT TwinMaker en todos los espacios de trabajo, puede utilizar una etiqueta que siga este patrón:. WorkspaceA/WorkspaceB/WorkspaceC El complemento Grafana exige que el AWS IoT TwinMaker WorkspaceID se utilice para agrupar la ingesta de datos de activos. AWS IoT SiteWise
Añade más permisos a la política de su panel de control
El complemento AWS IoT TwinMaker Grafana usa tu proveedor de autenticación para invocar AssumeRole el rol de panel de control que crees. Internamente, el complemento restringe el mayor número de permisos a los que tienes acceso mediante una política de sesión en la AssumeRole llamada. Para obtener más información sobre las políticas de sesión, consulte Políticas de sesión.
Esta es la política máxima permisiva que puede tener en su rol de panel de control para un espacio de trabajo de AWS IoT TwinMaker :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketName/*", "arn:aws:s3:::bucketName" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId", "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kinesisvideo:GetDataEndpoint", "kinesisvideo:GetHLSStreamingSessionURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetInterpolatedAssetPropertyValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:BatchPutAssetPropertyValue" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*" } } } ] }
Si añades instrucciones con Allow más permisos, no funcionarán en el AWS IoT TwinMaker plugin. Esto está diseñado para garantizar que el complemento utilice los permisos mínimos necesarios.
Sin embargo, puede reducir aún más los permisos. Para obtener más información, consulte Crear una política AWS IoT TwinMaker de reproducción de vídeo.
Creación del rol de IAM del panel de control de Grafana
Cree un rol de IAM llamado YourWorkspaceIdDashboardRoleYourWorkspaceIdDashboardPolicy
Para editar la política de confianza del rol del panel de control, debe dar permiso al proveedor de autenticación de Grafana para que llame a AssumeRole en el rol del panel de control. Actualice la política de confianza con la siguiente plantilla:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "ARN of Grafana authentication provider" }, "Action": "sts:AssumeRole" } ] }
Para obtener más información sobre cómo crear un entorno de Grafana y encontrar su proveedor de autenticación, consulte Configuración del entorno de Grafana.
