Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'un rôle IAM dans le tableau de bord
AvecAWS IoT TwinMaker, vous pouvez contrôler l'accès aux données sur vos tableaux de bord Grafana. Les utilisateurs du tableau de bord Grafana doivent disposer de champs d'autorisation différents pour afficher les données et, dans certains cas, pour écrire des données. Par exemple, un opérateur d'alarme peut ne pas être autorisé à visionner des vidéos, tandis qu'un administrateur est autorisé à accéder à toutes les ressources. Grafana définit les autorisations via des sources de données, où des informations d'identification et un rôle IAM sont fournis. La AWS IoT TwinMaker source de données récupère les AWS informations d'identification avec les autorisations pour ce rôle. Si aucun rôle IAM n'est fourni, Grafana utilise l'étendue des informations d'identification, qui ne peut pas être réduite. AWS IoT TwinMaker
Pour utiliser vos AWS IoT TwinMaker tableaux de bord dans Grafana, vous devez créer un rôle IAM et y associer des politiques. Vous pouvez utiliser les modèles suivants pour vous aider à créer ces politiques.
Créer une politique IAM
Créez une politique IAM appelée
dans la console IAM. Cette politique permet à vos espaces de travail d'accéder au compartiment et aux AWS IoT TwinMaker ressources Amazon S3. Vous pouvez également décider d'utiliser AWS IoT GreengrassEdge Connector pour Amazon Kinesis Video Streams, qui nécessite des autorisations pour les Kinesis Video Streams AWS IoT SiteWise et les ressources configurées pour le composant. En fonction de votre cas d'utilisation, choisissez l'un des modèles de politique suivants.YourWorkspaceId
DashboardPolicy
- 1. Aucune politique d'autorisation pour les vidéos
Si vous ne souhaitez pas utiliser le panneau Grafana Video Player
, créez la politique à l'aide du modèle suivant. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucketName
/*", "arn:aws:s3:::bucketName
" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region
:accountId
:workspace/workspaceId
", "arn:aws:iottwinmaker:region
:accountId
:workspace/workspaceId
/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" } ] }Un compartiment Amazon S3 est créé pour chaque espace de travail. Il contient les modèles 3D et les scènes à visualiser sur un tableau de bord. Le SceneViewer
panneau charge les éléments de ce compartiment. - 2. Politique d'autorisation des vidéos limitée
Pour limiter l'accès au panneau du lecteur vidéo de Grafana, regroupez vos ressources AWS IoT Greengrass Edge Connector pour Amazon Kinesis Video Streams par balises. Pour plus d'informations sur la définition des autorisations associées à vos ressources vidéo, consultezCréation d'une politique en matière de lecteur AWS IoT TwinMaker vidéo.
- 3. Toutes les autorisations relatives aux vidéos
Si vous ne souhaitez pas regrouper vos vidéos, vous pouvez les rendre toutes accessibles depuis le lecteur vidéo Grafana. Toute personne ayant accès à un espace de travail Grafana peut lire des vidéos pour n'importe quel flux de votre compte et avoir accès en lecture seule à n'importe quelle AWS IoT SiteWise ressource. Cela inclut toutes les ressources créées dans le futur.
Créez la politique à l'aide du modèle suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucketName
/*", "arn:aws:s3:::bucketName
" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region
:accountId
:workspace/workspaceId
", "arn:aws:iottwinmaker:region
:accountId
:workspace/workspaceId
/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kinesisvideo:GetDataEndpoint", "kinesisvideo:GetHLSStreamingSessionURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetInterpolatedAssetPropertyValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:BatchPutAssetPropertyValue" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId
*" } } } ] }Ce modèle de politique fournit les autorisations suivantes :
Accès en lecture seule à un compartiment S3 pour charger une scène.
Accès en lecture seule à toutes AWS IoT TwinMaker les entités et composants d'un espace de travail.
Accès en lecture seule pour diffuser toutes les vidéos Kinesis Video Streams sur votre compte.
Accès en lecture seule à l'historique des valeurs immobilières de tous les AWS IoT SiteWise actifs de votre compte.
Ingestion de données dans n'importe quelle propriété d'un AWS IoT SiteWise actif étiqueté avec la clé
EdgeConnectorForKVS
et la valeurworkspaceId
.
Marquer le contenu de votre caméra, AWS IoT SiteWise demander le téléchargement d'une vidéo depuis Edge
À l'aide du lecteur vidéo de Grafana, les utilisateurs peuvent demander manuellement que la vidéo soit téléchargée depuis le cache périphérique vers Kinesis Video Streams. Vous pouvez activer cette fonctionnalité pour toute AWS IoT SiteWise ressource associée à votre connecteur AWS IoT Greengrass Edge pour Amazon Kinesis Video Streams et associée à la EdgeConnectorForKVS
clé.
La valeur de la balise peut être une liste d'identifiants de travail délimités par l'un des caractères suivants :. . : + = @ _ / -
Par exemple, si vous souhaitez utiliser une AWS IoT SiteWise ressource associée à un connecteur AWS IoT Greengrass Edge pour Amazon Kinesis Video Streams AWS IoT TwinMaker dans les espaces de travail, vous pouvez utiliser une balise suivant ce modèle :. WorkspaceA/WorkspaceB/WorkspaceC
Le plugin Grafana impose que le AWS IoT TwinMaker WorkspaceID soit utilisé pour regrouper l'ingestion de données d'actifs. AWS IoT SiteWise
Ajoutez des autorisations supplémentaires à la politique de votre tableau de bord
Le plugin AWS IoT TwinMaker Grafana utilise votre fournisseur d'authentification pour faire appel au rôle de tableau de AssumeRole bord que vous créez. En interne, le plugin restreint le plus grand nombre d'autorisations auxquelles vous avez accès en utilisant une politique de session lors de l' AssumeRole appel. Pour plus d'informations sur les politiques de session, consultez la section Politiques de session.
Voici la politique permissive maximale que vous pouvez appliquer à votre rôle de tableau de bord pour un AWS IoT TwinMaker espace de travail :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
bucketName
/*", "arn:aws:s3:::bucketName
" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region
:accountId
:workspace/workspaceId
", "arn:aws:iottwinmaker:region
:accountId
:workspace/workspaceId
/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kinesisvideo:GetDataEndpoint", "kinesisvideo:GetHLSStreamingSessionURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetInterpolatedAssetPropertyValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:BatchPutAssetPropertyValue" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId
*" } } } ] }
Si vous ajoutez des instructions qui Allow
augmentent les autorisations, elles ne fonctionneront pas sur le AWS IoT TwinMaker plugin. Ceci est conçu pour garantir que les autorisations minimales nécessaires sont utilisées par le plugin.
Cependant, vous pouvez réduire davantage les autorisations. Pour plus d’informations, consultez Création d'une politique en matière de lecteur AWS IoT TwinMaker vidéo.
Création du rôle IAM du tableau de bord Grafana
Dans la console IAM, créez un rôle IAM appelé.
Attachez-le YourWorkspaceId
DashboardRole
au rôle. YourWorkspaceId
DashboardPolicy
Pour modifier la politique de confiance du rôle de tableau de bord, vous devez autoriser le fournisseur d'authentification Grafana à faire appel au rôle de tableau de AssumeRole
bord. Mettez à jour la politique de confiance avec le modèle suivant :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "
ARN of Grafana authentication provider
" }, "Action": "sts:AssumeRole" } ] }
Pour plus d'informations sur la création d'un environnement Grafana et la recherche de votre fournisseur d'authentification, consultez. Configuration de votre environnement Grafana