Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di un ruolo IAM nella dashboard
ConAWS IoT TwinMaker, puoi controllare l'accesso ai dati sulle dashboard Grafana. Gli utenti della dashboard di Grafana devono disporre di ambiti di autorizzazione diversi per visualizzare i dati e, in alcuni casi, scrivere dati. Ad esempio, un operatore di allarmi potrebbe non avere l'autorizzazione per visualizzare i video, mentre un amministratore ha l'autorizzazione per tutte le risorse. Grafana definisce le autorizzazioni tramite fonti di dati, dove vengono fornite credenziali e un ruolo IAM. L'AWS IoT TwinMakerorigine dati AWS recupera le credenziali con le autorizzazioni per quel ruolo. Se non viene fornito un ruolo IAM, Grafana utilizza l'ambito delle credenziali, che non può essere ridotto di. AWS IoT TwinMaker
Per utilizzare le AWS IoT TwinMaker dashboard in Grafana, devi creare un ruolo IAM e allegare delle policy. Puoi utilizzare i seguenti modelli per aiutarti a creare queste politiche.
Creazione di una policy IAM
Crea una policy IAM chiamata YourWorkspaceIdDashboardPolicy
- 1. Nessuna politica sulle autorizzazioni video
Se non desideri utilizzare il pannello Grafana Video Player
, crea la policy utilizzando il seguente modello. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketName/*", "arn:aws:s3:::bucketName" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId", "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" } ] }Viene creato un bucket Amazon S3 per ogni area di lavoro. Contiene i modelli e le scene 3D da visualizzare su una dashboard. Il SceneViewer
pannello carica gli elementi da questo bucket. - 2. Politica sulle autorizzazioni video ridotte
Per limitare l'accesso al pannello Video Player di Grafana, raggruppa le risorse di AWS IoT Greengrass Edge Connector per Amazon Kinesis Video Streams per tag. Per ulteriori informazioni sulla definizione delle autorizzazioni per le tue risorse video, consulta. Creazione di una politica per i lettori AWS IoT TwinMaker video
- 3. Tutte le autorizzazioni video
Se non vuoi raggruppare i tuoi video, puoi renderli tutti accessibili da Grafana Video Player. Chiunque abbia accesso a un'area di lavoro Grafana può riprodurre video per qualsiasi streaming del tuo account e avere accesso in sola lettura a qualsiasi risorsa. AWS IoT SiteWise Ciò include tutte le risorse che verranno create in futuro.
Crea la politica con il seguente modello:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketName/*", "arn:aws:s3:::bucketName" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId", "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kinesisvideo:GetDataEndpoint", "kinesisvideo:GetHLSStreamingSessionURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetInterpolatedAssetPropertyValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:BatchPutAssetPropertyValue" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*" } } } ] }Questo modello di policy fornisce le seguenti autorizzazioni:
Accesso in sola lettura a un bucket S3 per caricare una scena.
Accesso in sola lettura a tutte AWS IoT TwinMaker le entità e i componenti in un workspace.
Accesso in sola lettura per lo streaming di tutti i video di Kinesis Video Streams presenti nel tuo account.
Accesso in sola lettura alla cronologia dei valori delle proprietà di tutti gli AWS IoT SiteWise asset del tuo account.
Inserimento di dati in qualsiasi proprietà di un AWS IoT SiteWise asset contrassegnata con la chiave
EdgeConnectorForKVSe il valore.workspaceId
Taggando la AWS IoT SiteWise risorsa della videocamera, richiedi il caricamento del video da Edge.
Utilizzando il Video Player di Grafana, gli utenti possono richiedere manualmente che il video venga caricato dalla cache edge su Kinesis Video Streams. Puoi attivare questa funzionalità per qualsiasi AWS IoT SiteWise risorsa associata al tuo AWS IoT Greengrass Edge Connector per Amazon Kinesis Video Streams e contrassegnata con la chiave. EdgeConnectorForKVS
Il valore del tag può essere un elenco di WorkspaceID delimitato da uno dei seguenti caratteri:. . : + = @ _ / - Ad esempio, se desideri utilizzare una AWS IoT SiteWise risorsa associata a un AWS IoT Greengrass Edge Connector per Amazon Kinesis Video AWS IoT TwinMaker Streams tra aree di lavoro, puoi utilizzare un tag che segue questo schema:. WorkspaceA/WorkspaceB/WorkspaceC Il plugin Grafana impone che AWS IoT TwinMaker WorkspaceID venga utilizzato per raggruppare l'ingestione dei dati degli asset. AWS IoT SiteWise
Aggiungi altre autorizzazioni alla policy della dashboard
Il plugin AWS IoT TwinMaker Grafana utilizza il tuo provider di autenticazione per richiamare AssumeRole il ruolo di dashboard che crei. Internamente, il plugin limita l'ambito massimo di autorizzazioni a cui hai accesso utilizzando una politica di sessione nella chiamata. AssumeRole Per ulteriori informazioni sui criteri di sessione, consulta Politiche di sessione.
Questa è la politica massima permissiva che puoi avere nel tuo ruolo di dashboard per uno AWS IoT TwinMaker spazio di lavoro:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketName/*", "arn:aws:s3:::bucketName" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId", "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kinesisvideo:GetDataEndpoint", "kinesisvideo:GetHLSStreamingSessionURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetInterpolatedAssetPropertyValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:BatchPutAssetPropertyValue" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*" } } } ] }
Se aggiungi istruzioni che richiedono Allow ulteriori autorizzazioni, queste non funzioneranno sul plugin. AWS IoT TwinMaker Questo è stato progettato per garantire che il plugin utilizzi le autorizzazioni minime necessarie.
Tuttavia, è possibile ridurre ulteriormente le autorizzazioni. Per informazioni, consulta Creazione di una politica per i lettori AWS IoT TwinMaker video.
Creazione del ruolo IAM di Grafana Dashboard
Nella console IAM, crea un ruolo IAM chiamatoYourWorkspaceIdDashboardRoleYourWorkspaceIdDashboardPolicy
Per modificare la politica di attendibilità del ruolo del dashboard, devi autorizzare il provider di autenticazione Grafana a richiamare AssumeRole il ruolo del dashboard. Aggiorna la politica di fiducia con il seguente modello:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "ARN of Grafana authentication provider" }, "Action": "sts:AssumeRole" } ] }
Per ulteriori informazioni sulla creazione di un ambiente Grafana e sulla ricerca del provider di autenticazione, consulta. Configurazione dell'ambiente Grafana
