Limita l'accesso alle tue risorse Riduci i permessi GET Ambita l'autorizzazione AWS IoT SiteWise BatchPutAssetPropertyValue

Creazione di una politica per i lettori AWS IoT TwinMaker video

Di seguito è riportato un modello di policy con tutte le autorizzazioni video necessarie per il AWS IoT TwinMaker plugin in Grafana:


{
  "Version": "2012-10-17",
  "Statement": [
    { 
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/*",
        "arn:aws:s3:::bucketName"
        ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iottwinmaker:Get*",
        "iottwinmaker:List*"
      ],
      "Resource": [
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId",
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "iottwinmaker:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kinesisvideo:GetDataEndpoint",
        "kinesisvideo:GetHLSStreamingSessionURL"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iotsitewise:GetAssetPropertyValue",
        "iotsitewise:GetInterpolatedAssetPropertyValues"
      ],
      "Resource": "*"
    },
    {
       "Effect": "Allow",
       "Action": [
        "iotsitewise:BatchPutAssetPropertyValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
        } 
      }
    }
  ]
}

Per ulteriori informazioni sulla politica completa, consulta il modello di policy per le autorizzazioni per tutti i video nell'argomento. Creazione di una policy IAM

Limita l'accesso alle tue risorse

Il pannello Video Player di Grafana richiama direttamente Kinesis Video Streams e SiteWise IoT per fornire un'esperienza di riproduzione video completa. Per evitare l'accesso non autorizzato a risorse che non sono associate al tuo AWS IoT TwinMaker spazio di lavoro, aggiungi delle condizioni alla policy IAM per il tuo ruolo nella dashboard del workspace.

Riduci i permessi GET

Puoi limitare l'accesso ai tuoi Amazon Kinesis Video AWS IoT SiteWise Streams e alle tue risorse taggando le risorse. Potresti aver già taggato la tua risorsa AWS IoT SiteWise fotografica in base al AWS IoT TwinMaker WorkspaceID per abilitare la funzionalità di richiesta di caricamento dei video, consulta l'argomento Upload video from the edge. Puoi utilizzare la stessa coppia chiave-valore di tag per limitare l'accesso GET alle AWS IoT SiteWise risorse e anche per taggare i tuoi Kinesis Video Streams allo stesso modo.

Puoi quindi aggiungere questa condizione alle istruzioni kinesisvideo e iotsitewise in: YourWorkspaceIdDashboardPolicy


"Condition": {
  "StringLike": {
    "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
  } 
}

Caso d'uso reale: raggruppamento di telecamere

In questo scenario, si dispone di un'ampia gamma di telecamere che monitorano il processo di cottura dei biscotti in una fabbrica. I lotti di pastella per biscotti vengono preparati nella sala pastelli, la pastella viene congelata nella sala congelatori e i biscotti vengono cotti nella sala cottura. In ognuna di queste stanze sono presenti telecamere con diversi team di operatori che monitorano separatamente ogni processo. Desiderate che ogni gruppo di operatori sia autorizzato per la rispettiva sala. Quando si crea un gemello digitale per la fabbrica di biscotti, viene utilizzata un'unica area di lavoro, ma le autorizzazioni della fotocamera devono essere limitate per stanza.

È possibile ottenere questa separazione delle autorizzazioni contrassegnando gruppi di telecamere in base al relativo GroupingID. In questo scenario, i GroupingID sono, e. BatterRoom FreezerRoom BakingRoom La videocamera di ogni stanza è collegata a Kinesis Video Streams e deve avere un tag con: EdgeConnectorForKVS Key =, Value =. BatterRoom Il valore può essere un elenco di raggruppamenti delimitati da uno dei seguenti caratteri: . : + = @ _ / -

Per modificare ilYourWorkspaceIdDashboardPolicy, utilizza le seguenti dichiarazioni politiche:


...,
{
  "Effect": "Allow",
  "Action": [
    "kinesisvideo:GetDataEndpoint",
    "kinesisvideo:GetHLSStreamingSessionURL"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
    } 
  }
},
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:GetAssetPropertyValue",
    "iotsitewise:GetInterpolatedAssetPropertyValues"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
    } 
  }
},
...

Queste istruzioni limitano la riproduzione di video in streaming e l'accesso alla cronologia delle AWS IoT SiteWise proprietà a risorse specifiche di un raggruppamento. groupingIdÈ definito dal tuo caso d'uso. Nel nostro scenario, sarebbe RoomID.

Ambita l'autorizzazione AWS IoT SiteWise BatchPutAssetPropertyValue

Fornendo questa autorizzazione si attiva la funzione di richiesta di caricamento video in Video Player. Quando carichi un video, puoi specificare un intervallo di tempo e inviare la richiesta scegliendo Invia nel pannello della dashboard di Grafana.

Per concedere le BatchPutAssetPropertyValue autorizzazioni a iotsitewise:, usa la politica predefinita:


...,
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:BatchPutAssetPropertyValue"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
    } 
  }
},
...

Utilizzando questo criterio, gli utenti possono BatchPutAssetPropertyValue richiedere qualsiasi proprietà sulla risorsa fotocamera. AWS IoT SiteWise È possibile limitare l'autorizzazione per un PropertyID specifico specificandolo nella condizione dell'istruzione.


{
  ...
  "Condition": {
    "StringEquals": {
      "iotsitewise:propertyId": "propertyId"
    } 
  }
  ...
}

Il pannello Video Player di Grafana inserisce i dati nella proprietà di misurazione, denominata VideoUploadRequest, per avviare il caricamento del video dalla cache edge a Kinesis Video Streams. Trova il PropertyID di questa proprietà nella console. AWS IoT SiteWise Per modificare ilYourWorkspaceIdDashboardPolicy, utilizzare la seguente dichiarazione politica:


...,
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:BatchPutAssetPropertyValue"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
    },
    "StringEquals": {
      "iotsitewise:propertyId": "VideoUploadRequestPropertyId"
    }
  }
},
...

Questa istruzione limita l'importazione di dati a una proprietà specifica della risorsa fotocamera contrassegnata. AWS IoT SiteWise Per ulteriori informazioni, consulta How AWS IoT SiteWise works with IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione di un ruolo nella dashboard

Connect Alarms ai dashboard Grafana