기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
대시보드 IAM 역할 생성
AWS IoT TwinMaker을(를) 사용하면 Grafana 대시보드에서 데이터 액세스를 제어할 수 있습니다. Grafana 대시보드 사용자는 데이터를 보고, 경우에 따라 데이터를 쓰기 위해 다양한 권한 범위를 가져야 합니다. 예를 들어 알람 운영자에게는 동영상 보기 권한이 없는 반면 관리자는 모든 리소스에 대한 권한이 있을 수 있습니다. Grafana는 자격 증명과 IAM 역할이 제공되는 데이터 소스를 통해 권한을 정의합니다. AWS IoT TwinMaker 데이터소스는 해당 역할에 대한 권한이 있는 AWS 자격 증명을 가져옵니다. IAM 역할이 제공되지 않은 경우 Grafana는 자격 증명의 범위를 사용하며 이 범위를 AWS IoT TwinMaker로 줄일 수 없습니다.
Grafana에서 AWS IoT TwinMaker 대시보드를 사용하려면 IAM 역할을 생성하고 정책을 연결합니다. 다음 템플릿을 사용하여 이러한 정책을 생성할 수 있습니다.
IAM 정책 생성
IAM 콘솔에서 YourWorkspaceIdDashboardPolicy
- 1: 동영상 권한 정책 없음
Grafana Video Player 패널
을 사용하지 않으려면 다음 템플릿을 사용하여 정책을 생성하세요. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketName/*", "arn:aws:s3:::bucketName" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId", "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" } ] }Amazon S3 버킷이 각 작업 영역에 대해 생성됩니다. 여기에는 대시보드에서 볼 수 있는 3D 모델 및 장면이 포함되어 있습니다. SceneViewer
패널은 이 버킷에서 항목을 로드합니다. - 2. 동영상 권한 정책의 범위 축소
Grafana의 동영상 플레이어 패널에 대한 액세스를 제한하려면 Amazon Kinesis Video Streams용 AWS IoT Greengrass 엣지 커넥터 리소스를 태그별로 그룹화하세요. 동영상 리소스 권한 범위 축소에 대한 자세한 내용은 AWS IoT TwinMaker 동영상 플레이어 정책 생성을(를) 참조하세요.
- 3. 모든 동영상 권한
동영상을 그룹화하고 싶지 않은 경우 Grafana Video Player에서 모든 동영상에 액세스할 수 있도록 설정할 수 있습니다. Grafana 작업 영역에 대한 액세스 권한이 있는 사람은 누구나 계정 내 모든 스트림의 동영상을 재생할 수 있으며 모든 AWS IoT SiteWise 자산에 대한 읽기 전용 액세스 권한이 있습니다. 여기에는 향후 생성되는 모든 리소스가 포함됩니다.
다음 템플릿을 사용하여 정책을 생성합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketName/*", "arn:aws:s3:::bucketName" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId", "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kinesisvideo:GetDataEndpoint", "kinesisvideo:GetHLSStreamingSessionURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetInterpolatedAssetPropertyValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:BatchPutAssetPropertyValue" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*" } } } ] }이 샘플 정책은 다음 권한을 제공합니다.
장면을 로드하기 위한 S3 버킷에 대한 읽기 전용 액세스.
작업 영역의 모든 엔티티와 구성 요소에 대한 AWS IoT TwinMaker에 대한 읽기 전용 액세스.
계정의 모든 Kinesis Video Streams 동영상을 스트리밍할 수 있는 읽기 전용 액세스.
계정 내 모든 AWS IoT SiteWise 자산의 자산 가치 기록에 대한 읽기 전용 액세스.
EdgeConnectorForKVS키와workspaceId값으로 태그 지정된 AWS IoT SiteWise 자산의 속성에 대한 데이터 모으기.
엣지에서 카메라 AWS IoT SiteWise 자산 요청 동영상 업로드 태그 지정
Grafana의 동영상 플레이어를 사용하면 사용자는 엣지 캐시에서 Kinesis Video Streams로 동영상을 업로드하도록 수동으로 요청할 수 있습니다. Amazon Kinesis Video Streams용 AWS IoT Greengrass 엣지 커넥터와 연결되어 있고 EdgeConnectorForKVS 키로 태그가 지정된 모든 AWS IoT SiteWise 자산에 대해 이 기능을 활성화할 수 있습니다.
태그 값은 다음 . : + = @ _ / - 문자로 구분된 WorkspaceID 목록일 수 있습니다. 예를 들어, AWS IoT TwinMaker 작업 영역에서 Amazon Kinesis Video Streams용 AWS IoT Greengrass 엣지 커넥터와 연결된 AWS IoT SiteWise 자산을 사용하려는 경우 다음 WorkspaceA/WorkspaceB/WorkspaceC 패턴을 따르는 태그를 사용할 수 있습니다. Grafana 플러그인은 AWS IoT TwinMaker WorkspaceID를 사용하여 AWS IoT SiteWise 자산 데이터 모으기를 그룹화하도록 합니다.
대시보드 정책에 더 많은 권한을 추가
AWS IoT TwinMakerGrafana 플러그인은 인증 공급자를 사용하여 생성한 대시보드 AssumeRole 역할을 호출합니다. 내부적으로 플러그인은 호출 시 세션 정책을 사용하여 액세스할 수 있는 가장 높은 권한 범위를 제한합니다. AssumeRole 세션 정책에 대한 자세한 정보는 세션 정책을 참조하세요.
이는 AWS IoT TwinMaker 작업 영역의 대시보드 역할에 적용할 수 있는 최대 허용 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketName/*", "arn:aws:s3:::bucketName" ] }, { "Effect": "Allow", "Action": [ "iottwinmaker:Get*", "iottwinmaker:List*" ], "Resource": [ "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId", "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*" ] }, { "Effect": "Allow", "Action": "iottwinmaker:ListWorkspaces", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kinesisvideo:GetDataEndpoint", "kinesisvideo:GetHLSStreamingSessionURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:GetAssetPropertyValue", "iotsitewise:GetInterpolatedAssetPropertyValues" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iotsitewise:BatchPutAssetPropertyValue" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*" } } } ] }
Allow개 이상의 권한을 포함하는 명령문을 추가하면 AWS IoT TwinMaker 플러그인에서 작동하지 않습니다. 이는 플러그인이 필요한 최소한의 권한을 사용하도록 하기 위한 것입니다.
하지만 권한 범위를 더 좁힐 수 있습니다. 자세한 내용은 AWS IoT TwinMaker 동영상 플레이어 정책 생성을(를) 참조하세요.
Grafana 대시보드 IAM 역할 생성
IAM 콘솔에서 YourWorkspaceIdDashboardRoleYourWorkspaceIdDashboardPolicy
대시보드 역할의 신뢰 정책을 편집하려면 Grafana 인증 공급자가 대시보드 역할에 대해 AssumeRole을(를) 호출할 수 있는 권한을 부여해야 합니다. 다음 템플릿으로 신뢰 정책을 업데이트하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "ARN of Grafana authentication provider" }, "Action": "sts:AssumeRole" } ] }
Grafana 환경 생성 및 인증 제공자 찾기에 대한 자세한 내용은 Grafana 환경 설정을(를) 참조하세요.
