AWS IoT TwinMaker 동영상 플레이어 정책 생성 - AWS IoT TwinMaker
리소스에 대한 액세스 범위 좁히기GET 권한 범위 좁히기권한 범위 축소 AWS IoT SiteWise BatchPutAssetPropertyValue

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS IoT TwinMaker 동영상 플레이어 정책 생성

다음은 Grafana의 AWS IoT TwinMaker 플러그인에 필요한 모든 동영상 권한이 포함된 정책 템플릿입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    { 
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/*",
        "arn:aws:s3:::bucketName"
        ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iottwinmaker:Get*",
        "iottwinmaker:List*"
      ],
      "Resource": [
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId",
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "iottwinmaker:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kinesisvideo:GetDataEndpoint",
        "kinesisvideo:GetHLSStreamingSessionURL"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iotsitewise:GetAssetPropertyValue",
        "iotsitewise:GetInterpolatedAssetPropertyValues"
      ],
      "Resource": "*"
    },
    {
       "Effect": "Allow",
       "Action": [
        "iotsitewise:BatchPutAssetPropertyValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
        } 
      }
    }
  ]
}

전체 정책에 대한 자세한 내용은 IAM 정책 생성 항목의 모든 동영상 권한 정책 템플릿을 참조하세요.

리소스에 대한 액세스 범위 좁히기

Grafana의 비디오 플레이어 패널은 Kinesis Video Streams SiteWise 및 IoT를 직접 호출하여 완벽한 비디오 재생 환경을 제공합니다. AWS IoT TwinMaker 작업 영역와 관련이 없는 리소스에 대한 무단 액세스를 방지하려면 작업 영역 대시보드 역할에 대한 IAM 정책에 조건을 추가하세요.

GET 권한 범위 좁히기

리소스에 태그를 지정하여 Amazon Kinesis Video Streams 및 AWS IoT SiteWise 자산에 대한 액세스 범위를 좁힐 수 있습니다. 동영상 업로드 요청 기능을 활성화하기 위해 AWS IoT TwinMaker WorkspaceID를 기반으로 AWS IoT SiteWise 카메라 자산에 이미 태그를 지정했을 수 있습니다. 엣지에서 동영상 업로드 주제를 참조하세요. 동일한 태그 키-값 쌍을 사용하여 GET 액세스를 AWS IoT SiteWise 자산으로 제한하고 Kinesis Video Streams에도 동일한 방식으로 태그를 지정할 수 있습니다.

그런 다음 YourWorkspaceIdDashboardPolicy의 kinesisvideo 및 Iotsitewise 명령문에 이 조건을 추가할 수 있습니다. 

"Condition": {
  "StringLike": {
    "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
  } 
}

실제 사용 사례: 카메라 그룹화

이 시나리오에서는 공장에서 쿠키를 굽는 과정을 모니터링하는 다양한 카메라가 있습니다. 쿠키 반죽은 반죽실에서 만들고, 반죽은 냉동실에서 얼리고, 쿠키는 베이킹실에서 구워냅니다. 각 방에는 카메라가 설치되어 있으며 서로 다른 작업자 팀이 각 프로세스를 개별적으로 모니터링합니다. 각 운영자 그룹에 해당 룸에 대한 권한을 부여하고자 합니다. 쿠키 공장을 위한 디지털 트윈을 구축할 때는 단일 워크스페이스를 사용하지만 카메라 사용 권한은 공간별로 범위를 지정해야 합니다.

groupingId를 기반으로 카메라 그룹에 태그를 지정하여 이러한 권한 분리를 달성할 수 있습니다. 이 시나리오에서 그룹 ID는,, 입니다. BatterRoom FreezerRoom BakingRoom 각 방의 카메라는 Kinesis Video Streams에 연결되어 있으며 키=EdgeConnectorForKVS, 값=BatterRoom 태그가 있어야 합니다. 이 값에는 다음 . : + = @ _ / - 문자로 구분된 그룹 목록일 수 있습니다.

YourWorkspaceIdDashboardPolicy을(를) 수정하려면 다음 정책 설명을 사용하세요.

...,
{
  "Effect": "Allow",
  "Action": [
    "kinesisvideo:GetDataEndpoint",
    "kinesisvideo:GetHLSStreamingSessionURL"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
    } 
  }
},
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:GetAssetPropertyValue",
    "iotsitewise:GetInterpolatedAssetPropertyValues"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
    } 
  }
},
...

이러한 명령문은 그룹화 내 특정 리소스에 대한 스트리밍 동영상 재생 및 AWS IoT SiteWise 속성 기록 액세스를 제한합니다. 사용 사례에 따라 groupingId이(가) 정의됩니다. 이 시나리오에서는 roomId가 됩니다.

권한 범위 축소 AWS IoT SiteWise BatchPutAssetPropertyValue

이 권한을 제공하면 동영상 플레이어에서 동영상 업로드 요청 기능이 활성화됩니다. 동영상을 업로드할 때, 시간 범위를 지정하고 Grafana 대시보드 패널에서 제출을 선택하여 요청을 제출할 수 있습니다.

iotsitewise: BatchPutAssetPropertyValue 권한을 부여하려면 기본 정책을 사용하세요.

...,
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:BatchPutAssetPropertyValue"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
    } 
  }
},
...

이 정책을 사용하면 사용자는 카메라 자산의 모든 속성을 BatchPutAssetPropertyValue 호출할 수 있습니다. AWS IoT SiteWise 명령문의 조건에 특정 propertyId를 지정하여 권한 부여를 제한할 수 있습니다.

{
  ...
  "Condition": {
    "StringEquals": {
      "iotsitewise:propertyId": "propertyId"
    } 
  }
  ...
}

Grafana의 비디오 플레이어 패널은 VideoUploadRequest 이름이 지정된 측정 속성으로 데이터를 수집하여 에지 캐시에서 Kinesis Video Streams로 비디오 업로드를 시작합니다. AWS IoT SiteWise 콘솔에서 이 속성의 propertyId를 찾을 수 있습니다. YourWorkspaceIdDashboardPolicy을(를) 수정하려면 다음 정책 설명을 사용하세요.

...,
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:BatchPutAssetPropertyValue"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
    },
    "StringEquals": {
      "iotsitewise:propertyId": "VideoUploadRequestPropertyId"
    }
  }
},
...

이 정책은 태그가 지정된 AWS IoT SiteWise 카메라 자산의 특정 속성에 대한 데이터 수집을 제한합니다. 자세한 내용은 AWS IoT SiteWise이(가) IAM과 함께 작동하는 방법을 참조하세요.