Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuerung des Zugriffs mit AWS IoT FleetWise
In den folgenden Abschnitten wird beschrieben, wie Sie den Zugriff auf und von Ihrem steuern können AWS IoT FleetWise Ressourcen schätzen. Zu den Informationen, die sie behandeln, gehört, wie Sie Ihrer Anwendung Zugriff gewähren können AWS IoT FleetWise kann Fahrzeugdaten während Kampagnen übertragen. Sie beschreiben auch, wie Sie gewähren können AWS IoT FleetWise Zugriff auf Ihren Amazon S3 (S3) -Bucket oder Ihre Amazon Timestream Timestream-Datenbank und -Tabelle zum Speichern von Daten.
Die Technologie für die Verwaltung all dieser Zugriffsformen ist AWS Identity and Access Management (IAM). Weitere Informationen zu IAM finden Sie unter Was istIAM? .
Inhalt
Gewährung AWS IoT FleetWise Zugriff auf ein Amazon S3 S3-Ziel
Wenn Sie ein Amazon S3 S3-Ziel verwenden, AWS IoT FleetWise liefert Fahrzeugdaten an Ihren S3-Bucket und kann optional eine verwenden AWS KMS Schlüssel, den Sie für die Datenverschlüsselung besitzen. Wenn die Fehlerprotokollierung aktiviert ist, AWS IoT FleetWise sendet auch Fehler bei der Datenübermittlung an Ihre CloudWatch Protokollgruppe und Ihre Streams. Sie müssen eine IAM Rolle spielen, wenn Sie einen Lieferstream erstellen.
AWS IoT FleetWise verwendet eine Bucket-Richtlinie mit dem Service Principal für das S3-Ziel. Weitere Informationen zum Hinzufügen von Bucket-Richtlinien finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole im Amazon Simple Storage Service-Benutzerhandbuch.
Verwenden Sie zur Aktivierung die folgende Zugriffsrichtlinie AWS IoT FleetWise um auf Ihren S3-Bucket zuzugreifen. Wenn Sie nicht Eigentümer des S3-Buckets sind, fügen Sie s3:PutObjectAcl
der Liste der Amazon-S3-Aktionen hinzu. Dies gewährt dem Bucket-Besitzer vollen Zugriff auf die Objekte, die bereitgestellt werden von AWS IoT FleetWise. Weitere Informationen darüber, wie Sie den Zugriff auf Objekte in Ihren Buckets sichern können, finden Sie unter Beispiele für Bucket-Richtlinien im Amazon Simple Storage Service-Benutzerhandbuch.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::
bucket-name
" }, { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::bucket-name
/*", "Condition": { "StringEquals": { "aws:SourceArn": "campaign-arn
", "aws:SourceAccount": "account-id
" } } } ] }
Die folgende Bucket-Richtlinie gilt für alle Kampagnen in einem Konto in einem AWS Region.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::
bucket-name
" }, { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::bucket-name
/*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:iotfleetwise:region
:account-id
:campaign/*", "aws:SourceAccount": "account-id
" } } } ] }
Wenn Sie einen KMS Schlüssel an Ihren S3-Bucket angehängt haben, benötigt der Schlüssel die folgende Richtlinie. Informationen zur Schlüsselverwaltung finden Sie unter Schutz von Daten mithilfe serverseitiger Verschlüsselung mit AWS Key Management Service Schlüssel (SSE-KMS) im Amazon Simple Storage Service-Benutzerhandbuch.
{ "Version": "2012-10-17", "Effect": "Allow", "Principal": { "Service": "iotfleetwise.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "
key-arn
" }
Wichtig
Wenn Sie einen Bucket erstellen, erstellt S3 eine Standard-Zugriffskontrollliste (ACL), die dem Eigentümer der Ressource die volle Kontrolle über die Ressource gewährt. Wenn AWS IoT FleetWise kann keine Daten an S3 liefern. Stellen Sie sicher, dass Sie das ACL auf dem S3-Bucket deaktivieren. Weitere Informationen finden Sie unter Deaktivierung ACLs für alle neuen Buckets und Durchsetzung des Objektbesitzes im Amazon Simple Storage Service-Benutzerhandbuch.
Gewährung AWS IoT FleetWise Zugriff auf ein Amazon Timestream Timestream-Ziel
Wenn Sie ein Timestream-Ziel verwenden, AWS IoT FleetWise liefert Fahrzeugdaten an eine Timestream-Tabelle. Sie müssen die Richtlinien an die IAM Rolle anhängen, um dies zuzulassen AWS IoT FleetWise um Daten an Timestream zu senden.
Wenn Sie die Konsole verwenden, um eine Kampagne zu erstellen, AWS IoT fügt der Rolle FleetWise automatisch die erforderliche Richtlinie hinzu.
Bevor Sie beginnen, überprüfen Sie Folgendes:
Wichtig
-
Sie müssen dasselbe verwenden AWS Region, für die Sie Timestream-Ressourcen erstellen AWS IoT FleetWise. Wenn du wechselst AWS Regionen, möglicherweise haben Sie Probleme beim Zugriff auf die Timestream-Ressourcen.
-
AWS IoT FleetWise ist in den USA Ost (Nord-Virginia) und Europa (Frankfurt) verfügbar.
-
Eine Liste der unterstützten Regionen finden Sie unter Timestream-Endpunkte und Kontingente im Allgemeine AWS-Referenz.
-
Sie benötigen eine Timestream-Datenbank. Ein Tutorial finden Sie unter Create a database im Amazon Timestream Developer Guide.
-
Sie müssen eine Tabelle in der angegebenen Timestream-Datenbank erstellt haben. Ein Tutorial finden Sie unter Erstellen einer Tabelle im Amazon Timestream Developer Guide.
Sie können das AWS CLI um eine IAM Rolle mit einer Vertrauensrichtlinie für Timestream zu erstellen. Führen Sie den folgenden Befehl aus, um eine IAM Rolle zu erstellen.
Um eine IAM Rolle mit einer Vertrauensrichtlinie zu erstellen
-
Ersetzen
TimestreamExecutionRole
mit dem Namen der Rolle, die Sie erstellen. -
Ersetzen
trust-policy
mit der JSON Datei, die die Vertrauensrichtlinie enthält.
aws iam create-role --role-name
TimestreamExecutionRole
--assume-role-policy-document file://trust-policy
.json
{ "Version": "2012-10-17", "Statement": [ { "Sid": "timestreamTrustPolicy", "Effect": "Allow", "Principal": { "Service": "iotfleetwise.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:iotfleetwise:
region
:account-id
:campaign/campaign-name
" ], "aws:SourceAccount": [ "account-id
" ] } } } ] }
Erstellen Sie eine Berechtigungsrichtlinie, die Sie weitergeben möchten AWS FleetWise IoT-Berechtigungen zum Schreiben von Daten in Timestream. Führen Sie den folgenden Befehl aus, um eine Berechtigungsrichtlinie zu erstellen.
Um eine Berechtigungsrichtlinie zu erstellen
-
Ersetzen
AWSIoTFleetwiseAccessTimestreamPermissionsPolicy
mit dem Namen der Richtlinie, die Sie erstellen. -
Ersetzen
permissions-policy
mit dem Namen der JSON Datei, die die Berechtigungsrichtlinie enthält.
aws iam create-policy --policy-name
AWSIoTFleetwiseAccessTimestreamPermissionsPolicy
--policy-document file://permissions-policy
.json
{ "Version": "2012-10-17", "Statement": [ { "Sid": "timestreamIngestion", "Effect": "Allow", "Action": [ "timestream:WriteRecords", "timestream:Select", "timestream:DescribeTable" ], "Resource": "
table-arn
" }, { "Sid": "timestreamDescribeEndpoint", "Effect": "Allow", "Action": [ "timestream:DescribeEndpoints" ], "Resource": "*" } ] }
Um die Berechtigungsrichtlinie an Ihre IAM Rolle anzuhängen
-
Kopieren Sie aus der Ausgabe den Amazon-Ressourcennamen (ARN) der Berechtigungsrichtlinie.
-
Führen Sie den folgenden Befehl aus, um die IAM Berechtigungsrichtlinie an Ihre IAM Rolle anzuhängen.
-
Ersetzen
permissions-policy-arn
mit demARN, den Sie im vorherigen Schritt kopiert haben. -
Ersetzen
TimestreamExecutionRole
mit dem Namen der IAM Rolle, die Sie erstellt haben.
aws iam attach-role-policy --policy-arn
permissions-policy-arn
--role-nameTimestreamExecutionRole
-
Weitere Informationen finden Sie unter Zugriffsverwaltung für AWS Ressourcen im IAMBenutzerhandbuch.