Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern des Zugriffs mit AWS IoT FleetWise
In den folgenden Abschnitten wird beschrieben, wie Sie den Zugriff auf und von Ihren AWS IoT FleetWise Ressourcen steuern können. Zu den Informationen, die sie behandeln, gehört, wie Sie Ihrer Anwendung Zugriff gewähren FleetWise können, damit das AWS IoT Fahrzeugdaten während Kampagnen übertragen kann. Sie beschreiben auch, wie Sie AWS IoT FleetWise Zugriff auf Ihren Amazon S3 (S3) -Bucket oder Ihre Amazon Timestream Timestream-Datenbank und -Tabelle zum Speichern von Daten gewähren können.
Die Technologie zur Verwaltung all dieser Zugriffsformen ist AWS Identity and Access Management (IAM). Weitere Informationen zu IAM finden Sie unter Was ist IAM?.
Inhalt
AWS IoT FleetWise Zugriff auf ein Amazon S3 S3-Ziel gewähren
Wenn Sie ein Amazon S3 S3-Ziel verwenden, AWS IoT FleetWise übermittelt Fahrzeugdaten an Ihren S3-Bucket und kann optional einen AWS KMS Schlüssel, den Sie besitzen, für die Datenverschlüsselung verwenden. Wenn die Fehlerprotokollierung aktiviert ist, werden AWS IoT FleetWise auch Fehler bei der Datenübermittlung an Ihre CloudWatch Protokollgruppe und Ihre Streams gesendet. Sie benötigen eine IAM-Rolle, wenn Sie einen Lieferstream erstellen.
AWS IoT FleetWise verwendet eine Bucket-Richtlinie mit dem Service Principal für das S3-Ziel. Weitere Informationen zum Hinzufügen von Bucket-Richtlinien finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole im Amazon Simple Storage Service-Benutzerhandbuch.
Verwenden Sie die folgende Zugriffsrichtlinie, um den Zugriff auf Ihren S3-Bucket AWS IoT FleetWise zu aktivieren. Wenn Sie nicht Eigentümer des S3-Buckets sind, fügen Sie s3:PutObjectAcl der Liste der Amazon-S3-Aktionen hinzu. Dadurch wird dem Bucket-Besitzer vollen Zugriff auf die Objekte gewährt, die von bereitgestellt wurden AWS IoT FleetWise. Weitere Informationen darüber, wie Sie den Zugriff auf Objekte in Ihren Buckets sichern können, finden Sie unter Beispiele für Bucket-Richtlinien im Amazon Simple Storage Service-Benutzerhandbuch.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::bucket-name" }, { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::bucket-name/*", "Condition": { "StringEquals": { "aws:SourceArn": "campaign-arn", "aws:SourceAccount": "account-id" } } } ] }
Die folgende Bucket-Richtlinie gilt für alle Kampagnen in einem Konto in einer AWS Region.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::bucket-name" }, { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::bucket-name/*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:iotfleetwise:region:account-id:campaign/*", "aws:SourceAccount": "account-id" } } } ] }
Wenn Sie einen KMS-Schlüssel an Ihren S3-Bucket angehängt haben, benötigt der Schlüssel die folgende Richtlinie. Informationen zur Schlüsselverwaltung finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit AWS Key Management Service Schlüsseln (SSE-KMS) im Amazon Simple Storage Service-Benutzerhandbuch.
{ "Version": "2012-10-17", "Effect": "Allow", "Principal": { "Service": "iotfleetwise.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "key-arn" }
Wichtig
Wenn Sie einen Bucket erstellen, erstellt S3 eine Standard-Zugriffskontrollliste (ACL), die dem Eigentümer der Ressource die volle Kontrolle über die Ressource gewährt. Wenn AWS IoT keine Daten an S3 liefern FleetWise kann, stellen Sie sicher, dass Sie die ACL auf dem S3-Bucket deaktivieren. Weitere Informationen finden Sie unter Deaktivieren von ACLs für alle neuen Buckets und Erzwingen des Objektbesitzes im Amazon Simple Storage Service-Benutzerhandbuch.
AWS IoT FleetWise Zugriff auf ein Amazon Timestream Timestream-Ziel gewähren
Wenn Sie ein Timestream-Ziel verwenden, AWS IoT FleetWise überträgt Fahrzeugdaten an eine Timestream-Tabelle. Sie müssen die Richtlinien an die IAM-Rolle anhängen, damit Daten an Timestream AWS IoT FleetWise gesendet werden können.
Wenn Sie die Konsole verwenden, um eine Kampagne zu erstellen, fügt AWS IoT der Rolle FleetWise automatisch die erforderliche Richtlinie hinzu.
Bevor Sie beginnen, überprüfen Sie Folgendes:
Wichtig
-
Sie müssen dieselbe AWS Region verwenden, wenn Sie Timestream-Ressourcen für AWS IoT FleetWise erstellen. Wenn Sie die AWS Region wechseln, haben Sie möglicherweise Probleme beim Zugriff auf die Timestream-Ressourcen.
-
AWS IoT FleetWise ist in den USA Ost (Nord-Virginia) und Europa (Frankfurt) verfügbar.
-
Eine Liste der unterstützten Regionen finden Sie unter Timestream-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz
-
Sie müssen über eine Timestream-Datenbank verfügen. Ein Tutorial finden Sie unter Create a database im Amazon Timestream Developer Guide.
-
Sie müssen eine Tabelle in der angegebenen Timestream-Datenbank erstellt haben. Ein Tutorial finden Sie unter Erstellen einer Tabelle im Amazon Timestream Developer Guide.
Sie können das verwenden AWS CLI , um eine IAM-Rolle mit einer Vertrauensrichtlinie für Timestream zu erstellen. Führen Sie den folgenden Befehl aus, um eine IAM-Rolle zu erstellen.
Um eine IAM-Rolle mit einer Vertrauensrichtlinie zu erstellen
-
TimestreamExecutionRoleErsetzen Sie es durch den Namen der Rolle, die Sie erstellen. -
Ersetzen Sie
trust-policydurch die JSON-Datei, die die Vertrauensrichtlinie enthält.
aws iam create-role --role-nameTimestreamExecutionRole--assume-role-policy-document file://trust-policy.json
{ "Version": "2012-10-17", "Statement": [ { "Sid": "timestreamTrustPolicy", "Effect": "Allow", "Principal": { "Service": "iotfleetwise.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:iotfleetwise:region:account-id:campaign/campaign-name" ], "aws:SourceAccount": [ "account-id" ] } } } ] }
Erstellen Sie eine Berechtigungsrichtlinie, um AWS FleetWise IoT-Berechtigungen zum Schreiben von Daten in Timestream zu erteilen. Führen Sie den folgenden Befehl aus, um eine Berechtigungsrichtlinie zu erstellen.
Um eine Berechtigungsrichtlinie zu erstellen
-
Ersetze sie
AWSIoTFleetwiseAccessTimestreamPermissionsPolicydurch den Namen der Richtlinie, die du gerade erstellst. -
Ersetzen Sie
permissions-policydurch den Namen der JSON-Datei, die die Berechtigungsrichtlinie enthält.
aws iam create-policy --policy-nameAWSIoTFleetwiseAccessTimestreamPermissionsPolicy--policy-document file://permissions-policy.json
{ "Version": "2012-10-17", "Statement": [ { "Sid": "timestreamIngestion", "Effect": "Allow", "Action": [ "timestream:WriteRecords", "timestream:Select", "timestream:DescribeTable" ], "Resource": "table-arn" }, { "Sid": "timestreamDescribeEndpoint", "Effect": "Allow", "Action": [ "timestream:DescribeEndpoints" ], "Resource": "*" } ] }
Um die Berechtigungsrichtlinie an Ihre IAM-Rolle anzuhängen
-
Kopieren Sie aus der Ausgabe den Amazon-Ressourcennamen (ARN) der Berechtigungsrichtlinie.
-
Führen Sie den folgenden Befehl aus, um die IAM-Berechtigungsrichtlinie an Ihre IAM-Rolle anzuhängen.
-
permissions-policy-arnErsetzen Sie es durch den ARN, den Sie im vorherigen Schritt kopiert haben. -
TimestreamExecutionRoleErsetzen Sie durch den Namen der IAM-Rolle, die Sie erstellt haben.
aws iam attach-role-policy --policy-arnpermissions-policy-arn--role-nameTimestreamExecutionRole -
Weitere Informationen finden Sie unter Zugriffsverwaltung für AWS Ressourcen im IAM-Benutzerhandbuch.
