Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen und verwalten Sie eine Servicerolle für AWS IoT TwinMaker
AWS IoT TwinMaker erfordert, dass Sie eine Servicerolle verwenden, damit sie in Ihrem Namen auf Ressourcen in anderen Diensten zugreifen kann. Diese Rolle muss ein Vertrauensverhältnis mit haben AWS IoT TwinMaker. Wenn Sie einen Workspace erstellen, müssen Sie dem Workspace diese Rolle zuweisen. Dieses Thema enthält Beispielrichtlinien, die Ihnen zeigen, wie Sie Berechtigungen für allgemeine Szenarien konfigurieren.
Vertrauen zuweisen
Die folgende Richtlinie stellt eine Vertrauensbeziehung zwischen Ihrer Rolle und her AWS IoT TwinMaker. Ordnen Sie diese Vertrauensbeziehung der Rolle zu, die Sie für Ihren Workspace verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "iottwinmaker.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Amazon-S3-Berechtigungen
Die folgende Richtlinie ermöglicht es Ihrer Rolle, aus einem Amazon S3-Bucket zu lesen, zu löschen und in einen Amazon S3 S3-Bucket zu schreiben. Workspaces speichern Ressourcen in Amazon S3, sodass die Amazon S3 S3-Berechtigungen für alle Workspaces erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": [ "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::*/DO_NOT_DELETE_WORKSPACE_*" ] } ] }
Anmerkung
Wenn Sie einen Workspace erstellen, AWS IoT TwinMaker erstellt eine Datei in Ihrem Amazon S3 S3-Bucket, die angibt, dass er von einem Workspace verwendet wird. Diese Richtlinie gibt Ihnen die AWS IoT TwinMaker Erlaubnis, diese Datei zu löschen, wenn Sie den Workspace löschen.
AWS IoT TwinMaker platziert andere Objekte, die sich auf Ihren Workspace beziehen. Es liegt in Ihrer Verantwortung, diese Objekte zu löschen, wenn Sie einen Workspace löschen.
Weisen Sie einem bestimmten Amazon S3 S3-Bucket Berechtigungen zu
Wenn Sie in der AWS IoT TwinMaker Konsole einen Workspace erstellen, können Sie wählen, ob Sie einen Amazon S3 S3-Bucket für Sie AWS IoT TwinMaker erstellen möchten. Informationen zu diesem Bucket finden Sie mit dem folgenden AWS CLI Befehl.
aws iottwinmaker get-workspace --workspace-id
workspace name
Das folgende Beispiel zeigt das Format der Ausgabe dieses Befehls.
{ "arn": "arn:aws:iottwinmaker:
region
:account Id
:workspace/workspace name
", "creationDateTime": "2021-11-30T11:30:00.000000-08:00", "description": "", "role": "arn:aws:iam::account Id
:role/service role name
", "s3Location": "arn:aws:s3:::bucket name
", "updateDateTime": "2021-11-30T11:30:00.000000-08:00", "workspaceId": "workspace name
" }
Um Ihre Richtlinie so zu aktualisieren, dass sie Berechtigungen für einen bestimmten Amazon S3 S3-Bucket zuweist, verwenden Sie den Wert von bucket name
.
Die folgende Richtlinie ermöglicht es Ihrer Rolle, aus einem bestimmten Amazon S3-Bucket zu lesen, zu löschen und in einen bestimmten Amazon S3 S3-Bucket zu schreiben.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::
bucket name
", "arn:aws:s3:::bucket name
/*" ] }, { "Effect": "Allow", "Action": [ "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::iottwinmakerbucket/DO_NOT_DELETE_WORKSPACE_*" ] } ] }
Berechtigungen für integrierte Konnektoren
Wenn dein Workspace mithilfe integrierter Konnektoren mit anderen AWS Diensten interagiert, musst du Berechtigungen für diese Dienste in diese Richtlinie aufnehmen. Wenn du den Komponententyp com.amazon.iotsitewise.connector verwendest, musst du Berechtigungen für angeben. AWS IoT SiteWise Weitere Informationen zu Komponententypen finden Sie unter. Komponententypen verwenden und erstellen
Anmerkung
Wenn Sie mithilfe eines benutzerdefinierten Komponententyps mit anderen AWS Diensten interagieren, müssen Sie der Rolle die Berechtigung zum Ausführen der Lambda-Funktion erteilen, die die Funktion in Ihrem Komponententyp implementiert. Weitere Informationen finden Sie unter Berechtigungen für einen Konnektor zu einer externen Datenquelle.
Das folgende Beispiel zeigt, wie Sie das AWS IoT SiteWise in Ihre Richtlinie aufnehmen können.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::
bucket name
", "arn:aws:s3:::bucket name
/*" ] }, { "Effect": "Allow", "Action": [ "iotsitewise:DescribeAsset" ], "Resource": "asset ARN
" }, { "Effect": "Allow", "Action": [ "iotsitewise:DescribeAssetModel" ], "Resource": "asset model ARN
" }, { "Effect": "Allow", "Action": [ "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::*/DO_NOT_DELETE_WORKSPACE_*" ] } ] }
Wenn Sie den Komponententyp com.amazon.iotsitewise.connector verwenden und Immobiliendaten aus lesen müssen AWS IoT SiteWise, müssen Sie die folgende Berechtigung in Ihre Richtlinie aufnehmen.
... { "Action": [ "iotsitewise:GetPropertyValueHistory", ], "Resource": [ "
AWS IoT SiteWise asset resource ARN
" ], "Effect": "Allow" }, ...
Wenn Sie den Komponententyp com.amazon.iotsitewise.connector verwenden und dafür Eigenschaftsdaten schreiben müssen, müssen Sie die folgende Berechtigung in Ihre Richtlinie aufnehmen. AWS IoT SiteWise
... { "Action": [ "iotsitewise:BatchPutPropertyValues", ], "Resource": [ "
AWS IoT SiteWise asset resource ARN
" ], "Effect": "Allow" }, ...
Wenn Sie den Komponententyp com.amazon.iotsitewise.connector.edgevideo verwenden, müssen Sie Berechtigungen für und Kinesis Video Streams angeben. AWS IoT SiteWise Die folgende Beispielrichtlinie zeigt, wie Sie Kinesis Video Streams Streams-Berechtigungen in Ihre Richtlinie aufnehmen AWS IoT SiteWise können.
... { "Action": [ "iotsitewise:DescribeAsset", "iotsitewise:GetAssetPropertyValue" ], "Resource": [ "
AWS IoT SiteWise asset resource ARN for the Edge Connector for Kinesis Video Streams
" ], "Effect": "Allow" }, { "Action": [ "iotsitewise:DescribeAssetModel" ], "Resource": [ "AWS IoT SiteWise model resource ARN for the Edge Connector for Kinesis Video Streams
" ], "Effect": "Allow" }, { "Action": [ "kinesisvideo:DescribeStream" ], "Resource": [ "Kinesis Video Streams stream ARN
" ], "Effect": "Allow" }, ...
Berechtigungen für einen Konnektor zu einer externen Datenquelle
Wenn Sie einen Komponententyp erstellen, der eine Funktion verwendet, die eine Verbindung zu einer externen Datenquelle herstellt, müssen Sie Ihrer Servicerolle die Erlaubnis erteilen, die Lambda-Funktion zu verwenden, die die Funktion implementiert. Weitere Informationen zum Erstellen von Komponententypen und Funktionen finden Sie unterKomponententypen verwenden und erstellen.
Das folgende Beispiel erteilt Ihrer Servicerolle die Erlaubnis, eine Lambda-Funktion zu verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::
bucket name
", "arn:aws:s3:::bucket name
/*" ] }, { "Action": [ "lambda:invokeFunction" ], "Resource": [ "Lambda function ARN
" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::*/DO_NOT_DELETE_WORKSPACE_*" ] } ] }
Weitere Informationen zum Erstellen von Rollen und zum Zuweisen von Richtlinien und Vertrauensbeziehungen zu diesen Rollen mithilfe der IAM Konsole, der und der AWS CLI finden Sie unter Eine Rolle erstellen IAMAPI, um Berechtigungen an eine zu delegieren. AWS-Service
Ändern Sie Ihre IAM Workspace-Rolle, um den Athena-Datenkonnektor zu verwenden
Um den AWS IoT TwinMaker Athena Tabular Data Connector zu verwenden, müssen Sie Ihre AWS IoT TwinMaker IAM Workspace-Rolle aktualisieren. Fügen Sie Ihrer IAM Workspace-Rolle die folgenden Berechtigungen hinzu:
Anmerkung
Diese IAM Änderung funktioniert nur für Athena-Tabellendaten, die mit Amazon S3 gespeichert AWS Glue wurden. Um Athena mit anderen Datenquellen zu verwenden, müssen Sie eine IAM Rolle für Athena konfigurieren, siehe Identitäts- und Zugriffsmanagement in Athena.
{ "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetTableMetadata", "athena:GetWorkGroup", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "
athena resouces arn
" ] },// Athena permission { "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetTables", "glue:GetDatabase", "glue:GetDatabases" ], "Resource": [ "glue resouces arn
" ] },// This is an example for accessing aws glue { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "Amazon S3 data source bucket resources arn
" ] }, // S3 bucket for storing the tabular data. { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "S3 query result bucket resources arn
" ] } // Storing the query results
Weitere Informationen zur Athena-Konfiguration finden Sie im Identitäts- und Zugriffsmanagement in AthenaIAM.