Création d'une politique en matière de lecteur AWS IoT TwinMaker vidéo - AWS IoT TwinMaker
Limitez l'accès à vos ressourcesLimitez la portée des autorisations GETRéduisez la portée de AWS IoT SiteWise BatchPutAssetPropertyValue l'autorisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une politique en matière de lecteur AWS IoT TwinMaker vidéo

Voici un modèle de politique avec toutes les autorisations vidéo dont vous avez besoin pour le AWS IoT TwinMaker plugin de Grafana :

{
  "Version": "2012-10-17",
  "Statement": [
    { 
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/*",
        "arn:aws:s3:::bucketName"
        ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iottwinmaker:Get*",
        "iottwinmaker:List*"
      ],
      "Resource": [
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId",
        "arn:aws:iottwinmaker:region:accountId:workspace/workspaceId/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "iottwinmaker:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kinesisvideo:GetDataEndpoint",
        "kinesisvideo:GetHLSStreamingSessionURL"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iotsitewise:GetAssetPropertyValue",
        "iotsitewise:GetInterpolatedAssetPropertyValues"
      ],
      "Resource": "*"
    },
    {
       "Effect": "Allow",
       "Action": [
        "iotsitewise:BatchPutAssetPropertyValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
        } 
      }
    }
  ]
}

Pour plus d'informations sur la politique complète, consultez le modèle de politique d'autorisation pour toutes les vidéos dans la Créer une politique IAM rubrique.

Limitez l'accès à vos ressources

Le panneau Video Player de Grafana fait directement appel à Kinesis Video Streams et à l'IoT SiteWise pour offrir une expérience de lecture vidéo complète. Pour éviter tout accès non autorisé à des ressources qui ne sont pas associées à votre AWS IoT TwinMaker espace de travail, ajoutez des conditions à la politique IAM pour votre rôle de tableau de bord d'espace de travail.

Limitez la portée des autorisations GET

Vous pouvez limiter l'accès à vos Amazon Kinesis Video Streams AWS IoT SiteWise et à vos ressources en balisant les ressources. Vous avez peut-être déjà tagué votre AWS IoT SiteWise appareil photo en fonction du AWS IoT TwinMaker WorkspaceID pour activer la fonctionnalité de demande de téléchargement de vidéos. Consultez la rubrique Importer une vidéo depuis le périphérique. Vous pouvez utiliser la même paire clé-valeur pour limiter l'accès GET aux AWS IoT SiteWise ressources et pour baliser vos Kinesis Video Streams de la même manière.

Vous pouvez ensuite ajouter cette condition aux instructions kinesisvideo et iotsitewise dans : YourWorkspaceIdDashboardPolicy

"Condition": {
  "StringLike": {
    "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
  } 
}

Cas d'utilisation réel : regroupement de caméras

Dans ce scénario, vous disposez d'un large éventail de caméras qui surveillent le processus de cuisson des biscuits dans une usine. Des lots de pâte à biscuits sont préparés dans la salle de préparation, la pâte est congelée dans le congélateur et les biscuits sont cuits dans la salle de cuisson. Il y a des caméras dans chacune de ces salles et différentes équipes d'opérateurs surveillent séparément chaque processus. Vous souhaitez que chaque groupe d'opérateurs soit autorisé pour sa chambre respective. Lors de la création d'un jumeau numérique pour la fabrique de cookies, un seul espace de travail est utilisé, mais les autorisations de l'appareil photo doivent être définies par pièce.

Vous pouvez obtenir cette séparation des autorisations en étiquetant les groupes de caméras en fonction de leur GroupingID. Dans ce scénario, les identifiants de groupe sont BatterRoom, et FreezerRoom. BakingRoom La caméra de chaque pièce est connectée à Kinesis Video Streams et doit comporter une étiquette portant la mention : Key EdgeConnectorForKVS =, Value BatterRoom =. La valeur peut être une liste de groupes délimités par l'un des caractères suivants : . : + = @ _ / -

Pour modifier leYourWorkspaceIdDashboardPolicy, utilisez les déclarations de politique suivantes :

...,
{
  "Effect": "Allow",
  "Action": [
    "kinesisvideo:GetDataEndpoint",
    "kinesisvideo:GetHLSStreamingSessionURL"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
    } 
  }
},
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:GetAssetPropertyValue",
    "iotsitewise:GetInterpolatedAssetPropertyValues"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
    } 
  }
},
...

Ces instructions limitent la lecture de vidéos en streaming et l'accès à l'historique des AWS IoT SiteWise propriétés à des ressources spécifiques d'un groupe. Le groupingId est défini par votre cas d'utilisation. Dans notre scénario, il s'agirait du RoomID.

Réduisez la portée de AWS IoT SiteWise BatchPutAssetPropertyValue l'autorisation

L'octroi de cette autorisation active la fonctionnalité de demande de téléchargement de vidéos dans le lecteur vidéo. Lorsque vous téléchargez une vidéo, vous pouvez spécifier un intervalle de temps et soumettre la demande en choisissant Soumettre dans le panneau du tableau de bord de Grafana.

Pour accorder des BatchPutAssetPropertyValue autorisations à iotsitewise :, utilisez la politique par défaut : 

...,
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:BatchPutAssetPropertyValue"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
    } 
  }
},
...

En utilisant cette politique, les utilisateurs peuvent appeler BatchPutAssetPropertyValue pour n'importe quelle propriété de l'AWS IoT SiteWiseappareil photo. Vous pouvez restreindre l'autorisation pour un PropertyID spécifique en le spécifiant dans la condition de l'instruction.

{
  ...
  "Condition": {
    "StringEquals": {
      "iotsitewise:propertyId": "propertyId"
    } 
  }
  ...
}

Le panneau Video Player de Grafana ingère des données dans la propriété de mesure, nommée VideoUploadRequest, pour lancer le téléchargement de vidéos depuis le cache périphérique vers Kinesis Video Streams. Trouvez le PropertyID de cette propriété dans la AWS IoT SiteWise console. Pour modifier leYourWorkspaceIdDashboardPolicy, utilisez la déclaration de politique suivante : 

...,
{
  "Effect": "Allow",
  "Action": [
    "iotsitewise:BatchPutAssetPropertyValue"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
    },
    "StringEquals": {
      "iotsitewise:propertyId": "VideoUploadRequestPropertyId"
    }
  }
},
...

Cette déclaration limite l'ingestion de données à une propriété spécifique de votre AWS IoT SiteWise appareil photo étiqueté. Pour plus d'informations, consultez la section AWS IoT SiteWiseFonctionnement avec IAM.