Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo dell'accesso con AWS IoT FleetWise
Le seguenti sezioni spiegano come controllare l'accesso da e verso le AWS IoT FleetWise risorse. Le informazioni fornite includono come concedere l'accesso alle applicazioni in modo che l' AWS IoT FleetWise possa trasferire i dati dei veicoli durante le campagne. Descrivono inoltre come concedere AWS IoT FleetWise l'accesso al bucket Amazon S3 (S3) o al database e alla tabella Amazon Timestream per archiviare i dati.
La tecnologia per gestire tutte queste forme di accesso è (IAM). AWS Identity and Access Management Per ulteriori informazioni su IAM, consulta Che cos'è IAM?.
Indice
Concedi AWS IoT FleetWise l'accesso a una destinazione Amazon S3
Quando utilizzi una destinazione Amazon S3, AWS IoT FleetWise invia i dati del veicolo al tuo bucket S3 e, facoltativamente, puoi utilizzare una AWS KMS chiave di tua proprietà per la crittografia dei dati. Se la registrazione degli errori è abilitata, invia AWS IoT FleetWise anche gli errori di consegna dei dati al gruppo di log e ai CloudWatch flussi. È necessario disporre di un ruolo IAM durante la creazione di un flusso di distribuzione.
AWS IoT FleetWise utilizza una policy bucket con il responsabile del servizio per la destinazione S3. Per ulteriori informazioni sull'aggiunta di policy bucket, consulta Aggiungere una policy bucket utilizzando la console Amazon S3 nella Amazon Simple Storage Service User Guide.
Utilizza la seguente politica di accesso per abilitare l'accesso al tuo AWS IoT FleetWise bucket S3. Se non sei proprietario del bucket S3, aggiungi s3:PutObjectAcl all'elenco delle operazioni Amazon S3. Ciò garantisce al proprietario del bucket l'accesso completo agli oggetti forniti da. AWS IoT FleetWise Per ulteriori informazioni su come proteggere l'accesso agli oggetti nei bucket, consulta gli esempi di policy Bucket nella Amazon Simple Storage Service User Guide.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::bucket-name" }, { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::bucket-name/*", "Condition": { "StringEquals": { "aws:SourceArn": "campaign-arn", "aws:SourceAccount": "account-id" } } } ] }
La seguente politica sui bucket si applica a tutte le campagne di un account in una AWS regione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::bucket-name" }, { "Effect": "Allow", "Principal": { "Service": [ "iotfleetwise.amazonaws.com" ] }, "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::bucket-name/*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:iotfleetwise:region:account-id:campaign/*", "aws:SourceAccount": "account-id" } } } ] }
Se hai una chiave KMS collegata al tuo bucket S3, la chiave richiederà la seguente politica. Per informazioni sulla gestione delle chiavi, consulta Protezione dei dati utilizzando la crittografia lato server con AWS Key Management Service chiavi (SSE-KMS) nella Guida per l'utente di Amazon Simple Storage Service.
{ "Version": "2012-10-17", "Effect": "Allow", "Principal": { "Service": "iotfleetwise.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "key-arn" }
Importante
Quando crei un bucket, S3 crea una lista di controllo degli accessi (ACL) predefinita che garantisce al proprietario della risorsa il pieno controllo sulla risorsa. Se l' AWS IoT non è in FleetWise grado di fornire dati a S3, assicurati di disabilitare l'ACL sul bucket S3. Per ulteriori informazioni, consulta Disabilitazione degli ACL per tutti i nuovi bucket e applicazione della proprietà degli oggetti nella Guida per l'utente di Amazon Simple Storage Service.
Concedi AWS IoT FleetWise l'accesso a una destinazione Amazon Timestream
Quando utilizzi una destinazione Timestream, AWS IoT FleetWise invia i dati del veicolo a una tabella Timestream. È necessario collegare le policy al ruolo IAM per consentire l'invio di dati AWS IoT FleetWise a Timestream.
Se utilizzi la console per creare una campagna, l' AWS IoT FleetWise associa automaticamente la policy richiesta al ruolo.
Prima di iniziare, controlla quanto segue:
Importante
-
È necessario utilizzare la stessa AWS regione quando si creano risorse Timestream per IoT AWS . FleetWise Se cambi AWS regione, potresti avere problemi ad accedere alle risorse Timestream.
-
AWS FleetWise L'IoT è disponibile negli Stati Uniti orientali (Virginia settentrionale) e in Europa (Francoforte).
-
Per l'elenco delle regioni supportate, consulta gli endpoint e le quote di Timestream in. Riferimenti generali di AWS
-
È necessario disporre di un database Timestream. Per un tutorial, consulta Creare un database nella Amazon Timestream Developer Guide.
-
Devi avere una tabella creata nel database Timestream specificato. Per un tutorial, consulta Creare una tabella nella Amazon Timestream Developer Guide.
Puoi usare il AWS CLI per creare un ruolo IAM con una policy di fiducia per Timestream. Per creare un ruolo IAM, esegui il comando seguente.
Per creare un ruolo IAM con una policy di fiducia
-
Sostituiscilo
TimestreamExecutionRolecon il nome del ruolo che stai creando. -
Sostituisci
trust-policycon il file JSON che contiene la policy di fiducia.
aws iam create-role --role-nameTimestreamExecutionRole--assume-role-policy-document file://trust-policy.json
{ "Version": "2012-10-17", "Statement": [ { "Sid": "timestreamTrustPolicy", "Effect": "Allow", "Principal": { "Service": "iotfleetwise.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceArn": [ "arn:aws:iotfleetwise:region:account-id:campaign/campaign-name" ], "aws:SourceAccount": [ "account-id" ] } } } ] }
Crea una politica di autorizzazioni per concedere all' AWS IoT FleetWise le autorizzazioni per scrivere dati in Timestream. Per creare una politica di autorizzazioni, esegui il comando seguente.
Per creare una politica di autorizzazioni
-
Sostituiscila
AWSIoTFleetwiseAccessTimestreamPermissionsPolicycon il nome della politica che stai creando. -
Sostituisci
permissions-policycon il nome del file JSON che contiene la politica di autorizzazione.
aws iam create-policy --policy-nameAWSIoTFleetwiseAccessTimestreamPermissionsPolicy--policy-document file://permissions-policy.json
{ "Version": "2012-10-17", "Statement": [ { "Sid": "timestreamIngestion", "Effect": "Allow", "Action": [ "timestream:WriteRecords", "timestream:Select", "timestream:DescribeTable" ], "Resource": "table-arn" }, { "Sid": "timestreamDescribeEndpoint", "Effect": "Allow", "Action": [ "timestream:DescribeEndpoints" ], "Resource": "*" } ] }
Per allegare la politica delle autorizzazioni al tuo ruolo IAM
-
Dall'output, copia l'Amazon Resource Name (ARN) della politica delle autorizzazioni.
-
Per collegare la policy di autorizzazione IAM al tuo ruolo IAM, esegui il comando seguente.
-
Sostituisci
permissions-policy-arncon l'ARN che hai copiato nel passaggio precedente. -
Sostituiscilo
TimestreamExecutionRolecon il nome del ruolo IAM che hai creato.
aws iam attach-role-policy --policy-arnpermissions-policy-arn--role-nameTimestreamExecutionRole -
Per ulteriori informazioni, consulta la sezione Gestione degli accessi alle AWS risorse nella Guida per l'utente IAM.
