다음을 통한 액세스 제어 AWS IoT FleetWise

다음 섹션에서는 사용자 데이터에 대한 액세스 및 사용자 액세스를 제어하는 방법을 다룹니다. AWS IoT FleetWise 있습니다. 여기에서 다루는 정보에는 애플리케이션에 액세스 권한을 부여하는 방법이 포함됩니다. AWS IoT는 캠페인 중에 차량 데이터를 전송할 FleetWise 수 있습니다. 또한 권한 부여 방법도 설명합니다. AWS IoT FleetWise Amazon S3 (S3) 버킷 또는 Amazon Timestream 데이터베이스 및 테이블에 액세스하여 데이터를 저장합니다.

이러한 모든 형태의 액세스를 관리하는 기술은 다음과 같습니다. AWS Identity and Access Management (IAM). 에 대한 IAM 자세한 내용은 무엇입니까IAM? 를 참조하십시오. .

권한 부여 AWS IoT FleetWise Amazon S3 대상에 대한 액세스

Amazon S3 대상을 사용하는 경우 AWS IoT FleetWise 차량 데이터를 S3 버킷으로 전송하며 선택적으로 다음을 사용할 수 있습니다. AWS KMS 데이터 암호화를 위해 소유하고 있는 키. 오류 로깅이 활성화된 경우 AWS IoT FleetWise 또한 CloudWatch 로그 그룹 및 스트림에 데이터 전송 오류를 전송합니다. 전송 스트림을 생성할 때는 IAM 역할이 있어야 합니다.

AWS IoT FleetWise S3 대상의 서비스 보안 주체와 함께 버킷 정책을 사용합니다. 버킷 정책 추가에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.

다음 액세스 정책을 사용하여 활성화하십시오. AWS IoT FleetWise S3 버킷에 액세스하려면 S3 버킷을 소유하지 않은 경우 Amazon S3 작업 목록에 s3:PutObjectAcl을 추가합니다. 이렇게 하면 버킷 소유자에게 에서 제공한 객체에 대한 전체 액세스 권한이 부여됩니다. AWS IoT FleetWise. 버킷의 객체에 대한 액세스를 보호하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 버킷 정책 예제를 참조하십시오.

특정 캠페인의 버킷 정책

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "iotfleetwise.amazonaws.com"
        ]
      },
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::bucket-name"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "iotfleetwise.amazonaws.com"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::bucket-name/*",
      "Condition": {
        "StringEquals": {
          "aws:SourceArn": "campaign-arn",
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

모든 캠페인의 버킷 정책

다음 버킷 정책은 한 계정의 모든 캠페인에 적용됩니다. AWS 리전.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "iotfleetwise.amazonaws.com"
        ]
      },
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": "arn:aws:s3:::bucket-name"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "iotfleetwise.amazonaws.com"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::bucket-name/*",
      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:iotfleetwise:region:account-id:campaign/*",
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

S3 버킷에 연결된 KMS 키가 있는 경우 키에는 다음 정책이 필요합니다. 키 관리에 대한 자세한 내용은 서버 측 암호화를 사용한 데이터 보호를 참조하십시오. AWS Key Management ServiceAmazon 심플 스토리지 서비스 사용 설명서의 key (SSE-KMS)

키 정책

{
  "Version": "2012-10-17",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt"
   ],
  "Resource": "key-arn"
}

중요

버킷을 생성하면 S3는 기본 액세스 제어 목록 (ACL) 을 생성하여 리소스 소유자에게 리소스에 대한 모든 제어 권한을 부여합니다. If AWS IoT는 S3에 데이터를 전송할 FleetWise 수 없습니다. S3 ACL 버킷에서 비활성화해야 합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 모든 새 버킷 비활성화 ACLs 및 객체 소유권 적용을 참조하십시오.

권한 부여 AWS IoT FleetWise Amazon Timestream 목적지에 대한 액세스

타임스트림 목적지를 사용하는 경우 AWS IoT FleetWise 차량 데이터를 타임스트림 테이블에 전달합니다. 허용하려면 정책을 IAM 역할에 연결해야 합니다. AWS IoT FleetWise Timestream에 데이터를 전송하기 위해서입니다.

콘솔을 사용하여 캠페인을 만드는 경우 AWS IoT는 필요한 정책을 역할에 FleetWise 자동으로 연결합니다.

시작하기 전에 다음 사항에 유의하세요.

중요

• 동일한 방법을 사용해야 합니다. AWS 타임스트림 리소스를 생성할 때의 지역 AWS IoT FleetWise. 전환하는 경우 AWS 지역, Timestream 리소스에 액세스하는 데 문제가 있을 수 있습니다.

• AWS FleetWise IoT는 미국 동부 (버지니아 북부) 와 유럽 (프랑크푸르트) 에서 사용할 수 있습니다.

• 지원되는 지역 목록은 Timestream 엔드포인트 및 할당량을 참조하십시오. AWS 일반 참조.

• Timestream 데이터베이스가 있어야 합니다. 튜토리알의 경우, Amazon Timestream 개발자 안내서의 데이터베이스 생성을 참조하세요.

• 지정된 Timestream 데이터베이스에 테이블을 생성해야 합니다. 튜토리알의 경우, Amazon Timestream 개발자 가이드의 테이블 생성을 참조하세요.

다음을 사용할 수 있습니다. AWS CLI Timestream에 대한 신뢰 정책이 포함된 IAM 역할을 만들려면 IAM역할을 만들려면 다음 명령을 실행합니다.

신뢰 정책을 사용하여 IAM 역할을 만들려면

• Replace TimestreamExecutionRole 만들고 있는 역할의 이름을 사용하세요.

• Replace trust-policy 신뢰 정책이 포함된 JSON 파일과 함께.

aws iam create-role --role-name TimestreamExecutionRole --assume-role-policy-document file://trust-policy.json

신뢰 정책

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "timestreamTrustPolicy",
      "Effect": "Allow",
      "Principal": {
        "Service": "iotfleetwise.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
           "aws:SourceArn": [
            "arn:aws:iotfleetwise:region:account-id:campaign/campaign-name"
           ],
           "aws:SourceAccount": [
            "account-id"
          ]
        }
      }
    }
  ]
}

부여할 권한 정책을 생성하세요. AWS 타임스트림에 데이터를 쓸 수 있는 IoT FleetWise 권한 서비스 역할 권한이 있는 정책을 만들려면 다음 명령을 실행합니다.

권한 정책 생성을 생성하려는 경우

• Replace AWSIoTFleetwiseAccessTimestreamPermissionsPolicy 생성 중인 정책의 이름을 사용하세요.

• Replace permissions-policy 권한 정책이 포함된 JSON 파일 이름과 함께

aws iam create-policy --policy-name AWSIoTFleetwiseAccessTimestreamPermissionsPolicy --policy-document file://permissions-policy.json

권한 정책

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "timestreamIngestion",
      "Effect": "Allow",
      "Action": [
        "timestream:WriteRecords",
        "timestream:Select",
        "timestream:DescribeTable"
      ],
      "Resource": "table-arn"
    },
    {
      "Sid": "timestreamDescribeEndpoint",
      "Effect": "Allow",
      "Action": [
        "timestream:DescribeEndpoints"
      ],
      "Resource": "*"
    }
  ]
}

권한 정책을 IAM 역할에 연결하려면

1. 출력에서 권한 정책의 Amazon 리소스 이름 (ARN) 을 복사합니다.

2. IAM권한 정책을 IAM 역할에 연결하려면 다음 명령을 실행합니다.

   • Replace permissions-policy-arn 이전 단계에서 복사한 ARN 것과 함께

   • Replace TimestreamExecutionRole 생성한 IAM 역할의 이름과 함께

   aws iam attach-role-policy --policy-arn permissions-policy-arn --role-name TimestreamExecutionRole

자세한 내용은 액세스 관리를 참조하십시오. AWSIAM사용 설명서의 리소스.