Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS IoT TwinMaker Intégration au tableau de bord Grafana
AWS IoT TwinMaker prend en charge l'intégration de Grafana via un plugin d'application. Utilisez la version 10.4.0 et les versions ultérieures de Grafana pour interagir avec votre application de jumeau numérique. Le AWS IoT TwinMaker plugin fournit des panneaux personnalisés, des modèles de tableau de bord et une source de données pour se connecter à vos données de jumeaux numériques.
Pour plus d'informations sur la façon d'intégrer Grafana et de configurer les autorisations pour votre tableau de bord, consultez les rubriques suivantes :
**Topics**
+ [Configuration CORS pour le visualiseur de scènes Grafana](cors-configuration-grafana.md)
+ [Configuration de votre environnement Grafana](grafana-environment.md)
+ [Création d'un rôle IAM dans le tableau de bord](dashboard-IAM-role.md)
+ [Création d'une politique en matière de lecteur AWS IoT TwinMaker vidéo](tm-video-policy.md)
**Note**
Vous devez modifier la configuration CORS (partage de ressources entre origines) du compartiment Amazon S3 pour permettre à l'interface utilisateur de Grafana de charger les ressources depuis le compartiment. Pour obtenir des instructions, consultez [Configuration CORS pour le visualiseur de scènes Grafana](cors-configuration-grafana.md).
Pour plus d'informations sur le plugin AWS IoT TwinMaker Grafana, consultez la documentation de l'[AWS IoT TwinMaker application](https://grafana.com/grafana/plugins/grafana-iot-twinmaker-app/).
Pour plus d'informations sur les composants clés du plugin Grafana, consultez ce qui suit :
+ [AWS IoT TwinMaker datasource](https://github.com/grafana/grafana-iot-twinmaker-app/blob/main/src/datasource/README.md)
+ [Modèles de tableau de bord](https://github.com/grafana/grafana-iot-twinmaker-app/blob/main/src/datasource/dashboards/README.md)
+ [Panneau Scene Viewer](https://github.com/grafana/grafana-iot-twinmaker-app/blob/main/src/panels/scene-viewer/README.md)
+ [Panneau du lecteur vidéo](https://github.com/grafana/grafana-iot-twinmaker-app/blob/main/src/panels/video-player/README.md)
# Configuration CORS pour le visualiseur de scènes Grafana
Le plugin AWS IoT TwinMaker Grafana nécessite une configuration CORS (partage de ressources entre origines), qui permet à l'interface utilisateur de Grafana de charger des ressources depuis le compartiment Amazon S3. Sans la configuration CORS, vous recevrez un message d'erreur tel que « Le chargement de la scène 3D a échoué en raison d'une défaillance du réseau » sur le Scene Viewer, car le domaine Grafana ne peut pas accéder aux ressources du compartiment Amazon S3.
Pour configurer votre compartiment Amazon S3 avec CORS, procédez comme suit :
1. Connectez-vous à la console IAM et ouvrez la [console Amazon S3.](https://console.aws.amazon.com/s3/)
1. Dans la liste des **compartiments**, choisissez le nom du compartiment que vous utilisez comme compartiment de ressources de votre AWS IoT TwinMaker espace de travail.
1. Choisissez **Autorisations**.
1. Dans la **section Partage de ressources entre origines**, sélectionnez **Modifier** pour ouvrir l'éditeur CORS.
1. Dans la zone de texte de l'**éditeur de configuration CORS**, tapez ou copiez-collez la configuration JSON CORS suivante en remplaçant le domaine de l'espace de travail Grafana par votre domaine`GRAFANA-WORKSPACE-DOMAIN`.
**Note**
Vous devez conserver l'astérisque `*` au début de l'élément `"AllowedOrigins":` JSON.
```
[
{
"AllowedHeaders": [
"*"
],
"AllowedMethods": [
"GET",
"PUT",
"POST",
"DELETE",
"HEAD"
],
"AllowedOrigins": [
"*GRAFANA-WORKSPACE-DOMAIN"
],
"ExposeHeaders": [
"ETag"
]
}
]
```
1. Sélectionnez **Enregistrer les modifications** pour terminer la configuration CORS.
Pour plus d'informations sur le CORS avec les compartiments Amazon S3, consultez [Utilisation du partage de ressources entre origines (](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cors.html)CORS).
# Configuration de votre environnement Grafana
Vous pouvez utiliser Amazon Managed Grafana pour un service entièrement géré ou configurer un environnement Grafana que vous gérez vous-même. Avec Amazon Managed Grafana, vous pouvez rapidement déployer, exploiter et adapter Grafana open source à vos besoins. Vous pouvez également configurer votre propre infrastructure pour gérer les serveurs Grafana.
Pour plus d'informations sur les deux options d'environnement Grafana, consultez les rubriques suivantes :
+ [Amazon Managed Grafana](amazon-managed-grafana.md)
+ [Grafana autogéré](self-managed-grafana.md)
# Amazon Managed Grafana
Amazon Managed Grafana fournit un AWS IoT TwinMaker plugin qui vous permet de vous intégrer rapidement à AWS IoT TwinMaker Grafana. Comme Amazon Managed Grafana gère les serveurs Grafana pour vous, vous pouvez visualiser vos données sans avoir à créer, empaqueter ou déployer du matériel ou toute autre infrastructure Grafana. Pour plus d'informations sur Amazon Managed Grafana, consultez [Qu'est-ce qu'Amazon Managed Grafana](https://docs.aws.amazon.com//grafana/latest/userguide/what-is-Amazon-Managed-Service-Grafana.html) ? .
**Note**
Amazon Managed Grafana prend actuellement en charge la version **1.3.1 du plugin** AWS IoT TwinMaker Grafana.
## Conditions préalables requises pour Amazon Managed Grafana
Pour l'utiliser AWS IoT TwinMaker dans un tableau de bord Amazon Managed Grafana, remplissez d'abord les conditions préalables suivantes :
+ Créez un AWS IoT TwinMaker espace de travail. Pour plus d'informations sur la création d'espaces de travail, consultez [Getting started with AWS IoT TwinMaker](https://docs.aws.amazon.com/iot-twinmaker/latest/guide/twinmaker-gs.html).
**Note**
Lorsque vous créez un espace de travail Amazon Managed Grafana pour la première fois dans la console de AWS gestion, il AWS IoT TwinMaker n'est pas répertorié. Cependant, le plugin est déjà installé sur tous les espaces de travail. Vous pouvez trouver le AWS IoT TwinMaker plugin dans la liste des plugins open source Grafana. Vous pouvez trouver la AWS IoT TwinMaker source de données en choisissant **Ajouter une source de données sur la page** Sources de données.
Lorsque vous créez un espace de travail Amazon Managed Grafana, un rôle IAM est créé automatiquement pour gérer les autorisations pour l'instance Grafana. C'est ce que l'on appelle le **rôle Workspace IAM**. Il s'agit de l'option du fournisseur d'authentification que vous utiliserez pour configurer toutes les AWS IoT TwinMaker sources de données pour Grafana. Amazon Managed Grafana ne prend pas en charge l'ajout automatique d'autorisations pour AWS IoT TwinMaker. Vous devez donc configurer ces autorisations manuellement. Pour plus d'informations sur la configuration des autorisations manuelles, consultez[Création d'un rôle IAM dans le tableau de bord](dashboard-IAM-role.md).
# Grafana autogéré
Vous pouvez choisir d'héberger votre propre infrastructure pour exécuter Grafana. Pour plus d'informations sur l'exécution locale de Grafana sur votre machine, consultez Installer [Grafana](https://grafana.com/docs/grafana/latest/installation/). Le AWS IoT TwinMaker plugin est disponible sur le catalogue public de Grafana. [Pour plus d'informations sur l'installation de ce plugin dans votre environnement Grafana, consultez AWS IoT TwinMaker App.](https://grafana.com/grafana/plugins/grafana-iot-twinmaker-app/?tab=installation)
Lorsque vous exécutez Grafana localement, vous ne pouvez pas facilement partager des tableaux de bord ou donner accès à plusieurs utilisateurs. [Pour un guide de démarrage rapide écrit sur le partage de tableaux de bord à l'aide de Grafana local, consultez le référentiel d'exemples.AWS IoT TwinMaker](https://github.com/aws-samples/aws-iot-twinmaker-samples) Cette ressource explique comment héberger un environnement Grafana sur Cloud9 et Amazon EC2 sur un point de terminaison public.
Vous devez déterminer le fournisseur d'authentification que vous utiliserez pour configurer les TwinMaker sources de données. Vous configurez les informations d'identification pour l'environnement en fonction de la chaîne d'informations d'identification par défaut (voir [Utilisation de la chaîne de fournisseurs d'informations d'identification par défaut](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html#credentials-default)). Les informations d'identification par défaut peuvent être les informations d'identification permanentes de n'importe quel utilisateur ou rôle. Par exemple, si vous exécutez Grafana sur Amazon EC2, la chaîne d'informations d'identification par défaut a accès au rôle d'[exécution Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html), qui sera alors votre fournisseur d'authentification. Le nom de ressource IAM Amazon (ARN) du fournisseur d'authentification est requis dans les étapes de[Création d'un rôle IAM dans le tableau de bord](dashboard-IAM-role.md).
# Création d'un rôle IAM dans le tableau de bord
Avec AWS IoT TwinMaker, vous pouvez contrôler l'accès aux données sur vos tableaux de bord Grafana. Les utilisateurs du tableau de bord Grafana doivent disposer de champs d'autorisation différents pour afficher les données et, dans certains cas, pour écrire des données. Par exemple, un opérateur d'alarme peut ne pas être autorisé à visionner des vidéos, tandis qu'un administrateur est autorisé à accéder à toutes les ressources. Grafana définit les autorisations via des sources de données, où des informations d'identification et un rôle IAM sont fournis. La AWS IoT TwinMaker source de données récupère les AWS informations d'identification avec les autorisations pour ce rôle. Si aucun rôle IAM n'est fourni, Grafana utilise l'étendue des informations d'identification, qui ne peut pas être réduite. AWS IoT TwinMaker
Pour utiliser vos AWS IoT TwinMaker tableaux de bord dans Grafana, vous devez créer un rôle IAM et y associer des politiques. Vous pouvez utiliser les modèles suivants pour vous aider à créer ces politiques.
## Créer une politique IAM
Créez une politique IAM appelée `YourWorkspaceIdDashboardPolicy` dans la console IAM. Cette politique permet à vos espaces de travail d'accéder au compartiment et aux AWS IoT TwinMaker ressources Amazon S3. Vous pouvez également décider d'utiliser [AWS IoT Greengrass Edge Connector pour Amazon Kinesis Video](https://docs.aws.amazon.com//iot-twinmaker/latest/guide/video-integration.html) Streams, qui nécessite des autorisations pour les Kinesis Video Streams AWS IoT SiteWise et les ressources configurées pour le composant. En fonction de votre cas d'utilisation, choisissez l'un des modèles de politique suivants.
**1. Aucune politique d'autorisation pour les vidéos**
Si vous ne souhaitez pas utiliser le [panneau Grafana Video Player](https://github.com/grafana/grafana-iot-twinmaker-app/blob/main/src/panels/video-player/README.md), créez la politique à l'aide du modèle suivant.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Effect": "Allow",
"Action": [
"iottwinmaker:Get*",
"iottwinmaker:List*"
],
"Resource": [
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId",
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId/*"
]
},
{
"Effect": "Allow",
"Action": "iottwinmaker:ListWorkspaces",
"Resource": "*"
}
]
}
```
Un compartiment Amazon S3 est créé pour chaque espace de travail. Il contient les modèles 3D et les scènes à visualiser sur un tableau de bord. Le [SceneViewer](https://github.com/grafana/grafana-iot-twinmaker-app/blob/main/src/panels/scene-viewer/README.md)panneau charge les éléments de ce compartiment.
**2. Politique d'autorisation des vidéos limitée**
Pour limiter l'accès au panneau du lecteur vidéo de Grafana, regroupez vos ressources AWS IoT Greengrass Edge Connector pour Amazon Kinesis Video Streams par balises. Pour plus d'informations sur la définition des autorisations associées à vos ressources vidéo, consultez[Création d'une politique en matière de lecteur AWS IoT TwinMaker vidéo](tm-video-policy.md).
**3. Toutes les autorisations relatives aux vidéos**
Si vous ne souhaitez pas regrouper vos vidéos, vous pouvez les rendre toutes accessibles depuis le lecteur vidéo Grafana. Toute personne ayant accès à un espace de travail Grafana peut lire des vidéos pour n'importe quel flux de votre compte et avoir accès en lecture seule à n'importe quelle AWS IoT SiteWise ressource. Cela inclut toutes les ressources créées dans le futur.
Créez la politique à l'aide du modèle suivant :
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketName/*",
"arn:aws:s3:::bucketName"
]
},
{
"Effect": "Allow",
"Action": [
"iottwinmaker:Get*",
"iottwinmaker:List*"
],
"Resource": [
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId",
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId/*"
]
},
{
"Effect": "Allow",
"Action": "iottwinmaker:ListWorkspaces",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:GetHLSStreamingSessionURL"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetInterpolatedAssetPropertyValues"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchPutAssetPropertyValue"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
}
}
}
]
}
```
Ce modèle de politique fournit les autorisations suivantes :
+ Accès en lecture seule à un compartiment S3 pour charger une scène.
+ Accès en lecture seule à toutes AWS IoT TwinMaker les entités et composants d'un espace de travail.
+ Accès en lecture seule pour diffuser toutes les vidéos Kinesis Video Streams sur votre compte.
+ Accès en lecture seule à l'historique des valeurs immobilières de tous les AWS IoT SiteWise actifs de votre compte.
+ Ingestion de données dans n'importe quelle propriété d'un AWS IoT SiteWise actif étiqueté avec la clé `EdgeConnectorForKVS` et la valeur`workspaceId`.
## Marquer le contenu de votre caméra, AWS IoT SiteWise demander le téléchargement d'une vidéo depuis Edge
À l'aide du lecteur vidéo de Grafana, les utilisateurs peuvent demander manuellement que la vidéo soit téléchargée depuis le cache périphérique vers Kinesis Video Streams. Vous pouvez activer cette fonctionnalité pour toute AWS IoT SiteWise ressource associée à votre connecteur AWS IoT Greengrass Edge pour Amazon Kinesis Video Streams et associée à la `EdgeConnectorForKVS` clé.
La valeur de la balise peut être une liste d'identifiants de travail délimités par l'un des caractères suivants :. `. : + = @ _ / -` Par exemple, si vous souhaitez utiliser une AWS IoT SiteWise ressource associée à un connecteur AWS IoT Greengrass Edge pour Amazon Kinesis Video Streams AWS IoT TwinMaker dans les espaces de travail, vous pouvez utiliser une balise suivant ce modèle :. `WorkspaceA/WorkspaceB/WorkspaceC` Le plugin Grafana impose que le AWS IoT TwinMaker WorkspaceID soit utilisé pour regrouper l'ingestion de données d'actifs. AWS IoT SiteWise
## Ajoutez des autorisations supplémentaires à la politique de votre tableau de bord
Le plugin AWS IoT TwinMaker Grafana utilise votre fournisseur d'authentification pour faire appel au rôle de tableau de AssumeRole bord que vous créez. En interne, le plugin restreint le plus grand nombre d'autorisations auxquelles vous avez accès en utilisant une politique de session lors de l' AssumeRole appel. Pour plus d'informations sur les politiques de session, consultez la section [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).
Voici la politique permissive maximale que vous pouvez appliquer à votre rôle de tableau de bord pour un AWS IoT TwinMaker espace de travail :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketName/*",
"arn:aws:s3:::bucketName"
]
},
{
"Effect": "Allow",
"Action": [
"iottwinmaker:Get*",
"iottwinmaker:List*"
],
"Resource": [
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId",
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId/*"
]
},
{
"Effect": "Allow",
"Action": "iottwinmaker:ListWorkspaces",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:GetHLSStreamingSessionURL"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetInterpolatedAssetPropertyValues"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchPutAssetPropertyValue"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
}
}
}
]
}
```
------
Si vous ajoutez des instructions qui `Allow` augmentent les autorisations, elles ne fonctionneront pas sur le AWS IoT TwinMaker plugin. Ceci est conçu pour garantir que les autorisations minimales nécessaires sont utilisées par le plugin.
Cependant, vous pouvez réduire davantage les autorisations. Pour plus d'informations, consultez [Création d'une politique en matière de lecteur AWS IoT TwinMaker vidéo](tm-video-policy.md).
## Création du rôle IAM du tableau de bord Grafana
Dans la console IAM, créez un rôle IAM appelé. `YourWorkspaceIdDashboardRole` Attachez-le `YourWorkspaceIdDashboardPolicy` au rôle.
Pour modifier la politique de confiance du rôle de tableau de bord, vous devez autoriser le fournisseur d'authentification Grafana à faire appel au rôle de tableau de `AssumeRole` bord. Mettez à jour la politique de confiance avec le modèle suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "ARN of Grafana authentication provider"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Pour plus d'informations sur la création d'un environnement Grafana et la recherche de votre fournisseur d'authentification, consultez. [Configuration de votre environnement Grafana](grafana-environment.md)
# Création d'une politique en matière de lecteur AWS IoT TwinMaker vidéo
Voici un modèle de politique avec toutes les autorisations vidéo dont vous avez besoin pour le AWS IoT TwinMaker plugin de Grafana :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Effect": "Allow",
"Action": [
"iottwinmaker:Get*",
"iottwinmaker:List*"
],
"Resource": [
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId",
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId/*"
]
},
{
"Effect": "Allow",
"Action": "iottwinmaker:ListWorkspaces",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:GetHLSStreamingSessionURL"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetInterpolatedAssetPropertyValues"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchPutAssetPropertyValue"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
}
}
}
]
}
```
------
Pour plus d'informations sur la politique complète, consultez le modèle de politique d'**autorisation pour toutes les vidéos** dans la [Créer une politique IAM](dashboard-IAM-role.md#IAM-policy) rubrique.
## Limitez l'accès à vos ressources
Le panneau Video Player de Grafana fait directement appel à Kinesis Video Streams et à l'IoT SiteWise pour offrir une expérience de lecture vidéo complète. Pour éviter tout accès non autorisé à des ressources qui ne sont pas associées à votre AWS IoT TwinMaker espace de travail, ajoutez des conditions à la politique IAM pour votre rôle de tableau de bord d'espace de travail.
## Limitez la portée des autorisations GET
Vous pouvez limiter l'accès à vos Amazon Kinesis Video Streams AWS IoT SiteWise et à vos ressources en balisant les ressources. Vous avez peut-être déjà tagué votre AWS IoT SiteWise appareil photo en fonction du AWS IoT TwinMaker WorkspaceID pour activer la fonctionnalité de demande de téléchargement de vidéos. Consultez la rubrique [Importer une vidéo depuis le périphérique](https://docs.aws.amazon.com//iot-twinmaker/latest/guide/dashboard-IAM-role.html#tagging-camera-assets). Vous pouvez utiliser la même paire clé-valeur pour limiter l'accès GET aux AWS IoT SiteWise ressources et pour baliser vos Kinesis Video Streams de la même manière.
Vous pouvez ensuite ajouter cette condition aux instructions kinesisvideo et iotsitewise dans : `YourWorkspaceIdDashboardPolicy`
```
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
}
}
```
### Cas d'utilisation réel : regroupement de caméras
Dans ce scénario, vous disposez d'un large éventail de caméras qui surveillent le processus de cuisson des biscuits dans une usine. Des lots de pâte à biscuits sont préparés dans la salle de préparation, la pâte est congelée dans le congélateur et les biscuits sont cuits dans la salle de cuisson. Il y a des caméras dans chacune de ces salles et différentes équipes d'opérateurs surveillent séparément chaque processus. Vous souhaitez que chaque groupe d'opérateurs soit autorisé pour sa chambre respective. Lors de la création d'un jumeau numérique pour la fabrique de cookies, un seul espace de travail est utilisé, mais les autorisations de l'appareil photo doivent être définies par pièce.
Vous pouvez obtenir cette séparation des autorisations en étiquetant les groupes de caméras en fonction de leur GroupingID. Dans ce scénario, les identifiants de groupe sont BatterRoom, et FreezerRoom. BakingRoom La caméra de chaque pièce est connectée à Kinesis Video Streams et doit comporter une étiquette portant la mention : Key `EdgeConnectorForKVS` =, Value `BatterRoom` =. La valeur peut être une liste de groupes délimités par l'un des caractères suivants : `. : + = @ _ / -`
Pour modifier le`YourWorkspaceIdDashboardPolicy`, utilisez les déclarations de politique suivantes :
```
...,
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:GetHLSStreamingSessionURL"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
}
}
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetInterpolatedAssetPropertyValues"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*groupingId*"
}
}
},
...
```
Ces instructions limitent la lecture de vidéos en streaming et l'accès à l'historique des AWS IoT SiteWise propriétés à des ressources spécifiques d'un groupe. Le `groupingId` est défini par votre cas d'utilisation. Dans notre scénario, il s'agirait du RoomID.
## Réduisez la portée de AWS IoT SiteWise BatchPutAssetPropertyValue l'autorisation
L'octroi de cette autorisation active la [fonctionnalité de demande de téléchargement de vidéos dans le lecteur vidéo](https://docs.aws.amazon.com//iot-twinmaker/latest/guide/dashboard-IAM-role.html#tagging-camera-assets). Lorsque vous téléchargez une vidéo, vous pouvez spécifier un intervalle de temps et soumettre la demande en choisissant **Soumettre** dans le panneau du tableau de bord de Grafana.
Pour accorder des BatchPutAssetPropertyValue autorisations à iotsitewise :, utilisez la politique par défaut :
```
...,
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchPutAssetPropertyValue"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
}
}
},
...
```
En utilisant cette politique, les utilisateurs peuvent appeler BatchPutAssetPropertyValue pour n'importe quelle propriété de l' AWS IoT SiteWise appareil photo. Vous pouvez restreindre l'autorisation pour un PropertyID spécifique en le spécifiant dans la condition de l'instruction.
```
{
...
"Condition": {
"StringEquals": {
"iotsitewise:propertyId": "propertyId"
}
}
...
}
```
Le panneau Video Player de Grafana ingère des données dans la propriété de mesure, nommée VideoUploadRequest, pour lancer le téléchargement de vidéos depuis le cache périphérique vers Kinesis Video Streams. Trouvez le PropertyID de cette propriété dans la AWS IoT SiteWise console. Pour modifier le`YourWorkspaceIdDashboardPolicy`, utilisez la déclaration de politique suivante :
```
...,
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchPutAssetPropertyValue"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
},
"StringEquals": {
"iotsitewise:propertyId": "VideoUploadRequestPropertyId"
}
}
},
...
```
Cette déclaration limite l'ingestion de données à une propriété spécifique de votre AWS IoT SiteWise appareil photo étiqueté. Pour plus d'informations, consultez la section [AWS IoT SiteWise Fonctionnement avec IAM](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/security_iam_service-with-iam.html).