Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuat peran IAM dasbor
Dengan AWS IoT TwinMaker, Anda dapat mengontrol akses data di dasbor Grafana Anda. Pengguna dasbor Grafana harus memiliki cakupan izin yang berbeda untuk melihat data, dan dalam beberapa kasus, menulis data. Misalnya, operator alarm mungkin tidak memiliki izin untuk melihat video, sementara admin memiliki izin untuk semua sumber daya. Grafana mendefinisikan izin melalui sumber data, di mana kredensil dan peran IAM disediakan. Sumber AWS IoT TwinMaker data mengambil AWS kredensil dengan izin untuk peran itu. Jika peran IAM tidak disediakan, Grafana menggunakan cakupan kredensialnya, yang tidak dapat dikurangi dengan. AWS IoT TwinMaker
Untuk menggunakan AWS IoT TwinMaker dasbor di Grafana, Anda membuat peran IAM dan melampirkan kebijakan. Anda dapat menggunakan templat berikut untuk membantu Anda membuat kebijakan ini.
## Buat kebijakan IAM
Buat kebijakan IAM yang disebut `YourWorkspaceIdDashboardPolicy` di Konsol IAM. Kebijakan ini memberi ruang kerja Anda akses ke bucket AWS IoT TwinMaker dan sumber daya Amazon S3. Anda juga dapat memutuskan untuk menggunakan [AWS IoT Greengrass Edge Connector untuk Amazon Kinesis Video](https://docs.aws.amazon.com//iot-twinmaker/latest/guide/video-integration.html) Streams, yang memerlukan izin untuk Kinesis AWS IoT SiteWise Video Streams dan aset yang dikonfigurasi untuk komponen. Agar sesuai dengan kasus penggunaan Anda, pilih salah satu templat kebijakan berikut.
**1. Tidak ada kebijakan izin video**
Jika Anda tidak ingin menggunakan [panel Pemutar Video](https://github.com/grafana/grafana-iot-twinmaker-app/blob/main/src/panels/video-player/README.md) Grafana, buat kebijakan menggunakan templat berikut.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Effect": "Allow",
"Action": [
"iottwinmaker:Get*",
"iottwinmaker:List*"
],
"Resource": [
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId",
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId/*"
]
},
{
"Effect": "Allow",
"Action": "iottwinmaker:ListWorkspaces",
"Resource": "*"
}
]
}
```
Bucket Amazon S3 dibuat untuk setiap ruang kerja. Ini berisi model 3D dan adegan untuk dilihat di dasbor. [SceneViewer](https://github.com/grafana/grafana-iot-twinmaker-app/blob/main/src/panels/scene-viewer/README.md)Panel memuat item dari ember ini.
**2. Kebijakan izin video yang dicakup**
Untuk membatasi akses pada panel Pemutar Video di Grafana, kelompokkan sumber daya Konektor AWS IoT Greengrass Edge Anda untuk Amazon Kinesis Video Streams berdasarkan tag. Untuk informasi selengkapnya tentang melingkupi izin untuk sumber daya video Anda, lihat. [Membuat kebijakan pemutar AWS IoT TwinMaker video](tm-video-policy.md)
**3. Semua izin video**
Jika Anda tidak ingin mengelompokkan video Anda, Anda dapat membuat semuanya dapat diakses dari Pemutar Video Grafana. Siapa pun yang memiliki akses ke ruang kerja Grafana dapat memutar video untuk streaming apa pun di akun Anda, dan hanya membaca akses ke aset apa pun. AWS IoT SiteWise Ini termasuk sumber daya apa pun yang dibuat di masa depan.
Buat kebijakan dengan templat berikut:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketName/*",
"arn:aws:s3:::bucketName"
]
},
{
"Effect": "Allow",
"Action": [
"iottwinmaker:Get*",
"iottwinmaker:List*"
],
"Resource": [
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId",
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId/*"
]
},
{
"Effect": "Allow",
"Action": "iottwinmaker:ListWorkspaces",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:GetHLSStreamingSessionURL"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetInterpolatedAssetPropertyValues"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchPutAssetPropertyValue"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
}
}
}
]
}
```
Templat kebijakan ini memberikan izin berikut:
+ Akses hanya baca ke bucket S3 untuk memuat adegan.
+ Akses hanya baca AWS IoT TwinMaker untuk semua entitas dan komponen di ruang kerja.
+ Akses hanya baca untuk streaming semua video Kinesis Video Streams di akun Anda.
+ Baca hanya akses ke riwayat nilai properti dari semua AWS IoT SiteWise aset di akun Anda.
+ Penyerapan data ke properti apa pun dari AWS IoT SiteWise aset yang ditandai dengan kunci `EdgeConnectorForKVS` dan nilainya. `workspaceId`
## Menandai AWS IoT SiteWise aset kamera Anda meminta upload video dari edge
Menggunakan Pemutar Video di Grafana, pengguna dapat secara manual meminta agar video diunggah dari cache tepi ke Kinesis Video Streams. Anda dapat mengaktifkan fitur ini untuk AWS IoT SiteWise aset apa pun yang terkait dengan Konektor AWS IoT Greengrass Edge Anda untuk Amazon Kinesis Video Streams dan yang ditandai dengan kunci. `EdgeConnectorForKVS`
Nilai tag dapat berupa daftar workspaceID yang dibatasi oleh salah satu karakter berikut:. `. : + = @ _ / -` Misalnya, jika Anda ingin menggunakan AWS IoT SiteWise aset yang terkait dengan Konektor AWS IoT Greengrass Edge untuk Amazon Kinesis Video AWS IoT TwinMaker Streams di seluruh ruang kerja, Anda dapat menggunakan tag yang mengikuti pola ini:. `WorkspaceA/WorkspaceB/WorkspaceC` Plugin Grafana memberlakukan bahwa AWS IoT TwinMaker workspaceID digunakan untuk mengelompokkan konsumsi data aset. AWS IoT SiteWise
## Tambahkan lebih banyak izin ke kebijakan dasbor Anda
Plugin AWS IoT TwinMaker Grafana menggunakan penyedia otentikasi Anda untuk memanggil AssumeRole peran dasbor yang Anda buat. Secara internal, plugin membatasi cakupan izin tertinggi yang dapat Anda akses dengan menggunakan kebijakan sesi dalam panggilan. AssumeRole Untuk informasi selengkapnya tentang kebijakan sesi, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).
Ini adalah kebijakan permisif maksimum yang dapat Anda miliki di peran dasbor Anda untuk ruang AWS IoT TwinMaker kerja:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketName/*",
"arn:aws:s3:::bucketName"
]
},
{
"Effect": "Allow",
"Action": [
"iottwinmaker:Get*",
"iottwinmaker:List*"
],
"Resource": [
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId",
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspaceId/*"
]
},
{
"Effect": "Allow",
"Action": "iottwinmaker:ListWorkspaces",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:GetHLSStreamingSessionURL"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:GetAssetPropertyValue",
"iotsitewise:GetInterpolatedAssetPropertyValues"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:BatchPutAssetPropertyValue"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/EdgeConnectorForKVS": "*workspaceId*"
}
}
}
]
}
```
------
Jika Anda menambahkan pernyataan bahwa `Allow` lebih banyak izin, mereka tidak akan berfungsi pada AWS IoT TwinMaker plugin. Ini dirancang untuk memastikan izin minimum yang diperlukan digunakan oleh plugin.
Namun, Anda dapat mengurangi izin lebih lanjut. Untuk informasi, lihat [Membuat kebijakan pemutar AWS IoT TwinMaker video](tm-video-policy.md).
## Membuat peran IAM Dasbor Grafana
Di Konsol IAM, buat peran IAM yang disebut. `YourWorkspaceIdDashboardRole` Lampirkan `YourWorkspaceIdDashboardPolicy` ke peran.
Untuk mengedit kebijakan kepercayaan peran dasbor, Anda harus memberikan izin kepada penyedia otentikasi Grafana untuk memanggil peran `AssumeRole` dasbor. Perbarui kebijakan kepercayaan dengan templat berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "ARN of Grafana authentication provider"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Untuk informasi selengkapnya tentang membuat lingkungan Grafana dan menemukan penyedia autentikasi Anda, lihat. [Menyiapkan lingkungan Grafana Anda](grafana-environment.md)