本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 入門 AWS IoT TwinMaker
本節中的主題說明如何執行下列動作。
+ 建立和設定新的工作區。
+ 建立實體並將其新增元件。
事前準備:
若要建立第一個工作區和場景,您需要下列 AWS 資源。
+ [AWS 帳戶](https://aws.amazon.com/)。
+ 的 IAM 服務角色 AWS IoT TwinMaker。在[AWS IoT TwinMaker 主控台](https://console.aws.amazon.com/iottwinmaker/)中建立新 AWS IoT TwinMaker 工作區時,預設會自動產生此角色。
如果您未選擇讓 AWS IoT TwinMaker 自動建立新的 IAM 服務角色,則必須指定您已建立的服務角色。
如需建立和管理此服務角色的說明,請參閱 [建立和管理 的服務角色 AWS IoT TwinMaker](twinmaker-gs-service-role.md)。
如需 IAM 服務角色的詳細資訊,請參閱[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**重要**
此服務角色必須具有連接政策,授予 服務讀取和寫入 Amazon S3 儲存貯體的許可。 AWS IoT TwinMaker 使用此角色代表您存取其他 服務。您也需要指派此角色與 之間的信任關係, AWS IoT TwinMaker 以便服務可以擔任該角色。如果您的雙身與其他 AWS 服務互動,也請為這些服務新增必要的許可。
**Topics**
+ [建立和管理 的服務角色 AWS IoT TwinMaker](twinmaker-gs-service-role.md)
+ [建立工作區](twinmaker-gs-workspace.md)
+ [建立您的第一個實體](twinmaker-gs-entity.md)
+ [設定 AWS 帳戶](set-up-aws-account.md)
# 建立和管理 的服務角色 AWS IoT TwinMaker
AWS IoT TwinMaker 要求您使用服務角色,以允許它代表您存取其他服務中的資源。此角色必須與 建立信任關係 AWS IoT TwinMaker。建立工作區時,您必須將此角色指派給工作區。本主題包含範例政策,說明如何設定常見案例的許可。
## 指派信任
下列政策會在您的角色與 之間建立信任關係 AWS IoT TwinMaker。將此信任關係指派給您用於工作區的角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "iottwinmaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Amazon S3 許可
下列政策可讓您的角色從 Amazon S3 儲存貯體讀取和刪除和寫入。Workspaces 會將資源存放在 Amazon S3 中,因此所有工作區都需要 Amazon S3 許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucket*",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::*/DO_NOT_DELETE_WORKSPACE_*"
]
}
]
}
```
------
**注意**
當您建立工作區時, 會在 Amazon S3 儲存貯體中 AWS IoT TwinMaker 建立檔案,指出工作區正在使用該檔案。當您刪除工作區時,此政策會提供刪除該檔案的 AWS IoT TwinMaker 許可。
AWS IoT TwinMaker 會放置與您工作區相關的其他物件。刪除工作區時,您有責任刪除這些物件。
## 將許可指派給特定 Amazon S3 儲存貯體
在 AWS IoT TwinMaker 主控台中建立工作區時,您可以選擇讓 AWS IoT TwinMaker 為您建立 Amazon S3 儲存貯體。您可以使用下列 AWS CLI 命令找到此儲存貯體的相關資訊。
```
aws iottwinmaker get-workspace --workspace-id workspace name
```
下列範例顯示此命令輸出的格式。
```
{
"arn": "arn:aws:iottwinmaker:region:account Id:workspace/workspace name",
"creationDateTime": "2021-11-30T11:30:00.000000-08:00",
"description": "",
"role": "arn:aws:iam::account Id:role/service role name",
"s3Location": "arn:aws:s3:::bucket name",
"updateDateTime": "2021-11-30T11:30:00.000000-08:00",
"workspaceId": "workspace name"
}
```
若要更新您的政策以指派特定 Amazon S3 儲存貯體的許可,請使用儲存*貯體名稱*的值。
下列政策可讓您的角色從特定 Amazon S3 儲存貯體讀取和刪除和寫入。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucket*",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket name",
"arn:aws:s3:::bucket name/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::iottwinmakerbucket/DO_NOT_DELETE_WORKSPACE_*"
]
}
]
}
```
------
## 內建連接器的許可
如果您的工作區使用內建連接器與其他 AWS 服務互動,您必須在此政策中包含這些服務的許可。如果您使用 **com.amazon.iotsitewise.connector** 元件類型,則必須包含 的許可 AWS IoT SiteWise。如需元件類型的詳細資訊,請參閱 [使用和建立元件類型](twinmaker-component-types.md)。
**注意**
如果您使用自訂元件類型與其他 AWS 服務互動,您必須授予角色許可,才能執行在元件類型中實作函數的 Lambda 函數。如需詳細資訊,請參閱[連接器到外部資料來源的許可](#twinmaker-gs-service-role-external)。
下列範例示範如何將 包含在政策 AWS IoT SiteWise 中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucket*",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket name",
"arn:aws:s3:::bucket name/*"
]
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAsset"
],
"Resource": "arn:aws:s3:::bucket name"
},
{
"Effect": "Allow",
"Action": [
"iotsitewise:DescribeAssetModel"
],
"Resource": "arn:aws:s3:::bucket name"
},
{
"Effect": "Allow",
"Action": [
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::*/DO_NOT_DELETE_WORKSPACE_*"
]
}
]
}
```
------
如果您使用 **com.amazon.iotsitewise.connector** 元件類型,且需要從中讀取屬性資料 AWS IoT SiteWise,則必須在政策中包含下列許可。
```
...
{
"Action": [
"iotsitewise:GetPropertyValueHistory",
],
"Resource": [
"AWS IoT SiteWise asset resource ARN"
],
"Effect": "Allow"
},
...
```
如果您使用 **com.amazon.iotsitewise.connector** 元件類型,且需要寫入屬性資料 AWS IoT SiteWise,您必須在政策中包含下列許可。
```
...
{
"Action": [
"iotsitewise:BatchPutPropertyValues",
],
"Resource": [
"AWS IoT SiteWise asset resource ARN"
],
"Effect": "Allow"
},
...
```
如果您使用 **com.amazon.iotsitewise.connector.edgevideo** 元件類型,您必須包含 AWS IoT SiteWise 和 Kinesis Video Streams 的許可。下列範例政策示範如何在政策中包含 AWS IoT SiteWise 和 Kinesis Video Streams 許可。
```
...
{
"Action": [
"iotsitewise:DescribeAsset",
"iotsitewise:GetAssetPropertyValue"
],
"Resource": [
"AWS IoT SiteWise asset resource ARN for the Edge Connector for Kinesis Video Streams"
],
"Effect": "Allow"
},
{
"Action": [
"iotsitewise:DescribeAssetModel"
],
"Resource": [
"AWS IoT SiteWise model resource ARN for the Edge Connector for Kinesis Video Streams"
],
"Effect": "Allow"
},
{
"Action": [
"kinesisvideo:DescribeStream"
],
"Resource": [
"Kinesis Video Streams stream ARN"
],
"Effect": "Allow"
},
...
```
## 連接器到外部資料來源的許可
如果您建立的元件類型使用連接到外部資料來源的 函數,您必須授予您的服務角色許可,才能使用實作該函數的 Lambda 函數。如需建立元件類型和函數的詳細資訊,請參閱 [使用和建立元件類型](twinmaker-component-types.md)。
下列範例為您的服務角色提供使用 Lambda 函數的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucket*",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Action": [
"lambda:invokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:111122223333:function:example-function"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::*/DO_NOT_DELETE_WORKSPACE_*"
]
}
]
}
```
------
如需使用 IAM 主控台 AWS CLI、 和 IAM API 來建立角色、指派政策和信任關係的詳細資訊,請參閱[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## 修改工作區 IAM 角色以使用 Athena 資料連接器
若要使用 [AWS IoT TwinMaker Athena 表格式資料連接器](https://docs.aws.amazon.com//iot-twinmaker/latest/guide/athena-tabular-data-connector.html),您必須更新您的 AWS IoT TwinMaker 工作區 IAM 角色。將下列許可新增至工作區 IAM 角色:
**注意**
此 IAM 變更僅適用於與 AWS Glue 和 Amazon S3 一起存放的 Athena 表格式資料。若要將 Athena 與其他資料來源搭配使用,您必須為 Athena 設定 IAM 角色,請參閱 [Athena 中的 Identity and Access Management](https://docs.aws.amazon.com/athena/latest/ug/security-iam-athena.html)。
```
{
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetTableMetadata",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"athena resouces arn"
]
},// Athena permission
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:GetTables",
"glue:GetDatabase",
"glue:GetDatabases"
],
"Resource": [
"glue resouces arn"
]
},// This is an example for accessing aws glue
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"Amazon S3 data source bucket resources arn"
]
}, // S3 bucket for storing the tabular data.
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"S3 query result bucket resources arn"
]
} // Storing the query results
```
如需 [Athena IAM 組態的詳細資訊,請參閱 Athena 中的 Identity and Access Management](https://docs.aws.amazon.com/athena/latest/ug/security-iam-athena.html)。
# 建立工作區
若要建立和設定您的第一個工作區,請使用下列步驟。
**注意**
本主題說明如何使用單一資源建立簡單的工作區。對於具有多個資源的全功能工作區,請嘗試範例 Github 儲存庫中的[AWS IoT TwinMaker 範例](https://github.com/aws-samples/aws-iot-twinmaker-samples)設定。
1. 在[AWS IoT TwinMaker 主控台](https://console.aws.amazon.com/iottwinmaker/home)首頁上,選擇左側導覽窗格中的**工作區**。
1. 在**工作區**頁面上,選擇**建立工作區**。
1. 在**建立工作區**頁面上,輸入工作區的名稱。
1. (選用) 新增工作區的描述。
1. 在 **S3 資源**下,選擇**建立 S3 儲存貯**體。此選項會建立 Amazon S3 儲存貯體,其中 AWS IoT TwinMaker 存放與工作區相關的資訊和資源。每個工作區都需要自己的儲存貯體。
1. 在**執行角色**下,選擇**自動產生新角色**或您為此工作區建立的自訂 IAM 角色。
如果您選擇**自動產生新角色**, 會將政策 AWS IoT TwinMaker 連接至角色,以授予新服務角色存取其他服務的許可 AWS ,包括讀取和寫入您在上一個步驟中指定的 Amazon S3 儲存貯體的許可。如需指派許可給此角色的資訊,請參閱 [建立和管理 的服務角色 AWS IoT TwinMaker](twinmaker-gs-service-role.md)。
1. 選擇**建立工作區**。下列橫幅會出現在**工作區**頁面頂端。
![\[含有建議 IAM 政策和角色名稱的橫幅,以及可讓您取得所需 JSON 的按鈕。\]](http://docs.aws.amazon.com/zh_tw/iot-twinmaker/latest/guide/images/DashboardPolicy.png)
1. 選擇**取得 json**。建議您將看到的 IAM 政策新增至為檢視 Grafana 儀表板的使用者和帳戶 AWS IoT TwinMaker 建立的 IAM 角色。此角色的名稱遵循此模式:*Workspace-nameDashboardRole*DashboardRole ,如需如何建立政策並將其連接至角色的指示,請參閱[修改角色許可政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.htmlroles-managingrole-editing-console.html#roles-modify_permissions-policy)。
下列範例包含要新增至儀表板角色的政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::iottwinmaker-workspace-workspace-name-lower-case-123456789012",
"arn:aws:s3:::iottwinmaker-workspace-workspace-name-lower-case-123456789012/*"
]
},
{
"Effect": "Allow",
"Action": [
"iottwinmaker:Get*",
"iottwinmaker:List*"
],
"Resource": [
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspace-name",
"arn:aws:iottwinmaker:us-east-1:111122223333:workspace/workspace-name/*"
]
},
{
"Effect": "Allow",
"Action": "iottwinmaker:ListWorkspaces",
"Resource": "*"
}
]
}
```
------
您現在可以使用第一個實體開始為工作區建立資料模型。如需如何執行此動作的詳細資訊,請參閱[建立您的第一個實體](twinmaker-gs-entity.md)。
# 建立您的第一個實體
若要建立您的第一個實體,請使用下列步驟。
1. 在**工作區**頁面上,選擇您的工作區,然後在左側窗格中選擇**實體**。
1. 在**實體**頁面上,選擇**建立**,然後選擇**建立實體**。
![\[顯示建立實體選項的 TwinMaker 實體主控台頁面。\]](http://docs.aws.amazon.com/zh_tw/iot-twinmaker/latest/guide/images/CreateEntity.png)
1. 在**建立實體**視窗中,輸入實體的名稱。此範例使用**CookieMixer**實體。
1. (選用) 輸入實體的描述。
1. 選擇**建立實體**、
實體包含工作區中每個項目的資料。您可以透過新增元件將資料放入實體。 AWS IoT TwinMaker 提供下列內建元件類型。
+ **參數**:新增一組鍵值屬性。
+ **文件**:為包含實體相關資訊的文件新增名稱和 URL。
+ **警示**:連線至警示時間序列資料來源。
+ **SiteWise 連接器**:提取 AWS IoT SiteWise 資產中定義的時間序列屬性。
+ **Edge Connector for Kinesis Video Streams AWS IoT Greengrass**:從 Edge Connector for KVS 提取影片資料 AWS IoT Greengrass。如需詳細資訊,請參閱[AWS IoT TwinMaker 影片整合](video-integration.md)。
您可以在左側窗格中選擇元件類型,以查看這些**元件類型**及其定義。您也可以在元件類型頁面上建立新的**元件類型**。如需建立元件類型的詳細資訊,請參閱 [使用和建立元件類型](twinmaker-component-types.md)。
在此範例中,我們會建立簡單的文件元件,以新增您實體的描述性資訊。
1. 在**實體**頁面上,選擇實體,然後選擇新增元件。
![\[TwinMaker 實體主控台頁面,顯示新增元件按鈕。\]](http://docs.aws.amazon.com/zh_tw/iot-twinmaker/latest/guide/images/AddComponent.png)
1. 在**新增元件**視窗中,輸入元件的名稱。由於此範例使用 Cookie 混音器實體,我們在**MixerDescription****名稱**欄位中輸入 。
![\[TwinMaker 新增元件主控台頁面,顯示名稱欄位和「新增文件」按鈕。\]](http://docs.aws.amazon.com/zh_tw/iot-twinmaker/latest/guide/images/DocumentComponent.png)
1. 選擇**新增文件**,然後輸入文件**名稱**和**外部 URL **的值。使用 文件元件,您可以存放包含實體重要資訊的外部 URLs清單。
1. 選擇**新增元件**。
您現在已準備好建立您的第一個場景。如需如何執行此動作的詳細資訊,請參閱[建立和編輯 AWS IoT TwinMaker 場景](scenes.md)。
# 設定 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
## 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
## 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。