Atribuir confiança Permissões do Amazon S3 Atribua permissões a um bucket específico do Amazon S3 Permissões para conectores integrados Permissões para um conector a uma fonte de dados externa Modifique seu perfil do IAM do espaço de trabalho para usar o conector de dados do Athena

Crie e gerencie um perfil de serviço para o AWS IoT TwinMaker

AWS IoT TwinMaker exige que você use um perfil de serviço para permitir o acesso a recursos em outros serviços em seu nome. Essa função deve ter uma relação de confiança com AWS IoT TwinMaker. Ao criar um espaço de trabalho, você deve atribuir esse perfil ao espaço de trabalho. Este tópico contém exemplos de políticas que mostram como configurar as permissões para cenários comuns.

Atribuir confiança

A política a seguir estabelece uma relação de confiança entre sua função e. AWS IoT TwinMaker Atribua essa relação de confiança ao perfil que você usa no seu espaço de trabalho.

Permissões do Amazon S3

A política a seguir permite que seu perfil leia, exclua e grave em um bucket do Amazon S3. Os espaços de trabalho armazenam recursos no Amazon S3, portanto, as permissões do Amazon S3 são necessárias para todos os espaços de trabalho.

nota

Quando você cria um espaço de trabalho, AWS IoT TwinMaker cria um arquivo em seu bucket do Amazon S3 que indica que ele está sendo usado por um espaço de trabalho. Essa política dá AWS IoT TwinMaker permissão para excluir esse arquivo quando você exclui o espaço de trabalho.

AWS IoT TwinMaker coloca outros objetos relacionados ao seu espaço de trabalho. É sua responsabilidade excluir esses objetos quando excluir um espaço de trabalho.

Atribua permissões a um bucket específico do Amazon S3

Ao criar um espaço de trabalho no AWS IoT TwinMaker console, você pode optar por AWS IoT TwinMaker criar um bucket do Amazon S3 para você. Você pode encontrar informações sobre esse bucket usando o AWS CLI comando a seguir.



  aws iottwinmaker get-workspace --workspace-id workspace name

O exemplo a seguir mostra o formato da saída deste comando.



{
    "arn": "arn:aws:iottwinmaker:region:account Id:workspace/workspace name",
    "creationDateTime": "2021-11-30T11:30:00.000000-08:00",
    "description": "",
    "role": "arn:aws:iam::account Id:role/service role name",
    "s3Location": "arn:aws:s3:::bucket name",
    "updateDateTime": "2021-11-30T11:30:00.000000-08:00",
    "workspaceId": "workspace name"
}

Para atualizar sua política para que ela atribua permissões para um bucket específico do Amazon S3, use o valor de. bucket name

A política a seguir permite que seu perfil leia, exclua e grave em um bucket específico do Amazon S3.

Permissões para conectores integrados

Se o seu espaço de trabalho interagir com outros AWS serviços usando conectores integrados, você deverá incluir permissões para esses serviços nesta política. Se usar o tipo de componente com.amazon.iotsitewise.connector, você deverá incluir permissões para AWS IoT SiteWise. Para obter mais informações sobre tipos de componentes, consulte Uso e criação de tipos de componentes.

nota

Se você interagir com outros AWS serviços usando um tipo de componente personalizado, deverá conceder permissão à função para executar a função Lambda que implementa a função em seu tipo de componente. Para obter mais informações, consulte Permissões para um conector a uma fonte de dados externa.

O exemplo a seguir mostra como incluir AWS IoT SiteWise em sua política.

Se você usa o tipo de componente com.amazon.iotsitewise.connector e precisa ler os dados da propriedade, você deve incluir a seguinte permissão em sua política. AWS IoT SiteWise



...
{
    "Action": [
        "iotsitewise:GetPropertyValueHistory",
    ],
    "Resource": [
        "AWS IoT SiteWise asset resource ARN"
    ],
    "Effect": "Allow"
},
...

Se você usa o tipo de componente com.amazon.iotsitewise.connector e precisa gravar dados da propriedade, você deve incluir a seguinte permissão em sua política. AWS IoT SiteWise



...
{
    "Action": [
        "iotsitewise:BatchPutPropertyValues",
    ],
    "Resource": [
        "AWS IoT SiteWise asset resource ARN"
    ],
    "Effect": "Allow"
},
...

Se você usa o tipo de componente com.amazon.iotsitewise.connector.edgevideo, deverá incluir permissões para o Kinesis Video Streams e o Kinesis Video Streams. AWS IoT SiteWise O exemplo de política a seguir mostra como incluir AWS IoT SiteWise permissões do Kinesis Video Streams em sua política.



...
{
    "Action": [
        "iotsitewise:DescribeAsset",
        "iotsitewise:GetAssetPropertyValue"
    ],
    "Resource": [
        "AWS IoT SiteWise asset resource ARN for the Edge Connector for Kinesis Video Streams"
    ],
    "Effect": "Allow"
},
{
    "Action": [
        "iotsitewise:DescribeAssetModel"
    ],
    "Resource": [
        "AWS IoT SiteWise model resource ARN for the Edge Connector for Kinesis Video Streams"
    ],
    "Effect": "Allow"
},
{
    "Action": [
        "kinesisvideo:DescribeStream"
    ],
    "Resource": [
        "Kinesis Video Streams stream ARN"
    ],
    "Effect": "Allow"
},
...

Permissões para um conector a uma fonte de dados externa

Se criar um tipo de componente que usa uma função que se conecta a uma fonte de dados externa, você deve dar permissão ao seu perfil de serviço para usar a função do Lambda que implementa a função. Para obter mais informações sobre como criar tipos de componentes e funções, consulte Uso e criação de tipos de componentes.

O exemplo a seguir dá permissão ao seu perfil de serviço para usar uma função do Lambda.

Para obter mais informações sobre como criar funções e atribuir políticas e relações de confiança a elas usando o console do IAM AWS CLI, o e a API do IAM, consulte Como criar uma função para delegar permissões a um. AWS service (Serviço da AWS)

Modifique seu perfil do IAM do espaço de trabalho para usar o conector de dados do Athena

Para usar o conector de dados tabulares do AWS IoT TwinMaker Athena, você deve atualizar sua função do IAM do AWS IoT TwinMaker workspace. Adicione as seguintes permissões ao seu perfil do IAM do espaço de trabalho:

nota

Essa alteração do IAM só funciona para dados tabulares do Athena armazenados com o Amazon AWS Glue S3. Para usar o Athena com outras fontes de dados, você deve configurar um perfil do IAM para o Athena. Consulte Gerenciamento de identidade e acesso no Athena.


{
    "Effect": "Allow",
    "Action": [
        "athena:GetQueryExecution",
        "athena:GetQueryResults",
        "athena:GetTableMetadata",
        "athena:GetWorkGroup",
        "athena:StartQueryExecution",
        "athena:StopQueryExecution"
    ],
    "Resource": [
        "athena resouces arn"
    ]
},// Athena permission
{
    "Effect": "Allow",
    "Action": [
        "glue:GetTable",
        "glue:GetTables",
        "glue:GetDatabase",
        "glue:GetDatabases"
    ],
    "Resource": [
        "glue resouces arn"
    ]
},// This is an example for accessing aws glue
{
    "Effect": "Allow",
    "Action": [
        "s3:ListBucket",
        "s3:GetObject"
    ],
    "Resource": [
        "Amazon S3 data source bucket resources arn"
    ]
}, // S3 bucket for storing the tabular data.
{
    "Effect": "Allow",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket",
        "s3:ListBucketMultipartUploads",
        "s3:ListMultipartUploadParts",
        "s3:AbortMultipartUpload",
        "s3:CreateBucket",
        "s3:PutObject",
        "s3:PutBucketPublicAccessBlock"
    ],
    "Resource": [
        "S3 query result bucket resources arn"
    ]
} // Storing the query results

Leia o Gerenciamento de identidade e acesso no Athena para obter mais informações sobre a configuração do IAM do Athena.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Começando com AWS IoT TwinMaker

Criar um espaço de trabalho