问题描述
我想将 IoT 设备数据存储在 Timestream 数据库中的设备特定表中。这将允许我们仅根据特定的 IAM 或 Cognito 政策授予用户访问其特定设备数据的权限。
来自设备的数据看起来像这样,id
是时间流维度,temperature
是度量。
{
"ts": 1619815725,"id": "device_12345","temperature": 47.2
}
并将其发布到主题
devices/data/device_12345
有一个 Timestream 数据库 device_data
,其中每个设备都有一个表,在本例中为 device_12345
现在我们可以创建一个规则,将数据从该设备推送到特定表,如下所示:
从确切的端点中选择相关数据。操作如下所示:
该角色配置为仅允许写入 Timestream 数据库中的特定表。可以将策略附加到设备以仅允许特定设备写入该特定 MQTT 端点(防止其他设备意外写入)。
然后可以为用户配置一个策略,只允许对该表的读取访问权限,以便仅从他们的设备查询数据。
在这种情况下,每个设备都必须具备以下条件:
- 将 MQTT 发布端点限制为设备端点的策略(在本例中为
devices/data/device_12345
- 将数据推送到具有特定设备端点以及正确设置的特定设备数据库表的 Timestream 的规则
- 允许该规则将数据写入数据库中特定于设备的表的 IAM 策略
现在的问题:
- 是否可以配置一个通用规则来查看设备 ID 或有关 IoT 事物的一些信息,并根据此信息将其推送到正确的数据库表中?例如规则能否查看
id
维度并基于此将其推送到正确的表中? - 如果我们必须为数百万台设备中的每台设备设置每一项,如何实现自动化?
- 拥有数百万条特定于设备的政策和规则是最有效/最高效的方式吗?
解决方法
可以配置一组策略和规则,这些策略和规则可以附加到 IoT 事物和用户,以绑定设备拥有的访问权限以及最终用户拥有的访问权限。
在高层次上可以做到以下几点:
- 物联网事物具有唯一链接到设备的证书
- 可以将策略链接到仅允许设备发布到特定主题的证书
- 可以设置 IoT 代码规则,根据设备发布到的主题将数据推送到设备特定的 Timestream 数据库
- 可以授予最终用户访问特定时间流表的读取权限
Timestream 数据库的最小 IAM 资源解析是一个表(参见 https://docs.aws.amazon.com/timestream/latest/developerguide/security_iam_service-with-iam.html),因此限制用户访问他们自己数据的唯一方法是将设备数据包含在它自己的表中,然后给用户对表及其设备数据的访问权限。
1.物联网证书
这是基本 AWS IoT 核心事物设置的一部分。一旦设备拥有私钥和证书,它就可以连接到 IoT 核心并根据附加到证书的策略发布/订阅
2.使用 IoT Thing 策略变量设置通用策略
AWS IoT Thing 策略变量信息可在此处找到:https://docs.aws.amazon.com/iot/latest/developerguide/thing-policy-variables.html
以下策略可以附加到任何证书,并且只允许设备发布到 devices/data/device_12345
主题。事物策略变量 ${iot:Connection.Thing.ThingName}
替换为实际事物名称。这是一项最低限度的政策,只允许连接和发布到一个主题。
{
"Version": "2012-10-17","Statement": [
{
"Effect": "Allow","Action": "iot:Connect","Resource": "arn:aws:iot:us-east-1:123456789:client/${iot:Connection.Thing.ThingName}"
},{
"Effect": "Allow","Action": "iot:Publish","Resource": "arn:aws:iot:us-east-1:123456789:topic/devices/data/${iot:Connection.Thing.ThingName}"
}
]
}
将此策略附加到其证书的任何设备将仅能够使用自己的事物名称发布到主题。这是一个通用策略,由于策略变量替换,它可以附加到任何事物。
3.配置 IoT 核心规则以将数据推送到 Timestream 数据库表
您需要创建一个 Timestream 数据库和特定于设备的表,其中该表与事物同名,例如带有表 device_data
device_12345
首先要定义的是 IoT SQL 查询,它将选择要推送到规则中的 Timestream 操作的数据。在这种情况下,SQL 将是,
SELECT temperature FROM 'devices/data/+'
+
是一个通配符,用于选择单个主题级别,即它将匹配 devices/data/device_12345
上的数据但不匹配 devices/data/device_12345/more_data
。这将从任何设备的已发布数据中选择数据。
在 Timestream 操作中,数据库将是 device_data
,而 tableName
使用 SQL 函数 topic()
(在操作的联系人中可用)来获取设备名称。
必须使用 CLI 设置此规则,如 substitution templates are only available through the AWS CLI or API。
用于设置规则的 JSON 是,
{
"sql": "SELECT temperature FROM 'devices/data/+'","actions": [
{
"timestream": {
"roleArn": "arn:aws:iam::123456789:role/service-role/devices_to_timestream","databaseName": "device_data","tableName": "${topic(3)}","dimensions": [
{
"name": "id","value": "${id}"
}
],"timestamp": {
"value": "${ts}","unit": "SECONDS"
}
}
}
],"ruleDisabled": false,"awsIotSqlVersion": "2015-10-08"
}
请注意,需要 IAM 角色来提供对数据库表的写访问权限,并且必须在配置规则之前进行设置。创建角色 devices_to_timestream_role
并附加自定义策略以允许写入数据库的表。政策是
{
"Version": "2012-10-17","Statement": [
{
"Effect": "Allow","Action": "timestream:WriteRecords","Resource": "arn:aws:timestream:us-east-1:123456789:database/device_data/table/*"
},{
"Effect": "Allow","Action": "timestream:DescribeEndpoints","Resource": "*"
}
]
}
此策略允许写入任何表,因为许多不同的事物将使用它来写入数据。尽管此策略允许写入任何表,但事物证书策略和规则查询限制了特定事物可以写入的表。
可以使用以下命令从命令行编写 IoT 规则:
aws iot create-topic-rule --rule-name devices_to_timestream --topic-rule-payload file://devices_to_timestream.json
其中 devices_to_timestream.json
包含上面列出的规则的内容。
4.授予用户访问其数据的权限
可以将访问策略附加到用户身份,以便最终用户按照 Timesteam identity based policy examples 中的模式访问其设备数据。
总结:
此配置提供,
- 一个可以附加到任何事物的通用策略,以允许它发布到具有事物特定名称的主题
- 将所有数据推送到 Timestream 数据库中特定于事物的表的通用规则
- 用户只能访问与其 AWS 身份相关联的事物数据
除了此处描述的内容之外,您还需要,
- 在第一次创建或连接新事物时创建新表的自动化方法
- 一种将访问权限附加到用户身份的机制