AWS Panorama Panorama-Servicerollen und serviceübergreifende Ressourcen - AWS Panorama
Absichern der Appliance-RolleNutzung anderer Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Panorama Panorama-Servicerollen und serviceübergreifende Ressourcen

AWS Panorama verwendet andere AWS-Services, um die AWS Panorama Appliance zu verwalten, Daten zu speichern und Anwendungsressourcen zu importieren. Eine Servicerolle erteilt einem Dienst die Berechtigung, Ressourcen zu verwalten oder mit anderen Diensten zu interagieren. Wenn Sie sich erstmals bei der AWS Panorama Panorama-Konsole anmelden, erstellen Sie die folgenden Servicerollen:

  • AWSServiceRoleForAWSPanorama— Ermöglicht AWS Panorama die Verwaltung von Ressourcen in AWS IoT, AWS Secrets Manager und AWS Panorama.

    Aktualisierung der verwalteten Richtlinie:AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole— Ermöglicht einer AWS Panorama Appliance das Hochladen von Protokollen auf CloudWatchund um Objekte von Amazon S3 S3-Zugriffspunkten abzurufen, die von AWS Panorama erstellt wurden.

    Aktualisierung der verwalteten Richtlinie:AWSPanoramaApplianceServiceRolePolicy

Um die Berechtigungen anzuzeigen, die jeder Rolle zugewiesen sind, verwenden Sie dieIAM-Konsole. Wo immer möglich, sind die Berechtigungen der Rolle auf Ressourcen beschränkt, die einem von AWS Panorama verwendeten Benennungsmuster entsprechen. Beispiel,AWSServiceRoleForAWSPanoramagewährt nur Zugriffsberechtigung für den DienstAWS IoTRessourcen, die habenpanoramain ihrem Namen.

Absichern der Appliance-Rolle

Die AWS Panorama Appliance verwendet dieAWSPanoramaApplianceServiceRoleRolle für den Zugriff auf Ressourcen in Ihrem Konto. Die Appliance hat die Berechtigung zum Hochladen der Protokolle in CloudWatch Protokolliert, liest Kamerastream-AnmeldeinformationenAWS Secrets Managerund um auf Anwendungsartefakte in Amazon Simple Storage Service (Amazon S3) -Zugriffspunkten zuzugreifen, die AWS Panorama erstellt.

Anmerkung

Anwendungen verwenden nicht die Berechtigungen der Appliance. So geben Sie Ihrer Anwendung die Erlaubnis zur VerwendungAWSDienste, erstellen Sie eineRolle der Anwendung.

AWS Panorama verwendet dieselbe Servicerolle für alle Appliances in Ihrem Konto und verwendet keine Rollen kontoübergreifend. Für eine zusätzliche Sicherheitsebene können Sie die Vertrauensrichtlinie der Appliance-Rolle ändern, um dies explizit durchzusetzen. Dies ist eine bewährte Methode, wenn Sie Rollen verwenden, um einem Dienst die Berechtigung für den Zugriff auf Ressourcen in Ihrem Konto zu erteilen.

So aktualisieren Sie die Vertrauensrichtlinie für Appliance-Rollen

  1. Öffnen Sie die Appliance-Rolle in der IAM-Konsole:AWSPanoramaApplianceServiceRole

  2. Wählen Sie Edit Trust Relationship (Vertrauensstellungen bearbeiten).

  3. Aktualisieren Sie den Inhalt der Richtlinie und wählen Sie dannAktualisieren der Vertrauensrichtlinie.

Die folgende Vertrauensrichtlinie enthält eine Bedingung, die sicherstellt, dass AWS Panorama die Appliance-Rolle für eine Appliance in Ihrem Konto übernimmt. Dieaws:SourceAccountcondition vergleicht die von AWS Panorama angegebene Konto-ID mit der Konto-ID, die Sie in die Richtlinie aufnehmen.

Beispiel Vertrauensrichtlinie — Spezifisches Konto
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Wenn Sie AWS Panorama weiter einschränken und zulassen möchten, dass AWS Panorama nur die Rolle mit einem bestimmten Gerät übernimmt, können Sie das Gerät anhand des ARN angeben. Dieaws:SourceArncondition vergleicht den ARN der von AWS Panorama angegebenen Appliance mit dem ARN, den Sie in die Richtlinie aufnehmen.

Beispiel Vertrauensrichtlinie — Einzelgerät
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Wenn Sie die Appliance zurücksetzen und erneut bereitstellen, müssen Sie die Quell-ARN-Bedingung vorübergehend entfernen und sie dann erneut mit der neuen Geräte-ID hinzufügen.

Weitere Informationen zu diesen Bedingungen und bewährten Sicherheitsmethoden beim Verwenden von Rollen zum Zugriff auf Ressourcen in Ihrem Konto durch Services finden Sie unterDas Problem des verwirrten Stellvertretersim IAM-Benutzerhandbuch.

Nutzung anderer Services

AWS Panorama erstellt Ressourcen in den folgenden Services oder greift darauf zu:

  • AWS IoT— Dinge, Richtlinien, Zertifikate und Aufgaben für die AWS Panorama Appliance

  • Amazon S3— Zugriffspunkte für die Bereitstellung von Anwendungsmodellen, Code und Konfigurationen.

  • Secrets Manager— Kurzfristige Anmeldeinformationen für die AWS Panorama Appliance.

Informationen zum Amazon-Ressourcenname (ARN) -Format oder zu den Berechtigungsbereichen für jeden Service finden Sie in den Themen imIAM User Guideauf die in dieser Liste verlinkt ist.