Roles de servicio y recursos multiservicios de AWS Panorama - AWS Panorama
Asegurar el rol del dispositivoUtilización de otros servicios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Roles de servicio y recursos multiservicios de AWS Panorama

AWS Panorama usa otros servicios de AWS Panorama para administrar el dispositivo AWS Panorama, almacenar datos e importar recursos de aplicaciones. Un rol de servicio da a un servicio permiso para administrar recursos o interactuar con otros servicios. Cuando inicia sesión en la consola de AWS Panorama por primera vez, crea los roles de servicio siguientes:

  • AWSServiceRoleForAWSPanorama: permite a AWS Panorama administrar los recursos en AWS IoT, AWS Secrets Manager y AWS Panorama.

    Política gestionada: AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole: permite que un dispositivo de AWS Panorama cargue registros en CloudWatch y obtenga objetos de los puntos de acceso de Amazon S3 creados por AWS Panorama.

    Política gestionada: AWSPanoramaApplianceServiceRolePolicy

Para ver los permisos asociados a cada rol, utilice la consola de IAM. Siempre que sea posible, los permisos del rol se restringen a los recursos que coincidan con un patrón de nomenclatura que utiliza AWS Panorama. Por ejemplo, AWSServiceRoleForAWSPanorama otorga únicamente permiso al servicio para acceder a los recursos de AWS IoT que tienen panorama en su nombre.

Asegurar el rol del dispositivo

El dispositivo AWS Panorama usa el rol de AWSPanoramaApplianceServiceRole para acceder a los recursos de su cuenta. El dispositivo tiene permiso para cargar registros en CloudWatch Logs, leer las credenciales de transmisión de las cámaras desde AWS Secrets Manager y acceder a los artefactos de la aplicación en los puntos de acceso de Amazon Simple Storage Service (Amazon S3) que crea AWS Panorama.

nota

Las aplicaciones no utilizan los permisos del dispositivo. Para dar permiso a su aplicación para usar los servicios de AWS, cree un rol de aplicación.

AWS Panorama usa el mismo rol de servicio con todos los dispositivos de su cuenta y no usa roles en todas las cuentas. Para añadir un nivel de seguridad adicional, puede modificar la política de confianza del rol del dispositivo para aplicarlo de forma explícita, lo cual es una práctica recomendada cuando utiliza los roles para conceder a un servicio permiso de acceso a los recursos de su cuenta.

Para actualizar la política de confianza de roles del dispositivo

  1. Abra el rol de dispositivo en la consola de IAM: AWSPanoramaApplianceServiceRole

  2. Elija Editar relación de confianza.

  3. Actualice el contenido de la política y, a continuación, seleccione Actualizar política de confianza.

La siguiente política de confianza incluye una condición que garantiza que, cuando AWS Panorama asuma el rol de dispositivo, lo haga para un dispositivo de su cuenta. La condición de aws:SourceAccount compara el ID de cuenta especificado por AWS Panorama con el que usted incluye en la política.

ejemplo política de confianza: cuenta específica
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Si desea restringir aún más AWS Panorama y permitir que solo asuma el rol con un dispositivo específico, puede especificar el dispositivo por ARN. La condición de aws:SourceArn compara el ARN del dispositivo especificado por AWS Panorama con el que usted incluye en la política.

ejemplo política de confianza: dispositivo único
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Si restablece y vuelve a aprovisionar el dispositivo, debe eliminar temporalmente la condición de ARN de origen y, a continuación, volver a añadirla con el nuevo ID de dispositivo.

Para obtener más información sobre estas condiciones y las prácticas recomendadas de seguridad cuando los servicios utilizan roles para acceder a los recursos de su cuenta, consulte El problema del suplente confuso en la Guía del usuario de IAM.

Utilización de otros servicios

AWS Panorama crea recursos en los siguientes servicios o accede a ellos:

  • AWS IoT: cosas, políticas, certificados y trabajos para el dispositivo AWS Panorama

  • Amazon S3: puntos de acceso para organizar modelos, códigos y configuraciones de aplicaciones.

  • Secrets Manager: credenciales a corto plazo para el dispositivo AWS Panorama.

Para obtener información sobre el formato del Nombre de recurso de Amazon (ARN) o los ámbitos de los permisos de cada servicio, consulte los temas de la Guía del usuario de IAM a los que se enlaza en esta lista.