Rôles de service et ressources interservices AWS Panorama - AWS Panorama
Sécurisation du rôle d'applianceUtilisation d'autres services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles de service et ressources interservices AWS Panorama

AWS Panorama utilise d'autres services AWS pour gérer l'appliance AWS Panorama, stocker des données et importer des ressources d'application. Un rôle de service donne à un service l'autorisation de gérer des ressources ou d'interagir avec d'autres services. Lorsque vous vous connectez à la console AWS Panorama pour la première fois, vous créez les rôles de service suivants :

  • AWSServiceRoleForAWSPanorama— Permet à AWS Panorama de gérer les ressources dans AWS IoT, AWS Secrets Manager et AWS Panorama.

    Stratégie gérée :AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole— Permet à une appliance AWS Panorama de télécharger des journaux vers CloudWatch, et pour obtenir des objets depuis les points d'accès Amazon S3 créés par AWS Panorama.

    Stratégie gérée :AWSPanoramaApplianceServiceRolePolicy

Pour consulter les autorisations associées à chaque rôle, utilisez leConsole IAM. Dans la mesure du possible, les autorisations du rôle sont limitées aux ressources qui correspondent à un modèle de dénomination utilisé par AWS Panorama. Par exemple,AWSServiceRoleForAWSPanoramaaccorde uniquement l'autorisation d'accès au serviceAWS IoTdes ressources qui ontpanoramaen leur nom.

Sécurisation du rôle d'appliance

L'appliance AWS Panorama utilise leAWSPanoramaApplianceServiceRolerôle permettant d'accéder aux ressources de votre compte. L'appliance est autorisée à charger des journaux sur CloudWatch Journaux, lecture des informations d'identification du flux deAWS Secrets Manager, et pour accéder aux artefacts d'application dans les points d'accès Amazon Simple Storage Service (Amazon S3) créés par AWS Panorama.

Note

Les applications n'utilisent pas les autorisations de l'appliance. Pour autoriser votre application à utiliserAWSservices, créez unrôle dans l'application.

AWS Panorama utilise le même rôle de service avec toutes les appliances de votre compte et n'utilise pas de rôles entre les comptes. Pour renforcer la sécurité, vous pouvez modifier la politique de confiance du rôle d'appliance afin de l'appliquer de manière explicite, ce qui constitue une bonne pratique lorsque vous utilisez des rôles pour accorder à un service l'autorisation d'accéder aux ressources de votre compte.

Pour mettre à jour la politique de confiance relative aux rôles

  1. Ouvrez le rôle d'appliance dans la console IAM :AWSPanoramaApplianceServiceRole

  2. Choisissez Modifier la relation d'approbation.

  3. Mettez à jour le contenu de la politique, puis choisissezMettre la politique d'approbation.

La politique de confiance suivante inclut une condition qui garantit que lorsqu'AWS Panorama assume le rôle d'appliance, il le fait pour une appliance de votre compte. Dans laaws:SourceAccountUne condition compare l'ID de compte spécifié par AWS Panorama à celui que vous incluez dans la politique.

Exemple politique de confiance — Compte spécifique
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Si vous souhaitez restreindre davantage AWS Panorama et lui permettre de jouer le rôle uniquement sur un appareil spécifique, vous pouvez spécifier l'appareil par ARN. Dans laaws:SourceArnUne condition compare l'ARN de l'appliance spécifiée par AWS Panorama à celui que vous incluez dans la politique.

Exemple politique de confiance — Appliance unique
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Si vous réinitialisez et reprovisionnez l'appliance, vous devez supprimer temporairement la condition ARN source, puis l'ajouter à nouveau avec le nouvel identifiant de l'appareil.

Pour en savoir plus sur ces conditions et sur les bonnes pratiques en matière de sécurité lorsque des services utilisent des rôles pour accéder aux ressources de votre compte, consultezLe problème du député confusdans le Guide de l'utilisateur IAM.

Utilisation d'autres services

AWS Panorama crée ou accède à des ressources dans les services suivants :

  • AWS IoT— Objets, politiques, certificats et tâches pour l'appliance AWS Panorama

  • Amazon S3— Points d'accès pour la mise en place de modèles d'applications, de code et de configurations.

  • Secrets Manager— Informations d'identification à court terme pour l'appliance AWS Panorama.

Pour plus d'informations sur le format Amazon Resource Name (ARN) ou les limites d'autorisation pour chaque service, consultez les rubriques duIAM User Guidequi sont liés dans cette liste.