Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran layanan AWS Panorama dan sumber daya lintas layanan
AWS Panorama menggunakan layanan AWS lain untuk mengelola AWS Panorama Appliance, menyimpan data, dan mengimpor sumber daya aplikasi. Peran layanan memberikan izin layanan untuk mengelola sumber daya atau berinteraksi dengan layanan lain. Saat masuk ke konsol AWS Panorama untuk pertama kalinya, Anda membuat peran layanan berikut:
-
AWSServiceRoleForAWSPanorama— Memungkinkan AWS Panorama mengelola sumber daya di AWS IoT, AWS Secrets Manager, dan AWS Panorama.
Kebijakan terkelola:AWSPanoramaServiceLinkedRolePolicy
-
AWSPanoramaApplianceServiceRole— Memungkinkan AWS Panorama Appliance untuk mengunggah log CloudWatch, dan untuk mendapatkan objek dari titik akses Amazon S3 yang dibuat oleh AWS Panorama.
Kebijakan terkelola:AWSPanoramaApplianceServiceRolePolicy
Untuk melihat izin yang dilampirkan ke setiap peran, gunakanKonsol IAMAWSServiceRoleForAWSPanorama
hanya memberikan izin bagi layanan untuk mengaksesAWS IoTsumber daya yang memilikipanorama
atas nama mereka.
Mengamankan peran alat
AWS Panorama Appliance menggunakanAWSPanoramaApplianceServiceRole
peran untuk mengakses sumber daya di akun Anda. Alat memiliki izin untuk mengunggah log CloudWatch Log, baca kredensi aliran kamera dariAWS Secrets Manager, dan untuk mengakses artefak aplikasi di titik akses Amazon Simple Storage Service (Amazon S3) yang dibuat AWS Panorama.
catatan
Aplikasi tidak menggunakan izin alat. Untuk memberikan izin aplikasi Anda untuk menggunakanAWSjasa, membuatperan aplikasi.
AWS Panorama menggunakan peran layanan yang sama dengan semua peralatan di akun Anda, dan tidak menggunakan peran di seluruh akun. Untuk lapisan keamanan tambahan, Anda dapat mengubah kebijakan kepercayaan peran alat untuk menegakkannya secara eksplisit, yang merupakan praktik terbaik saat Anda menggunakan peran untuk memberikan izin layanan untuk mengakses sumber daya di akun Anda.
Untuk memperbarui kebijakan kepercayaan peran alat
-
Membuka peran alat pada konsol IAM:AWSPanoramaApplianceServiceRole
-
Pilih Edit trust relationship (Edit Hubungan Kepercayaan).
-
Perbarui isi kebijakan, lalu pilihKebijakan kepercayaan pembaruan.
Kebijakan kepercayaan berikut mencakup kondisi yang memastikan bahwa ketika AWS Panorama mengambil peran alat, kebijakan tersebut dilakukan untuk alat di akun Anda. Klasteraws:SourceAccount
kondisi membandingkan ID akun yang ditentukan oleh AWS Panorama dengan yang Anda sertakan dalam kebijakan.
contoh kebijakan kepercayaan — Akun khusus
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "panorama.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": {
"StringEquals": { "aws:SourceAccount": "
} } ] }123456789012
" }
Jika Anda ingin membatasi AWS Panorama lebih jauh, dan memungkinkannya untuk hanya mengambil peran dengan perangkat tertentu, Anda dapat menentukan perangkat dengan ARN. Klasteraws:SourceArn
kondisi membandingkan ARN alat yang ditentukan oleh AWS Panorama dengan yang Anda sertakan dalam kebijakan.
contoh kebijakan kepercayaan - Alat tunggal
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "panorama.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:panorama:
us-east-1
:123456789012
:device/device-lk7exmplpvcr3heqwjmesw76ky
" }, "StringEquals": { "aws:SourceAccount": "123456789012
" } } } ] }
Jika Anda mengatur ulang dan menyediakan ulang alat, Anda harus menghapus kondisi ARN sumber untuk sementara dan kemudian menambahkannya lagi dengan ID perangkat baru.
Untuk informasi lebih lanjut tentang kondisi ini, dan praktik terbaik keamanan saat layanan menggunakan peran untuk mengakses sumber daya di akun Anda, lihatMasalah confused deputydi Panduan Pengguna IAM.
Penggunaan layanan lain
AWS Panorama membuat atau mengakses sumber daya dalam layanan berikut:
-
AWS IoT— Hal-hal, kebijakan, sertifikat, dan pekerjaan untuk AWS Panorama Appliance
-
Amazon S3- Titik akses untuk pementasan model aplikasi, kode, dan konfigurasi.
-
Secrets Manager— Kredensi jangka pendek untuk AWS Panorama Appliance.
Untuk informasi tentang format Amazon Resource Name (ARN) atau cakupan izin untuk setiap layanan, lihat topik diPanduan Pengguna IAMyang ditautkan ke dalam daftar ini.