Peran layanan AWS Panorama dan sumber daya lintas layanan - AWS Panorama
Mengamankan peran alatPenggunaan layanan lain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran layanan AWS Panorama dan sumber daya lintas layanan

AWS Panorama menggunakan layanan AWS lain untuk mengelola AWS Panorama Appliance, menyimpan data, dan mengimpor sumber daya aplikasi. Peran layanan memberikan izin layanan untuk mengelola sumber daya atau berinteraksi dengan layanan lain. Saat masuk ke konsol AWS Panorama untuk pertama kalinya, Anda membuat peran layanan berikut:

  • AWSServiceRoleForAWSPanorama— Memungkinkan AWS Panorama mengelola sumber daya di AWS IoT, AWS Secrets Manager, dan AWS Panorama.

    Kebijakan terkelola:AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole— Memungkinkan AWS Panorama Appliance untuk mengunggah log CloudWatch, dan untuk mendapatkan objek dari titik akses Amazon S3 yang dibuat oleh AWS Panorama.

    Kebijakan terkelola:AWSPanoramaApplianceServiceRolePolicy

Untuk melihat izin yang dilampirkan ke setiap peran, gunakanKonsol IAM. Jika memungkinkan, izin peran dibatasi pada sumber daya yang sesuai dengan pola penamaan yang digunakan AWS Panorama. Misalnya,AWSServiceRoleForAWSPanoramahanya memberikan izin bagi layanan untuk mengaksesAWS IoTsumber daya yang memilikipanoramaatas nama mereka.

Mengamankan peran alat

AWS Panorama Appliance menggunakanAWSPanoramaApplianceServiceRoleperan untuk mengakses sumber daya di akun Anda. Alat memiliki izin untuk mengunggah log CloudWatch Log, baca kredensi aliran kamera dariAWS Secrets Manager, dan untuk mengakses artefak aplikasi di titik akses Amazon Simple Storage Service (Amazon S3) yang dibuat AWS Panorama.

catatan

Aplikasi tidak menggunakan izin alat. Untuk memberikan izin aplikasi Anda untuk menggunakanAWSjasa, membuatperan aplikasi.

AWS Panorama menggunakan peran layanan yang sama dengan semua peralatan di akun Anda, dan tidak menggunakan peran di seluruh akun. Untuk lapisan keamanan tambahan, Anda dapat mengubah kebijakan kepercayaan peran alat untuk menegakkannya secara eksplisit, yang merupakan praktik terbaik saat Anda menggunakan peran untuk memberikan izin layanan untuk mengakses sumber daya di akun Anda.

Untuk memperbarui kebijakan kepercayaan peran alat

  1. Membuka peran alat pada konsol IAM:AWSPanoramaApplianceServiceRole

  2. Pilih Edit trust relationship (Edit Hubungan Kepercayaan).

  3. Perbarui isi kebijakan, lalu pilihKebijakan kepercayaan pembaruan.

Kebijakan kepercayaan berikut mencakup kondisi yang memastikan bahwa ketika AWS Panorama mengambil peran alat, kebijakan tersebut dilakukan untuk alat di akun Anda. Klasteraws:SourceAccountkondisi membandingkan ID akun yang ditentukan oleh AWS Panorama dengan yang Anda sertakan dalam kebijakan.

contoh kebijakan kepercayaan — Akun khusus
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Jika Anda ingin membatasi AWS Panorama lebih jauh, dan memungkinkannya untuk hanya mengambil peran dengan perangkat tertentu, Anda dapat menentukan perangkat dengan ARN. Klasteraws:SourceArnkondisi membandingkan ARN alat yang ditentukan oleh AWS Panorama dengan yang Anda sertakan dalam kebijakan.

contoh kebijakan kepercayaan - Alat tunggal
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Jika Anda mengatur ulang dan menyediakan ulang alat, Anda harus menghapus kondisi ARN sumber untuk sementara dan kemudian menambahkannya lagi dengan ID perangkat baru.

Untuk informasi lebih lanjut tentang kondisi ini, dan praktik terbaik keamanan saat layanan menggunakan peran untuk mengakses sumber daya di akun Anda, lihatMasalah confused deputydi Panduan Pengguna IAM.

Penggunaan layanan lain

AWS Panorama membuat atau mengakses sumber daya dalam layanan berikut:

  • AWS IoT— Hal-hal, kebijakan, sertifikat, dan pekerjaan untuk AWS Panorama Appliance

  • Amazon S3- Titik akses untuk pementasan model aplikasi, kode, dan konfigurasi.

  • Secrets Manager— Kredensi jangka pendek untuk AWS Panorama Appliance.

Untuk informasi tentang format Amazon Resource Name (ARN) atau cakupan izin untuk setiap layanan, lihat topik diPanduan Pengguna IAMyang ditautkan ke dalam daftar ini.