Perfis de serviço e recursos entre serviços do AWS Panorama - AWS Panorama
Proteção do perfil do dispositivoUso de outros serviços

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Perfis de serviço e recursos entre serviços do AWS Panorama

O AWS Panorama usa outros serviços da AWS para gerenciar o AWS Panorama Appliance, armazenar dados e importar recursos de aplicações. Um perfil de serviço concede a um serviço permissão para gerenciar recursos ou interagir com outros serviços. Ao fazer login no console do AWS Panorama pela primeira vez, você cria os seguintes perfis de serviço:

  • AWSServiceRoleForAWSPanorama: permite que o AWS Panorama gerencie recursos no AWS IoT, no AWS Secrets Manager e no AWS Panorama.

    Política gerenciada: AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole: permite que um AWS Panorama Appliance faça upload de logs para o CloudWatch e obtenha objetos dos pontos de acesso Amazon S3 criados pelo AWS Panorama.

    Política gerenciada: AWSPanoramaApplianceServiceRolePolicy

Para ver as permissões associadas a cada perfil, use o console do IAM. Sempre que possível, as permissões do perfil são restritas a recursos que correspondem a um padrão de nomenclatura usado pelo AWS Panorama. Por exemplo, AWSServiceRoleForAWSPanorama concede somente permissão para que o serviço acesse recursos do AWS IoT que tenham panorama em seu nome.

Proteção do perfil do dispositivo

O AWS Panorama Appliance usa o perfil AWSPanoramaApplianceServiceRole para acessar recursos em sua conta. O dispositivo tem permissão para fazer upload de logs no CloudWatch Logs, ler as credenciais do stream da câmera do AWS Secrets Manager e acessar artefatos da aplicação nos pontos de acesso do Amazon Simple Storage Service (Amazon S3) criados pelo AWS Panorama.

nota

As aplicações não usam as permissões do dispositivo. Para dar permissão à sua aplicação para usar serviços da AWS, crie um perfil de aplicação.

O AWS Panorama usa o mesmo perfil de serviço com todos os dispositivos em sua conta e não usa perfis entre contas. Para obter uma camada adicional de segurança, você pode modificar a política de confiança do perfil do dispositivo para impor isso explicitamente, o que é uma prática recomendada quando você usa perfis para conceder permissão a um serviço para acessar recursos em sua conta.

Para atualizar a política de confiança do dispositivo

  1. Abra o perfil do dispositivo no console do IAM: AWSPanoramaApplianceServiceRole

  2. Escolha Edit trust relationship (Editar relação de confiança).

  3. Atualize o conteúdo da política e escolha Atualizar política de confiança.

A política de confiança a seguir inclui uma condição que garante que, quando o AWS Panorama assumir o perfil de dispositivo, ele faça isso para um dispositivo em sua conta. A condição aws:SourceAccount compara o ID da conta especificado pelo AWS Panorama ao ID que você inclui na política.

exemplo política de confiança: conta específica
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Se você quiser restringir ainda mais o AWS Panorama e só permitir que ele assuma o perfil com um dispositivo específico, você pode especificar o dispositivo pelo ARN. A condição aws:SourceArn compara o ARN do dispositivo especificado pelo AWS Panorama ao ID que você inclui na política.

exemplo política de confiança: dispositivo único
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Se você redefinir e reprovisionar o dispositivo, deverá remover temporariamente a condição do ARN de origem e depois adicioná-la novamente com o novo ID do dispositivo.

Para obter mais informações sobre essas condições e as melhores práticas de segurança quando os serviços usam perfis para acessar recursos em sua conta, consulte O problema de "confused deputy" no Guia do usuário do IAM.

Uso de outros serviços

O AWS Panorama cria ou acessa recursos nos seguintes serviços:

  • AWS IoT: coisas, políticas, certificados e trabalhos para o AWS Panorama Appliance

  • Amazon S3: pontos de acesso para preparar modelos, códigos e configurações de aplicações.

  • Secrets Manager: credenciais de curto prazo para o AWS Panorama Appliance.

Para obter informações sobre o formato do nome do recurso da Amazon (ARN) ou os escopos de permissão para cada serviço, consulte os tópicos no Guia do usuário do IAM que estão vinculados a esta lista.