向应用程序授予权限 - AWS Panorama

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向应用程序授予权限

您可以为应用程序创建一个角色以授予其调用 AWS 服务的权限。默认情况下,应用程序没有任何权限。您可以在 IAM 中创建应用程序角色,并在部署期间将其分配给应用程序。要仅向应用程序授予其所需的权限,请为其创建一个具有特定 API 操作权限的角色。

示例应用程序包括用于创建应用程序角色的 AWS CloudFormation 模板和脚本。这是 AWS Panorama 可以担任的服务角色。此角色授予应用程序调用 CloudWatch 上传指标的权限。

aws-panorama-sample.yml – 应用程序角色
Resources:
  runtimeRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          -
            Effect: Allow
            Principal:
              Service:
                - panorama.amazonaws.com
            Action:
              - sts:AssumeRole
      Policies:
        - PolicyName: cloudwatch-putmetrics
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action: 'cloudwatch:PutMetricData'
                Resource: '*'
      Path: /service-role/

您可以通过为 Action 的值指定 API 操作或模式列表来扩展此脚本以向其他服务授予权限。

有关 AWS Panorama 中权限的更多信息,请参阅 AWS Panorama 权限