AWS Panorama 服务角色和跨服务资源 - AWS Panorama
保护设备角色使用其他服务

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Panorama 服务角色和跨服务资源

AWS Panorama 使用其他 AWS 服务来管理 AWS Panorama 设备、存储数据和导入应用程序资源。服务角色授予服务管理资源或与其他服务交互的权限。当您首次登录 AWS Panorama 控制台时,您将创建以下服务角色:

  • AWSServiceRoleForAWSPanorama – 允许 AWS Panorama 管理 AWS IoT、AWS Secrets Manager 和 AWS Panorama 中的资源。

    托管策略:AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole – 允许 AWS Panorama 设备将日志上传到 CloudWatch,并从 AWS Panorama 创建的 Amazon S3 接入点获取对象。

    托管策略:AWSPanoramaApplianceServiceRolePolicy

要查看附加到每个角色的权限,请使用 IAM 控制台。在可能的情况下,角色的权限仅限于与 AWS Panorama 使用的命名模式匹配的资源。例如,AWSServiceRoleForAWSPanorama 仅授予服务访问名称中包含 AWS IoT 的 panorama 资源的权限。

保护设备角色

AWS Panorama 设备使用 AWSPanoramaApplianceServiceRole 角色访问您账户中的资源。该设备有权将日志上传到 CloudWatch Logs,从 AWS Secrets Manager 读取摄像头流式传输凭证,以及访问 AWS Panorama 创建的 Amazon Simple Storage Service(Amazon S3)接入点中的应用程序构件。

注意

应用程序不使用设备的权限。要授予您的应用程序使用 AWS 服务的权限,请创建应用程序角色

AWS Panorama 对您帐户中的所有设备使用相同的服务角色,并且不会跨帐户使用角色。为了增加安全层,您可以修改设备角色的信任策略以明确强制执行此操作,当您使用角色授予服务访问帐户中资源的权限时,这是最佳实践。

要更新设备角色信任策略

  1. 在 IAM 控制台中打开设备角色:AWSPanoramaApplianceServiceRole

  2. 选择 Edit trust relationship (编辑信任关系)

  3. 更新策略内容,然后选择更新信任策略

以下信任策略包含一个条件,该条件确保当 AWS Panorama 担任设备角色时,它会对您账户中的设备执行此操作。aws:SourceAccount 条件将 AWS Panorama 指定的账户 ID 与您包含在策略中的账户 ID 进行比较。

例 信任策略 – 特定帐户
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

如果您想进一步限制 AWS Panorama,并允许其仅承担特定设备的角色,您可以通过 ARN 指定设备。aws:SourceArn 条件将 AWS Panorama 指定的设备的 ARN 与您包含在策略中的 ARN 进行比较。

例 信任策略 – 单个设备
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

如果重置并重新置备设备,则必须暂时删除源 ARN 条件,然后使用新的设备 ID 再次添加。

有关这些条件的更多信息,以及服务使用角色访问账户资源时的安全最佳实践,请参阅 IAM 用户指南中的混淆代理问题

使用其他服务

AWS Panorama 在以下服务中创建或访问资源:

  • AWS IoT – AWS Panorama 设备的事物、策略、证书和作业

  • Amazon S3 — 用于暂存应用程序模型、代码和配置的接入点。

  • Secrets Manager – AWS Panorama 设备的短期凭证。

有关每项服务的 Amazon 资源名称(ARN) 格式或权限范围的信息,请参阅此列表中链接到的IAM 用户指南中的主题。