AWS Panorama 的基于身份的 IAM 策略

要授予您账户中的用户对 AWS Panorama 的访问权限，您可以在 AWS Identity and Access Management (IAM) 中使用基于身份的策略。将基于身份的策略应用于与用户关联的 IAM 角色。您也可以授予另一个账户中的用户在您的账户中代入角色和访问您的 AWS Panorama 资源的权限。

AWS Panorama 提供托管策略，授予对 AWS Panorama API 操作的访问权限，在某些情况下还可以访问其他服务，用于开发和管理 AWS Panorama 资源。AWS Panorama 根据需要更新托管策略，确保您的用户有权在新功能发布时进行访问。

• AWSPanoramaFullAccess – 提供对 AWS Panorama、Amazon S3 中的 AWS Panorama 接入点、AWS Secrets Manager 中的设备凭证和 Amazon CloudWatch 中的设备日志的完全访问权限。包括为 AWS Panorama 创建服务相关角色的权限。查看策略

AWSPanoramaFullAccess 策略允许您标记 AWS Panorama 资源，但不具有 AWS Panorama 控制台使用的所有与标签相关的权限。要授予这些权限，请添加以下策略。

• ResourceGroupsandTagEditorFullAccess – 查看策略

AWSPanoramaFullAccess 策略不包括从 AWS Panorama 控制台购买设备的权限。要授予这些权限，请添加以下策略。

• ElementalAppliancesSoftwareFullAccess – 查看策略

托管策略授予 API 操作的权限，而不限制用户可以修改的资源。要进行更精细的控制，您可以创建自己的策略来限制用户权限的范围。使用完全访问策略作为策略的起点。

创建服务角色

首次使用 AWS Panorama 控制台时，您需要获得创建 AWS Panorama 设备使用的服务角色的权限。服务角色授予服务管理资源或与其他服务交互的权限。在授予用户访问权限之前，请先创建此角色。

有关可用于限制 AWS Panorama 中用户权限范围的资源和条件的详细信息，请参阅服务授权参考中的 AWS Pnorama 的操作、资源和条件键。