AWS Panorama 服務角色和跨服務資源

AWS Panorama 使用其他 AWS 服務來管理 AWS Panorama 設備、存放資料和匯入應用程式資源。服務角色會授與服務權限，以管理資源或與其他服務互動。首次登入 AWS Panorama 主控台時，您會建立以下服務角色：

• AWSServiceRoleForAWSPanorama— 允許 AWS Panorama 管理 AWS IoT、AWS Secrets Manager 和 AWS Panorama 資源。

  受管政策：AWSPanoramaServiceLinkedRolePolicy

• AWSPanoramaApplianceServiceRole— 允許 AWS Panorama 設備將日誌上傳到 CloudWatch，並從 AWS Panorama 創建的 Amazon S3 接入點獲取對象。

  受管政策：AWSPanoramaApplianceServiceRolePolicy

若要檢視附加至每個角色的權限，請使用IAM 主控台。在可能的情況下，角色的許可僅限於符合 AWS Panorama 使用的命名模式的資源。例如，。AWSServiceRoleForAWSPanorama僅授予服務訪問權限AWS IoT具有的資源panorama以他們的名字。

保護應用裝置角色

AWS Panorama 設備使用AWSPanoramaApplianceServiceRole角色可存取您帳戶中的資源。設備擁有上傳日誌至的許可 CloudWatch 日誌，從中讀取攝像機流憑據AWS Secrets Manager，以及 AWS Simple Storage Service (Amazon S3) 存取點中 AWS Panorama imple Storage Service (Amazon S3) 存取點中的應用程式成品。

注意

應用程式不使用設備的權限。授予您的應用程式使用權限AWS服務，建立應用程式角色。

AWS Panorama 對您帳戶中的所有設備使用相同的服務角色，且不會跨帳戶使用角色。為了增加安全層，您可以修改應用裝置角色的信任原則以明確強制執行此操作，這是當您使用角色授與服務權限以存取帳戶中資源時的最佳做法。

更新應用裝置角色信任原則

1. 在 IAM 主控台中開啟設備角色：AWSPanoramaApplianceServiceRole

2. 選擇 Edit trust relationship (編輯信任關係)。

3. 更新策略內容，然後選擇更新信任政策。

以下信任政策包括一個條件，可確保當 AWS Panorama 擔任設備角色時，它正在為您帳戶中的設備執行此操作。所以此aws:SourceAccount條件會將 AWS Panorama 指定的帳戶 ID 與您包含在政策中的帳戶 ID 進行比較。

範例 信任策略 — 特定帳戶

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

如果您想要進一步限制 AWS Panorama，並允許其僅擔任特定裝置的角色，可以透過 ARN 指定裝置。所以此aws:SourceArn條件會將 AWS Panorama 指定的設備的 ARN 與您包含在政策中的設備進行比較。

範例 信任原則 — 單一應用裝置

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

如果重設並重新佈建應用裝置，則必須暫時移除來源 ARN 條件，然後使用新裝置 ID 再次新增該條件。

如需上述條件的資訊，以及當服務使用角色以存取您帳戶中的資訊，請參閱混淆代理人問題《IAM 使用者指南》中的資訊。

使用其他服務

AWS Panorama 在下列服務中建立或存取資源：

• AWS IoT— AWS Panorama 設備的事物、政策、憑證和任務

• Simple Storage Service (Amazon Simple Storage Service (Amazon S3))— 暫存應用程式模型、程式碼和組態的存取點。

• Secrets Manager— AWS Panorama 設備的短期登入資料。

如需每個服務的 Amazon 資源名稱 (ARN) 格式或權限範圍的相關資訊，請參閱中的主題IAM User Guide在此列表中鏈接到。