本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Panorama 服務角色和跨服務資源
AWS Panorama 使用其他 AWS 服務來管理 AWS Panorama 設備、存放資料和匯入應用程式資源。服務角色會授與服務權限,以管理資源或與其他服務互動。首次登入 AWS Panorama 主控台時,您會建立以下服務角色:
-
AWSServiceRoleForAWSPanorama— 允許 AWS Panorama 管理 AWS IoT、AWS Secrets Manager 和 AWS Panorama 資源。
-
AWSPanoramaApplianceServiceRole— 允許 AWS Panorama 設備將日誌上傳到 CloudWatch,並從 AWS Panorama 創建的 Amazon S3 接入點獲取對象。
若要檢視附加至每個角色的權限,請使用IAM 主控台AWSServiceRoleForAWSPanorama
僅授予服務訪問權限AWS IoT具有的資源panorama
以他們的名字。
保護應用裝置角色
AWS Panorama 設備使用AWSPanoramaApplianceServiceRole
角色可存取您帳戶中的資源。設備擁有上傳日誌至的許可 CloudWatch 日誌,從中讀取攝像機流憑據AWS Secrets Manager,以及 AWS Simple Storage Service (Amazon S3) 存取點中 AWS Panorama imple Storage Service (Amazon S3) 存取點中的應用程式成品。
注意
應用程式不使用設備的權限。授予您的應用程式使用權限AWS服務,建立應用程式角色。
AWS Panorama 對您帳戶中的所有設備使用相同的服務角色,且不會跨帳戶使用角色。為了增加安全層,您可以修改應用裝置角色的信任原則以明確強制執行此操作,這是當您使用角色授與服務權限以存取帳戶中資源時的最佳做法。
更新應用裝置角色信任原則
-
在 IAM 主控台中開啟設備角色:AWSPanoramaApplianceServiceRole
-
選擇 Edit trust relationship (編輯信任關係)。
-
更新策略內容,然後選擇更新信任政策。
以下信任政策包括一個條件,可確保當 AWS Panorama 擔任設備角色時,它正在為您帳戶中的設備執行此操作。所以此aws:SourceAccount
條件會將 AWS Panorama 指定的帳戶 ID 與您包含在政策中的帳戶 ID 進行比較。
範例 信任策略 — 特定帳戶
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "panorama.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": {
"StringEquals": { "aws:SourceAccount": "
} } ] }123456789012
" }
如果您想要進一步限制 AWS Panorama,並允許其僅擔任特定裝置的角色,可以透過 ARN 指定裝置。所以此aws:SourceArn
條件會將 AWS Panorama 指定的設備的 ARN 與您包含在政策中的設備進行比較。
範例 信任原則 — 單一應用裝置
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "panorama.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:panorama:
us-east-1
:123456789012
:device/device-lk7exmplpvcr3heqwjmesw76ky
" }, "StringEquals": { "aws:SourceAccount": "123456789012
" } } } ] }
如果重設並重新佈建應用裝置,則必須暫時移除來源 ARN 條件,然後使用新裝置 ID 再次新增該條件。
如需上述條件的資訊,以及當服務使用角色以存取您帳戶中的資訊,請參閱混淆代理人問題《IAM 使用者指南》中的資訊。
使用其他服務
AWS Panorama 在下列服務中建立或存取資源:
-
AWS IoT— AWS Panorama 設備的事物、政策、憑證和任務
-
Simple Storage Service (Amazon Simple Storage Service (Amazon S3))— 暫存應用程式模型、程式碼和組態的存取點。
-
Secrets Manager— AWS Panorama 設備的短期登入資料。
如需每個服務的 Amazon 資源名稱 (ARN) 格式或權限範圍的相關資訊,請參閱中的主題IAM User Guide在此列表中鏈接到。