AWS-Panorama-Servicerollen und serviceübergreifende Ressourcen - AWS Panorama
Sicherung der Appliance-RolleNutzung anderer Dienste

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-Panorama-Servicerollen und serviceübergreifende Ressourcen

AWS Panorama verwendet andere AWS-Services, um die AWS Panorama Appliance zu verwalten, Daten zu speichern und Anwendungsressourcen zu importieren. Eine Servicerolle erteilt einem Service die Erlaubnis, Ressourcen zu verwalten oder mit anderen Services zu interagieren. Wenn Sie sich zum ersten Mal bei der AWS Panorama Panorama-Konsole anmelden, erstellen Sie die folgenden Servicerollen:

  • AWSServiceRoleForAWSPanorama— Ermöglicht AWS Panorama die Verwaltung von Ressourcen in AWS IoT, AWS Secrets Manager und AWS Panorama.

    Verwaltete Richtlinie: AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole— Ermöglicht einer AWS-Panorama-Appliance das Hochladen von Protokollen und das Abrufen von Objekten von Amazon S3 S3-Zugriffspunkten, die von AWS Panorama erstellt wurden. CloudWatch

    Verwaltete Richtlinie: AWSPanoramaApplianceServiceRolePolicy

Verwenden Sie die IAM-Konsole, um die mit den einzelnen Rollen verknüpften Berechtigungen einzusehen. Wo immer möglich, sind die Berechtigungen der Rolle auf Ressourcen beschränkt, die einem von AWS Panorama verwendeten Benennungsmuster entsprechen. Erteilt dem AWSServiceRoleForAWSPanorama Service beispielsweise nur die Erlaubnis, auf AWS IoT Ressourcen zuzugreifen, die panorama in ihrem Namen enthalten sind.

Sicherung der Appliance-Rolle

Die AWS Panorama Appliance verwendet die AWSPanoramaApplianceServiceRole Rolle, um auf Ressourcen in Ihrem Konto zuzugreifen. Die Appliance ist berechtigt, Protokolle in Logs hochzuladen, Kamera-Stream-Anmeldeinformationen zu lesen und auf Anwendungsartefakte in Amazon Simple Storage Service (Amazon S3) -Zugriffspunkten zuzugreifen, die AWS Panorama erstellt. CloudWatch AWS Secrets Manager

Anmerkung

Anwendungen verwenden die Berechtigungen der Appliance nicht. Um Ihrer Anwendung die Erlaubnis zur Nutzung von AWS Diensten zu erteilen, erstellen Sie eine Anwendungsrolle.

AWS Panorama verwendet dieselbe Servicerolle für alle Appliances in Ihrem Konto und verwendet keine Rollen für mehrere Konten. Für eine zusätzliche Sicherheitsebene können Sie die Vertrauensrichtlinie der Appliance-Rolle ändern, um dies explizit durchzusetzen. Dies ist eine bewährte Methode, wenn Sie Rollen verwenden, um einer Serviceberechtigung für den Zugriff auf Ressourcen in Ihrem Konto zu gewähren.

Um die Vertrauensrichtlinie für die Appliance-Rolle zu aktualisieren

  1. Öffnen Sie die Appliance-Rolle in der IAM-Konsole: AWSPanoramaApplianceServiceRole

  2. Wählen Sie Vertrauensstellung bearbeiten aus.

  3. Aktualisieren Sie den Inhalt der Richtlinie und wählen Sie dann Vertrauensrichtlinie aktualisieren aus.

Die folgende Vertrauensrichtlinie beinhaltet eine Bedingung, die sicherstellt, dass AWS Panorama, wenn es die Appliance-Rolle übernimmt, dies für eine Appliance in Ihrem Konto tut. Die aws:SourceAccount Bedingung vergleicht die von AWS Panorama angegebene Konto-ID mit der, die Sie in die Richtlinie aufnehmen.

Beispiel Vertrauensrichtlinie — Spezifisches Konto
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Wenn Sie AWS Panorama weiter einschränken und zulassen möchten, dass es die Rolle nur für ein bestimmtes Gerät übernimmt, können Sie das Gerät per ARN angeben. Die aws:SourceArn Bedingung vergleicht den ARN der von AWS Panorama angegebenen Appliance mit dem ARN, den Sie in die Richtlinie aufnehmen.

Beispiel Vertrauensrichtlinie — Einzelne Appliance
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Wenn Sie die Appliance zurücksetzen und erneut bereitstellen, müssen Sie die ARN-Quellbedingung vorübergehend entfernen und sie dann mit der neuen Geräte-ID erneut hinzufügen.

Weitere Informationen zu diesen Bedingungen und bewährte Sicherheitsmethoden, wenn Dienste Rollen für den Zugriff auf Ressourcen in Ihrem Konto verwenden, finden Sie unter Das Problem mit dem verwirrten Stellvertreter im IAM-Benutzerhandbuch.

Nutzung anderer Dienste

AWS Panorama erstellt Ressourcen in den folgenden Services oder greift auf Ressourcen zu:

  • AWS IoT— Dinge, Richtlinien, Zertifikate und Jobs für die AWS Panorama Appliance

  • Amazon S3 — Zugriffspunkte für das Staging von Anwendungsmodellen, Code und Konfigurationen.

  • Secrets Manager — Kurzfristige Anmeldeinformationen für die AWS Panorama Appliance.

Informationen zum Amazon Resource Name (ARN) -Format oder zu den Berechtigungsbereichen für jeden Service finden Sie in den Themen im IAM-Benutzerhandbuch, auf die in dieser Liste verlinkt wird.