Roles de servicio y recursos multiservicios de AWS Panorama - AWS Panorama
Asegurar el rol del dispositivoUtilización de otros servicios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Roles de servicio y recursos multiservicios de AWS Panorama

AWS Panorama usa otros servicios de AWS Panorama para administrar el dispositivo de AWS Panorama, almacenar datos e importar recursos de aplicaciones. Un rol de servicio da a un servicio permiso para administrar recursos o interactuar con otros servicios. Cuando inicia sesión en la consola de AWS Panorama por primera vez, crea los roles de servicio siguientes:

  • AWSServiceRoleForAWSPanorama— Permite a AWS Panorama gestionar los recursos en AWS IoT, AWS Secrets Manager y AWS Panorama.

    Política gestionada: AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole— Permite a un dispositivo AWS Panorama cargar registros y obtener objetos de los puntos de acceso de Amazon S3 creados por AWS Panorama. CloudWatch

    Política gestionada: AWSPanoramaApplianceServiceRolePolicy

Para ver los permisos asociados a cada rol, utilice la consola de IAM. Siempre que sea posible, los permisos del rol se restringen a los recursos que coincidan con un patrón de nomenclatura que utiliza AWS Panorama. Por ejemplo, solo AWSServiceRoleForAWSPanorama otorga permiso al servicio para acceder a AWS IoT los recursos que tienen panorama en su nombre.

Asegurar el rol del dispositivo

El dispositivo de AWS Panorama usa el rol de AWSPanoramaApplianceServiceRole para acceder a los recursos de su cuenta. El dispositivo tiene permiso para cargar registros en Logs, leer las credenciales de transmisión de AWS Secrets Manager cámara y acceder a los artefactos de la aplicación en los puntos de acceso de Amazon Simple Storage Service (Amazon S3) que crea AWS Panorama. CloudWatch

nota

Las aplicaciones no utilizan los permisos del dispositivo. Para dar permiso a su aplicación para usar los servicios de AWS , cree un rol de aplicación.

AWS Panorama usa el mismo rol de servicio con todos los dispositivos de su cuenta y no usa roles en todas las cuentas. Para añadir un nivel de seguridad adicional, puede modificar la política de confianza del rol del dispositivo para aplicarlo de forma explícita, lo cual es una práctica recomendada cuando utiliza los roles para conceder a un servicio permiso de acceso a los recursos de su cuenta.

Para actualizar la política de confianza de roles del dispositivo

  1. Abra la función del dispositivo en la consola de IAM: AWSPanoramaApplianceServiceRole

  2. Elija Editar relación de confianza.

  3. Actualice el contenido de la política y, a continuación, seleccione Actualizar política de confianza.

La siguiente política de confianza incluye una condición que garantiza que, cuando AWS Panorama asuma el rol de dispositivo, lo haga para un dispositivo de su cuenta. La condición de aws:SourceAccount compara el ID de cuenta especificado por AWS Panorama con el que usted incluye en la política.

ejemplo política de confianza: cuenta específica
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Si desea restringir aún más AWS Panorama y permitir que solo asuma el rol con un dispositivo específico, puede especificar el dispositivo por ARN. La condición de aws:SourceArn compara el ARN del dispositivo especificado por AWS Panorama con el que usted incluye en la política.

ejemplo política de confianza: dispositivo único
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Si restablece y vuelve a aprovisionar el dispositivo, debe eliminar temporalmente la condición de ARN de origen y, a continuación, volver a añadirla con el nuevo ID de dispositivo.

Para obtener más información sobre estas condiciones y las prácticas recomendadas de seguridad cuando los servicios utilizan roles para acceder a los recursos de su cuenta, consulte El problema del suplente confuso en la Guía del usuario de IAM.

Utilización de otros servicios

AWS Panorama crea recursos en los siguientes servicios o accede a ellos:

  • AWS IoT: cosas, políticas, certificados y trabajos para el dispositivo de AWS Panorama

  • Amazon S3: puntos de acceso para organizar modelos, códigos y configuraciones de aplicaciones.

  • Secrets Manager: credenciales a corto plazo para el dispositivo de AWS Panorama.

Para obtener información sobre el formato del Nombre de recurso de Amazon (ARN) o los ámbitos de los permisos de cada servicio, consulte los temas de la Guía del usuario de IAM a los que se enlaza en esta lista.