Rôles du service AWS Panorama et ressources interservices - AWS Panorama
Sécurisation du rôle de l'applianceUtilisation d'autres services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles du service AWS Panorama et ressources interservices

AWS Panorama utilise d'autres services AWS pour gérer l'appliance AWS Panorama, stocker les données et importer les ressources des applications. Un rôle de service autorise un service à gérer des ressources ou à interagir avec d'autres services. Lorsque vous vous connectez à la console AWS Panorama pour la première fois, vous créez les rôles de service suivants :

  • AWSServiceRoleForAWSPanorama— Permet à AWS Panorama de gérer les ressources dans AWS IoT, AWS Secrets Manager et AWS Panorama.

    Politique gérée : AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole— Permet à une appliance AWS Panorama de télécharger des journaux et d'obtenir des objets depuis les points d'accès Amazon S3 créés par AWS Panorama. CloudWatch

    Politique gérée : AWSPanoramaApplianceServiceRolePolicy

Pour consulter les autorisations associées à chaque rôle, utilisez la console IAM. Dans la mesure du possible, les autorisations du rôle sont limitées aux ressources qui correspondent à un modèle de dénomination utilisé par AWS Panorama. Par exemple, AWSServiceRoleForAWSPanorama accorde uniquement au service l'autorisation d'accéder aux AWS IoT ressources dont panorama le nom est indiqué.

Sécurisation du rôle de l'appliance

L'appliance AWS Panorama utilise ce AWSPanoramaApplianceServiceRole rôle pour accéder aux ressources de votre compte. L'appliance est autorisée à télécharger des journaux dans CloudWatch Logs, à lire les informations d'identification des flux de AWS Secrets Manager caméra et à accéder aux artefacts de l'application dans les points d'accès Amazon Simple Storage Service (Amazon S3) créés par AWS Panorama.

Note

Les applications n'utilisent pas les autorisations de l'appliance. Pour autoriser votre application à utiliser les AWS services, créez un rôle dans l'application.

AWS Panorama utilise le même rôle de service pour toutes les appliances de votre compte et n'utilise pas de rôles entre les comptes. Pour renforcer la sécurité, vous pouvez modifier la politique de confiance du rôle de l'appliance afin de l'appliquer explicitement, ce qui constitue une bonne pratique lorsque vous utilisez des rôles pour accorder à un service l'autorisation d'accéder aux ressources de votre compte.

Pour mettre à jour la politique de confiance des rôles de l'appliance

  1. Ouvrez le rôle de l'appliance dans la console IAM : AWSPanoramaApplianceServiceRole

  2. Choisissez Modifier la relation d’approbation.

  3. Mettez à jour le contenu de la politique, puis choisissez Mettre à jour la politique de confiance.

La politique de confiance suivante inclut une condition qui garantit que lorsqu'AWS Panorama assume le rôle d'appliance, il le fait pour une appliance de votre compte. La aws:SourceAccount condition compare l'identifiant de compte spécifié par AWS Panorama à celui que vous incluez dans la politique.

Exemple politique de confiance — Compte spécifique
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Si vous souhaitez restreindre davantage AWS Panorama et lui permettre de n'assumer le rôle qu'avec un appareil spécifique, vous pouvez spécifier l'appareil par ARN. La aws:SourceArn condition compare l'ARN de l'appliance spécifiée par AWS Panorama à celui que vous incluez dans la politique.

Exemple politique de confiance — Appliance unique
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Si vous réinitialisez et reprovisionnez l'appliance, vous devez supprimer temporairement la condition ARN source, puis l'ajouter à nouveau avec le nouvel identifiant de l'appareil.

Pour plus d'informations sur ces conditions et sur les meilleures pratiques de sécurité lorsque les services utilisent des rôles pour accéder aux ressources de votre compte, consultez la section Le problème des adjoints confus dans le guide de l'utilisateur IAM.

Utilisation d'autres services

AWS Panorama crée ou accède à des ressources dans les services suivants :

  • AWS IoT— Éléments, politiques, certificats et tâches pour l'appliance AWS Panorama

  • Amazon S3 — Points d'accès pour la mise en place de modèles d'applications, de code et de configurations.

  • Secrets Manager — Informations d'identification à court terme pour l'appliance AWS Panorama.

Pour plus d'informations sur le format Amazon Resource Name (ARN) ou les étendues d'autorisation pour chaque service, consultez les rubriques du guide de l'utilisateur IAM auxquelles renvoie cette liste.