Ruoli di servizio AWS Panorama e risorse interservizi - AWS Panorama
Garantire il ruolo dell'applianceUso di altri servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruoli di servizio AWS Panorama e risorse interservizi

AWS Panorama utilizza altri servizi AWS per gestire l'appliance AWS Panorama, archiviare dati e importare risorse applicative. Un ruolo di servizio consente a un servizio di gestire le risorse o interagire con altri servizi. Quando accedi alla console AWS Panorama per la prima volta, crei i seguenti ruoli di servizio:

  • AWSServiceRoleForAWSPanorama— Consente ad AWS Panorama di gestire le risorse in AWS IoT, AWS Secrets Manager e AWS Panorama.

    Policy gestita:AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole— Consente a un'appliance AWS Panorama di caricare i log su CloudWatche per ottenere oggetti dai punti di accesso Amazon S3 creati da AWS Panorama.

    Policy gestita:AWSPanoramaApplianceServiceRolePolicy

Per visualizzare le autorizzazioni associate a ciascun ruolo, utilizzare ilConsole IAM. Ove possibile, le autorizzazioni del ruolo sono limitate alle risorse che corrispondono a uno schema di denominazione utilizzato da AWS Panorama. Ad esempio,AWSServiceRoleForAWSPanoramaconcede solo l'autorizzazione per l'accesso al servizioAWS IoTrisorse che hannopanoramaa loro nome.

Garantire il ruolo dell'appliance

L'appliance AWS Panorama utilizzaAWSPanoramaApplianceServiceRoleruolo per accedere alle risorse del tuo account. L'appliance è autorizzata per caricare i log in CloudWatch Registra, legge le credenziali dello streaming della telecamera daAWS Secrets Managere per accedere a artefatti dell'applicazione nei punti di accesso Amazon Simple Storage Service (Amazon S3) creati da AWS Panorama.

Nota

Le applicazioni non utilizzano le autorizzazioni del dispositivo. Per concedere all'applicazione l'autorizzazione all'usoAWSservizi, crea unruolo dell'applicazione.

AWS Panorama utilizza lo stesso ruolo di servizio con tutte le appliance del tuo account e non utilizza ruoli tra più account. Per un ulteriore livello di sicurezza, è possibile modificare la politica di attendibilità del ruolo dell'appliance per applicarla in modo esplicito, una procedura consigliata quando si utilizzano i ruoli per concedere a un servizio l'autorizzazione ad accedere alle risorse del proprio account.

Per aggiornare la politica di attendibilità dei ruoli dell'

  1. Apri il ruolo dell'appliance nella console IAM:AWSPanoramaApplianceServiceRole

  2. Seleziona Edit trust relationship (Modifica relazione di trust).

  3. Aggiorna il contenuto della politica e poi scegliAggiorna policy di trust.

La seguente politica di attendibilità include una condizione che garantisce che quando AWS Panorama assume il ruolo di appliance, lo faccia per un dispositivo incluso nel tuo account. Ilaws:SourceAccountcondition confronta l'ID dell'account specificato da AWS Panorama con quello incluso nella policy.

Esempio politica di fiducia — Account specifico
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Se desideri limitare ulteriormente AWS Panorama e consentirgli di assumere il ruolo solo con un dispositivo specifico, puoi specificare il dispositivo tramite ARN. Ilaws:SourceArncondition confronta l'ARN dell'appliance specificato da AWS Panorama con quello incluso nella policy.

Esempio policy di attendibilità: dispositivo singolo
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

Se si ripristina e si rifornisce il dispositivo, è necessario rimuovere temporaneamente la condizione ARN di origine e quindi aggiungerla nuovamente con il nuovo ID del dispositivo.

Per ulteriori informazioni su queste condizioni e su best practice di sicurezza quando i servizi utilizzano i ruoli per accedere a risorse nel proprio account, consultareProblema del "confused deputy"nella Guida per l'utente di IAM.

Uso di altri servizi

AWS Panorama crea o accede alle risorse nei seguenti servizi:

  • AWS IoT— Cose, politiche, certificati e lavori per l'appliance AWS Panorama

  • Amazon S3— Punti di accesso per la gestione temporanea di modelli, codice e configurazioni delle applicazioni.

  • Secrets Manager— Credenziali a breve termine per AWS Panorama Appliance.

Per informazioni sul formato Amazon Resource Name (ARN) o sugli ambiti di autorizzazione per ciascun servizio, consulta gli argomenti nellaIAM User Guideche sono collegati a questo elenco.