AWS Panorama サービスロールとクロスサービスリソース - AWS Panorama
アプライアンスロールの保護他のサービスの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Panorama サービスロールとクロスサービスリソース

AWS Panorama は、他の AWS サービスを使用して AWS Panorama アプライアンスの管理、データの保存、アプリケーションリソースのインポートを行います。サービスロールは、リソースを管理したり、他のサービスとやり取りしたりする権限をサービスに付与します。AWS Panorama コンソールに初めてサインインするには、次のサービスロールを使用します。

  • AWSServiceRoleForAWSPanorama — AWS Panorama が AWS IoT、AWS Secrets Manager、および AWS Panorama のリソースを管理できるようにします。

    マネージドポリシー: Panoramaサービスにリンクされたロールポリシー

  • AWSPanoramaApplianceServiceRole — AWS Panorama アプライアンスが CloudWatch にログをアップロードし、AWS Panorama によって作成された Amazon S3 Access Points からオブジェクトを取得することを許可します。

    マネージドポリシー: AWSPanoramaApplianceServiceRolePolicy

各ロールにアタッチされている権限を表示するには、IAM コンソールを使用してください。ロールの権限は、可能な限り、AWS Panorama が使用する命名パターンに一致するリソースに制限されます。たとえば、AWSServiceRoleForAWSPanorama は名前にpanorama が含まれているAWS IoT リソースにアクセスする権限のみをサービスに付与します。

アプライアンスロールの保護

AWS Panorama アプライアンスはAWSPanoramaApplianceServiceRole ロールを使用してアカウントのリソースにアクセスします。アプライアンスには、CloudWatch Logs にログをアップロードしたり、AWS Secrets Manager からカメラストリーム認証情報を読み取ったり、AWS Panorama が作成した Amazon Simple Storage Service (Amazon S3) アクセスポイントのアプリケーションアーティファクトにアクセスしたりする権限があります。

注記

アプリケーションはアプライアンスの権限を使用しません。アプリケーションにAWS サービスを使用する権限を与えるには、アプリケーションロールを作成します。

AWS Panorama は、アカウント内のすべてのアプライアンスで同じサービスロールを使用し、アカウント間でロールを使用することはありません。セキュリティを強化するために、アプライアンスロールの信頼ポリシーを変更してこれを明示的に適用できます。これは、ロールを使用してアカウント内のリソースにアクセスするためのサービス権限をサービスに付与する場合のベストプラクティスです。

アプライアンスロールの信頼ポリシーを更新するには

  1. IAM コンソールでアプライアンスロール (AWSPanoramaApplianceServiceRole) を開きます。

  2. [Edit trust relationship] (信頼関係の編集) をクリックします。

  3. ポリシーの内容を更新し、[信頼ポリシーの更新]を選択します。

以下の信頼ポリシーには、AWS Panorama がアプライアンスの役割を引き受けるときに、アカウント内のアプライアンスに対してその役割を担うことを保証する条件が含まれています。aws:SourceAccount 条件は、AWS Panorama で指定されたアカウント ID を、ポリシーに含めたアカウント ID と比較します。

例 信頼ポリシー — 特定のアカウント
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

AWS Panorama をさらに制限し、特定のデバイスでのみロールを引き受けられるようにしたい場合は、ARN でデバイスを指定できます。aws:SourceArn 条件は、AWS Panorama で指定されたアプライアンスの ARN を、ポリシーに含めたアカウント ID と比較します。

例 信頼ポリシー — 単一アプライアンス
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

アプライアンスをリセットして再プロビジョニングする場合は、ソース ARN 条件を一時的に削除してから、新しいデバイス ID を使用して再度追加する必要があります。

これらの条件と、サービスがロールを使用してアカウント内のリソースにアクセスする場合のセキュリティのベストプラクティスについて詳しくは、「IAM ユーザーガイド」の「混乱した代理問題」を参照してください。

他のサービスの使用

AWS Panorama は、以下のサービスのリソースを作成またはアクセスします。

  • AWS IoT — AWS Panorama アプライアンス用のモノ、ポリシー、証明書、ジョブ

  • Amazon S3 — アプリケーションモデル、コード、構成をステージングするためのアクセスポイント。

  • Secrets Manager — AWS Panorama アプライアンスの短期認証情報。

各サービスの Amazon リソースネーム (ARN) 形式または権限スコープについては、このリストにリンクされている IAM ユーザーガイドのトピックを参照してください。