AWS Panorama 서비스 역할 및 교차 서비스 리소스 - AWS Panorama
어플라이언스 역할 보안기타 서비스 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Panorama 서비스 역할 및 교차 서비스 리소스

AWS Panorama는 다른 AWS 서비스를 사용하여 AWS Panorama 어플라이언스를 관리하고, 데이터를 저장하고, 애플리케이션 리소스를 가져옵니다. 서비스 역할은 리소스를 관리하거나 다른 서비스와 상호 작용할 수 있는 권한을 서비스에 부여합니다. AWS Panorama 콘솔에 처음으로 로그인하는 경우 다음 서비스 역할을 생성합니다.

  • AWSServiceRoleForAWSPanorama – AWS Panorama에서 AWS IoT, AWS Secrets Manager, AWS Panorama 등에서 리소스를 관리할 수 있습니다.

    관리형 정책: AWSPanoramaServiceLinkedRolePolicy

  • AWSPanoramaApplianceServiceRole – AWS Panorama 어플라이언스가 CloudWatch에 로그를 업로드하고, AWS Panorama에서 생성한 Amazon S3 액세스 포인트에서 개체를 가져올 수 있습니다.

    관리형 정책: AWSPanoramaApplianceServiceRolePolicy

각 역할에 연결된 권한을 보려면 IAM 콘솔을 사용하십시오. 가능한 경우 역할의 권한은 AWS Panorama가 사용하는 이름 지정 패턴과 일치하는 리소스로 제한됩니다. 예를 들어 AWSServiceRoleForAWSPanorama는 이름에 panorama가 있는 AWS IoT 리소스에 액세스할 수 있는 권한만 서비스에게 부여합니다.

어플라이언스 역할 보안

AWS Panorama 어플라이언스는 AWSPanoramaApplianceServiceRole 역할을 사용하여 계정의 리소스에 액세스합니다. 어플라이언스는 로그를 CloudWatch Logs에 업로드하고, AWS Secrets Manager에서 카메라 스트림 보안 인증 정보을 읽고, AWS Panorama가 생성하는 Amazon Simple Storage Service(S3) 액세스 포인트의 애플리케이션 아티팩트에 액세스할 수 있는 권한을 가집니다.

참고

애플리케이션은 어플라이언스의 권한을 사용하지 않습니다. 애플리케이션에 AWS 서비스 사용 권한을 부여하려면 애플리케이션 역할을 생성하십시오.

AWS Panorama는 계정의 모든 어플라이언스에서 동일한 서비스 역할을 사용하며 계정 간에 역할을 사용하지 않습니다. 보안을 강화하기 위해 어플라이언스 역할의 신뢰 정책을 수정하여 이를 명시적으로 적용할 수 있습니다. 역할을 사용하여 서비스에 계정의 리소스에 액세스할 수 있는 권한을 부여하는 것이 가장 좋습니다.

어플라이언스 역할 신뢰 정책을 업데이트하려면

  1. IAM 콘솔에서 어플라이언스 역할: AWSPanoramaApplianceServiceRole을 엽니다.

  2. 신뢰 관계 편집(Edit trust relationship)을 선택합니다.

  3. 정책 내용을 업데이트한 다음 신뢰 정책 업데이트를 선택합니다.

다음 신뢰 정책에는 AWS Panorama가 어플라이언스 역할을 맡을 때 계정의 어플라이언스에 대해 해당 역할을 수행하도록 보장하는 조건이 포함되어 있습니다. aws:SourceAccount 조건은 AWS Panorama에서 지정한 계정 ID를 정책에 포함된 계정 ID와 비교합니다.

예 신뢰 정책 – 특정 계정
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

AWS Panorama를 더 제한하여 특정 디바이스에서만 역할을 수행하도록 허용하려면 ARN으로 디바이스를 지정하면 됩니다. aws:SourceArn 조건은 AWS Panorama에서 지정한 어플라이언스 ARN을 정책에 포함된 어플라이언스 ARN과 비교합니다.

예 신뢰 정책 – 단일 어플라이언스
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

어플라이언스를 재설정하고 다시 프로비저닝하는 경우 소스 ARN 조건을 일시적으로 제거한 다음 새 디바이스 ID로 다시 추가해야 합니다.

이러한 조건에 대한 자세한 내용과 서비스가 역할을 사용하여 계정의 리소스에 액세스할 때의 보안 모범 사례에 대한 자세한 내용은 IAM 사용 설명서의 혼란스러운 대리인 문제를 참조하십시오.

기타 서비스 사용

AWS Panorama는 다음 서비스에서 리소스를 생성하거나 액세스합니다.

  • AWS IoT – AWS Panorama 어플라이언스를 위한 사물, 정책, 인증서 및 작업입니다.

  • Amazon S3 – 애플리케이션 모델, 코드 및 구성을 스테이징하기 위한 액세스 포인트입니다.

  • Secrets Manager – AWS Panorama 어플라이언스의 단기 보안 인증 정보입니다.

Amazon 리소스 이름(ARN) 형식 또는 각 서비스의 권한 범위에 대한 자세한 내용은 이 목록에 링크된 IAM 사용 설명서의 주제를 참조하십시오.