AWS Panorama 服务角色和跨服务资源

AWS Panorama 使用其他 AWS 服务来管理 AWS Panorama 设备、存储数据和导入应用程序资源。服务角色授予服务管理资源或与其他服务交互的权限。当您首次登录 AWS Panorama 控制台时，您将创建以下服务角色：

要查看附加到每个角色的权限，请使用 IAM 控制台。在可能的情况下，角色的权限仅限于与 AWS Panorama 使用的命名模式匹配的资源。例如，AWSServiceRoleForAWSPanorama 仅授予服务访问名称中包含 AWS IoT 的 panorama 资源的权限。

保护设备角色

AWS Panorama 设备使用 AWSPanoramaApplianceServiceRole 角色访问您账户中的资源。该设备有权将日志上传到 CloudWatch Logs，从 AWS Secrets Manager 读取摄像头流式传输凭证，以及访问 AWS Panorama 创建的 Amazon Simple Storage Service（Amazon S3）接入点中的应用程序构件。

AWS Panorama 对您帐户中的所有设备使用相同的服务角色，并且不会跨帐户使用角色。为了增加安全层，您可以修改设备角色的信任策略以明确强制执行此操作，当您使用角色授予服务访问帐户中资源的权限时，这是最佳实践。

以下信任策略包含一个条件，该条件确保当 AWS Panorama 担任设备角色时，它会对您账户中的设备执行此操作。aws:SourceAccount 条件将 AWS Panorama 指定的账户 ID 与您包含在策略中的账户 ID 进行比较。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

如果您想进一步限制 AWS Panorama，并允许其仅承担特定设备的角色，您可以通过 ARN 指定设备。aws:SourceArn 条件将 AWS Panorama 指定的设备的 ARN 与您包含在策略中的 ARN 进行比较。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}

如果重置并重新置备设备，则必须暂时删除源 ARN 条件，然后使用新的设备 ID 再次添加。

有关这些条件的更多信息，以及服务使用角色访问账户资源时的安全最佳实践，请参阅 IAM 用户指南中的混淆代理问题。

使用其他服务

AWS Panorama 在以下服务中创建或访问资源：

有关每项服务的 Amazon 资源名称（ARN） 格式或权限范围的信息，请参阅此列表中链接到的IAM 用户指南中的主题。