Pemberitahuan akhir dukungan: Pada 31 Mei 2026, AWS akan mengakhiri dukungan untuk AWS Panorama. Setelah 31 Mei 2026, Anda tidak akan lagi dapat mengakses AWS Panorama konsol atau AWS Panorama sumber daya. Untuk informasi lebih lanjut, lihat [AWS Panorama akhir dukungan](https://docs.aws.amazon.com/panorama/latest/dev/panorama-end-of-support.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Panorama izin
<a name="panorama-permissions"></a>

Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses ke AWS Panorama layanan dan sumber daya seperti peralatan dan aplikasi. Untuk pengguna di akun yang digunakan AWS Panorama, Anda mengelola izin dalam kebijakan izin yang dapat Anda terapkan pada peran IAM. Untuk mengelola izin aplikasi, Anda membuat peran dan menetapkannya ke aplikasi.

Untuk [mengelola izin bagi pengguna](permissions-user.md) di akun Anda, gunakan kebijakan terkelola yang AWS Panorama menyediakan, atau tulis milik Anda sendiri. Anda memerlukan izin ke AWS layanan lain untuk mendapatkan log aplikasi dan alat, melihat metrik, dan menetapkan peran ke aplikasi.

 AWS Panorama Appliance juga memiliki peran yang memberinya izin untuk mengakses AWS layanan dan sumber daya. Peran alat adalah salah satu [peran layanan](permissions-services.md) yang digunakan AWS Panorama layanan untuk mengakses layanan lain atas nama Anda.

Peran [aplikasi adalah peran](permissions-application.md) layanan terpisah yang Anda buat untuk aplikasi, untuk memberikan izin untuk menggunakan AWS layanan dengan aplikasi AWS SDK for Python (Boto). Untuk membuat peran aplikasi, Anda memerlukan hak administratif atau bantuan administrator.

Anda dapat membatasi izin pengguna dengan sumber daya yang dipengaruhi tindakan, dan dalam beberapa kasus, dengan kondisi tambahan. Misalnya, Anda dapat menentukan pola untuk Amazon Resource Name (ARN) aplikasi yang mengharuskan pengguna untuk memasukkan nama pengguna mereka dalam nama aplikasi yang mereka buat. Untuk sumber daya dan kondisi yang didukung oleh setiap tindakan, lihat [Kunci tindakan, sumber daya, dan kondisi AWS Panorama](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html) di Referensi Otorisasi Layanan.

Untuk informasi lebih lanjut, lihat [Apa itu IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/) di Panduan Pengguna IAM.

**Topics**
+ [Kebijakan IAM berbasis identitas untuk AWS Panorama](permissions-user.md)
+ [Peran layanan AWS Panorama dan sumber daya lintas layanan](permissions-services.md)
+ [Memberikan izin untuk aplikasi](permissions-application.md)

# Kebijakan IAM berbasis identitas untuk AWS Panorama
<a name="permissions-user"></a>

Untuk memberi pengguna di akun Anda akses ke AWS Panorama, Anda menggunakan kebijakan berbasis identitas di (IAM). AWS Identity and Access Management Menerapkan kebijakan berbasis identitas ke peran IAM yang terkait dengan pengguna. Anda juga dapat memberikan izin kepada pengguna di akun lain untuk berperan dalam akun Anda dan mengakses sumber daya AWS Panorama Anda.

AWS Panorama menyediakan kebijakan terkelola yang memberikan akses ke tindakan AWS Panorama API dan, dalam beberapa kasus, akses ke layanan lain yang digunakan untuk mengembangkan dan mengelola sumber daya AWS Panorama. AWS Panorama memperbarui kebijakan terkelola sesuai kebutuhan, untuk memastikan bahwa pengguna Anda memiliki akses ke fitur baru saat dirilis.
+ **AWSPanoramaFullAccess**— Menyediakan akses penuh ke AWS Panorama, jalur akses AWS Panorama di Amazon S3, kredensi alat di, dan log alat di AWS Secrets Manager Amazon. CloudWatch Termasuk izin untuk membuat [peran terkait layanan](permissions-services.md) untuk AWS Panorama. [Lihat kebijakan](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSPanoramaFullAccess)

`AWSPanoramaFullAccess`Kebijakan ini memungkinkan Anda menandai sumber daya AWS Panorama, tetapi tidak memiliki semua izin terkait tag yang digunakan oleh konsol AWS Panorama. Untuk memberikan izin ini, tambahkan kebijakan berikut.
+ **ResourceGroupsandTagEditorFullAccess**— [Lihat kebijakan](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)

`AWSPanoramaFullAccess`Kebijakan ini tidak mencakup izin untuk membeli perangkat dari konsol AWS Panorama. Untuk memberikan izin ini, tambahkan kebijakan berikut.
+ **ElementalAppliancesSoftwareFullAccess**— [Lihat kebijakan](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ElementalAppliancesSoftwareFullAccess)

Kebijakan terkelola memberikan izin untuk tindakan API tanpa membatasi sumber daya yang dapat dimodifikasi pengguna. Untuk kontrol yang lebih cermat, Anda dapat membuat kebijakan Anda sendiri yang membatasi ruang lingkup izin pengguna. Gunakan kebijakan akses penuh sebagai titik awal untuk kebijakan Anda.

**Membuat peran layanan**  
Saat pertama kali menggunakan [konsol AWS Panorama](https://console.aws.amazon.com/panorama/home), Anda memerlukan izin untuk membuat [peran layanan](permissions-services.md) yang digunakan oleh AWS Panorama Appliance. Peran layanan memberikan izin layanan untuk mengelola sumber daya atau berinteraksi dengan layanan lain. Buat peran ini sebelum memberikan akses ke pengguna Anda.

Untuk detail tentang sumber daya dan ketentuan yang dapat Anda gunakan untuk membatasi cakupan izin pengguna di AWS Panorama, [lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS Panorama di Referensi Otorisasi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html) Layanan.

# Peran layanan AWS Panorama dan sumber daya lintas layanan
<a name="permissions-services"></a>

AWS Panorama menggunakan layanan AWS lainnya untuk mengelola AWS Panorama Appliance, menyimpan data, dan mengimpor sumber daya aplikasi. Peran layanan memberikan izin layanan untuk mengelola sumber daya atau berinteraksi dengan layanan lain. Saat Anda masuk ke konsol AWS Panorama untuk pertama kalinya, Anda membuat peran layanan berikut:

****
+ **AWSServiceRoleForAWSPanorama**— Memungkinkan AWS Panorama mengelola sumber daya di AWS IoT, AWS Secrets Manager, dan AWS Panorama.

  Kebijakan terkelola: [AWSPanoramaServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaServiceLinkedRolePolicy)
+ **AWSPanoramaApplianceServiceRole**— Memungkinkan AWS Panorama Appliance untuk mengunggah log ke CloudWatch, dan untuk mendapatkan objek dari titik akses Amazon S3 yang dibuat oleh AWS Panorama.

  Kebijakan terkelola: [AWSPanoramaApplianceServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaApplianceServiceRolePolicy)

Untuk melihat izin yang dilampirkan ke setiap peran, gunakan konsol [IAM](https://console.aws.amazon.com/iam). Jika memungkinkan, izin peran dibatasi untuk sumber daya yang cocok dengan pola penamaan yang digunakan AWS Panorama. Misalnya, hanya `AWSServiceRoleForAWSPanorama` memberikan izin untuk layanan untuk mengakses AWS IoT sumber daya yang memiliki `panorama` nama mereka.

**Topics**
+ [Mengamankan peran alat](#permissions-services-appliance)
+ [Penggunaan layanan lain](#permissions-services-otherservices)

## Mengamankan peran alat
<a name="permissions-services-appliance"></a>

AWS Panorama Appliance menggunakan `AWSPanoramaApplianceServiceRole` peran tersebut untuk mengakses sumber daya di akun Anda. Alat ini memiliki izin untuk mengunggah CloudWatch log ke Log, membaca kredensil aliran kamera dari AWS Secrets Manager, dan mengakses artefak aplikasi di titik akses Amazon Simple Storage Service (Amazon S3) yang dibuat AWS Panorama.

**catatan**  
Aplikasi tidak menggunakan izin alat. Untuk memberikan izin aplikasi Anda untuk menggunakan AWS layanan, buat [peran aplikasi](permissions-application.md).

AWS Panorama menggunakan peran layanan yang sama dengan semua peralatan di akun Anda, dan tidak menggunakan peran di seluruh akun. Untuk lapisan keamanan tambahan, Anda dapat mengubah kebijakan kepercayaan peran alat untuk menegakkannya secara eksplisit, yang merupakan praktik terbaik saat Anda menggunakan peran untuk memberikan izin layanan untuk mengakses sumber daya di akun Anda.

**Untuk memperbarui kebijakan kepercayaan peran alat**

1. Buka peran alat di konsol IAM: [AWSPanoramaApplianceServiceRole](https://console.aws.amazon.com/iam/home#/roles/AWSPanoramaApplianceServiceRole?section=trust)

1. Pilih **Edit trust relationship** (Edit Hubungan Kepercayaan).

1. Perbarui konten kebijakan, lalu pilih **Perbarui kebijakan kepercayaan**.

Kebijakan kepercayaan berikut mencakup kondisi yang memastikan bahwa ketika AWS Panorama mengambil peran alat, kebijakan tersebut dilakukan untuk alat di akun Anda. `aws:SourceAccount`Kondisi ini membandingkan ID akun yang ditentukan oleh AWS Panorama dengan ID yang Anda sertakan dalam kebijakan.

**Example kebijakan kepercayaan — Akun khusus**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}
```

Jika Anda ingin membatasi AWS Panorama lebih lanjut, dan membiarkannya hanya mengambil peran dengan perangkat tertentu, Anda dapat menentukan perangkat dengan ARN. `aws:SourceArn`Kondisi ini membandingkan ARN alat yang ditentukan oleh AWS Panorama dengan ARN yang Anda sertakan dalam kebijakan.

**Example kebijakan kepercayaan - Alat tunggal**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "panorama.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
        },
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}
```

Jika Anda mengatur ulang dan menyediakan kembali alat, Anda harus menghapus kondisi ARN sumber sementara dan kemudian menambahkannya lagi dengan ID perangkat baru.

Untuk informasi selengkapnya tentang kondisi ini, dan praktik terbaik keamanan saat layanan menggunakan peran untuk mengakses sumber daya di akun Anda, lihat [Masalah deputi yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) di Panduan Pengguna IAM.

## Penggunaan layanan lain
<a name="permissions-services-otherservices"></a>

AWS Panorama membuat atau mengakses sumber daya dalam layanan berikut: 

****
+ [AWS IoT](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiot.html)— Hal-hal, kebijakan, sertifikat, dan pekerjaan untuk AWS Panorama Appliance
+ [Amazon S3](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazons3.html) — Titik akses untuk mementaskan model aplikasi, kode, dan konfigurasi.
+ [Secrets Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecretsmanager.html) — Kredensi jangka pendek untuk AWS Panorama Appliance.

Untuk informasi tentang format Amazon Resource Name (ARN) atau cakupan izin untuk setiap layanan, lihat topik di *Panduan Pengguna IAM* yang ditautkan dalam daftar ini.

# Memberikan izin untuk aplikasi
<a name="permissions-application"></a>

Anda dapat membuat peran untuk aplikasi Anda untuk memberikan izin untuk memanggil AWS layanan. Secara default, aplikasi tidak memiliki izin apa pun. Anda membuat peran aplikasi di IAM dan menetapkannya ke aplikasi selama penerapan. Untuk memberikan aplikasi Anda hanya izin yang dibutuhkan, buat peran untuk itu dengan izin untuk tindakan API tertentu.

[Contoh aplikasi](gettingstarted-sample.md) mencakup CloudFormation template dan skrip yang membuat peran aplikasi. Ini adalah [peran layanan](permissions-services.md) yang dapat diasumsikan oleh AWS Panorama. Peran ini memberikan izin bagi aplikasi untuk menelepon untuk CloudWatch mengunggah metrik.

**Example [aws-panorama-sample.yml-Peran](https://github.com/awsdocs/aws-panorama-developer-guide/blob/main/sample-apps/aws-panorama-sample/aws-panorama-sample.yml) aplikasi**  

```
Resources:
  runtimeRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"		 	 	 
        Statement:
          -
            Effect: Allow
            Principal:
              Service:
                - panorama.amazonaws.com
            Action:
              - sts:AssumeRole
      Policies:
        - PolicyName: cloudwatch-putmetrics
          PolicyDocument:
            Version: 2012-10-17		 	 	 
            Statement:
              - Effect: Allow
                Action: 'cloudwatch:PutMetricData'
                Resource: '*'
      Path: /service-role/
```

Anda dapat memperluas skrip ini untuk memberikan izin ke layanan lain, dengan menentukan daftar tindakan atau pola API untuk nilai. `Action`

Untuk informasi selengkapnya tentang izin di AWS Panorama, lihat. [AWS Panorama izin](panorama-permissions.md)