终止支持通知:2026 年 5 月 31 日, AWS 将终止对的支持。 AWS Panorama 2026 年 5 月 31 日之后,您将无法再访问 AWS Panorama 控制台或 AWS Panorama 资源。有关更多信息,请参阅[AWS Panorama 终止支持](https://docs.aws.amazon.com/panorama/latest/dev/panorama-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Panorama 权限
您可以使用 AWS Identity and Access Management (IAM) 来管理对 AWS Panorama 服务和资源(如设备和应用程序)的访问权限。对于您账户中使用的用户 AWS Panorama,您可以在权限策略中管理权限,该策略可以应用于 IAM 角色。若要管理应用程序的权限,请创建一个角色并将其分配给应用程序。
要[管理您账户中用户的权限](permissions-user.md),请使用 AWS Panorama 提供的托管策略,或自行编写。您需要访问其他 AWS 服务的权限才能获取应用程序和设备日志、查看指标以及为应用程序分配角色。
AWS Panorama 设备还具有授予其访问 AWS 服务和资源的权限的角色。设备的[角色是服务](permissions-services.md)用来代表您访问其他服务的服务角色之一。 AWS Panorama
[应用程序角色](permissions-application.md)是您为应用程序创建的单独服务角色,用于授予应用程序使用 AWS 服务的权限 AWS SDK for Python (Boto)。要创建应用程序角色,您需要管理权限或管理员的帮助。
可以按操作所影响的资源,以及在某些情况下借助额外条件来限制用户权限。例如,您可以为应用程序的 Amazon 资源名称 (ARN) 指定模式,要求用户将其用户名包含在其创建的应用程序的名称中。有关各操作支持的资源和条件,请参阅服务授权参考中的[AWS Panorama的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)。
有关更多信息,请参阅 IAM 用户指南中的[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/)
**Topics**
+ [
# AWS Panorama 的基于身份的 IAM 策略
](permissions-user.md)
+ [
# AWS Panorama 服务角色和跨服务资源
](permissions-services.md)
+ [
# 向应用程序授予权限
](permissions-application.md)
# AWS Panorama 的基于身份的 IAM 策略
要授予您账户中的用户访问 AWS Panorama 的权限,您可以在 AWS Identity and Access Management (IAM) 中使用基于身份的策略。将基于身份的策略应用于与用户关联的 IAM 角色。您也可以授予另一个账户中的用户在您的账户中代入角色和访问您的 AWS Panorama 资源的权限。
AWS Panorama 提供托管策略,授予对 AWS Panorama API 操作的访问权限,在某些情况下还可以访问其他服务,用于开发和管理 AWS Panorama 资源。AWS Panorama 根据需要更新托管策略,确保您的用户有权在新功能发布时进行访问。
+ **AWSPanoramaFullAccess**— 提供对 AWS Panorama、亚马逊 S3 中的 AWS Panorama 接入点 AWS Secrets Manager、中的设备证书和亚马逊中的设备日志的完全访问权限 CloudWatch。包括为 AWS Panorama 创建[服务相关](permissions-services.md)角色的权限。[查看策略](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSPanoramaFullAccess)
`AWSPanoramaFullAccess` 策略允许您标记 AWS Panorama 资源,但不具有 AWS Panorama 控制台使用的所有与标签相关的权限。要授予这些权限,请添加以下策略。
+ **ResourceGroupsandTagEditorFullAccess**— [查看政策](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)
`AWSPanoramaFullAccess` 策略不包括从 AWS Panorama 控制台购买设备的权限。要授予这些权限,请添加以下策略。
+ **ElementalAppliancesSoftwareFullAccess**— [查看政策](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ElementalAppliancesSoftwareFullAccess)
托管策略授予 API 操作的权限,而不限制用户可以修改的资源。要进行更精细的控制,您可以创建自己的策略来限制用户权限的范围。使用完全访问策略作为策略的起点。
**创建服务角色**
首次使用 [AWS Panorama 控制台](https://console.aws.amazon.com/panorama/home)时,您需要获得创建 AWS Panorama 设备使用的[服务角色](permissions-services.md)的权限。服务角色授予服务管理资源或与其他服务交互的权限。在授予用户访问权限之前,请先创建此角色。
有关可用于限制 AWS Panorama 中用户权限范围的资源和条件的详细信息,请参阅服务授权参考中的 [AWS Pnorama 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)。
# AWS Panorama 服务角色和跨服务资源
AWS Panorama 使用其他 AWS 服务来管理 AWS Panorama 设备、存储数据和导入应用程序资源。服务角色授予服务管理资源或与其他服务交互的权限。当您首次登录 AWS Panorama 控制台时,您将创建以下服务角色:
****
+ **AWSServiceRoleForAWSPanorama**— 允许 AWS Panorama 管理 AWS 物联网、AWS Secrets Manager 和 AWS Panorama 中的资源。
托管策略:[AWSPanoramaServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaServiceLinkedRolePolicy)
+ **AWSPanoramaApplianceServiceRole**— 允许 AWS Panorama 设备将日志上传到 AWS Panorama 创建的 Amazon S3 接入点并从中获取对象。 CloudWatch
托管策略:[AWSPanoramaApplianceServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaApplianceServiceRolePolicy)
要查看附加到每个角色的权限,请使用 [IAM 控制台](https://console.aws.amazon.com/iam)。在可能的情况下,角色的权限仅限于与 AWS Panorama 使用的命名模式匹配的资源。例如,仅`AWSServiceRoleForAWSPanorama`授予服务访问其名称`panorama`中包含的 AWS IoT 资源的权限。
**Topics**
+ [
## 保护设备角色
](#permissions-services-appliance)
+ [
## 使用其他服务
](#permissions-services-otherservices)
## 保护设备角色
AWS Panorama 设备使用 `AWSPanoramaApplianceServiceRole` 角色访问您账户中的资源。该设备有权将日志上传到日 CloudWatch 志 AWS Secrets Manager、从中读取摄像机直播凭证以及访问 AWS Panorama 创建的亚马逊简单存储服务 (Amazon S3) 接入点中的应用程序项目。
**注意**
应用程序不使用设备的权限。要授予您的应用程序使用 AWS 服务的权限,请创建[应用程序角色](permissions-application.md)。
AWS Panorama 对您帐户中的所有设备使用相同的服务角色,并且不会跨帐户使用角色。为了增加安全层,您可以修改设备角色的信任策略以明确强制执行此操作,当您使用角色授予服务访问帐户中资源的权限时,这是最佳实践。
**要更新设备角色信任策略**
1. 在 IAM 控制台中打开设备角色:[AWSPanoramaApplianceServiceRole](https://console.aws.amazon.com/iam/home#/roles/AWSPanoramaApplianceServiceRole?section=trust)
1. 选择**编辑信任关系**。
1. 更新策略内容,然后选择**更新信任策略**。
以下信任策略包含一个条件,该条件确保当 AWS Panorama 担任设备角色时,它会对您账户中的设备执行此操作。`aws:SourceAccount` 条件将 AWS Panorama 指定的账户 ID 与您包含在策略中的账户 ID 进行比较。
**Example 信任策略 – 特定帐户**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "panorama.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
如果您想进一步限制 AWS Panorama,并允许其仅承担特定设备的角色,您可以通过 ARN 指定设备。`aws:SourceArn` 条件将 AWS Panorama 指定的设备的 ARN 与您包含在策略中的 ARN 进行比较。
**Example 信任策略 – 单个设备**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "panorama.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:panorama:us-east-1:123456789012:device/device-lk7exmplpvcr3heqwjmesw76ky"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
如果重置并重新置备设备,则必须暂时删除源 ARN 条件,然后使用新的设备 ID 再次添加。
有关这些条件的更多信息,以及服务使用角色访问账户资源时的安全最佳实践,请参阅 IAM 用户指南中的[混淆代理问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。
## 使用其他服务
AWS Panorama 在以下服务中创建或访问资源:
****
+ [AWS IoT](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiot.html) – AWS Panorama 设备的事物、策略、证书和作业
+ [Amazon S3](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazons3.html) — 用于暂存应用程序模型、代码和配置的接入点。
+ [Secrets Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecretsmanager.html) – AWS Panorama 设备的短期凭证。
有关每项服务的 Amazon 资源名称(ARN) 格式或权限范围的信息,请参阅此列表中链接到的*IAM 用户指南*中的主题。
# 向应用程序授予权限
您可以为应用程序创建一个角色以授予其调用 AWS 服务的权限。默认情况下,应用程序没有任何权限。您可以在 IAM 中创建应用程序角色,并在部署期间将其分配给应用程序。要仅向应用程序授予其所需的权限,请为其创建一个具有特定 API 操作权限的角色。
[示例应用程序](gettingstarted-sample.md)包括用于创建应用程序角色的 CloudFormation 模板和脚本。这是 AWS Panorama 可以担任的[服务角色](permissions-services.md)。此角色授予应用程序调用上传指标 CloudWatch 的权限。
**Example [aws-panorama-sample.yml — 应用程序](https://github.com/awsdocs/aws-panorama-developer-guide/blob/main/sample-apps/aws-panorama-sample/aws-panorama-sample.yml)角色**
```
Resources:
runtimeRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
-
Effect: Allow
Principal:
Service:
- panorama.amazonaws.com
Action:
- sts:AssumeRole
Policies:
- PolicyName: cloudwatch-putmetrics
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action: 'cloudwatch:PutMetricData'
Resource: '*'
Path: /service-role/
```
您可以通过为 `Action` 的值指定 API 操作或模式列表来扩展此脚本以向其他服务授予权限。
有关 AWS Panorama 中权限的更多信息,请参阅 [AWS Panorama 权限](panorama-permissions.md)。