终止支持通知:2026 年 5 月 31 日, AWS 将终止对的支持。 AWS Panorama 2026 年 5 月 31 日之后,您将无法再访问 AWS Panorama 控制台或 AWS Panorama 资源。有关更多信息,请参阅[AWS Panorama 终止支持](https://docs.aws.amazon.com/panorama/latest/dev/panorama-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Panorama 服务角色和跨服务资源
AWS Panorama 使用其他 AWS 服务来管理 AWS Panorama 设备、存储数据和导入应用程序资源。服务角色授予服务管理资源或与其他服务交互的权限。当您首次登录 AWS Panorama 控制台时,您将创建以下服务角色:
****
+ **AWSServiceRoleForAWSPanorama**— 允许 AWS Panorama 管理 AWS 物联网、AWS Secrets Manager 和 AWS Panorama 中的资源。
托管策略:[AWSPanoramaServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaServiceLinkedRolePolicy)
+ **AWSPanoramaApplianceServiceRole**— 允许 AWS Panorama 设备将日志上传到 AWS Panorama 创建的 Amazon S3 接入点并从中获取对象。 CloudWatch
托管策略:[AWSPanoramaApplianceServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaApplianceServiceRolePolicy)
要查看附加到每个角色的权限,请使用 [IAM 控制台](https://console.aws.amazon.com/iam)。在可能的情况下,角色的权限仅限于与 AWS Panorama 使用的命名模式匹配的资源。例如,仅`AWSServiceRoleForAWSPanorama`授予服务访问其名称`panorama`中包含的 AWS IoT 资源的权限。
**Topics**
+ [保护设备角色](#permissions-services-appliance)
+ [使用其他服务](#permissions-services-otherservices)
## 保护设备角色
AWS Panorama 设备使用 `AWSPanoramaApplianceServiceRole` 角色访问您账户中的资源。该设备有权将日志上传到日 CloudWatch 志 AWS Secrets Manager、从中读取摄像机直播凭证以及访问 AWS Panorama 创建的亚马逊简单存储服务 (Amazon S3) 接入点中的应用程序项目。
**注意**
应用程序不使用设备的权限。要授予您的应用程序使用 AWS 服务的权限,请创建[应用程序角色](permissions-application.md)。
AWS Panorama 对您帐户中的所有设备使用相同的服务角色,并且不会跨帐户使用角色。为了增加安全层,您可以修改设备角色的信任策略以明确强制执行此操作,当您使用角色授予服务访问帐户中资源的权限时,这是最佳实践。
**要更新设备角色信任策略**
1. 在 IAM 控制台中打开设备角色:[AWSPanoramaApplianceServiceRole](https://console.aws.amazon.com/iam/home#/roles/AWSPanoramaApplianceServiceRole?section=trust)
1. 选择**编辑信任关系**。
1. 更新策略内容,然后选择**更新信任策略**。
以下信任策略包含一个条件,该条件确保当 AWS Panorama 担任设备角色时,它会对您账户中的设备执行此操作。`aws:SourceAccount` 条件将 AWS Panorama 指定的账户 ID 与您包含在策略中的账户 ID 进行比较。
**Example 信任策略 – 特定帐户**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "panorama.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
]
}
```
如果您想进一步限制 AWS Panorama,并允许其仅承担特定设备的角色,您可以通过 ARN 指定设备。`aws:SourceArn` 条件将 AWS Panorama 指定的设备的 ARN 与您包含在策略中的 ARN 进行比较。
**Example 信任策略 – 单个设备**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "panorama.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:panorama:{{us-east-1}}:{{123456789012}}:device/device-{{lk7exmplpvcr3heqwjmesw76ky}}"
},
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
]
}
```
如果重置并重新置备设备,则必须暂时删除源 ARN 条件,然后使用新的设备 ID 再次添加。
有关这些条件的更多信息,以及服务使用角色访问账户资源时的安全最佳实践,请参阅 IAM 用户指南中的[混淆代理问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。
## 使用其他服务
AWS Panorama 在以下服务中创建或访问资源:
****
+ [AWS IoT](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiot.html) – AWS Panorama 设备的事物、策略、证书和作业
+ [Amazon S3](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazons3.html) — 用于暂存应用程序模型、代码和配置的接入点。
+ [Secrets Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecretsmanager.html) – AWS Panorama 设备的短期凭证。
有关每项服务的 Amazon 资源名称(ARN) 格式或权限范围的信息,请参阅此列表中链接到的*IAM 用户指南*中的主题。