終止支援通知:2026 年 5 月 31 日, AWS 將終止對 的支援 AWS Panorama。2026 年 5 月 31 日之後,您將無法再存取 AWS Panorama 主控台或 AWS Panorama 資源。如需詳細資訊,請參閱[AWS Panorama 終止支援](https://docs.aws.amazon.com/panorama/latest/dev/panorama-end-of-support.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Panorama 服務角色和跨服務資源
AWS Panorama 使用其他 AWS 服務來管理 AWS Panorama 設備、存放資料和匯入應用程式資源。服務角色提供服務許可,以管理資源或與其他服務互動。當您第一次登入 AWS Panorama 主控台時,您可以建立下列服務角色:
****
+ **AWSServiceRoleForAWSPanorama** – 允許 AWS Panorama 管理 AWS IoT、AWS Secrets Manager 和 AWS Panorama 中的資源。
受管政策:[AWSPanoramaServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaServiceLinkedRolePolicy)
+ **AWSPanoramaApplianceServiceRole** – 允許 AWS Panorama 設備將日誌上傳至 CloudWatch,並從 AWS Panorama 建立的 Amazon S3 存取點取得物件。
受管政策:[AWSPanoramaApplianceServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSPanoramaApplianceServiceRolePolicy)
若要檢視連接到每個角色的許可,請使用 [IAM 主控台](https://console.aws.amazon.com/iam)。在可能的情況下,角色的許可僅限於符合 AWS Panorama 使用之命名模式的資源。例如, 僅`AWSServiceRoleForAWSPanorama`授予 服務存取其名稱`panorama`中具有 之 AWS IoT 資源的許可。
**Topics**
+ [保護設備角色](#permissions-services-appliance)
+ [使用其他 服務](#permissions-services-otherservices)
## 保護設備角色
AWS Panorama 設備會使用 `AWSPanoramaApplianceServiceRole`角色來存取您帳戶中的資源。設備有權將日誌上傳至 CloudWatch Logs、讀取攝影機串流憑證 AWS Secrets Manager,以及存取 AWS Panorama 建立的 Amazon Simple Storage Service (Amazon S3) 存取點中的應用程式成品。
**注意**
應用程式不使用設備的許可。若要授予應用程式使用 AWS 服務的許可,請建立[應用程式角色](permissions-application.md)。
AWS Panorama 會將相同的服務角色與帳戶中的所有設備搭配使用,而不會跨帳戶使用角色。為了增加一層安全性,您可以修改設備角色的信任政策以明確強制執行此政策,這是當您使用角色授予服務存取帳戶中資源的許可時最佳實務。
**更新設備角色信任政策**
1. 在 IAM 主控台中開啟設備角色:[AWSPanoramaApplianceServiceRole](https://console.aws.amazon.com/iam/home#/roles/AWSPanoramaApplianceServiceRole?section=trust)
1. 選擇**編輯信任關係**。
1. 更新政策內容,然後選擇**更新信任政策**。
下列信任政策包含的條件可確保當 AWS Panorama 擔任設備角色時,會為您帳戶中的設備執行此操作。`aws:SourceAccount` 條件會將 AWS Panorama 指定的帳戶 ID 與您包含在政策中的帳戶 ID 進行比較。
**Example 信任政策 – 特定帳戶**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "panorama.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
]
}
```
如果您想要進一步限制 AWS Panorama,並允許它只擔任具有特定裝置的角色,您可以依 ARN 指定裝置。`aws:SourceArn` 條件會將 AWS Panorama 指定的設備 ARN 與您包含在政策中的設備 ARN 進行比較。
**Example 信任政策 – 單一設備**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "panorama.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:panorama:{{us-east-1}}:{{123456789012}}:device/device-{{lk7exmplpvcr3heqwjmesw76ky}}"
},
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
]
}
```
如果您重設並重新佈建設備,您必須暫時移除來源 ARN 條件,然後使用新的裝置 ID 再次新增。
如需這些條件的詳細資訊,以及服務使用 角色存取帳戶中資源時的安全最佳實務,請參閱[《IAM 使用者指南》中的混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。
## 使用其他 服務
AWS Panorama 會在下列服務中建立或存取資源:
****
+ [AWS IoT](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiot.html) – AWS Panorama 設備的物件、政策、憑證和任務
+ [Amazon S3](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazons3.html) – 預備應用程式模型、程式碼和組態的存取點。
+ [Secrets Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecretsmanager.html) – AWS Panorama 設備的短期登入資料。
如需有關每個服務的 Amazon Resource Name (ARN) 格式或許可範圍的資訊,請參閱此清單中連結至 的 *IAM 使用者指南*中的主題。