Greengrass-Gruppenrolle. - AWS IoT Greengrass
Verwalten der Gruppenrolle (Konsole)Verwalten der Gruppenrolle (CLI)Weitere Informationen finden Sie auch unter

AWS IoT Greengrass Version 1 trat am 30. Juni 2023 in die erweiterte Lebensphase ein. Weitere Informationen finden Sie in der AWS IoT Greengrass V1 Wartungsrichtlinie. Nach diesem Datum AWS IoT Greengrass V1 werden keine Updates mehr veröffentlicht, die Funktionen, Verbesserungen, Bugfixes oder Sicherheitspatches bieten. Geräte, die auf laufen, werden AWS IoT Greengrass V1 nicht gestört und funktionieren weiterhin und stellen eine Verbindung zur Cloud her. Wir empfehlen Ihnen dringend, zu migrieren AWS IoT Greengrass Version 2, da dies wichtige neue Funktionen und Unterstützung für zusätzliche Plattformen bietet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greengrass-Gruppenrolle.

Die Greengrass-Gruppenrolle ist eine IAM-Rolle, die Code, der auf einem Greengrass-Kern ausgeführt wird, zum Zugriff auf IhreAWSRessourcen schätzen. Sie erstellen die Rolle und verwalten Berechtigungen inAWS Identity and Access Management(IAM) und fügen Sie die Rolle an Ihre Greengrass-Gruppe an. Eine Greengrass-Gruppe verfügt über eine Gruppenrolle. Um Berechtigungen hinzuzufügen oder zu ändern, können Sie eine andere Rolle anfügen oder die IAM-Richtlinien ändern, die der Rolle angefügt sind.

Die Rolle muss AWS IoT Greengrass als vertrauenswürdige Entität definieren. Je nach geschäftlicher Situation kann die Gruppenrolle IAM-Richtlinien enthalten, die Folgendes definieren:

In den folgenden Abschnitten wird beschrieben, wie eine Greengrass-Gruppenrolle in der AWS Management Console oder AWS CLI angefügt oder getrennt wird.

Anmerkung

Zusätzlich zu der Gruppenrolle, die den Zugriff vom Greengrass-Kern aus autorisiert, können Sie eine Greengrass-Servicesolle zuweisen, mit der AWS IoT Greengrass in Ihrem Auftrag auf AWS-Ressourcen zugreifen kann.

Verwalten der Greengrass-Gruppenrolle (Konsole)

Sie können dasAWS IoT-Rolle für die folgenden Rollenverwaltungsaufgaben:

Anmerkung

Der Benutzer, der bei der Konsole angemeldet ist, muss über Berechtigungen zum Verwalten der Rolle verfügen.

 

Suchen Ihrer Greengrass-Gruppenrolle (Konsole)

Führen Sie die Rolle aus, die einer Greengrass-Gruppe zu finden.

  1. In derAWS IoTNavigationsbereich der -Konsole unterVerwalten, erweiternGreengrass-Geräteund wählen Sie dann ausGruppen (V1)aus.

  2. Wählen Sie die Zielgruppe aus.

  3. Wählen Sie auf der Gruppenkonfigurationsseite die Option ausEinstellungen anzeigenaus.

Wenn der Gruppe eine Rolle an die Gruppe ist, wird sie unterGruppenrolleaus.

 

Hinzufügen oder Ändern der Greengrass-Gruppenrolle (Konsole)

Führen Sie die Schritte aus, um eine IAM-Rolle aus IhremAWS-Kontoum einer Greengrass-Gruppe zu werden.

Für eine Gruppenrolle gelten folgende Anforderungen:

  • AWS IoT Greengrass ist als vertrauenswürdige Entität definiert.

  • Die der Rolle zugeordneten Berechtigungsrichtlinien müssen die Berechtigungen für IhreAWS-Ressourcen, die von den Lambda-Funktionen und Konnektoren in der Gruppe und von Greengrass-Systemkomponenten erfordert werden.

Anmerkung

Wir empfehlen Ihnen, auch dieaws:SourceArnundaws:SourceAccountGlobale -Bedingungskontextschlüssel in Ihrer Vertrauensrichtlinie, dieconfused StellvertreterSicherheitsproblem. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anforderungen zugelassen werden, die vom angegebenen Konto und Greengrass-Arbeitsbereich kommen. Weitere Informationen zum „verwirrten Stellvertreter“ finden Sie unterVermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)aus.

Verwenden Sie die IAM-Konsole, um die Rolle und ihre Berechtigungen zu erstellen und zu konfigurieren. Schritte zum Erstellen einer Beispielrolle, die den Zugriff auf eine Amazon DynamoDB-Tabelle ermöglicht, finden Sie unterKonfigurieren der Gruppenrolleaus. Allgemeine Schritte finden Sie unterErstellen einer Rolle für eineAWSService (Konsole)imIAM User Guideaus.

 

Nachdem die Rolle konfiguriert wurde, verwenden Sie dieAWS IoT, um die Rolle der Gruppe der Gruppe zu werden.

Anmerkung

Dieses Verfahren ist nur erforderlich, um eine Rolle für die Gruppe auszuwählen. Es ist nicht erforderlich, nachdem Sie die Berechtigungen der aktuell ausgewählten Gruppenrolle geändert haben.

  1. In derAWS IoTNavigationsbereich der -Konsole unterVerwalten, erweiternGreengrass-Geräteund wählen Sie dann ausGruppen (V1)aus.

  2. Wählen Sie die Zielgruppe aus.

  3. Wählen Sie auf der Gruppenkonfigurationsseite die Option ausEinstellungen anzeigenaus.

  4. UnderGruppenrolleaus, fügen oder ändern Sie die Rolle aus, ob die Rolle

    • Wählen Sie zum Hinzufügen der RolleRolle zuordnenund wählen Sie dann Ihre Rolle aus Ihrer Rollenliste aus. Dies sind die Rollen in IhremAWS-Kontodie definierenAWS IoT Greengrassals vertrauenswürdige Entität.

    • Um eine andere Rolle zu wählen, wählen SieRolle bearbeitenund wählen Sie dann Ihre Rolle aus Ihrer Rollenliste aus.

  5. Wählen Sie Save (Speichern) aus.

 

Entfernen der Greengrass-Gruppenrolle (Konsole)

Führen Sie die folgenden Schritte aus, um die Rolle von einer Greengrass-Gruppe zu trennen.

  1. In derAWS IoTNavigationsbereich der -Konsole unterVerwalten, erweiternGreengrass-Geräteund wählen Sie dann ausGruppen (V1)aus.

  2. Wählen Sie die Zielgruppe aus.

  3. Wählen Sie auf der Gruppenkonfigurationsseite die Option ausEinstellungen anzeigenaus.

  4. UnderGruppenrolle, wählenZuordnung der Rolleaus.

  5. Wählen Sie im BestätigungsdialogfeldZuordnung der Rolleaus. In diesem Schritt wird die Rolle aus der Gruppe entfernt, die Rolle wird jedoch nicht gelöscht. Wenn Sie die Rolle löschen möchten, verwenden Sie die IAM-Konsole.

Verwalten der Greengrass-Gruppenrolle (CLI)

Sie können die AWS CLI für die folgenden Rollenverwaltungsaufgaben verwenden:

 

Abrufen der Greengrass-Gruppenrolle (CLI)

Befolgen Sie diese Schritte, um herauszufinden, ob einer Greengrass-Gruppe eine Rolle zugewiesen ist.

  1. Sie finden die ID der Zielgruppe in der Liste Ihrer Gruppen.

    aws greengrass list-groups

    Nachfolgend finden Sie eine list-groups-Beispielantwort. Jede Gruppe in der Antwort enthält eine Id-Eigenschaft, die die Gruppen-ID enthält.

    {
    "Groups": [
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "Name": "MyFirstGroup",
            "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
            "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "CreationTimestamp": "2019-11-11T05:47:31.435Z",
            "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
        },
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "Name": "GreenhouseSensors",
            "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
            "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "CreationTimestamp": "2020-01-07T19:58:36.774Z",
            "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
        },
        ...
    ]
}

    Weitere Informationen, darunter Beispiele, die die query-Option zum Filtern von Ergebnissen verwenden, finden Sie unter Abrufen der Gruppen-ID.

  2. Kopieren Sie die Id der Zielgruppe aus der Ausgabe.

  3. Rufen Sie die Gruppenrolle ab. Ersetzen Sie group-id durch die ID der Zielgruppe.

    aws greengrass get-associated-role --group-id group-id

    Wenn Ihrer Greengrass-Gruppe eine Rolle zugewiesen ist, werden die folgenden Rollenmetadaten zurückgegeben.

    {
  "AssociatedAt": "timestamp",
  "RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Wenn Ihrer Gruppe keine Rolle zugewiesen ist, wird der folgende Fehler zurückgegeben.

    An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.

 

Erstellen der Greengrass-Gruppenrolle (CLI)

Führen Sie die folgenden Schritte aus, um eine Rolle zu erstellen und sie einer Greengrass-Gruppe zuzuweisen.

Erstellen Sie die Gruppenrolle mit IAM

  1. Erstellen Sie die Rolle mit einer Vertrauensrichtlinie, die es AWS IoT Greengrass erlaubt, die Rolle anzunehmen. In diesem Beispiel wird eine Rolle namens MyGreengrassGroupRole erstellt, aber Sie können einen anderen Namen verwenden. Wir empfehlen Ihnen, auch dieaws:SourceArnundaws:SourceAccountGlobale -Bedingungskontextschlüssel in Ihrer Vertrauensrichtlinie, dieconfused StellvertreterSicherheitsproblem. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anforderungen zugelassen werden, die vom angegebenen Konto und Greengrass-Arbeitsbereich kommen. Weitere Informationen zum „verwirrten Stellvertreter“ finden Sie unterVermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)aus.

    Linux, macOS, or Unix
    aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
        }
      }
    }
  ]
}'
    Windows command prompt
    aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"

  2. Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Sie verknüpfen die Rolle mithilfe des ARN mit Ihrer Gruppe .

  3. Fügen Sie der Rolle verwaltete oder Inline-Richtlinien zur Unterstützung Ihrer geschäftlichen Situation an. Wenn beispielsweise eine benutzerdefinierte Lambda-Funktion von Amazon S3 liest, können Sie dieAmazonS3ReadOnlyAccessverwaltete Richtlinie für die Rolle an.

    aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    Wenn dies erfolgreich ist, wird keine Antwort zurückgegeben.

 

So verknüpfen Sie die Rolle mit Ihrer Greengrass-Gruppe:

  1. Sie finden die ID der Zielgruppe in der Liste Ihrer Gruppen.

    aws greengrass list-groups

    Nachfolgend finden Sie eine list-groups-Beispielantwort. Jede Gruppe in der Antwort enthält eine Id-Eigenschaft, die die Gruppen-ID enthält.

    {
    "Groups": [
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "Name": "MyFirstGroup",
            "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
            "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "CreationTimestamp": "2019-11-11T05:47:31.435Z",
            "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
        },
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "Name": "GreenhouseSensors",
            "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
            "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "CreationTimestamp": "2020-01-07T19:58:36.774Z",
            "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
        },
        ...
    ]
}

    Weitere Informationen, darunter Beispiele, die die query-Option zum Filtern von Ergebnissen verwenden, finden Sie unter Abrufen der Gruppen-ID.

  2. Kopieren Sie die Id der Zielgruppe aus der Ausgabe.

  3. Weisen Sie die Rolle zu Ihrer Gruppe zu. Ersetzen Sie group-id durch die ID der Zielgruppe und role-arn durch den ARN der Gruppenrolle.

    aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn

    Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.

    {
  "AssociatedAt": "timestamp"
}

 

Entfernen der Greengrass-Gruppenrolle (CLI)

Führen Sie die folgenden Schritte aus, um die Gruppenrolle von Ihrer Greengrass-Gruppe zu trennen.

  1. Sie finden die ID der Zielgruppe in der Liste Ihrer Gruppen.

    aws greengrass list-groups

    Nachfolgend finden Sie eine list-groups-Beispielantwort. Jede Gruppe in der Antwort enthält eine Id-Eigenschaft, die die Gruppen-ID enthält.

    {
    "Groups": [
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "Name": "MyFirstGroup",
            "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
            "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "CreationTimestamp": "2019-11-11T05:47:31.435Z",
            "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
        },
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "Name": "GreenhouseSensors",
            "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
            "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "CreationTimestamp": "2020-01-07T19:58:36.774Z",
            "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
        },
        ...
    ]
}

    Weitere Informationen, darunter Beispiele, die die query-Option zum Filtern von Ergebnissen verwenden, finden Sie unter Abrufen der Gruppen-ID.

  2. Kopieren Sie die Id der Zielgruppe aus der Ausgabe.

  3. Trennen Sie die Rolle von Ihrer Gruppe. Ersetzen Sie group-id durch die ID der Zielgruppe.

    aws greengrass disassociate-role-from-group --group-id group-id

    Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.

    {
  "DisassociatedAt": "timestamp"
}
    Anmerkung

    Sie können die Gruppenrolle löschen, wenn Sie sie nicht verwenden. Verwenden Sie zuerst delete-role-policy, um alle verwalteten Richtlinien von der Rolle zu trennen, und dann delete-role, um die Rolle zu löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter Löschen von Rollen oder Instance-Profilen im IAM-Benutzerhandbuch.

Weitere Informationen finden Sie auch unter