Hinweis zum Ende des Supports: Am 7. Oktober 2026 AWS wird der Support für eingestellt. AWS IoT Greengrass Version 1 Nach dem 7. Oktober 2026 können Sie nicht mehr auf die Ressourcen zugreifen. AWS IoT Greengrass V1 Weitere Informationen finden Sie unter [Migrieren von AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Greengrass-Gruppenrolle.
Die Greengrass-Gruppenrolle ist eine IAM-Rolle, die Code, der auf einem Greengrass-Kern ausgeführt wird, autorisiert, auf Ihre Ressourcen zuzugreifen. AWS Sie erstellen die Rolle und verwalten die Berechtigungen in AWS Identity and Access Management (IAM) und ordnen die Rolle Ihrer Greengrass-Gruppe zu. Eine Greengrass-Gruppe verfügt über eine Gruppenrolle. Um Berechtigungen hinzuzufügen oder zu ändern, können Sie eine andere Rolle hinzufügen oder die IAM-Richtlinien ändern, die der Rolle zugewiesen sind.
Die Rolle muss AWS IoT Greengrass als vertrauenswürdige Entität definiert werden. Abhängig von Ihrem Geschäftsszenario kann die Gruppenrolle IAM-Richtlinien enthalten, die Folgendes definieren:
+ Berechtigungen für benutzerdefinierte [Lambda-Funktionen](lambda-functions.md) für den Zugriff AWS auf Dienste.
+ Berechtigungen für [Konnektoren](connectors.md) für den Zugriff AWS auf Dienste.
+ Berechtigungen für [Stream Manager](stream-manager.md) zum Exportieren von Streams in AWS IoT Analytics und Kinesis Data Streams.
+ Berechtigungen zum Zulassen der [CloudWatch -Protokollierung](greengrass-logs-overview.md).
In den folgenden Abschnitten wird beschrieben, wie Sie eine Greengrass-Gruppenrolle im oder anhängen oder trennen. AWS-Managementkonsole AWS CLI
+ [Verwalten der Gruppenrolle (Konsole)](#manage-group-role-console)
+ [Verwalten der Gruppenrolle (CLI)](#manage-group-role-cli)
**Anmerkung**
Zusätzlich zu der Gruppenrolle, die den Zugriff vom Greengrass-Kern aus autorisiert, können Sie eine [Greengrass-Servicerolle](service-role.md) zuweisen, die den AWS IoT Greengrass Zugriff auf AWS Ressourcen in Ihrem Namen ermöglicht.
## Verwalten der Greengrass-Gruppenrolle (Konsole)
Sie können die AWS IoT Konsole für die folgenden Rollenverwaltungsaufgaben verwenden:
+ [Suchen Ihrer Greengrass-Gruppenrolle](#get-group-role-console)
+ [Hinzufügen oder Ändern der Greengrass-Gruppenrolle](#add-or-change-group-role-console)
+ [Entfernen der Greengrass-Gruppenrolle](#remove-group-role-console)
**Anmerkung**
Der Benutzer, der bei der Konsole angemeldet ist, muss über Berechtigungen zum Verwalten der Rolle verfügen.
### Suchen Ihrer Greengrass-Gruppenrolle (Konsole)
Gehen Sie wie folgt vor, um die Rolle zu finden, die einer Greengrass-Gruppe zugeordnet ist.
1. Erweitern Sie im Navigationsbereich der AWS IoT Konsole unter **Verwalten** die Option **Greengrass-Geräte** und wählen Sie dann **Gruppen (V1)** aus.
1. Wählen Sie die Zielgruppe aus.
1. Wählen Sie auf der Gruppenkonfigurationsseite die Option **Einstellungen anzeigen** aus.
Wenn der Gruppe eine Rolle zugewiesen ist, wird sie unter **Gruppenrolle** angezeigt.
### Hinzufügen oder Ändern der Greengrass-Gruppenrolle (Konsole)
Gehen Sie wie folgt vor, um eine IAM-Rolle aus Ihrer auszuwählen AWS-Konto , die Sie einer Greengrass-Gruppe hinzufügen möchten.
Für eine Gruppenrolle gelten folgende Anforderungen:
+ AWS IoT Greengrass als vertrauenswürdige Entität definiert.
+ Die mit der Rolle verknüpften Berechtigungsrichtlinien müssen Ihren AWS Ressourcen die Berechtigungen gewähren, die für die Lambda-Funktionen und -Konnektoren in der Gruppe sowie für die Greengrass-Systemkomponenten erforderlich sind.
**Anmerkung**
Wir empfehlen, dass Sie auch die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Ihre Vertrauensrichtlinie aufnehmen, um das Sicherheitsproblem „*Confused Deputy*“ zu vermeiden. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anfragen zugelassen werden, die vom angegebenen Konto und Greengrass-Workspace stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md).
Verwenden Sie die IAM-Konsole, um die Rolle und ihre Berechtigungen zu erstellen und zu konfigurieren. Schritte zur Erstellung einer Beispielrolle, die den Zugriff auf eine Amazon DynamoDB-Tabelle ermöglicht, finden Sie unter. [Konfigurieren der Gruppenrolle](config-iam-roles.md) Allgemeine Schritte finden Sie unter [Erstellen einer Rolle für einen AWS Service (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) im *IAM-Benutzerhandbuch*.
Nachdem die Rolle konfiguriert wurde, verwenden Sie die AWS IoT Konsole, um die Rolle der Gruppe hinzuzufügen.
**Anmerkung**
Dieses Verfahren ist nur erforderlich, um eine Rolle für die Gruppe auszuwählen. Es ist nicht erforderlich, nachdem Sie die Berechtigungen der aktuell ausgewählten Gruppenrolle geändert haben.
1. Erweitern Sie im Navigationsbereich der AWS IoT Konsole unter **Verwalten** die Option **Greengrass-Geräte** und wählen Sie dann **Gruppen (V1)** aus.
1. Wählen Sie die Zielgruppe aus.
1. Wählen Sie auf der Gruppenkonfigurationsseite die Option **Einstellungen anzeigen** aus.
1. Wählen Sie unter **Gruppenrolle** aus, ob Sie die Rolle hinzufügen oder ändern möchten:
+ Um die Rolle hinzuzufügen, wählen Sie **Associate role** und wählen Sie dann Ihre Rolle aus Ihrer Rollenliste aus. Dies sind die Rollen in Ihrem System AWS-Konto , die AWS IoT Greengrass als vertrauenswürdige Entität definiert sind.
+ Um eine andere Rolle auszuwählen, wählen Sie **Rolle bearbeiten** und wählen Sie dann Ihre Rolle aus Ihrer Rollenliste aus.
1. Wählen Sie **Speichern**.
### Entfernen der Greengrass-Gruppenrolle (Konsole)
Führen Sie die folgenden Schritte aus, um die Rolle von einer Greengrass-Gruppe zu trennen.
1. Erweitern Sie im Navigationsbereich der AWS IoT Konsole unter **Verwalten** die Option **Greengrass-Geräte** und wählen Sie dann **Gruppen (V1)** aus.
1. Wählen Sie die Zielgruppe aus.
1. Wählen Sie auf der Gruppenkonfigurationsseite die Option **Einstellungen anzeigen** aus.
1. Wählen Sie unter **Gruppenrolle** die Option **Rolle trennen aus**.
1. Wählen Sie im Bestätigungsdialogfeld die Option Rolle **trennen aus.** In diesem Schritt wird die Rolle aus der Gruppe entfernt, die Rolle wird jedoch nicht gelöscht. Wenn Sie die Rolle löschen möchten, verwenden Sie die IAM-Konsole.
## Verwalten der Greengrass-Gruppenrolle (CLI)
Sie können die AWS CLI für die folgenden Rollenverwaltungsaufgaben verwenden:
+ [Abrufen Ihrer Greengrass-Gruppenrolle](#get-group-role)
+ [Erstellen der Greengrass-Gruppenrolle](#create-group-role)
+ [Entfernen der Greengrass-Gruppenrolle](#remove-group-role)
### Abrufen der Greengrass-Gruppenrolle (CLI)
Befolgen Sie diese Schritte, um herauszufinden, ob einer Greengrass-Gruppe eine Rolle zugewiesen ist.
1. Sie finden die ID der Zielgruppe in der Liste Ihrer Gruppen.
```
aws greengrass list-groups
```
Nachfolgend finden Sie eine `list-groups`-Beispielantwort. Jede Gruppe in der Antwort enthält eine `Id`-Eigenschaft, die die Gruppen-ID enthält.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Weitere Informationen, darunter Beispiele, die die `query`-Option zum Filtern von Ergebnissen verwenden, finden Sie unter [Abrufen der Gruppen-ID](deployments.md#api-get-group-id).
1. Kopieren Sie die `Id` der Zielgruppe aus der Ausgabe.
1. Rufen Sie die Gruppenrolle ab. *group-id*Ersetzen Sie es durch die ID der Zielgruppe.
```
aws greengrass get-associated-role --group-id group-id
```
Wenn Ihrer Greengrass-Gruppe eine Rolle zugewiesen ist, werden die folgenden Rollenmetadaten zurückgegeben.
```
{
"AssociatedAt": "timestamp",
"RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
Wenn Ihrer Gruppe keine Rolle zugewiesen ist, wird der folgende Fehler zurückgegeben.
```
An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.
```
### Erstellen der Greengrass-Gruppenrolle (CLI)
Führen Sie die folgenden Schritte aus, um eine Rolle zu erstellen und sie einer Greengrass-Gruppe zuzuweisen.
**Um die Gruppenrolle mit IAM zu erstellen**
1. Erstellen Sie die Rolle mit einer Vertrauensrichtlinie, die es ermöglicht, die Rolle AWS IoT Greengrass zu übernehmen. In diesem Beispiel wird eine Rolle namens `MyGreengrassGroupRole` erstellt, aber Sie können einen anderen Namen verwenden. Wir empfehlen, dass Sie auch die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Ihre Vertrauensrichtlinie aufnehmen, um das Sicherheitsproblem „*Confused Deputy*“ zu vermeiden. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anfragen zugelassen werden, die vom angegebenen Konto und Greengrass-Workspace stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md).
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
1. Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Sie verknüpfen die Rolle mithilfe des ARN mit Ihrer Gruppe .
1. Fügen Sie der Rolle verwaltete oder Inline-Richtlinien zur Unterstützung Ihrer geschäftlichen Situation an. Wenn beispielsweise eine benutzerdefinierte Lambda-Funktion aus Amazon S3 liest, können Sie die `AmazonS3ReadOnlyAccess` verwaltete Richtlinie an die Rolle anhängen.
```
aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
```
Wenn dies erfolgreich ist, wird keine Antwort zurückgegeben.
**So verknüpfen Sie die Rolle mit Ihrer Greengrass-Gruppe:**
1. Sie finden die ID der Zielgruppe in der Liste Ihrer Gruppen.
```
aws greengrass list-groups
```
Nachfolgend finden Sie eine `list-groups`-Beispielantwort. Jede Gruppe in der Antwort enthält eine `Id`-Eigenschaft, die die Gruppen-ID enthält.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Weitere Informationen, darunter Beispiele, die die `query`-Option zum Filtern von Ergebnissen verwenden, finden Sie unter [Abrufen der Gruppen-ID](deployments.md#api-get-group-id).
1. Kopieren Sie die `Id` der Zielgruppe aus der Ausgabe.
1. Weisen Sie die Rolle zu Ihrer Gruppe zu. *group-id*Ersetzen Sie durch die ID der Zielgruppe und *role-arn* durch den ARN der Gruppenrolle.
```
aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn
```
Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.
```
{
"AssociatedAt": "timestamp"
}
```
### Entfernen der Greengrass-Gruppenrolle (CLI)
Führen Sie die folgenden Schritte aus, um die Gruppenrolle von Ihrer Greengrass-Gruppe zu trennen.
1. Sie finden die ID der Zielgruppe in der Liste Ihrer Gruppen.
```
aws greengrass list-groups
```
Nachfolgend finden Sie eine `list-groups`-Beispielantwort. Jede Gruppe in der Antwort enthält eine `Id`-Eigenschaft, die die Gruppen-ID enthält.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Weitere Informationen, darunter Beispiele, die die `query`-Option zum Filtern von Ergebnissen verwenden, finden Sie unter [Abrufen der Gruppen-ID](deployments.md#api-get-group-id).
1. Kopieren Sie die `Id` der Zielgruppe aus der Ausgabe.
1. Trennen Sie die Rolle von Ihrer Gruppe. *group-id*Ersetzen Sie durch die ID der Zielgruppe.
```
aws greengrass disassociate-role-from-group --group-id group-id
```
Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.
```
{
"DisassociatedAt": "timestamp"
}
```
**Anmerkung**
Sie können die Gruppenrolle löschen, wenn Sie sie nicht verwenden. Verwenden Sie zuerst [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html), um alle verwalteten Richtlinien von der Rolle zu trennen, und dann [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html), um die Rolle zu löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.
## Weitere Informationen finden Sie auch unter
+ Verwandte Themen im *IAM-Benutzerhandbuch*
+ [Eine Rolle erstellen, um Berechtigungen an einen Dienst zu delegieren AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ [Ändern einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)
+ [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)
+ AWS IoT Greengrass Befehle in der *AWS CLI Befehlsreferenz*
+ [list-groups](https://docs.aws.amazon.com/cli/latest/reference/greengrass/list-groups.html)
+ [associate-role-to-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-role-to-group.html)
+ [disassociate-role-from-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-role-from-group.html)
+ [get-associated-role](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-associated-role.html)
+ IAM-Befehle in der *AWS CLI Befehlsreferenz*
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)