AWS IoT Greengrass Version 1 trat am 30. Juni 2023 in die erweiterte Lebensphase ein. Weitere Informationen finden Sie in der AWS IoT Greengrass V1 Wartungsrichtlinie. Nach diesem Datum AWS IoT Greengrass V1 werden keine Updates mehr veröffentlicht, die Funktionen, Verbesserungen, Bugfixes oder Sicherheitspatches bieten. Geräte, die auf laufen, werden AWS IoT Greengrass V1 nicht gestört und funktionieren weiterhin und stellen eine Verbindung zur Cloud her. Wir empfehlen Ihnen dringend, zu migrieren AWS IoT Greengrass Version 2, da dies wichtige neue Funktionen und Unterstützung für zusätzliche Plattformen bietet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Greengrass-Servicerolle
Die Greengrass-Servicerolle ist eineAWS Identity and Access Management(IAM) -Servicerolle, die autorisiertAWS IoT Greengrassum auf Ressourcen zuzugreifen vonAWS-Services in Ihrem Namen. Dadurch kann AWS IoT Greengrass grundlegende Aufgaben durchführen, wie z. B. das Abrufen Ihrer AWS Lambda-Funktionen und das Verwalten von AWS IoT-Schatten.
ZulassenAWS IoT Greengrassum auf Ihre Ressourcen zugreifen zu können, müssen die Greengrass-Servicerolle mit IhremAWS-Kontound spezifizierenAWS IoT Greengrassals vertrauenswürdige Entität. Die -Rolle muss die AWSGreengrassResourceAccessRolePolicy
Sie können dieselbe Greengrass-Servicerolle inAWS-Regions, aber Sie müssen es in jedem Fall mit Ihrem Konto verknüpfenAWS-Regionwo du verwendestAWS IoT Greengrassaus. Die Gruppenbereitstellung schlägt fehl, wenn die Servicerolle im aktuellenAWS-Kontound Region.
In den folgenden Abschnitten wird beschrieben, wie Sie die Greengrass-Servicerolle in der AWS Management Console oder AWS CLI erstellen und verwalten.
Anmerkung
Zusätzlich zur Servicerolle, die den Zugriff auf Service-Ebene autorisiert, können Sie eine-Gruppen-Rollezu einemAWS IoT GreengrassGruppe. Die Gruppenrolle ist eine separate IAM-Rolle, die steuert, wie Greengrass-Lambda-Funktionen und -Konnektoren in der Gruppe darauf zugreifen können.AWS-Services.
Verwalten der Greengrass-Servicerolle (Konsole)
Die AWS IoT-Konsole vereinfacht die Verwaltung Ihrer Greengrass-Servicerolle. Wenn Sie beispielsweise eine Greengrass-Gruppe erstellen oder bereitstellen, prüft die Konsole, ob IhreAWS-Kontoist an eine Greengrass-Servicerolle imAWS-Regiondie derzeit in der Konsole ausgewählt ist. Andernfalls kann die Konsole eine Servicerolle für Sie erstellen und konfigurieren. Weitere Informationen finden Sie unter Erstellen der Greengrass-Servicerolle (Konsole).
Sie können dasAWS IoT-Konsole für die folgenden Rollenverwaltungsaufgaben:
Anmerkung
Der Benutzer, der bei der Konsole angemeldet ist, muss über Berechtigungen zum Anzeigen, Erstellen oder Ändern der Servicerolle verfügen.
Suchen Ihrer Greengrass-Servicerolle (Konsole)
Führen Sie die folgenden Schritte aus, um die Servicerolle zu findenAWS IoT Greengrassverwendet in der aktuellenAWS-Regionaus.
-
AusAWS IoTKonsole
Navigationsbereich, wählen SieEinstellungenaus. -
Scrollen Sie zum Abschnitt Greengrass service role (Greengrass-Servicerolle), um Ihre Servicerolle und deren Richtlinien anzuzeigen.
Wenn Sie keine Servicerolle sehen, können Sie die Konsole eine für Sie erstellen oder konfigurieren lassen. Weitere Informationen finden Sie unter Erstellen der Greengrass-Servicerolle.
Erstellen der Greengrass-Servicerolle (Konsole)
Die Konsole kann eine standardmäßige Greengrass-Servicerolle für Sie erstellen und konfigurieren. Diese Rolle hat die folgenden Eigenschaften.
Property (Eigenschaft) | Wert |
---|---|
Name | Greengrass_ServiceRole |
Trusted entity (Vertrauenswürdige Entität) | AWS service: greengrass |
Richtlinie | AWSGreengrassResourceAccessRolePolicy |
Anmerkung
Wenn Greengrass Device Setup die Servicerolle erstellt, lautet der Rollenname GreengrassServiceRole_
.random-string
Wenn Sie eine Greengrass-Gruppe aus demAWS IoT-Konsole prüft die Konsole, ob eine Greengrass-Servicerolle mit IhremAWS-KontoimAWS-Regiondie derzeit in der Konsole ausgewählt ist. Andernfalls werden Sie von der Konsole aufgefordert, zuzulassenAWS IoT Greengrasslesen und schreibenAWS-Services in Ihrem Namen.
Wenn Sie die Berechtigung erteilen, prüft die Konsole, ob eine Rolle mitGreengrass_ServiceRole
existiert in deinemAWS-Kontoaus.
-
Wenn die Rolle vorhanden ist, fügt die Konsole die Servicerolle anAWS-Kontoim aktuellenAWS-Regionaus.
-
Wenn die Rolle nicht vorhanden ist, erstellt die Konsole eine standardmäßige Greengrass-Servicerolle und fügt sie an Ihre anAWS-Kontoim aktuellenAWS-Regionaus.
Anmerkung
Wenn Sie eine Servicerolle mit benutzerdefinierten Rollenrichtlinien erstellen möchten, verwenden Sie die IAM-Konsole, um die Rolle zu erstellen oder zu ändern. Weitere Informationen finden Sie unterErstellen einer Rolle zum Delegieren von Berechtigungen an eineAWSBedienungoderÄndern einer RolleimIAM User Guideaus. Stellen Sie sicher, dass die Rolle Berechtigungen erteilt, die der verwalteten Richtlinie AWSGreengrassResourceAccessRolePolicy
für die verwendeten Funktionen und Ressourcen entsprechen. Wir empfehlen Ihnen, auch dieaws:SourceArn
undaws:SourceAccount
Globale -Bedingungskontextschlüssel in Ihrer Vertrauensrichtlinie, um dieconfused StellvertreterSicherheitsproblem. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anforderungen zugelassen werden, die vom angegebenen Konto und Greengrass-Arbeitsbereich kommen. Weitere Informationen über den „verwirrten Stellvertreter“ finden Sie unterVermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)aus.
Wenn Sie eine Servicerolle erstellen, kehren Sie zurAWS IoT-Konsole und fügen Sie die Rolle an die Gruppe an. Sie können dies unter Greengrass service role (Greengrass-Servicerolle) auf der Seite Settings (Einstellungen) der Gruppe vornehmen.
Ändern der Greengrass-Servicerolle (Konsole)
Mit dem folgenden Verfahren können Sie eine andere Greengrass-Servicerolle auswählen, die an Ihre angefügt werden sollAWS-KontoimAWS-Regionist derzeit in der -Konsole ausgewählt.
-
AusAWS IoTKonsole
Navigationsbereich, wählen SieEinstellungenaus. -
UnderGreengrass-Servicerolle, wählenRolle ändernaus.
DieAktualisieren der Greengrass-Servicerollewird geöffnet und zeigt die IAM-Rollen in IhremAWS-Kontodie definierenAWS IoT Greengrassals vertrauenswürdige Entität.
-
Wählen Sie die Greengrass-Servicerolle aus.
-
Klicken Sie auf-Rolle hinzufügenaus.
Anmerkung
Um der Konsole das Erstellen einer standardmäßigen Greengrass-Servicerolle für Sie zu erlauben, wählen Sie Create role for me (Rolle für mich erstellen) aus, anstatt eine Rolle aus der Liste auszuwählen. DieErstelle eine Rolle für michLink wird nicht angezeigt, wenn eine Rolle mit dem NamenGreengrass_ServiceRole
ist in IhremAWS-Kontoaus.
Trennen der Greengrass-Servicerolle (Konsole)
Führen Sie die folgenden Schritte aus, um die Greengrass-Servicerolle von Ihrem zu trennenAWS-KontoimAWS-Regionist derzeit in der -Konsole ausgewählt. Dadurch werden Berechtigungen fürAWS IoT GreengrassZugriff aufAWSDienstleistungen in der aktuellenAWS-Regionaus.
Wichtig
Durch das Trennen der Servicerolle können aktive Operationen unterbrochen werden.
-
AusAWS IoTKonsole
Navigationsbereich, wählen SieEinstellungenaus. -
UnderGreengrass-Servicerolle, wählenTrennen der Rolleaus.
-
Wählen Sie im Bestätigungsdialogfeld Trennen aus.
Anmerkung
Wenn Sie die Rolle nicht mehr benötigen, können Sie sie in der IAM-Konsole löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter Löschen von Rollen oder Instance-Profilen im IAM-Benutzerhandbuch.
Andere Rollen erlauben möglicherweise AWS IoT Greengrass den Zugriff auf Ihre Ressourcen. So finden Sie alle Rollen, die dies zulassenAWS IoT Greengrassum in Ihrem Namen Berechtigungen anzunehmen, in der IAM-Konsole, auf derRollennach Rollen suchen, die Folgendes beinhaltenAWSservice: greengrass/rotimTrusted Entitiescolumn.
Verwalten der Greengrass-Servicerolle (CLI)
Im folgenden Verfahren gehen wir davon aus, dass dieAWS CLIist installiert und konfiguriert für die Verwendung vonAWS-KontoID. Weitere Informationen finden Sie unterInstallieren vonAWS-BefehlszeilenschnittstelleundKonfigurieren vonAWS CLIimAWS Command Line Interface-Benutzerhandbuchaus.
Sie können die AWS CLI für die folgenden Rollenverwaltungsaufgaben verwenden:
Abrufen der Greengrass-Servicerolle (CLI)
Führen Sie die folgenden Schritte aus, um herauszufinden, ob eine Greengrass-Servicerolle mit Ihrem verknüpft istAWS-Kontoin einemAWS-Regionaus.
-
Rufen Sie die Servicerolle ab. Ersetzen
Region
mit IhremAWS-Region(z. B.us-west-2
) enthalten.aws Greengrass get-service-role-for-account --region
region
Wenn Ihrem Konto bereits eine Greengrass-Servicerolle zugewiesen ist, werden die folgenden Rollenmetadaten zurückgegeben.
{ "AssociatedAt": "
timestamp
", "RoleArn": "arn:aws:iam::account-id
:role/path/role-name
" }Werden keine Rollenmetadaten zurückgegeben, müssen Sie die Servicerolle erstellen (sofern sie noch nicht vorhanden ist) und Ihrem -Konto imAWS-Regionaus.
Erstellen der Greengrass-Servicerolle (CLI)
Führen Sie die folgenden Schritte aus, um eine Rolle zu erstellen und sie Ihrem zuzuweisenAWS-Kontoaus.
So erstellen Sie die Servicerolle mit IAM
-
Erstellen Sie die Rolle mit einer Vertrauensrichtlinie, die es AWS IoT Greengrass erlaubt, die Rolle anzunehmen. In diesem Beispiel wird eine Rolle namens
Greengrass_ServiceRole
erstellt, aber Sie können einen anderen Namen verwenden. Wir empfehlen Ihnen, auch dieaws:SourceArn
undaws:SourceAccount
Globale -Bedingungskontextschlüssel in Ihrer Vertrauensrichtlinie, um dieconfused StellvertreterSicherheitsproblem. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anforderungen zugelassen werden, die vom angegebenen Konto und Greengrass-Arbeitsbereich kommen. Weitere Informationen über den „verwirrten Stellvertreter“ finden Sie unterVermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)aus. -
Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Sie verknüpfen die Servicerolle mithilfe des ARN mit Ihrem Konto.
-
Fügen Sie der Rolle die
AWSGreengrassResourceAccessRolePolicy
-Richtlinie an.aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
So verknüpfen Sie die Servicerolle mit IhremAWS-Konto
-
Weisen Sie die Rolle Ihrem Konto zu. Ersetzen
Rollen-ARN
mit der Servicerolle ARN undRegion
mit IhremAWS-Region(z. B.us-west-2
) enthalten.aws greengrass associate-service-role-to-account --role-arn
role-arn
--regionregion
Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.
{ "AssociatedAt": "
timestamp
" }
Entfernen der Greengrass-Servicerolle (CLI)
Mit den folgenden Schritten können Sie die Zuweisung der Greengrass-Servicerolle von IhremAWS-Kontoaus.
-
Haben Sie die Zuordnung der Servicerolle bei Ihrem Konto auf. Ersetzen
Region
mit IhremAWS-Region(z. B.us-west-2
) enthalten.aws greengrass disassociate-service-role-from-account --region
region
Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.
{ "DisassociatedAt": "
timestamp
" }Anmerkung
Sie sollten die Servicerolle löschen, wenn Sie sie in keinerAWS-Regionaus. Verwenden Sie zuerst delete-role-policy, um die verwaltete
AWSGreengrassResourceAccessRolePolicy
-Richtlinie von der Rolle zu lösen, und verwenden Sie dann delete-role, um die Rolle zu löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter Löschen von Rollen oder Instance-Profilen im IAM-Benutzerhandbuch.
Weitere Informationen finden Sie auch unter
-
Erstellen einer Rolle zum Delegieren von Berechtigungen an eineAWSBedienungimIAM User Guide
-
Ändern einer RolleimIAM User Guide
-
Löschen von Rollen oder Instance-ProfilenimIAM User Guide
-
AWS IoT Greengrass-Befehle imAWS CLIBefehlsreferenz
-
IAM-Befehle imAWS CLIBefehlsreferenz