Greengrass-Servicerolle - AWS IoT Greengrass
Verwaltung der Servicerolle (Konsole)Verwaltung der Servicerolle (CLI)Weitere Informationen finden Sie auch unter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greengrass-Servicerolle

Die Greengrass-Servicerolle ist eine AWS Identity and Access Management (IAM)-Servicerolle, die autorisiertAWS IoT Greengrass, in Ihrem Namen auf Ressourcen von -AWSServices zuzugreifen. Diese Rolle ermöglicht es dem , die Identität von Clientgeräten AWS IoT Greengrass zu überprüfen und die Konnektivitätsinformationen des Core-Geräts zu verwalten.

Anmerkung

AWS IoT Greengrass V1 verwendet diese Rolle auch, um wichtige Aufgaben auszuführen. Weitere Informationen finden Sie unter Greengrass-Servicerolle im AWS IoT Greengrass V1 -Entwicklerhandbuch.

Damit AWS IoT Greengrass auf Ihre -Ressourcen zugreifen kann, muss die Greengrass-Servicerolle Ihrem zugeordnet sein AWS-Konto und AWS IoT Greengrass als vertrauenswürdige Entität angeben. Die Rolle muss die -AWSGreengrassResourceAccessRolePolicyverwaltete Richtlinie oder eine benutzerdefinierte Richtlinie enthalten, die gleichwertige Berechtigungen für die von Ihnen verwendeten AWS IoT Greengrass Funktionen definiert. AWS verwaltet diese Richtlinie, die den Satz von Berechtigungen definiert, die für den Zugriff auf Ihre -AWSRessourcen AWS IoT Greengrass verwendet. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: AWSGreengrassResourceAccessRolePolicy.

Sie können dieselbe Greengrass-Servicerolle in wiederverwendenAWS-Regionen, müssen sie jedoch Ihrem Konto in jeder zuordnenAWS-Region, in der Sie verwendenAWS IoT Greengrass. Wenn die Servicerolle nicht in der aktuellen konfiguriert istAWS-Region, können -Core-Geräte Client-Geräte nicht überprüfen und die Konnektivitätsinformationen nicht aktualisieren.

In den folgenden Abschnitten wird beschrieben, wie Sie die Greengrass-Servicerolle mit der AWS Management Console oder der erstellen und verwaltenAWS CLI.

Anmerkung

Zusätzlich zu der Servicerolle, die den Zugriff auf Serviceebene autorisiert, weisen Sie Greengrass-Core-Geräten eine Token-Exchange-Rolle zu. Die Tokenaustauschrolle ist eine separate IAM-Rolle, die steuert, wie Greengrass-Komponenten und Lambda-Funktionen auf dem Core-Gerät auf -AWSServices zugreifen können. Weitere Informationen finden Sie unter Autorisieren Sie Kerngeräte für die Interaktion mit Diensten AWS.

Verwalten der Greengrass-Servicerolle (Konsole)

Die AWS IoT-Konsole vereinfacht die Verwaltung Ihrer Greengrass-Servicerolle. Wenn Sie beispielsweise die Client-Geräteerkennung für ein Core-Gerät konfigurieren, prüft die Konsole, ob Ihr an eine Greengrass-Servicerolle in der aktuellen angefügt AWS-Konto istAWS-Region. Andernfalls kann die Konsole eine Servicerolle für Sie erstellen und konfigurieren. Weitere Informationen finden Sie unter Erstellen der Greengrass-Servicerolle (Konsole).

Sie können die Konsole für die folgenden Aufgaben zur Rollenverwaltung verwenden:

Anmerkung

Der Benutzer, der bei der Konsole angemeldet ist, muss über Berechtigungen zum Anzeigen, Erstellen oder Ändern der Servicerolle verfügen.

Suchen Ihrer Greengrass-Servicerolle (Konsole)

Gehen Sie wie folgt vor, um die Servicerolle zu finden, die in der aktuellen AWS IoT Greengrass verwendetAWS-Region.

  1. Navigieren Sie zur AWS IoT-Konsole.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Scrollen Sie zum Abschnitt Greengrass service role (Greengrass-Servicerolle), um Ihre Servicerolle und deren Richtlinien anzuzeigen.

    Wenn Ihnen keine Servicerolle angezeigt wird, kann die Konsole eine für Sie erstellen oder konfigurieren. Weitere Informationen finden Sie unter Erstellen der Greengrass-Servicerolle.

Erstellen der Greengrass-Servicerolle (Konsole)

Die Konsole kann eine standardmäßige Greengrass-Servicerolle für Sie erstellen und konfigurieren. Diese Rolle hat die folgenden Eigenschaften.

Eigenschaft Wert
Name Greengrass_ServiceRole
Trusted entity (Vertrauenswürdige Entität) AWS service: greengrass
Richtlinie AWSGreengrassResourceAccessRolePolicy
Anmerkung

Wenn Sie diese Rolle mit dem AWS IoT Greengrass V1 Geräteeinrichtungsskript erstellen, lautet der Rollenname GreengrassServiceRole_random-string.

Wenn Sie die Client-Geräteerkennung für ein Core-Gerät konfigurieren, prüft die Konsole, ob Ihrem AWS-Konto in der aktuellen eine Greengrass-Servicerolle zugeordnet istAWS-Region. Andernfalls werden Sie von der Konsole aufgefordert, AWS IoT Greengrass das Lesen und Schreiben von AWS Services in Ihrem Namen zu erlauben.

Wenn Sie die Berechtigung erteilen, prüft die Konsole, ob eine Rolle mit dem Namen in Ihrem Greengrass_ServiceRole vorhanden istAWS-Konto.

  • Wenn die Rolle vorhanden ist, fügt die Konsole die Servicerolle an Ihre AWS-Konto in der aktuellen anAWS-Region.

  • Wenn die Rolle nicht vorhanden ist, erstellt die Konsole eine standardmäßige Greengrass-Servicerolle und fügt sie Ihrem AWS-Konto in der aktuellen anAWS-Region.

Anmerkung

Wenn Sie eine Servicerolle mit benutzerdefinierten Rollenrichtlinien erstellen möchten, verwenden Sie die IAM-Konsole, um die Rolle zu erstellen oder zu ändern. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen -AWSService oder Ändern einer Rolle im IAM-Benutzerhandbuch. https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html Stellen Sie sicher, dass die Rolle Berechtigungen erteilt, die der verwalteten Richtlinie AWSGreengrassResourceAccessRolePolicy für die verwendeten Funktionen und Ressourcen entsprechen. Wir empfehlen Ihnen, auch die aws:SourceAccount globalen Bedingungskontextschlüssel aws:SourceArn und in Ihre Vertrauensrichtlinie aufzunehmen, um das Sicherheitsproblem des verwirrten Stellvertreters zu vermeiden. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur die Anforderungen zugelassen werden, die vom angegebenen Konto und Greengrass Workspace stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend).

Wenn Sie eine Servicerolle erstellen, kehren Sie zur -AWS IoTKonsole zurück und fügen Sie die Rolle an Ihre anAWS-Konto. Sie können dies unter Greengrass-Servicerolle auf der Seite Einstellungen tun.

Ändern der Greengrass-Servicerolle (Konsole)

Gehen Sie wie folgt vor, um eine andere Greengrass-Servicerolle auszuwählen, die an Ihre AWS-Konto in der AWS-Region aktuell ausgewählten in der Konsole angefügt werden soll.

  1. Navigieren Sie zur AWS IoT-Konsole.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie unter Greengrass-Servicerolle die Option Rolle ändern aus.

    Das Dialogfeld Greengrass-Servicerolle aktualisieren wird geöffnet und zeigt die IAM-Rollen in Ihrem anAWS-Konto, die AWS IoT Greengrass als vertrauenswürdige Entität definieren.

  4. Wählen Sie die anzufügende Greengrass-Servicerolle aus.

  5. Wählen Sie Rolle anfügen aus.

Trennen der Greengrass-Servicerolle (Konsole)

Gehen Sie wie folgt vor, um die Greengrass-Servicerolle von Ihrem AWS Konto in der aktuellen zu trennenAWS-Region. Dadurch werden Berechtigungen für für den Zugriff AWS IoT Greengrass auf AWS Services in der aktuellen widerrufenAWS-Region.

Wichtig

Durch das Trennen der Servicerolle können aktive Operationen unterbrochen werden.

  1. Navigieren Sie zur AWS IoT-Konsole.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie unter Greengrass-Servicerolle die Option Rolle trennen aus.

  4. Wählen Sie im Bestätigungsdialogfeld Trennen aus.

Anmerkung

Wenn Sie die Rolle nicht mehr benötigen, können Sie sie in der IAM-Konsole löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter Löschen von Rollen oder Instance-Profilen im IAM-Benutzerhandbuch.

Andere Rollen erlauben möglicherweise AWS IoT Greengrass den Zugriff auf Ihre Ressourcen. Um alle Rollen AWS IoT Greengrass zu finden, die zulassen, dass Berechtigungen in Ihrem Namen übernimmt, suchen Sie in der IAM-Konsole auf der Seite Rollen nach Rollen, die AWS service: greengrass in der Spalte Vertrauenswürdige Entitäten enthalten.

Verwalten der Greengrass-Servicerolle (CLI)

In den folgenden Verfahren gehen wir davon aus, dass installiert und für die Verwendung Ihres konfiguriert AWS Command Line Interface istAWS-Konto. Weitere Informationen finden Sie unter Installieren, Aktualisieren und Deinstallieren der AWS CLI und Konfigurieren der AWS CLI im AWS Command Line Interface -Benutzerhandbuch.

Sie können die AWS CLI für die folgenden Rollenverwaltungsaufgaben verwenden:

Abrufen der Greengrass-Servicerolle (CLI)

Gehen Sie wie folgt vor, um herauszufinden, ob eine Greengrass-Servicerolle Ihrem AWS-Konto in einem zugeordnet istAWS-Region.

  • Rufen Sie die Servicerolle ab. Ersetzen Sie region durch Ihre AWS-Region (z. B. us-west-2).

    aws greengrassv2 get-service-role-for-account --region region

    Wenn Ihrem Konto bereits eine Greengrass-Servicerolle zugeordnet ist, gibt die Anforderung die folgenden Rollenmetadaten zurück.

    {
  "associatedAt": "timestamp",
  "roleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Wenn die Anforderung keine Rollenmetadaten zurückgibt, müssen Sie die Servicerolle (falls sie nicht vorhanden ist) erstellen und Ihrem Konto in der zuordnenAWS-Region.

Erstellen der Greengrass-Servicerolle (CLI)

Führen Sie die folgenden Schritte aus, um eine Rolle zu erstellen und sie Ihrem zuzuordnenAWS-Konto.

So erstellen Sie die Servicerolle mit IAM

  1. Erstellen Sie die Rolle mit einer Vertrauensrichtlinie, die AWS IoT Greengrass die Annahme der Rolle erlaubt. In diesem Beispiel wird eine Rolle namens Greengrass_ServiceRole erstellt, aber Sie können einen anderen Namen verwenden. Wir empfehlen Ihnen, auch die aws:SourceAccount globalen Bedingungskontextschlüssel aws:SourceArn und in Ihre Vertrauensrichtlinie aufzunehmen, um das Sicherheitsproblem des verwirrten Stellvertreters zu vermeiden. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur die Anforderungen zugelassen werden, die vom angegebenen Konto und Greengrass Workspace stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend).

    Linux or Unix
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'
    Windows Command Prompt (CMD)
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
    PowerShell
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'

  2. Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Sie verknüpfen die Servicerolle mithilfe des ARN mit Ihrem Konto.

  3. Fügen Sie der Rolle die AWSGreengrassResourceAccessRolePolicy-Richtlinie an.

    aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
So verknüpfen Sie die Servicerolle mit Ihrem AWS-Konto

  • Weisen Sie die Rolle Ihrem Konto zu. Ersetzen Sie role-arn durch den ARN der Servicerolle und region durch Ihre AWS-Region (z. B. us-west-2).

    aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region

    Bei Erfolg gibt die Anforderung die folgende Antwort zurück.

    {
  "associatedAt": "timestamp"
}

Entfernen der Greengrass-Servicerolle (CLI)

Führen Sie die folgenden Schritte aus, um die Zuordnung der Greengrass-Servicerolle zu Ihrem aufzuhebenAWS-Konto.

  • Haben Sie die Zuordnung der Servicerolle bei Ihrem Konto auf. Ersetzen Sie region durch Ihre AWS-Region (z. B. us-west-2).

    aws greengrassv2 disassociate-service-role-from-account --region region

    Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.

    {
  "disassociatedAt": "timestamp"
}
    Anmerkung

    Sie sollten die Servicerolle löschen, wenn Sie sie nicht in einem verwendenAWS-Region. Verwenden Sie zuerst delete-role-policy, um die verwaltete AWSGreengrassResourceAccessRolePolicy-Richtlinie von der Rolle zu lösen, und verwenden Sie dann delete-role, um die Rolle zu löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter Löschen von Rollen oder Instance-Profilen im IAM-Benutzerhandbuch.

Weitere Informationen finden Sie auch unter