Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für AWS IoT Greengrass
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS IoT Greengrass IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Anmerkung**
In diesem Thema werden die Konzepte und Funktionen von IAM beschrieben. Informationen zu den IAM-Funktionen, die von unterstützt werden AWS IoT Greengrass, finden Sie unter. [Wie AWS IoT Greengrass funktioniert mit IAM](security_iam_service-with-iam.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Behebung von Identitäts- und Zugriffsproblemen für AWS IoT Greengrass](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS IoT Greengrass funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS IoT Greengrass](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
## Weitere Informationen finden Sie auch unter
+ [Wie AWS IoT Greengrass funktioniert mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
+ [Behebung von Identitäts- und Zugriffsproblemen für AWS IoT Greengrass](security_iam_troubleshoot.md)
# Wie AWS IoT Greengrass funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf zu verwalten AWS IoT Greengrass, sollten Sie sich mit den IAM-Funktionen vertraut machen, die Sie mit verwenden können. AWS IoT Greengrass
| IAM-Feature | Von Greengrass unterstützt? |
| --- | --- |
| [Identitätsbasierte Richtlinien mit Berechtigungen auf Ressourcenebene](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Zugriffskontrolllisten () ACLs](#security_iam_service-with-iam-acls) | Nein |
| [Auf Tags basierende Autorisierung](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein |
| [Servicerollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie andere AWS Dienste mit IAM funktionieren, finden Sie im IAM-Benutzerhandbuch unter [AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für AWS IoT Greengrass
Mit identitätsbasierten IAM-Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zugelassen oder verweigert werden. AWS IoT Greengrass unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer Richtlinie verwenden, finden Sie unter [Referenz zu den IAM-JSON-Richtlinienelementen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Bei Richtlinienaktionen wird das `greengrass:` Präfix vor der Aktion AWS IoT Greengrass verwendet. Um beispielsweise jemandem zu ermöglichen, mithilfe des `ListCoreDevices` API-Vorgangs die wichtigsten Geräte aufzulisten AWS-Konto, nehmen Sie die `greengrass:ListCoreDevices` Aktion in seine Richtlinie auf. Richtlinienerklärungen müssen `Action` entweder ein `NotAction` Oder-Element enthalten. AWS IoT Greengrass definiert einen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, listen Sie sie in Klammern (`[``]`) auf und trennen Sie sie wie folgt durch Kommas:
```
"Action": [
"greengrass:action1",
"greengrass:action2",
"greengrass:action3"
]
```
Sie können Platzhalter (`*`) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `List` beginnen, einschließlich der folgenden Aktion:
```
"Action": "greengrass:List*"
```
**Anmerkung**
Es wird empfohlen, die Verwendung von Platzhaltern zu vermeiden, um alle verfügbaren Aktionen für einen Service anzugeben. Als bewährte Methode sollten Sie in einer Richtlinie die geringsten Berechtigungen mit eng begrenztem Umfang gewähren. Weitere Informationen finden Sie unter [Erteilen von Mindestberechtigungen](security-best-practices.md#least-privilege).
Die vollständige Liste der AWS IoT Greengrass [Aktionen finden Sie AWS IoT Greengrass im *IAM-Benutzerhandbuch* unter Definierte Aktionen von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions).
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Die folgende Tabelle enthält die AWS IoT Greengrass Ressource ARNs , die im `Resource` Element einer Richtlinienerklärung verwendet werden kann. Eine Zuordnung der unterstützten Berechtigungen für AWS IoT Greengrass Aktionen auf Ressourcenebene finden Sie unter [Actions Defined by AWS IoT Greengrass](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions) im *IAM-Benutzerhandbuch*.
Einige AWS IoT Greengrass Aktionen (z. B. einige Listenoperationen) können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie allein den Platzhalter verwenden.
```
"Resource": "*"
```
Um mehrere Ressourcen ARNs in einer Anweisung anzugeben, listen Sie sie in Klammern (`[``]`) auf und trennen Sie sie wie folgt durch Kommas:
```
"Resource": [
"resource-arn1",
"resource-arn2",
"resource-arn3"
]
```
Weitere Informationen zu ARN-Formaten finden Sie unter [Amazon Resource Names (ARNs) und AWS Service-Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in der. *Allgemeine Amazon Web Services-Referenz*
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
### Beispiele
Beispiele für AWS IoT Greengrass identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien für AWS IoT Greengrass
AWS IoT Greengrass unterstützt keine [ressourcenbasierten](security-iam.md#security_iam_access-manage-resource-based-policies) Richtlinien.
## Zugriffskontrolllisten () ACLs
AWS IoT Greengrass unterstützt nicht [ACLs](security-iam.md#security_iam_access-manage-acl).
## Autorisierung auf der Grundlage von AWS IoT Greengrass Tags
Sie können Tags an unterstützte AWS IoT Greengrass Ressourcen anhängen oder Tags in einer Anfrage an übergeben AWS IoT Greengrass. Um den Zugriff basierend auf Tags zu steuern, stellen Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie unter Verwendung der Bedingungsschlüssel `aws:ResourceTag/${TagKey}`, `aws:RequestTag/${TagKey}` oder `aws:TagKeys` bereit. Weitere Informationen finden Sie unter [Kennzeichnen Sie Ihre AWS IoT Greengrass Version 2 Ressourcen](tag-resources.md).
## IAM-Rollen für AWS IoT Greengrass
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS-Konto mit spezifischen Berechtigungen.
### Verwenden temporärer Anmeldeinformationen mit AWS IoT Greengrass
Temporäre Anmeldeinformationen werden verwendet, um sich bei einem Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontoübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Auf dem Greengrass-Kern werden den Greengrass-Komponenten temporäre Anmeldeinformationen für die [Geräterolle](device-service-role.md) zur Verfügung gestellt. Wenn Ihre Komponenten das AWS SDK verwenden, müssen Sie keine Logik hinzufügen, um die Anmeldeinformationen zu erhalten, da das AWS SDK dies für Sie erledigt.
### Service-verknüpfte Rollen
AWS IoT Greengrass unterstützt keine [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role).
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
AWS IoT Greengrass Kerngeräte verwenden eine Servicerolle, damit Greengrass-Komponenten und Lambda-Funktionen in Ihrem Namen auf einige Ihrer AWS Ressourcen zugreifen können. Weitere Informationen finden Sie unter [Autorisieren Sie Kerngeräte für die Interaktion mit Diensten AWS](device-service-role.md).
AWS IoT Greengrass verwendet eine Servicerolle, um in Ihrem Namen auf einige Ihrer AWS Ressourcen zuzugreifen. Weitere Informationen finden Sie unter [Greengrass-Servicerolle](greengrass-service-role.md).
# Beispiele für identitätsbasierte Richtlinien für AWS IoT Greengrass
IAM-Benutzer besitzen keine Berechtigungen zum Erstellen oder Ändern von AWS IoT Greengrass -Ressourcen. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS IoT Greengrass Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Beispiele für Richtlinien
Im folgenden Beispiel erteilen benutzerdefinierte Richtlinien Berechtigungen für häufig auftretende Szenarien.
**Topics**
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
### Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Autorisieren Sie Kerngeräte für die Interaktion mit Diensten AWS
AWS IoT Greengrass Kerngeräte verwenden den Anbieter AWS IoT Core für Anmeldeinformationen, um Anrufe an Dienste zu autorisieren. AWS Der Anbieter AWS IoT Core für Anmeldeinformationen ermöglicht es Geräten, ihre X.509-Zertifikate als eindeutige Geräteidentität zur Authentifizierung AWS von Anfragen zu verwenden. Dadurch entfällt die Notwendigkeit, eine AWS Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel auf Ihren AWS IoT Greengrass Kerngeräten zu speichern. Weitere Informationen finden Sie unter [Autorisieren von direkten Aufrufen von AWS Diensten](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html) im *AWS IoT Core Entwicklerhandbuch*.
Wenn Sie die AWS IoT Greengrass Core-Software ausführen, können Sie wählen, ob Sie die AWS Ressourcen bereitstellen möchten, die das Kerngerät benötigt. Dazu gehört auch die AWS Identity and Access Management (IAM-) Rolle, die Ihr Kerngerät über den Anbieter für AWS IoT Core Anmeldeinformationen übernimmt. Verwenden Sie das `--provision true` Argument, um eine Rolle und Richtlinien zu konfigurieren, die es dem Kerngerät ermöglichen, temporäre AWS Anmeldeinformationen abzurufen. Dieses Argument konfiguriert auch einen AWS IoT Rollenalias, der auf diese IAM-Rolle verweist. Sie können den Namen der zu verwendenden IAM-Rolle und den AWS IoT Rollenalias angeben. Wenn Sie diese anderen Namensparameter `--provision true` ohne diese anderen Namensparameter angeben, erstellt und verwendet das Greengrass-Core-Gerät die folgenden Standardressourcen:
+ IAM-Rolle: `GreengrassV2TokenExchangeRole`
Diese Rolle hat eine benannte Richtlinie `GreengrassV2TokenExchangeRoleAccess` und eine Vertrauensbeziehung, die es ermöglicht, diese Rolle `credentials.iot.amazonaws.com` zu übernehmen. Die Richtlinie umfasst die Mindestberechtigungen für das Kerngerät.
**Wichtig**
Diese Richtlinie beinhaltet nicht den Zugriff auf Dateien in S3-Buckets. Sie müssen der Rolle Berechtigungen hinzufügen, damit Kerngeräte Komponentenartefakte aus S3-Buckets abrufen können. Weitere Informationen finden Sie unter [Erlauben Sie den Zugriff auf S3-Buckets für Komponentenartefakte](#device-service-role-access-s3-bucket).
+ AWS IoT Rollenalias: `GreengrassV2TokenExchangeRoleAlias`
Dieser Rollenalias bezieht sich auf die IAM-Rolle.
Weitere Informationen finden Sie unter [Schritt 3: Installieren Sie die AWS IoT Greengrass Core-Software](install-greengrass-v2.md).
Sie können den Rollenalias auch für ein vorhandenes Kerngerät festlegen. Konfigurieren Sie dazu den `iotRoleAlias` Konfigurationsparameter der [Greengrass Nucleus-Komponente](greengrass-nucleus-component.md).
Sie können temporäre AWS Anmeldeinformationen für diese IAM-Rolle erwerben, um AWS Operationen in Ihren benutzerdefinierten Komponenten auszuführen. Weitere Informationen finden Sie unter [Interagieren Sie mit AWS Diensten](interact-with-aws-services.md).
**Topics**
+ [Berechtigungen für Servicerollen für Kerngeräte](#device-service-role-permissions)
+ [Erlauben Sie den Zugriff auf S3-Buckets für Komponentenartefakte](#device-service-role-access-s3-bucket)
## Berechtigungen für Servicerollen für Kerngeräte
Die Rolle ermöglicht es dem folgenden Dienst, die Rolle zu übernehmen:
+ `credentials.iot.amazonaws.com`
Wenn Sie die AWS IoT Greengrass Core-Software verwenden, um diese Rolle zu erstellen, verwendet sie die folgende Berechtigungsrichtlinie, damit Core-Geräte eine Verbindung herstellen und Protokolle an diese senden können AWS. Der Name der Richtlinie ist standardmäßig der Name der IAM-Rolle, der mit endet. `Access` Wenn Sie beispielsweise den Standard-IAM-Rollennamen verwenden, lautet der Name dieser Richtlinie. `GreengrassV2TokenExchangeRoleAccess`
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ v2.4.x ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.4.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"iot:Connect",
"iot:Publish",
"iot:Subscribe",
"iot:Receive",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
## Erlauben Sie den Zugriff auf S3-Buckets für Komponentenartefakte
Die standardmäßige Core-Geräterolle erlaubt es Core-Geräten nicht, auf S3-Buckets zuzugreifen. Um Komponenten bereitzustellen, die Artefakte in S3-Buckets enthalten, müssen Sie die `s3:GetObject` Berechtigung hinzufügen, Kerngeräten das Herunterladen von Komponentenartefakten zu gestatten. Sie können der Core-Geräterolle eine neue Richtlinie hinzufügen, um diese Berechtigung zu erteilen.
**Um eine Richtlinie hinzuzufügen, die den Zugriff auf Komponentenartefakte in Amazon S3 ermöglicht**
1. Erstellen Sie eine Datei mit dem Namen `component-artifact-policy.json` und kopieren Sie den folgenden JSON-Code in die Datei. Diese Richtlinie ermöglicht den Zugriff auf alle Dateien in einem S3-Bucket. Ersetzen Sie amzn-s3-demo-bucket durch den Namen des S3-Buckets, damit das Kerngerät darauf zugreifen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Führen Sie den folgenden Befehl aus, um die Richtlinie aus dem Richtliniendokument in zu erstellen. `component-artifact-policy.json`
------
#### [ Linux or Unix ]
```
aws iam create-policy \
--policy-name MyGreengrassV2ComponentArtifactPolicy \
--policy-document file://component-artifact-policy.json
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-policy ^
--policy-name MyGreengrassV2ComponentArtifactPolicy ^
--policy-document file://component-artifact-policy.json
```
------
#### [ PowerShell ]
```
aws iam create-policy `
--policy-name MyGreengrassV2ComponentArtifactPolicy `
--policy-document file://component-artifact-policy.json
```
------
Kopieren Sie den Amazon Resource Name (ARN) der Richtlinie aus den Richtlinienmetadaten in der Ausgabe. Sie verwenden diesen ARN, um diese Richtlinie im nächsten Schritt an die zentrale Geräterolle anzuhängen.
1. Führen Sie den folgenden Befehl aus, um die Richtlinie an die zentrale Geräterolle anzuhängen. *GreengrassV2TokenExchangeRole*Ersetzen Sie es durch den Namen der Rolle, die Sie bei der Ausführung der AWS IoT Greengrass Core-Software angegeben haben. Ersetzen Sie dann den Richtlinien-ARN durch den ARN aus dem vorherigen Schritt.
------
#### [ Linux or Unix ]
```
aws iam attach-role-policy \
--role-name GreengrassV2TokenExchangeRole \
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam attach-role-policy ^
--role-name GreengrassV2TokenExchangeRole ^
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ PowerShell ]
```
aws iam attach-role-policy `
--role-name GreengrassV2TokenExchangeRole `
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
Wenn der Befehl keine Ausgabe hat, war er erfolgreich, und Ihr Kerngerät kann auf Artefakte zugreifen, die Sie in diesen S3-Bucket hochladen.
# Minimale IAM-Richtlinie für das Installationsprogramm zur Bereitstellung von Ressourcen
Wenn Sie die AWS IoT Greengrass Core-Software installieren, können Sie die erforderlichen AWS Ressourcen wie ein AWS IoT Ding und eine IAM-Rolle für Ihr Gerät bereitstellen. Sie können auch lokale Entwicklungstools auf dem Gerät bereitstellen. Das Installationsprogramm benötigt AWS Anmeldeinformationen, damit es diese Aktionen in Ihrem ausführen kann AWS-Konto. Weitere Informationen finden Sie unter [Installieren Sie die AWS IoT Greengrass Core-Software](install-greengrass-core-v2.md).
Die folgende Beispielrichtlinie umfasst die Mindestanzahl an Aktionen, die das Installationsprogramm zur Bereitstellung dieser Ressourcen benötigt. Diese Berechtigungen sind erforderlich, wenn Sie das `--provision` Argument für das Installationsprogramm angeben. *account-id*Ersetzen Sie es durch Ihre AWS-Konto ID und *GreengrassV2TokenExchangeRole* ersetzen Sie es durch den Namen der Token-Austauschrolle, die Sie mit dem `--tes-role-name` [Installer-Argument](configure-installer.md) angeben.
**Anmerkung**
Die `DeployDevTools` Richtlinienanweisung ist nur erforderlich, wenn Sie das `--deploy-dev-tools` Argument für das Installationsprogramm angeben.
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.5.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
# Greengrass-Servicerolle
Die Greengrass-Servicerolle ist eine AWS Identity and Access Management (IAM) -Servicerolle, die den AWS IoT Greengrass Zugriff auf Ressourcen von AWS Diensten in Ihrem Namen autorisiert. Diese Rolle ermöglicht es, die Identität von Client-Geräten AWS IoT Greengrass zu überprüfen und die Verbindungsinformationen der Kerngeräte zu verwalten.
**Anmerkung**
AWS IoT Greengrass V1 verwendet diese Rolle auch, um wichtige Aufgaben auszuführen. Weitere Informationen finden Sie unter [Greengrass service role](https://docs.aws.amazon.com/greengrass/v1/developerguide/service-role.html) im *AWS IoT Greengrass V1 Developer Guide*.
Um auf Ihre Ressourcen zugreifen AWS IoT Greengrass zu können, muss die Greengrass-Servicerolle mit Ihrer verknüpft AWS-Konto und AWS IoT Greengrass als vertrauenswürdige Entität angegeben werden. Die Rolle muss die [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)verwaltete Richtlinie oder eine benutzerdefinierte Richtlinie enthalten, die entsprechende Berechtigungen für die von Ihnen verwendeten AWS IoT Greengrass Funktionen definiert. AWS verwaltet diese Richtlinie, die den Satz von Berechtigungen definiert, die für den Zugriff auf Ihre AWS Ressourcen AWS IoT Greengrass verwendet werden. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinie: AWSGreengrass ResourceAccessRolePolicy](security-iam-aws-managed-policies.md#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy).
Sie können dieselbe Greengrass-Servicerolle überall wiederverwenden AWS-Regionen, müssen sie jedoch an jedem AWS-Region Ort, an dem Sie sie verwenden AWS IoT Greengrass, Ihrem Konto zuordnen. Wenn die Servicerolle in der aktuellen Version nicht konfiguriert ist AWS-Region, können die Kerngeräte die Client-Geräte nicht verifizieren und die Verbindungsinformationen nicht aktualisieren.
In den folgenden Abschnitten wird beschrieben, wie Sie die Greengrass-Servicerolle mit dem AWS-Managementkonsole oder AWS CLI erstellen und verwalten.
**Topics**
+ [Die Greengrass-Servicerolle verwalten (Konsole)](#manage-greengrass-service-role-console)
+ [Die Greengrass-Servicerolle (CLI) verwalten](#manage-service-role-cli)
+ [Weitere Informationen finden Sie auch unter](#service-role-see-also)
**Anmerkung**
Zusätzlich zu der Servicerolle, die den Zugriff auf Service-Ebene autorisiert, weisen Sie *Greengrass-Kerngeräten eine Token-Austauschrolle* zu. Die Token-Exchange-Rolle ist eine separate IAM-Rolle, die steuert, wie Greengrass-Komponenten und Lambda-Funktionen auf dem Kerngerät auf Dienste zugreifen können. AWS Weitere Informationen finden Sie unter [Autorisieren Sie Kerngeräte für die Interaktion mit Diensten AWS](device-service-role.md).
## Die Greengrass-Servicerolle verwalten (Konsole)
Die AWS IoT Konsole macht es einfach, Ihre Greengrass-Servicerolle zu verwalten. Wenn Sie beispielsweise die Client-Geräteerkennung für ein Core-Gerät konfigurieren, prüft die Konsole, ob Ihr Gerät derzeit AWS-Region mit einer Greengrass-Servicerolle verknüpft AWS-Konto ist. Andernfalls kann die Konsole eine Servicerolle für Sie erstellen und konfigurieren. Weitere Informationen finden Sie unter [Erstellen der Greengrass-Servicerolle (Konsole)](#create-greengrass-service-role-console).
Sie können die Konsole für die folgenden Rollenverwaltungsaufgaben verwenden:
**Topics**
+ [Suchen Ihrer Greengrass-Servicerolle (Konsole)](#get-greengrass-service-role-console)
+ [Erstellen der Greengrass-Servicerolle (Konsole)](#create-greengrass-service-role-console)
+ [Ändern der Greengrass-Servicerolle (Konsole)](#update-greengrass-service-role-console)
+ [Trennen der Greengrass-Servicerolle (Konsole)](#remove-greengrass-service-role-console)
**Anmerkung**
Der Benutzer, der bei der Konsole angemeldet ist, muss über Berechtigungen zum Anzeigen, Erstellen oder Ändern der Servicerolle verfügen.
### Suchen Ihrer Greengrass-Servicerolle (Konsole)
Gehen Sie wie folgt vor, um die Servicerolle zu finden, die in der aktuellen Version AWS IoT Greengrass verwendet wird AWS-Region.
1. Navigieren Sie zur [AWS IoT -Konsole](https://console.aws.amazon.com/iot).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Scrollen Sie zum Abschnitt **Greengrass service role (Greengrass-Servicerolle)**, um Ihre Servicerolle und deren Richtlinien anzuzeigen.
Wenn Sie keine Servicerolle sehen, kann die Konsole eine für Sie erstellen oder konfigurieren. Weitere Informationen finden Sie unter [Erstellen der Greengrass-Servicerolle](#create-greengrass-service-role-console).
### Erstellen der Greengrass-Servicerolle (Konsole)
Die Konsole kann eine standardmäßige Greengrass-Servicerolle für Sie erstellen und konfigurieren. Diese Rolle hat die folgenden Eigenschaften.
| Eigenschaft | Wert |
| --- | --- |
| Name | Greengrass\$1ServiceRole |
| Trusted entity (Vertrauenswürdige Entität) | AWS service: greengrass |
| Richtlinie | [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) |
**Anmerkung**
Wenn Sie diese Rolle mit dem [AWS IoT Greengrass V1 Geräte-Setup-Skript](https://docs.aws.amazon.com/greengrass/v1/developerguide/quick-start.html) erstellen, lautet der Rollenname`GreengrassServiceRole_random-string`.
Wenn Sie die Client-Geräteerkennung für ein Core-Gerät konfigurieren, prüft die Konsole, ob Ihrem AWS-Konto in der aktuellen AWS-Region Version eine Greengrass-Servicerolle zugeordnet ist. Falls nicht, werden Sie von der Konsole aufgefordert, in Ihrem Namen Lese- und Schreibzugriff auf AWS Dienste zuzulassen AWS IoT Greengrass .
Wenn Sie die Erlaubnis erteilen, überprüft die Konsole, ob eine Rolle mit dem Namen in Ihrer `Greengrass_ServiceRole` AWS-Konto vorhanden ist.
+ Wenn die Rolle vorhanden ist, ordnet die Konsole die Servicerolle Ihrer AWS-Konto in der aktuellen AWS-Region Version zu.
+ Wenn die Rolle nicht existiert, erstellt die Konsole eine standardmäßige Greengrass-Servicerolle und fügt sie Ihrer aktuellen Rolle AWS-Konto hinzu. AWS-Region
**Anmerkung**
Wenn Sie eine Servicerolle mit benutzerdefinierten Rollenrichtlinien erstellen möchten, verwenden Sie die IAM-Konsole, um die Rolle zu erstellen oder zu ändern. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) oder [Ändern einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) im *IAM-Benutzerhandbuch*. Stellen Sie sicher, dass die Rolle Berechtigungen erteilt, die der verwalteten Richtlinie `AWSGreengrassResourceAccessRolePolicy` für die verwendeten Funktionen und Ressourcen entsprechen. Wir empfehlen, dass Sie auch die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Ihre Vertrauensrichtlinie aufnehmen, um das Sicherheitsproblem „*Confused Deputy*“ zu vermeiden. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anfragen zugelassen werden, die vom angegebenen Konto und Greengrass-Workspace stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md).
Wenn Sie eine Servicerolle erstellen, kehren Sie zur AWS IoT Konsole zurück und fügen Sie die Rolle Ihrer AWS-Konto hinzu. Sie können dies unter der **Greengrass-Servicerolle** auf der Seite **Einstellungen** tun.
### Ändern der Greengrass-Servicerolle (Konsole)
Gehen Sie wie folgt vor, um eine andere Greengrass-Servicerolle auszuwählen, die Sie Ihrer AWS-Region aktuell AWS-Konto in der Konsole ausgewählten zuordnen möchten.
1. Navigieren Sie zur [AWS IoT -Konsole](https://console.aws.amazon.com/iot).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie unter **Greengrass-Servicerolle** die Option **Rolle ändern** aus.
Das Dialogfeld „**Greengrass-Serverolle aktualisieren**“ wird geöffnet und zeigt die IAM-Rollen in Ihrem System an AWS-Konto , die AWS IoT Greengrass als vertrauenswürdige Entität definiert sind.
1. Wählen Sie die Greengrass-Servicerolle aus, die Sie zuordnen möchten.
1. Wählen Sie **Rolle anhängen**.
### Trennen der Greengrass-Servicerolle (Konsole)
Gehen Sie wie folgt vor, um die Greengrass-Servicerolle von Ihrem aktuellen AWS Konto zu trennen. AWS-Region Dadurch werden die Berechtigungen für den Zugriff AWS IoT Greengrass auf AWS Dienste in der aktuellen Version aufgehoben. AWS-Region
**Wichtig**
Durch das Trennen der Servicerolle können aktive Operationen unterbrochen werden.
1. Navigieren Sie zur [AWS IoT -Konsole](https://console.aws.amazon.com/iot).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie unter **Greengrass-Servicerolle die Option Rolle** **trennen** aus.
1. Wählen Sie im Bestätigungsdialogfeld **Trennen** aus.
**Anmerkung**
Wenn Sie die Rolle nicht mehr benötigen, können Sie sie in der IAM-Konsole löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.
Andere Rollen ermöglichen möglicherweise AWS IoT Greengrass den Zugriff auf Ihre Ressourcen. Um alle Rollen zu finden, mit denen AWS IoT Greengrass Sie in Ihrem Namen Berechtigungen übernehmen können, suchen Sie in der IAM-Konsole auf der Seite **Rollen** in der Spalte **Vertrauenswürdige Entitäten** nach Rollen, die **AWS service: greengrass** enthalten.
## Die Greengrass-Servicerolle (CLI) verwalten
Bei den folgenden Verfahren gehen wir davon aus, dass der für die Verwendung Ihres AWS-Konto installiert und konfiguriert AWS Command Line Interface ist. Weitere Informationen finden Sie unter [Installation, Aktualisierung und Deinstallation](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) [von AWS CLI und Konfiguration von AWS CLI im AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) *Benutzerhandbuch*.
Sie können das AWS CLI für die folgenden Rollenverwaltungsaufgaben verwenden:
**Topics**
+ [Abrufen der Greengrass-Servicerolle (CLI)](#get-service-role)
+ [Erstellen der Greengrass-Servicerolle (CLI)](#create-service-role)
+ [Entfernen der Greengrass-Servicerolle (CLI)](#remove-service-role)
### Abrufen der Greengrass-Servicerolle (CLI)
Verwenden Sie das folgende Verfahren, um herauszufinden, ob eine Greengrass-Servicerolle mit Ihrer AWS-Konto in einem AWS-Region verknüpft ist.
+ Rufen Sie die Servicerolle ab. *region*Ersetzen Sie durch Ihre AWS-Region (zum Beispiel`us-west-2`).
```
aws greengrassv2 get-service-role-for-account --region region
```
Wenn Ihrem Konto bereits eine Greengrass-Servicerolle zugeordnet ist, gibt die Anfrage die folgenden Rollenmetadaten zurück.
```
{
"associatedAt": "timestamp",
"roleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
Wenn die Anfrage keine Rollenmetadaten zurückgibt, müssen Sie die Servicerolle erstellen (falls sie nicht existiert) und sie Ihrem Konto in der AWS-Region zuordnen.
### Erstellen der Greengrass-Servicerolle (CLI)
Gehen Sie wie folgt vor, um eine Rolle zu erstellen und sie Ihrer Rolle zuzuordnen AWS-Konto.
**Um die Servicerolle mit IAM zu erstellen**
1. Erstellen Sie eine Rolle mit einer Vertrauensrichtlinie, die es ermöglicht, die Rolle AWS IoT Greengrass zu übernehmen. In diesem Beispiel wird eine Rolle namens `Greengrass_ServiceRole` erstellt, aber Sie können einen anderen Namen verwenden. Wir empfehlen, dass Sie auch die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Ihre Vertrauensrichtlinie aufnehmen, um das Sicherheitsproblem „*Confused Deputy*“ zu vermeiden. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anfragen zugelassen werden, die vom angegebenen Konto und Greengrass-Workspace stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md).
------
#### [ Linux or Unix ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
#### [ PowerShell ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
1. Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Sie verknüpfen die Servicerolle mithilfe des ARN mit Ihrem Konto.
1. Fügen Sie der Rolle die `AWSGreengrassResourceAccessRolePolicy`-Richtlinie an.
```
aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
```
**Um die Servicerolle mit Ihrem zu verknüpfen AWS-Konto**
+ Weisen Sie die Rolle Ihrem Konto zu. *role-arn*Ersetzen Sie durch die Servicerolle *region* ARN und durch Ihre AWS-Region (z. B.`us-west-2`).
```
aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region
```
Bei Erfolg gibt die Anfrage die folgende Antwort zurück.
```
{
"associatedAt": "timestamp"
}
```
### Entfernen der Greengrass-Servicerolle (CLI)
Gehen Sie wie folgt vor, um die Greengrass-Servicerolle von Ihrer zu trennen. AWS-Konto
+ Haben Sie die Zuordnung der Servicerolle bei Ihrem Konto auf. *region*Ersetzen Sie durch Ihre AWS-Region (zum Beispiel). `us-west-2`
```
aws greengrassv2 disassociate-service-role-from-account --region region
```
Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.
```
{
"disassociatedAt": "timestamp"
}
```
**Anmerkung**
Sie sollten die Servicerolle löschen, wenn Sie sie in keiner verwenden AWS-Region. Verwenden Sie zuerst [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html), um die verwaltete `AWSGreengrassResourceAccessRolePolicy`-Richtlinie von der Rolle zu lösen, und verwenden Sie dann [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html), um die Rolle zu löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.
## Weitere Informationen finden Sie auch unter
+ [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*
+ [Ändern einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) im *IAM-Benutzerhandbuch*
+ [Löschen von Rollen oder Instanzprofilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*
+ AWS IoT Greengrass Befehle in der *AWS CLI Befehlsreferenz*
+ [associate-service-role-to-Konto](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/associate-service-role-to-account.html)
+ [disassociate-service-role-from-konto](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/disassociate-service-role-from-account.html)
+ [get-service-role-for-konto](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/get-service-role-for-account.html)
+ *IAM-Befehle in der Befehlsreferenz AWS CLI *
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)
# AWS verwaltete Richtlinien für AWS IoT Greengrass
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Topics**
+ [AWS verwaltete Richtlinie: AWSGreengrass FullAccess](#aws-managed-policies-AWSGreengrassFullAccess)
+ [AWS verwaltete Richtlinie: AWSGreengrass ReadOnlyAccess](#aws-managed-policies-AWSGreengrassReadOnlyAccess)
+ [AWS verwaltete Richtlinie: AWSGreengrass ResourceAccessRolePolicy](#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)
+ [AWS IoT Greengrass Aktualisierungen der AWS verwalteten Richtlinien](#aws-managed-policy-updates)
## AWS verwaltete Richtlinie: AWSGreengrass FullAccess
Sie können die `AWSGreengrassFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle AWS IoT Greengrass Aktionen gewähren.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `greengrass`— Ermöglicht Principals vollen Zugriff auf alle AWS IoT Greengrass Aktionen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSGreengrass ReadOnlyAccess
Sie können die `AWSGreengrassReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Leseberechtigungen, die es einem Prinzipal ermöglichen, Informationen darin anzuzeigen, aber nicht zu ändern. AWS IoT Greengrass Principals mit diesen Berechtigungen können beispielsweise die Liste der auf einem Greengrass-Core-Gerät bereitgestellten Komponenten einsehen, aber sie können keine Bereitstellung erstellen, um die Komponenten zu ändern, die auf diesem Gerät ausgeführt werden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `greengrass`— Ermöglicht es Prinzipalen, Aktionen durchzuführen, bei denen entweder eine Liste von Elementen oder Details zu einem Element zurückgegeben wird. Dazu gehören API-Operationen, die mit `List` oder `Get` beginnen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSGreengrass ResourceAccessRolePolicy
Sie können die `AWSGreengrassResourceAccessRolePolicy` Richtlinie an Ihre IAM-Entitäten anhängen. AWS IoT Greengrass ordnet diese Richtlinie auch einer Servicerolle zu, mit der Sie Aktionen AWS IoT Greengrass in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter [Greengrass-Servicerolle](greengrass-service-role.md).
Diese Richtlinie gewährt Administratorberechtigungen, mit denen AWS IoT Greengrass Sie wichtige Aufgaben ausführen können, z. B. das Abrufen Ihrer Lambda-Funktionen, AWS IoT das Verwalten von Geräteschatten und das Überprüfen von Greengrass-Client-Geräten.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `greengrass`— Verwalte Greengrass-Ressourcen.
+ `iot`(`*Shadow`) — AWS IoT Verwaltet Schatten, deren Namen die folgenden speziellen Identifikatoren enthalten. Diese Berechtigungen sind erforderlich, um mit Kerngeräten kommunizieren zu AWS IoT Greengrass können.
+ `*-gci`— AWS IoT Greengrass verwendet diesen Shadow, um Informationen zur Konnektivität von Kerngeräten zu speichern, sodass Client-Geräte Kerngeräte erkennen und eine Verbindung zu ihnen herstellen können.
+ `*-gcm`— AWS IoT Greengrass V1 verwendet diesen Shadow, um das Kerngerät darüber zu informieren, dass das Zertifikat der Greengrass-Gruppe (CA) rotiert wurde.
+ `*-gda`— AWS IoT Greengrass V1 verwendet diesen Shadow, um das Kerngerät über eine Bereitstellung zu informieren.
+ `GG_*`— Unbenutzt.
+ `iot`(`DescribeThing`und`DescribeCertificate`) — Informationen über AWS IoT Dinge und Zertifikate abrufen. Diese Berechtigungen sind erforderlich, damit Client-Geräte verifiziert werden AWS IoT Greengrass können, die eine Verbindung zu einem Core-Gerät herstellen. Weitere Informationen finden Sie unter [Interagieren Sie mit lokalen IoT-Geräten](interact-with-local-iot-devices.md).
+ `lambda`— Ruft Informationen über AWS Lambda Funktionen ab. Diese Berechtigung ist erforderlich, damit AWS IoT Greengrass V1 Lambda-Funktionen auf Greengrass-Kernen bereitstellen kann. Weitere Informationen finden Sie unter [Ausführen der Lambda-Funktion auf dem AWS IoT Greengrass Kern](https://docs.aws.amazon.com/greengrass/v1/developerguide/lambda-functions.html) im *AWS IoT Greengrass V1-Entwicklerhandbuch*.
+ `secretsmanager`— Ruft den Wert von AWS Secrets Manager Geheimnissen ab, deren Namen mit `greengrass-` beginnen. Diese Berechtigung ist erforderlich, damit AWS IoT Greengrass V1 Secrets Manager auf Greengrass-Kernen bereitstellen kann. Weitere Informationen finden Sie unter [Deploy Secrets to the AWS IoT Greengrass Core](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html) im *AWS IoT Greengrass V1-Entwicklerhandbuch*.
+ `s3`— Ruft Dateiobjekte aus S3-Buckets ab, deren Namen `greengrass` oder `sagemaker` enthalten. Diese Berechtigungen sind erforderlich, damit AWS IoT Greengrass V1 Ressourcen für maschinelles Lernen bereitstellen kann, die Sie in S3-Buckets speichern. Weitere Informationen finden Sie unter [Ressourcen für maschinelles Lernen](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html#ml-resources) im *AWS IoT Greengrass V1-Entwicklerhandbuch*.
+ `sagemaker`— Rufen Sie Informationen über Amazon SageMaker AI-Inferenzmodelle für maschinelles Lernen ab. Diese Berechtigung ist erforderlich, damit AWS IoT Greengrass V1 ML-Modelle auf Greengrass-Kernen bereitstellen kann. Weitere Informationen finden Sie unter [Perform Machine Learning-Inferenz](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html) im *AWS IoT Greengrass V1-Entwicklerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}
```
------
## AWS IoT Greengrass Aktualisierungen der AWS verwalteten Richtlinien
Sie können Details zu Aktualisierungen AWS verwalteter Richtlinien AWS IoT Greengrass ab dem Zeitpunkt einsehen, zu dem dieser Dienst mit der Erfassung dieser Änderungen begann. Abonnieren Sie den RSS-Feed auf der Seite [AWS IoT Greengrass V2-Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite](document-history.md) zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| AWS IoT Greengrass hat begonnen, Änderungen zu verfolgen | AWS IoT Greengrass hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 2. Juli 2021 |
# Serviceübergreifende Confused-Deputy-Prävention
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit dem verwirrten Stellvertreter führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWS IoT Greengrass Ressource einen anderen Dienst gewähren. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.
Der Wert von `aws:SourceArn` muss die Greengrass-Kundenressource sein, die der `sts:AssumeRole` Anfrage zugeordnet ist.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:greengrass::account-id:*`.
Ein Beispiel für eine Richtlinie, die die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel verwendet, finden Sie unter[Erstellen der Greengrass-Servicerolle](greengrass-service-role.md#create-service-role).
# Behebung von Identitäts- und Zugriffsproblemen für AWS IoT Greengrass
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS IoT Greengrass und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, IAM auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich bin Administrator und möchte anderen Zugriff gewähren AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [Ich möchte Personen außerhalb von mir den Zugriff auf meine Ressourcen ermöglichen AWS-Konto AWS IoT Greengrass](#security_iam_troubleshoot-cross-account-access)
Hilfe zur allgemeinen Problembehandlung finden Sie unter [Problembehebung AWS IoT Greengrass V2](troubleshooting.md).
## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS IoT Greengrass
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zur Ausführung einer Aktion autorisiert sind, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort bereitgestellt hat.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, Details zu einem Kerngerät anzuzeigen, aber nicht über die `greengrass:GetCoreDevice` entsprechenden Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDevice on resource: arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore` auf die Ressource `greengrass:GetCoreDevice` zugreifen zu können.
Im Folgenden sind allgemeine IAM-Probleme aufgeführt, die bei der Arbeit mit auftreten können. AWS IoT Greengrass
## Ich bin nicht berechtigt, IAM auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS IoT Greengrassübergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS IoT Greengrass auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin Administrator und möchte anderen Zugriff gewähren AWS IoT Greengrass
Um anderen den Zugriff zu ermöglichen AWS IoT Greengrass, müssen Sie den Personen oder Anwendungen, die Zugriff benötigen, die entsprechenden Berechtigungen erteilen. Wenn Sie Personen und Anwendungen verwalten, weisen Sie Benutzern oder Gruppen Berechtigungssätze zu, um deren Zugriffsebene zu definieren. AWS IAM Identity Center Mit Berechtigungssätzen werden automatisch IAM-Richtlinien erstellt und den IAM-Rollen zugewiesen, die der Person oder Anwendung zugeordnet sind. Weitere Informationen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html).
Wenn Sie IAM Identity Center nicht verwenden, müssen Sie IAM-Entitäten (Benutzer oder Rollen) für die Personen oder Anwendungen erstellen, die Zugriff benötigen. Anschließend müssen Sie der Entität eine Richtlinie anfügen, die dieser die korrekten Berechtigungen in AWS IoT Greengrass gewährt. Nachdem die Berechtigungen erteilt wurden, stellen Sie dem Benutzer oder Anwendungsentwickler die Anmeldeinformationen zur Verfügung. Sie werden diese Anmeldeinformationen für den Zugriff verwenden AWS. *Weitere Informationen zum Erstellen von IAM-Benutzern, -Gruppen, -Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch unter IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [sowie Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Ich möchte Personen außerhalb von mir den Zugriff auf meine Ressourcen ermöglichen AWS-Konto AWS IoT Greengrass
Sie können eine IAM-Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre AWS Ressourcen zugreifen können. Sie können angeben, welchen Personen vertraut werden soll, so dass diese die Rolle übernehmen können. *Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter [AWS-Konto Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , das Ihnen gehört](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)[, und Bereitstellen des Zugriffs für Drittanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).*
AWS IoT Greengrass unterstützt keinen kontenübergreifenden Zugriff auf der Grundlage ressourcenbasierter Richtlinien oder Zugriffskontrolllisten (). ACLs