Erstellen Sie eine IAM-Servicerolle für Ihre Edge-Geräte Konfigurieren Sie Ihre Edge-Geräte für AWS IoT Greengrass Aktualisieren Sie die AWS IoT Greengrass Token-Exchange-Rolle und installieren Sie sie SSM Agent auf Ihren Edge-Geräten

Verwaltung von Edge-Geräten mit Systems Manager

In diesem Abschnitt werden die Einrichtungsaufgaben beschrieben, die Konto- und Systemadministratoren ausführen, um die Konfiguration und Verwaltung von AWS IoT Greengrass Kerngeräten zu ermöglichen. Nachdem Sie diese Aufgaben abgeschlossen haben, können Benutzer, denen der AWS-Konto Administrator Berechtigungen erteilt hat, sie AWS Systems Manager zur Konfiguration und Verwaltung der AWS IoT Greengrass Kerngeräte ihrer Organisation verwenden.

Anmerkung

SSM Agentfür wird unter macOS Windows 10 AWS IoT Greengrass nicht unterstützt. Sie können keine Systems-Manager-Funktionen verwenden, um Edge-Geräte zu verwalten und zu konfigurieren, die diese Betriebssysteme verwenden.
Systems Manager unterstützt auch Edge-Geräte, die nicht als AWS IoT Greengrass Core-Geräte konfiguriert sind. Um Systems Manager zur Verwaltung von AWS IoT Core-Geräten und AWS Nicht-Edge-Geräten zu verwenden, müssen Sie sie mithilfe einer Hybridaktivierung konfigurieren. Weitere Informationen finden Sie unter Verwendung von Systems Manager in Hybrid- und Multi-Cloud-Umgebungen.
Um Session Manager und Microsoft-Anwendungs-Patching mit Ihren Edge-Geräten zu verwenden, müssen Sie das Advanced-Instances-Kontingent aktivieren. Weitere Informationen finden Sie unter Aktivieren des Kontingents für erweiterte Instances.

Bevor Sie beginnen

Stellen Sie sicher, dass Ihre Edge-Geräte die folgenden Anforderungen erfüllen.

Ihre Edge-Geräte müssen die Anforderungen erfüllen, um als AWS IoT Greengrass Core-Geräte konfiguriert zu werden. Weitere Informationen finden Sie unter Einrichten von AWS IoT Greengrass Kerngeräten im AWS IoT Greengrass Version 2 Entwicklerhandbuch.
Ihre Edge-Geräte müssen mit AWS Systems Manager Agent (SSM Agent) kompatibel sein. Weitere Informationen finden Sie unter Unterstützte Betriebssysteme für Systems Manager.
Ihre Edge-Geräte müssen mit dem Systems-Manager-Service in der Cloud kommunizieren können. Systems Manager unterstützt keine getrennten Edge-Geräte.

Informationen über das Einrichten von Edge-Geräten

Das Einrichten von AWS IoT Greengrass Geräten für Systems Manager umfasst die folgenden Prozesse.

Anmerkung

Informationen zur Deinstallation SSM Agent von einem Edge-Gerät aus finden Sie unter Deinstallieren des AWS Systems Manager Agenten im AWS IoT Greengrass Version 2 Entwicklerhandbuch.

Erstellen Sie eine IAM-Servicerolle für Ihre Edge-Geräte

AWS IoT Greengrass Für die Kommunikation mit Kerngeräten ist eine AWS Identity and Access Management (IAM) -Servicerolle erforderlich. AWS Systems Manager Die Rolle gewährt dem Systems Manager Manager-Dienst AssumeRoleVertrauen AWS Security Token Service (AWS STS). Sie müssen die Servicerolle nur einmal für jedes AWS-Konto erstellen. Sie geben diese Rolle für den RegistrationRole Parameter an, wenn Sie die SSM Agent Komponente konfigurieren und auf Ihren AWS IoT Greengrass Geräten bereitstellen. Wenn Sie diese Rolle bereits beim Einrichten von Nicht-EC2-Knoten für eine Hybrid- und Multi-Cloud-Umgebung erstellt haben, können Sie diesen Schritt überspringen.

Anmerkung

Benutzer in Ihrem Unternehmen oder Ihrer Organisation, die Systems Manager auf Ihren Edge-Geräten verwenden, müssen in IAM die Berechtigung für den Aufruf der Systems-Manager-API erhalten.

S3-Bucket-Richtlinienanforderung

Wenn einer der folgenden Fälle zutrifft, müssen Sie eine benutzerdefinierte IAM-Berechtigungsrichtlinie für Amazon Simple Storage Service (Amazon S3)-Buckets erstellen, bevor Sie dieses Verfahren durchführen:

Fall 1: Sie verwenden einen VPC-Endpunkt, um Ihre VPC privat mit unterstützten AWS-Services und VPC-Endpunktdiensten zu verbinden, die von unterstützt werden. AWS PrivateLink
Fall 2: Sie beabsichtigen, einen S3-Bucket zu verwenden, den Sie im Rahmen Ihrer Systems Manager-Operationen erstellen, z. B. zum Speichern von Ausgaben für Run Command-Befehle oder Session Manager-Sitzungen in einem S3-Bucket. Bevor Sie fortfahren, befolgen Sie die Schritte unter Erstellen einer benutzerdefinierten S3-Bucket-Richtlinie für ein Instance-Profil. Die Informationen über S3-Bucket-Richtlinien in diesem Thema gelten auch für Ihre Service-Rolle.

Anmerkung
Wenn Ihre Geräte durch eine Firewall geschützt sind und Sie planen, Patch Managerzu verwenden, muss die Firewall den Zugriff auf den Patch-Baseline-Endpunkt arn:aws:s3:::patch-baseline-snapshot-region/* erlauben.
region steht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten Region-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.

AWS CLI

So erstellen Sie eine IAM-Dienstrolle für eine AWS IoT Greengrass Umgebung ()AWS CLI

Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben.

Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version von AWS CLI.
Erstellen Sie eine Textdatei mit einem Namen wie z. B. SSMService-Trust.json mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung .json speichern.

Anmerkung
Notieren Sie den Namen. Sie geben es an, wenn Sie es SSM Agent auf Ihren AWS IoT Greengrass Kerngeräten bereitstellen.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}
```
Öffnen Sie die und führen Sie in dem Verzeichnis AWS CLI, in dem Sie die JSON-Datei erstellt haben, den Befehl create-role aus, um die Servicerolle zu erstellen. Ersetzen Sie jeden Beispiel Platzhalter für Ressourcen mit Ihren eigenen Informationen.

Linux und macOS
```
aws iam create-role \
    --role-name SSMServiceRole \
    --assume-role-policy-document file://SSMService-Trust.json 
```
Windows
```
aws iam create-role ^
    --role-name SSMServiceRole ^
    --assume-role-policy-document file://SSMService-Trust.json 
```
Führen Sie den attach-role-policy-Befehl wie folgt, um es der gerade von Ihnen erstellten Servicerolle zu ermöglichen, ein Sitzungs-Token zu erstellen. Das Sitzungs-Token gewährt Ihren Edge-Geräten die Berechtigung zum Ausführen von Befehlen mit Systems Manager.

Anmerkung
Die Richtlinien, die Sie für ein Serviceprofil für Edge-Geräte hinzufügen, sind die gleichen Richtlinien, die zum Erstellen eines Instance-Profils für Amazon Elastic Compute Cloud (Amazon EC2)-Instances verwendet werden. Weitere Informationen zu den in den folgenden Befehlen verwendeten IAM-Richtlinien finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.

(Erforderlich) Führen Sie den folgenden Befehl aus, damit ein Edge-Gerät die AWS Systems Manager Service-Core-Funktionalität nutzen kann.

Linux und macOS
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Windows
```
aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, damit AWS Systems Manager Agent (SSM Agent) auf die Buckets zugreifen kann, die Sie in der Richtlinie angegeben haben. Ersetzen Sie account_ID und my_bucket_policy_name durch Ihre AWS-Konto -ID und Ihren Bucket-Namen.

Linux und macOS
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
Windows
```
aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name
```
(Optional) Führen Sie den folgenden Befehl aus, um SSM Agent in Ihrem Namen den Zugriff auf AWS Directory Service für Anforderungen zum Beitritt zur Domain von Edge-Geräten zu erlauben. Die Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Edge-Geräte einem Microsoft-AD-Verzeichnis zuteilen.

Linux und macOS
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
Windows
```
aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren Edge-Geräten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Gerät zu lesen und darauf zu schreiben CloudWatch. Für Ihre Servicerolle ist diese Richtlinie nur erforderlich, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```

Tools for PowerShell

Um eine IAM-Servicerolle für eine AWS IoT Greengrass Umgebung zu erstellen ()AWS Tools for Windows PowerShell

Installieren und konfigurieren Sie die AWS Tools for PowerShell (Tools für Windows PowerShell), falls Sie dies noch nicht getan haben.

Weitere Informationen finden Sie unter Installieren des AWS Tools for PowerShell.
Erstellen Sie eine Textdatei mit einem Namen wie z. B. SSMService-Trust.json mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung .json speichern.

Anmerkung
Notieren Sie den Namen. Sie geben es bei der Bereitstellung SSM Agent auf Ihren AWS IoT Greengrass Kerngeräten an.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}
```
Öffnen Sie PowerShell im Administratormodus und führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, New-IAMRole wie folgt aus, um eine Servicerolle zu erstellen.
```
New-IAMRole `
    -RoleName SSMServiceRole `
    -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
```
Verwenden Sie Register-IAM RolePolicy wie folgt, damit die von Ihnen erstellte Servicerolle ein Sitzungstoken erstellen kann. Das Sitzungs-Token gewährt Ihren Edge-Geräten die Berechtigung zum Ausführen von Befehlen mit Systems Manager.

Anmerkung
Die Richtlinien, die Sie für eine Servicerolle für Edge-Geräte in einer AWS IoT Greengrass -Umgebung hinzufügen, sind die gleichen Richtlinien, die zum Erstellen eines Instance-Profils für EC2-Instances verwendet werden. Weitere Informationen zu den in den folgenden Befehlen verwendeten AWS Richtlinien finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.

(Erforderlich) Führen Sie den folgenden Befehl aus, damit ein Edge-Gerät die Kernfunktionen des AWS Systems Manager Service nutzen kann.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, um SSM Agent den Zugriff auf die Buckets zu ermöglichen, die Sie in der Richtlinie angegeben haben. Ersetzen Sie account_ID und my_bucket_policy_name durch Ihre AWS-Konto -ID und Ihren Bucket-Namen.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
(Optional) Führen Sie den folgenden Befehl aus, um SSM Agent in Ihrem Namen den Zugriff auf AWS Directory Service für Anforderungen zum Beitritt zur Domäne von Edge-Geräten zu erlauben. Die Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Edge-Geräte einem Microsoft-AD-Verzeichnis zuteilen.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren Edge-Geräten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Gerät zu lesen und darauf zu schreiben CloudWatch. Für Ihre Servicerolle ist diese Richtlinie nur erforderlich, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```

Konfigurieren Sie Ihre Edge-Geräte für AWS IoT Greengrass

Richten Sie Ihre Edge-Geräte als AWS IoT Greengrass Kerngeräte ein. Der Einrichtungsprozess umfasst die Überprüfung der unterstützten Betriebssysteme und Systemanforderungen sowie die Installation und Konfiguration der AWS IoT Greengrass Core-Software auf Ihren Geräten. Weitere Informationen finden Sie unter Einrichten von AWS IoT Greengrass -Core-Geräten im AWS IoT Greengrass Version 2 -Entwicklerhandbuch.

Aktualisieren Sie die AWS IoT Greengrass Token-Exchange-Rolle und installieren Sie sie SSM Agent auf Ihren Edge-Geräten

Im letzten Schritt zur Einrichtung und Konfiguration Ihrer AWS IoT Greengrass Kerngeräte für Systems Manager müssen Sie die Gerätedienst-Rolle AWS IoT Greengrass AWS Identity and Access Management (IAM), auch Token-Austauschrolle genannt, aktualisieren und AWS Systems Manager Agent (SSM Agent) auf Ihren AWS IoT Greengrass Geräten bereitstellen. Informationen zu diesen Prozessen finden Sie unter Installation des AWS Systems Manager -Agenten im AWS IoT Greengrass Version 2 -Entwicklerhandbuch.

Nach der Bereitstellung SSM Agent auf Ihren Geräten werden Ihre Geräte AWS IoT Greengrass automatisch bei Systems Manager registriert. Es ist keine weitere Registrierung erforderlich. Sie können damit beginnen, die Systems Manager Manager-Funktionen für den Zugriff, die Verwaltung und Konfiguration Ihrer AWS IoT Greengrass Geräte zu nutzen.

Anmerkung

Ihre Edge-Geräte müssen mit dem Systems-Manager-Service in der Cloud kommunizieren können. Systems Manager unterstützt keine getrennten Edge-Geräte.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

So installieren Sie den SSM Agent auf Windows Hybridknoten

Einen AWS Organizations delegierten Administrator für Systems Manager erstellen