Erstellen einer IAM-Servicerolle für Edge-Geräte Ihre Edge-Geräte für AWS IoT Greengrass konfigurieren Aktualisieren der AWS IoT Greengrass-Token-Austauschrolle und Installation von SSM Agent auf Ihren Edge-Geräten

Verwalten von Edge-Geräten mit Systems Manager

Dieser Abschnitt beschreibt die Einrichtungsaufgaben, die Konto- und Systemadministratoren ausführen, um die Konfiguration und Verwaltung vonAWS IoT Greengrass-Core-Geräten zu aktivieren. Nachdem Sie diese Aufgaben abgeschlossen haben, können Benutzer, denen Berechtigungen vom AWS-Konto-Administrator erteilt wurden, AWS Systems Manager verwende, um die AWS IoT Greengrass-Core-Geräte ihrer Organisation zu konfigurieren und zu verwalten.

Anmerkung

SSM Agent für AWS IoT Greengrass wird nicht auf macOS und Windows 10 unterstützt. Sie können keine Systems-Manager-Funktionen verwenden, um Edge-Geräte zu verwalten und zu konfigurieren, die diese Betriebssysteme verwenden.
Systems Manager unterstützt auch Edge-Geräte, die nicht als AWS IoT Greengrass-Core-Geräte konfiguriert sind. Um mit Systems Manager AWS IoT-Core-Geräte und nicht-AWS Edge-Geräte zu verwalten, müssen Sie sie mit einer Hybrid-Aktivierung konfigurieren. Weitere Informationen finden Sie unter Verwalten von Knoten in Hybrid- und Multi-Cloud-Umgebungen mit Systems Manager.
Um Session Manager und Microsoft-Anwendungs-Patching mit Ihren Edge-Geräten zu verwenden, müssen Sie das Advanced-Instances-Kontingent aktivieren. Weitere Informationen finden Sie unter Aktivieren des Kontingents für erweiterte Instances.

Bevor Sie beginnen

Stellen Sie sicher, dass Ihre Edge-Geräte die folgenden Anforderungen erfüllen.

Ihre Edge-Geräte müssen die Anforderungen erfüllen, um als AWS IoT Greengrass-Core-Geräte konfiguriert zu werden. Weitere Informationen finden Sie unter Einrichten von AWS IoT Greengrass-Core-Geräten im AWS IoT Greengrass Version 2-Entwicklerhandbuch.
Ihre Edge-Geräte müssen mit dem AWS Systems Manager-Agent (SSM Agent) kompatibel sein. Weitere Informationen finden Sie unter Unterstützte Betriebssysteme für Systems Manager.
Ihre Edge-Geräte müssen mit dem Systems-Manager-Service in der Cloud kommunizieren können. Systems Manager unterstützt keine getrennten Edge-Geräte.

Informationen über das Einrichten von Edge-Geräten

Das Einrichten von AWS IoT Greengrass-Geräte für Systems Manager umfasst die folgenden Prozesse.

Anmerkung

Weitere Informationen zur Deinstallation des SSM Agent von einem Edge-Gerät aus finden Sie unter Deinstallieren des AWS Systems Manager-Agents im AWS IoT Greengrass Version 2-Entwicklerhandbuch.

Erstellen einer IAM-Servicerolle für Edge-Geräte

AWS IoT Greengrass-Core-Geräte benötigen eineAWS Identity and Access Management (IAM)-Servicerolle, um mit AWS Systems Manager zu kommunizieren. Die Rolle gewährt AWS Security Token Service (AWS STS) AssumeRole Zugriff auf den Systems Manager-Dienst. Sie müssen die Servicerolle nur einmal für jedes AWS-Konto erstellen. Sie geben diese Rolle für den RegistrationRole-Parameter an, wenn Sie die SSM Agent-Komponente an Ihre AWS IoT Greengrass-Geräte bereitstellen und konfigurieren. Wenn Sie diese Rolle bereits beim Einrichten von Nicht-EC2-Knoten für eine Hybrid- und Multi-Cloud-Umgebung erstellt haben, können Sie diesen Schritt überspringen.

Anmerkung

Benutzer in Ihrem Unternehmen oder Ihrer Organisation, die Systems Manager auf Ihren Edge-Geräten verwenden, müssen in IAM die Berechtigung für den Aufruf der Systems-Manager-API erhalten.

S3-Bucket-Richtlinienanforderung

Wenn einer der folgenden Fälle zutrifft, müssen Sie eine benutzerdefinierte IAM-Berechtigungsrichtlinie für Amazon Simple Storage Service (Amazon S3)-Buckets erstellen, bevor Sie dieses Verfahren durchführen:

Fall 1: Sie verwenden einen VPC-Endpunkt, um Ihre VPC privat mit unterstützten AWS-Services- und VPC-Endpunkt-Services zu verbinden, die von AWS PrivateLink betrieben werden.
Fall 2: Sie beabsichtigen, einen S3-Bucket zu verwenden, den Sie im Rahmen Ihrer Systems Manager-Operationen erstellen, z. B. zum Speichern von Ausgaben für Run Command-Befehle oder Session Manager-Sitzungen in einem S3-Bucket. Bevor Sie fortfahren, befolgen Sie die Schritte unter Erstellen einer benutzerdefinierten S3-Bucket-Richtlinie für ein Instance-Profil. Die Informationen über S3-Bucket-Richtlinien in diesem Thema gelten auch für Ihre Service-Rolle.

Anmerkung
Wenn Ihre Geräte durch eine Firewall geschützt sind und Sie planen, Patch Managerzu verwenden, muss die Firewall den Zugriff auf den Patch-Baseline-Endpunkt arn:aws:s3:::patch-baseline-snapshot-region/* erlauben.
region repräsentiert die Kennung für eine von AWS-Region unterstützte AWS Systems Manager, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten Region-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.

AWS CLI

So erstellen Sie eine IAM-Servicerolle für eine AWS IoT Greengrass-Umgebung (AWS CLI)

Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), wenn noch nicht erfolgt.

Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version von AWS CLI.
Erstellen Sie eine Textdatei mit einem Namen wie z. B. SSMService-Trust.json mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung .json speichern.

Anmerkung
Notieren Sie den Namen. Sie geben ihn an, wenn Sie SSM Agent an Ihre AWS IoT Greengrass-Core-Geräte bereitstellen.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}
```
Öffnen Sie AWS CLI und führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, den create-role-Befehl aus, um die Servicerolle zu erstellen. Ersetzen Sie jeden Beispiel Platzhalter für Ressourcen mit Ihren eigenen Informationen.

Linux und macOS
```
aws iam create-role \
    --role-name SSMServiceRole \
    --assume-role-policy-document file://SSMService-Trust.json 
```
Windows
```
aws iam create-role ^
    --role-name SSMServiceRole ^
    --assume-role-policy-document file://SSMService-Trust.json 
```
Führen Sie den attach-role-policy-Befehl wie folgt, um es der gerade von Ihnen erstellten Servicerolle zu ermöglichen, ein Sitzungs-Token zu erstellen. Das Sitzungs-Token gewährt Ihren Edge-Geräten die Berechtigung zum Ausführen von Befehlen mit Systems Manager.

Anmerkung
Die Richtlinien, die Sie für ein Serviceprofil für Edge-Geräte hinzufügen, sind die gleichen Richtlinien, die zum Erstellen eines Instance-Profils für Amazon Elastic Compute Cloud (Amazon EC2)-Instances verwendet werden. Weitere Informationen zu IAM-Richtlinien finden Sie unter Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren.

(Erforderlich) Führen Sie den folgenden Befehl aus, um es einem Edge-Gerät zu erlauben, die Core-Funktionalität des AWS Systems Manager-Service zu nutzen.

Linux und macOS
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Windows
```
aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, um AWS Systems Manager Agent (SSM Agent) den Zugriff auf die Buckets zu ermöglichen, die Sie in der Richtlinie angegeben haben. Ersetzen Sie account_ID und my_bucket_policy_name durch Ihre AWS-Konto-ID und Ihren Bucket-Namen.

Linux und macOS
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
Windows
```
aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name
```
(Optional) Führen Sie den folgenden Befehl aus, um SSM Agent in Ihrem Namen den Zugriff auf AWS Directory Service für Anforderungen zum Beitritt zur Domain von Edge-Geräten zu erlauben. Die Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Edge-Geräte einem Microsoft-AD-Verzeichnis zuteilen.

Linux und macOS
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
Windows
```
aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(Optional) Führen Sie den folgenden Befehl aus, um die Ausführung des CloudWatch Agent auf Ihren Edge-Geräten zu erlauben. Dieser Befehl ermöglicht es, Informationen auf einem Geräte zu lesen und sie in CloudWatch zu schreiben. Ihre Servicerolle benötigt diese Richtlinie nur, wenn Sie Services wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden werden.
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```

Tools for PowerShell

So erstellen Sie eine IAM-Servicerolle für eine AWS IoT Greengrass-Umgebung (AWS Tools for Windows PowerShell)

Installieren und konfigurieren Sie die AWS Tools for PowerShell (Tools für Windows PowerShell), falls Sie dies noch nicht getan haben.

Weitere Informationen finden Sie unter Installieren des AWS Tools for PowerShell.
Erstellen Sie eine Textdatei mit einem Namen wie z. B. SSMService-Trust.json mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung .json speichern.

Anmerkung
Notieren Sie den Namen. Sie geben ihn an, wenn Sie SSM Agent an Ihre AWS IoT Greengrass-Core-Geräte bereitstellen.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}
```
Führen Sie PowerShell im Verwaltungsmodus aus, und führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, New-IAMRole wie folgt aus, um eine Servicerolle zu erstellen.
```
New-IAMRole `
    -RoleName SSMServiceRole `
    -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
```
Verwenden Sie wie folgt Register-IAMRolePolicy, um es der von Ihnen erstellten Servicerolle zu ermöglichen, ein Sitzungstoken zu erstellen. Das Sitzungs-Token gewährt Ihren Edge-Geräten die Berechtigung zum Ausführen von Befehlen mit Systems Manager.

Anmerkung
Die Richtlinien, die Sie für eine Servicerolle für Edge-Geräte in einer AWS IoT Greengrass-Umgebung hinzufügen, sind die gleichen Richtlinien, die zum Erstellen eines Instance-Profils für EC2-Instances verwendet werden. Weitere Informationen zu den AWS-Richtlinien finden Sie unter Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren.

(Erforderlich) Führen Sie den folgenden Befehl aus, um es einem Edge-Gerät zu erlauben, die Core-Funktionalität des AWS Systems Manager-Service zu nutzen.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, um SSM Agent den Zugriff auf die Buckets zu ermöglichen, die Sie in der Richtlinie angegeben haben. Ersetzen Sie account_ID und my_bucket_policy_name durch Ihre AWS-Konto-ID und Ihren Bucket-Namen.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
(Optional) Führen Sie den folgenden Befehl aus, um SSM Agent in Ihrem Namen den Zugriff auf AWS Directory Service für Anforderungen zum Beitritt zur Domain von Edge-Geräten zu erlauben. Die Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Edge-Geräte einem Microsoft-AD-Verzeichnis zuteilen.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(Optional) Führen Sie den folgenden Befehl aus, um die Ausführung des CloudWatch Agent auf Ihren Edge-Geräten zu erlauben. Dieser Befehl ermöglicht es, Informationen auf einem Geräte zu lesen und sie in CloudWatch zu schreiben. Ihre Servicerolle benötigt diese Richtlinie nur, wenn Sie Services wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden werden.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```

Ihre Edge-Geräte für AWS IoT Greengrass konfigurieren

Einrichtung Ihrer Edge-Geräte als AWS IoT Greengrass-Core-Geräte. Der Einrichtungsprozess umfasst die Überprüfung unterstützter Betriebssysteme und Systemanforderungen sowie das Installieren und Konfigurieren der AWS IoT Greengrass-Core-Software auf Ihren Geräten. Weitere Informationen finden Sie unter Einrichten von AWS IoT Greengrass-Core-Geräten im AWS IoT Greengrass Version 2-Entwicklerhandbuch.

Aktualisieren der AWS IoT Greengrass-Token-Austauschrolle und Installation von SSM Agent auf Ihren Edge-Geräten

Der letzte Schritt zum Einrichten und Konfigurieren Ihres AWS IoT Greengrass-Core-Geräts für Systems Manager erfordert, dass Sie die AWS IoT Greengrass AWS Identity and Access Management (IAM)-Geräte-Servicerolle, auch als Token-Exchange-Rolle bekannt, aktualisieren und den AWS Systems Manager-Agent (SSM Agent) auf Ihren AWS IoT Greengrass-Geräten bereitstellen. Informationen zu diesen Prozessen finden Sie unter Installation des AWS Systems Manager-Agenten im AWS IoT Greengrass Version 2-Entwicklerhandbuch.

Nach dem Bereitstellen von SSM Agent auf Ihren Geräten, registriert AWS IoT Greengrass Ihre Geräte automatisch bei Systems Manager. Es ist keine weitere Registrierung erforderlich. Sie können damit beginnen, Systems-Manager-Funktionen zum Verwalten und Konfigurieren Ihrer AWS IoT Greengrass-Geräte zu verwenden.

Anmerkung

Ihre Edge-Geräte müssen mit dem Systems-Manager-Service in der Cloud kommunizieren können. Systems Manager unterstützt keine getrennten Edge-Geräte.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Installation von SSM Agent auf hybriden Windows Server-Knoten

Einen AWS Organizations delegierten Administrator für Systems Manager erstellen