AWS IoT Greengrass Version 1 est entré dans la phase de durée de vie prolongée le 30 juin 2023. Pour plus d'informations, consultez la politique de AWS IoT Greengrass V1 maintenance. Après cette date, AWS IoT Greengrass V1 ne publiera pas de mises à jour fournissant des fonctionnalités, des améliorations, des corrections de bogues ou des correctifs de sécurité. Les appareils qui fonctionnent AWS IoT Greengrass V1 sous tension ne seront pas perturbés et continueront à fonctionner et à se connecter au cloud. Nous vous recommandons vivement de migrer vers AWS IoT Greengrass Version 2, qui ajoute de nouvelles fonctionnalités importantes et prend en charge des plateformes supplémentaires.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôle de groupe Greengrass
Le rôle de groupe Greengrass est un rôle IAM qui autorise le code s'exécutant sur un noyau Greengrass à accéder à votreAWSAWS. Vous créez le rôle et gérez les autorisations dansAWS Identity and Access Management(IAM) et attachez le rôle à votre groupe Greengrass. Un groupe Greengrass possède un rôle de groupe. Pour ajouter ou modifier des autorisations, vous pouvez attacher un rôle différent ou modifier les stratégies IAM associées au rôle.
Le rôle doit définir AWS IoT Greengrass en tant qu'entité approuvée. Selon votre analyse de rentabilité, le rôle de groupe peut contenir des stratégies IAM qui définissent :
Des autorisations pour les utilisateursFonctions Lambdapour accéder àAWSServices .
Des autorisations permettant aux connecteurs d'accéder aux services AWS.
Autorisations d'gestionnaire de fluxpour exporter des flux versAWS IoT Analyticset Kinesis Data Streams.
Des autorisations permettant la journalisation CloudWatch .
Les sections suivantes décrivent comment attacher ou détacher un rôle de groupe Greengrass dans l’AWS Management Console ou l’AWS CLI.
Note
En plus du rôle de groupe qui autorise l'accès à partir du noyau Greengrass, vous pouvez affecter un rôle de service Greengrass qui autorise AWS IoT Greengrass à accéder aux ressources AWS en votre nom.
Gestion du rôle de groupe Greengrass (console)
Vous pouvez utiliser le pluginAWS IoTconsole pour les tâches de gestion de rôles suivantes :
Note
L'utilisateur connecté à la console doit disposer des autorisations nécessaires pour gérer le rôle.
Rechercher votre rôle de groupe Greengrass (console)
Suivez ces étapes pour rechercher le rôle attribué à un groupe Greengrass.
DansAWS IoTVolet de navigation de la consoleGérer, développezAppareils Greengrasset puisGroupes (V1).
Choisissez le groupe cible.
Si un rôle est attaché au groupe, il apparaît sousRôle de groupe.
Ajouter ou modifier le rôle de groupe Greengrass (console)
Procédez comme suit pour choisir un rôle IAM dans votreCompte AWSpour ajouter à un groupe Greengrass.
Un rôle de groupe est soumis aux exigences suivantes :
-
AWS IoT Greengrass doit être défini en tant qu'entité de confiance.
-
Les stratégies d'autorisation associées au rôle doivent accorder les autorisations à votreAWSressources requises par les fonctions Lambda et les connecteurs du groupe, ainsi que par les composants système Greengrass.
Note
Nous vous recommandons également d'inclure leaws:SourceArn
etaws:SourceAccount
Clés de contexte de condition globale dans votre stratégie d'approbation pour empêcher ledéputé confusproblème de sécurité. Les clés contextuelles de condition limitent l'accès afin d'autoriser uniquement les demandes provenant du compte spécifié et de l'espace de travail Greengrass. Pour plus d'informations sur le problème du député confus, consultezPrévention du problème de l'adjoint confus entre services.
Utilisez la console IAM pour créer et configurer le rôle et ses autorisations. Pour plus d'informations sur les étapes de création d'un exemple de rôle permettant d'accéder à une table Amazon DynamoDB, veuillez consulterConfiguration du rôle de groupe. Pour les étapes générales, consultezCréation d'un rôle pour unAWSservice (console)dans leIAM User Guide.
Une fois le rôle configuré, utilisez leAWS IoTpour ajouter le rôle au groupe.
Note
Cette procédure est requise uniquement pour choisir un rôle pour le groupe. Elle n'est pas requise après la modification des autorisations du rôle de groupe actuellement sélectionné.
DansAWS IoTVolet de navigation de la consoleGérer, développezAppareils Greengrasset puisGroupes (V1).
Choisissez le groupe cible.
-
UnderRôle de groupe, choisissez d'ajouter ou de modifier le rôle :
-
Pour ajouter le rôle, choisissezRôle d'associépuis sélectionnez votre rôle dans votre liste de rôles. Voici les rôles dans votreCompte AWSqui définissentAWS IoT Greengrassen tant qu'entité de confiance.
-
Pour choisir un autre rôle, choisissezModifier le rôlepuis sélectionnez votre rôle dans votre liste de rôles.
-
-
Choisissez Save (Enregistrer).
Retirer le rôle de groupe Greengrass (console)
Procédez comme suit pour détacher le rôle d'un groupe Greengrass.
DansAWS IoTVolet de navigation de la consoleGérer, développezAppareils Greengrasset puisGroupes (V1).
Choisissez le groupe cible.
-
UnderRôle de groupe, choisissezDissocier un rôle.
-
Dans la boîte de dialogue de confirmation, choisissezDissocier un rôle. Cette étape retire le rôle du groupe mais ne le supprime pas. Si vous souhaitez supprimer le rôle, utilisez la console IAM.
Gestion du rôle de groupe Greengrass (interface de ligne de commande)
Vous pouvez utiliser l'AWS CLI pour les tâches de gestion de rôles suivantes :
Obtenir le rôle de groupe Greengrass (CLI)
Suivez ces étapes pour savoir si un groupe Greengrass a un rôle associé.
-
Obtenez l'ID du groupe cible dans la liste de vos groupes.
aws greengrass list-groups
Voici un exemple de réponse
list-groups
: Chaque groupe de la réponse inclut une propriétéId
qui contient l'ID de groupe.{ "Groups": [ { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "Name": "MyFirstGroup", "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z", "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "CreationTimestamp": "2019-11-11T05:47:31.435Z", "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE" }, { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "Name": "GreenhouseSensors", "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z", "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "CreationTimestamp": "2020-01-07T19:58:36.774Z", "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE" }, ... ] }
Pour de plus amples informations, y compris des exemples qui utilisent l'option
query
pour filtrer les résultats, veuillez consulter Obtention de l'ID de groupe. -
Copiez l'
Id
du groupe cible à partir de la sortie. -
Obtenez le rôle de groupe. Remplacez
group-id
par l'ID du groupe cible.aws greengrass get-associated-role --group-id
group-id
Si un rôle est associé à votre groupe Greengrass, les métadonnées de rôle suivantes sont renvoyées.
{ "AssociatedAt": "
timestamp
", "RoleArn": "arn:aws:iam::account-id
:role/path/role-name
" }Si votre groupe n'a pas de rôle associé, l'erreur suivante est renvoyée.
An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.
Créer le rôle de groupe Greengrass (CLI)
Procédez comme suit pour créer un rôle et l'associer à un groupe Greengrass.
Pour créer le rôle de groupe à l'aide d'IAM
-
Créez le rôle avec une stratégie d'approbation permettant à AWS IoT Greengrass d'assumer le rôle. Cet exemple crée un rôle nommé
MyGreengrassGroupRole
, mais vous pouvez utiliser un autre nom. Nous vous recommandons également d'inclure leaws:SourceArn
etaws:SourceAccount
Clés de contexte de condition globale dans votre stratégie d'approbation pour empêcher ledéputé confusproblème de sécurité. Les clés contextuelles de condition limitent l'accès afin d'autoriser uniquement les demandes provenant du compte spécifié et de l'espace de travail Greengrass. Pour plus d'informations sur le problème du député confus, consultezPrévention du problème de l'adjoint confus entre services. -
Copiez l'ARN de rôle du rôle des métadonnées dans la sortie. Vous utilisez l'ARN pour associer le rôle à votre groupe.
-
Associez des stratégies gérées ou intégrées au rôle pour prendre en charge votre analyse de rentabilité. Par exemple, si une fonction Lambda définie par l'utilisateur lit à partir d'Amazon S3, vous pouvez attacher le
AmazonS3ReadOnlyAccess
stratégie gérée au rôle.aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
En cas de succès, aucune réponse n'est renvoyée.
Pour associer le rôle à votre groupe Greengrass
-
Obtenez l'ID du groupe cible dans la liste de vos groupes.
aws greengrass list-groups
Voici un exemple de réponse
list-groups
: Chaque groupe de la réponse inclut une propriétéId
qui contient l'ID de groupe.{ "Groups": [ { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "Name": "MyFirstGroup", "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z", "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "CreationTimestamp": "2019-11-11T05:47:31.435Z", "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE" }, { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "Name": "GreenhouseSensors", "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z", "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "CreationTimestamp": "2020-01-07T19:58:36.774Z", "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE" }, ... ] }
Pour de plus amples informations, y compris des exemples qui utilisent l'option
query
pour filtrer les résultats, veuillez consulter Obtention de l'ID de groupe. -
Copiez l'
Id
du groupe cible à partir de la sortie. -
Associez le rôle à votre groupe. Remplacez
group-id
par l'ID du groupe cible etrole-arn
par l'ARN du rôle de groupe.aws greengrass associate-role-to-group --group-id
group-id
--role-arnrole-arn
En cas de réussite, la réponse suivante est renvoyée.
{ "AssociatedAt": "
timestamp
" }
Retirer le rôle de groupe Greengrass (CLI)
Procédez comme suit pour dissocier le rôle de groupe de votre groupe Greengrass.
-
Obtenez l'ID du groupe cible dans la liste de vos groupes.
aws greengrass list-groups
Voici un exemple de réponse
list-groups
: Chaque groupe de la réponse inclut une propriétéId
qui contient l'ID de groupe.{ "Groups": [ { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "Name": "MyFirstGroup", "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z", "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "CreationTimestamp": "2019-11-11T05:47:31.435Z", "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE" }, { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "Name": "GreenhouseSensors", "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z", "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "CreationTimestamp": "2020-01-07T19:58:36.774Z", "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE" }, ... ] }
Pour de plus amples informations, y compris des exemples qui utilisent l'option
query
pour filtrer les résultats, veuillez consulter Obtention de l'ID de groupe. -
Copiez l'
Id
du groupe cible à partir de la sortie. -
Dissociez le rôle de votre groupe. Remplacez
group-id
par l'ID du groupe cible.aws greengrass disassociate-role-from-group --group-id
group-id
En cas de réussite, la réponse suivante est renvoyée.
{ "DisassociatedAt": "
timestamp
" }Note
Vous pouvez supprimer le rôle de groupe si vous ne l'utilisez pas. Utilisez d'abord delete-role-policy pour détacher chaque stratégie gérée du rôle, puis delete-role pour supprimer le rôle. Pour plus d'informations, consultez Suppression de rôles ou de profils d'instance dans le guide de l'utilisateur IAM.
Consulter aussi
-
Sujets connexes dans leIAM User Guide
-
AWS IoT GreengrassCommandes dans leAWS CLIRéférence des commandes
-
Commandes IAM dans leAWS CLIRéférence des commandes