Rôle de groupe Greengrass - AWS IoT Greengrass

AWS IoT Greengrass Version 1 est entré dans la phase de durée de vie prolongée le 30 juin 2023. Pour plus d'informations, consultez la politique de AWS IoT Greengrass V1 maintenance. Après cette date, AWS IoT Greengrass V1 ne publiera pas de mises à jour fournissant des fonctionnalités, des améliorations, des corrections de bogues ou des correctifs de sécurité. Les appareils qui fonctionnent AWS IoT Greengrass V1 sous tension ne seront pas perturbés et continueront à fonctionner et à se connecter au cloud. Nous vous recommandons vivement de migrer vers AWS IoT Greengrass Version 2, qui ajoute de nouvelles fonctionnalités importantes et prend en charge des plateformes supplémentaires.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle de groupe Greengrass

Le rôle de groupe Greengrass est un rôle IAM qui autorise le code s'exécutant sur un noyau Greengrass à accéder à votreAWSAWS. Vous créez le rôle et gérez les autorisations dansAWS Identity and Access Management(IAM) et attachez le rôle à votre groupe Greengrass. Un groupe Greengrass possède un rôle de groupe. Pour ajouter ou modifier des autorisations, vous pouvez attacher un rôle différent ou modifier les stratégies IAM associées au rôle.

Le rôle doit définir AWS IoT Greengrass en tant qu'entité approuvée. Selon votre analyse de rentabilité, le rôle de groupe peut contenir des stratégies IAM qui définissent :

Les sections suivantes décrivent comment attacher ou détacher un rôle de groupe Greengrass dans l’AWS Management Console ou l’AWS CLI.

Note

En plus du rôle de groupe qui autorise l'accès à partir du noyau Greengrass, vous pouvez affecter un rôle de service Greengrass qui autorise AWS IoT Greengrass à accéder aux ressources AWS en votre nom.

Gestion du rôle de groupe Greengrass (console)

Vous pouvez utiliser le pluginAWS IoTconsole pour les tâches de gestion de rôles suivantes :

Note

L'utilisateur connecté à la console doit disposer des autorisations nécessaires pour gérer le rôle.

 

Rechercher votre rôle de groupe Greengrass (console)

Suivez ces étapes pour rechercher le rôle attribué à un groupe Greengrass.

  1. DansAWS IoTVolet de navigation de la consoleGérer, développezAppareils Greengrasset puisGroupes (V1).

  2. Choisissez le groupe cible.

  3. Sur la page de configuration de groupe, choisissezAffichage des paramètres.

Si un rôle est attaché au groupe, il apparaît sousRôle de groupe.

 

Ajouter ou modifier le rôle de groupe Greengrass (console)

Procédez comme suit pour choisir un rôle IAM dans votreCompte AWSpour ajouter à un groupe Greengrass.

Un rôle de groupe est soumis aux exigences suivantes :

  • AWS IoT Greengrass doit être défini en tant qu'entité de confiance.

  • Les stratégies d'autorisation associées au rôle doivent accorder les autorisations à votreAWSressources requises par les fonctions Lambda et les connecteurs du groupe, ainsi que par les composants système Greengrass.

Note

Nous vous recommandons également d'inclure leaws:SourceArnetaws:SourceAccountClés de contexte de condition globale dans votre stratégie d'approbation pour empêcher ledéputé confusproblème de sécurité. Les clés contextuelles de condition limitent l'accès afin d'autoriser uniquement les demandes provenant du compte spécifié et de l'espace de travail Greengrass. Pour plus d'informations sur le problème du député confus, consultezPrévention du problème de l'adjoint confus entre services.

Utilisez la console IAM pour créer et configurer le rôle et ses autorisations. Pour plus d'informations sur les étapes de création d'un exemple de rôle permettant d'accéder à une table Amazon DynamoDB, veuillez consulterConfiguration du rôle de groupe. Pour les étapes générales, consultezCréation d'un rôle pour unAWSservice (console)dans leIAM User Guide.

 

Une fois le rôle configuré, utilisez leAWS IoTpour ajouter le rôle au groupe.

Note

Cette procédure est requise uniquement pour choisir un rôle pour le groupe. Elle n'est pas requise après la modification des autorisations du rôle de groupe actuellement sélectionné.

  1. DansAWS IoTVolet de navigation de la consoleGérer, développezAppareils Greengrasset puisGroupes (V1).

  2. Choisissez le groupe cible.

  3. Sur la page de configuration de groupe, choisissezAffichage des paramètres.

  4. UnderRôle de groupe, choisissez d'ajouter ou de modifier le rôle :

    • Pour ajouter le rôle, choisissezRôle d'associépuis sélectionnez votre rôle dans votre liste de rôles. Voici les rôles dans votreCompte AWSqui définissentAWS IoT Greengrassen tant qu'entité de confiance.

    • Pour choisir un autre rôle, choisissezModifier le rôlepuis sélectionnez votre rôle dans votre liste de rôles.

  5. Choisissez Save (Enregistrer).

 

Retirer le rôle de groupe Greengrass (console)

Procédez comme suit pour détacher le rôle d'un groupe Greengrass.

  1. DansAWS IoTVolet de navigation de la consoleGérer, développezAppareils Greengrasset puisGroupes (V1).

  2. Choisissez le groupe cible.

  3. Sur la page de configuration de groupe, choisissezAffichage des paramètres.

  4. UnderRôle de groupe, choisissezDissocier un rôle.

  5. Dans la boîte de dialogue de confirmation, choisissezDissocier un rôle. Cette étape retire le rôle du groupe mais ne le supprime pas. Si vous souhaitez supprimer le rôle, utilisez la console IAM.

Gestion du rôle de groupe Greengrass (interface de ligne de commande)

Vous pouvez utiliser l'AWS CLI pour les tâches de gestion de rôles suivantes :

 

Obtenir le rôle de groupe Greengrass (CLI)

Suivez ces étapes pour savoir si un groupe Greengrass a un rôle associé.

  1. Obtenez l'ID du groupe cible dans la liste de vos groupes.

    aws greengrass list-groups

    Voici un exemple de réponse list-groups : Chaque groupe de la réponse inclut une propriété Id qui contient l'ID de groupe.

    { "Groups": [ { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "Name": "MyFirstGroup", "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z", "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "CreationTimestamp": "2019-11-11T05:47:31.435Z", "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE" }, { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "Name": "GreenhouseSensors", "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z", "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "CreationTimestamp": "2020-01-07T19:58:36.774Z", "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE" }, ... ] }

    Pour de plus amples informations, y compris des exemples qui utilisent l'option querypour filtrer les résultats, veuillez consulter Obtention de l'ID de groupe.

  2. Copiez l'Id du groupe cible à partir de la sortie.

  3. Obtenez le rôle de groupe. Remplacez group-id par l'ID du groupe cible.

    aws greengrass get-associated-role --group-id group-id

    Si un rôle est associé à votre groupe Greengrass, les métadonnées de rôle suivantes sont renvoyées.

    { "AssociatedAt": "timestamp", "RoleArn": "arn:aws:iam::account-id:role/path/role-name" }

    Si votre groupe n'a pas de rôle associé, l'erreur suivante est renvoyée.

    An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.

 

Créer le rôle de groupe Greengrass (CLI)

Procédez comme suit pour créer un rôle et l'associer à un groupe Greengrass.

Pour créer le rôle de groupe à l'aide d'IAM
  1. Créez le rôle avec une stratégie d'approbation permettant à AWS IoT Greengrass d'assumer le rôle. Cet exemple crée un rôle nommé MyGreengrassGroupRole, mais vous pouvez utiliser un autre nom. Nous vous recommandons également d'inclure leaws:SourceArnetaws:SourceAccountClés de contexte de condition globale dans votre stratégie d'approbation pour empêcher ledéputé confusproblème de sécurité. Les clés contextuelles de condition limitent l'accès afin d'autoriser uniquement les demandes provenant du compte spécifié et de l'espace de travail Greengrass. Pour plus d'informations sur le problème du député confus, consultezPrévention du problème de l'adjoint confus entre services.

    Linux, macOS, or Unix
    aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "greengrass.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id" } } } ] }'
    Windows command prompt
    aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
  2. Copiez l'ARN de rôle du rôle des métadonnées dans la sortie. Vous utilisez l'ARN pour associer le rôle à votre groupe.

  3. Associez des stratégies gérées ou intégrées au rôle pour prendre en charge votre analyse de rentabilité. Par exemple, si une fonction Lambda définie par l'utilisateur lit à partir d'Amazon S3, vous pouvez attacher leAmazonS3ReadOnlyAccessstratégie gérée au rôle.

    aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    En cas de succès, aucune réponse n'est renvoyée.

 

Pour associer le rôle à votre groupe Greengrass
  1. Obtenez l'ID du groupe cible dans la liste de vos groupes.

    aws greengrass list-groups

    Voici un exemple de réponse list-groups : Chaque groupe de la réponse inclut une propriété Id qui contient l'ID de groupe.

    { "Groups": [ { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "Name": "MyFirstGroup", "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z", "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "CreationTimestamp": "2019-11-11T05:47:31.435Z", "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE" }, { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "Name": "GreenhouseSensors", "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z", "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "CreationTimestamp": "2020-01-07T19:58:36.774Z", "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE" }, ... ] }

    Pour de plus amples informations, y compris des exemples qui utilisent l'option querypour filtrer les résultats, veuillez consulter Obtention de l'ID de groupe.

  2. Copiez l'Id du groupe cible à partir de la sortie.

  3. Associez le rôle à votre groupe. Remplacez group-id par l'ID du groupe cible et role-arn par l'ARN du rôle de groupe.

    aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn

    En cas de réussite, la réponse suivante est renvoyée.

    { "AssociatedAt": "timestamp" }

 

Retirer le rôle de groupe Greengrass (CLI)

Procédez comme suit pour dissocier le rôle de groupe de votre groupe Greengrass.

  1. Obtenez l'ID du groupe cible dans la liste de vos groupes.

    aws greengrass list-groups

    Voici un exemple de réponse list-groups : Chaque groupe de la réponse inclut une propriété Id qui contient l'ID de groupe.

    { "Groups": [ { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "Name": "MyFirstGroup", "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z", "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "CreationTimestamp": "2019-11-11T05:47:31.435Z", "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE" }, { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "Name": "GreenhouseSensors", "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z", "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "CreationTimestamp": "2020-01-07T19:58:36.774Z", "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE" }, ... ] }

    Pour de plus amples informations, y compris des exemples qui utilisent l'option querypour filtrer les résultats, veuillez consulter Obtention de l'ID de groupe.

  2. Copiez l'Id du groupe cible à partir de la sortie.

  3. Dissociez le rôle de votre groupe. Remplacez group-id par l'ID du groupe cible.

    aws greengrass disassociate-role-from-group --group-id group-id

    En cas de réussite, la réponse suivante est renvoyée.

    { "DisassociatedAt": "timestamp" }
    Note

    Vous pouvez supprimer le rôle de groupe si vous ne l'utilisez pas. Utilisez d'abord delete-role-policy pour détacher chaque stratégie gérée du rôle, puis delete-role pour supprimer le rôle. Pour plus d'informations, consultez Suppression de rôles ou de profils d'instance dans le guide de l'utilisateur IAM.

Consulter aussi