Activez FIPS les terminaux grâce au déploiement Installez Nucleus avec des FIPS terminaux avec provisionnement manuel des ressources Installation de FIPS points de terminaison avec provisionnement de flotte Installation de FIPS points de terminaison avec provisionnement automatique des ressources FIPSconformité : composants de première partie

FIPSpoints de terminaison

AWS IoT Greengrass prend en charge l'utilisation des points de FIPS terminaison (Federal Information Processing Standard (FIPS) 140-2). Lorsque FIPS le mode est activé, toutes les transmissions de données, y compris les MQTT protocoles HTTP et les protocoles, vers les AWS Cloud services doivent appeler et établir des connexions avec les points de terminaison FIPS conformes correspondants (FIPS- Amazon Web Services (AWS)).

MQTTcommunications pour AWS IoT utiliser le point de FIPS terminaison du plan de données IoT (connexion aux AWS IoT FIPS points de terminaison - AWS IoT Core) et la bibliothèque cryptographique FIPS compatible AWS aws-lc développée.

Pour les HTTP communications dans Greengrass :

Pour les composants du noyau et du plugin, tous les SDK HTTP clients sont configurés avec des FIPS points de terminaison en définissant la propriété système AWS_USE _ FIPS _ ENDPOINT sur true ;
Pour les composants génériques, tous les composants commencent par la propriété système AWS_USE _ FIPS _ ENDPOINT définie sur true. Ce processus garantit que les SDK HTTP clients utilisés par ces composants génériques envoient des demandes à des points de FIPS terminaison conformes.

Note

Dans le cas du gestionnaire de flux, Nucleus transmet la variable d'environnement AWS_GG _ FIPS _MODE. Cette variable d'environnement permet aux HTTP clients utilisés dans le Stream Manager d'identifier et de se connecter au point de FIPS terminaison conforme correspondant.

AWS IoT Greengrass propose deux méthodes pour activer le FIPS mode : le provisionnement et le déploiement. Pour activer le FIPS mode, vous devez définir le paramètre de configuration sur fipsMode true, puis Nucleus définit la propriété système AWS_USE _ FIPS _ sur ENDPOINT true et la propage en tant que variable d'environnement à tous les autres composants. En outre, AWS IoT Greengrass téléchargera un certificat CA racine (CA3) et l'ajoutera au fichier RootCA.pem (ou .pem) existant. AmazonRoot CA1 Si vous l'activez FIPS par le biais d'un nouveau déploiement, Nucleus redémarrera pour garantir que les propriétés du système prennent effet après l'activation du FIPS mode.

Outre la configuration du fipsMode paramètre, vous devez également configurer les greengrassDataEndpoint paramètresiotDataEndpoint, iotCredEndpoint et. Pour plus d'informations, consultez le document correspondant ci-dessous.

Note

FIPSLe point de terminaison d'identification ne prend actuellement en charge que les régions suivantes :

IAD data.credentials.iot-fips.us-east-1.amazonaws.com
CMH data.credentials.iot-fips.us-east-2.amazonaws.com
SFO data.credentials.iot-fips.us-west-1.amazonaws.com
PDX data.credentials.iot-fips.us-west-2.amazonaws.com
YUL data.credentials.iot-fips.ca-central-1.amazonaws.com

Activez FIPS les terminaux grâce au déploiement

Obtenez les AWS IoT points de terminaison qui vous Compte AWS conviennent et enregistrez-les pour les utiliser ultérieurement. Votre appareil utilise ces points de terminaison pour se connecter à AWS IoT. Deux points de terminaison sont requis, le iotDataEndpoint et leiotCredEndpoint. Procédez comme suit :

Obtenez le point de terminaison de FIPS données de votre région dans les points de terminaison du plan de AWS IoT Core FIPS données. Le point FIPS de terminaison de vos données Compte AWS devrait ressembler à ceci : data.iot-fips.us-west-2.amazonaws.com
Obtenez le point de terminaison des FIPS informations d'identification de votre région dans les points de terminaison du plan de AWS IoT Core FIPS données. Le point de terminaison de vos informations d'FIPSidentification Compte AWS devrait ressembler à ceci : data.credentials.iot-fips.us-west-2.amazonaws.com

Ensuite, pour activer FIPS un déploiement, vous devez appliquer la configuration suivante à Nucleus. La configuration à fusionner lors du déploiement est la suivante.

Console

Configuration à fusionner


{
  "fipsMode": "true",
  "iotDataEndpoint": "data.iot-fips.us-west-2.amazonaws.com",
  "greengrassDataPlaneEndpoint": "iotData",
  "iotCredEndpoint": "data.credentials.iot-fips.us-west-2.amazonaws.com"
}

AWS CLI

La commande suivante crée un déploiement sur un périphérique principal.


aws greengrassv2 create-deployment --cli-input-json file://dashboard-deployment.json

Le dashboard-deployment.json dossier contient le JSON document suivant.


{
  "targetArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
  "deploymentName": "Deployment for MyGreengrassCore",
  "components": {
    "aws.greengrass.Nucleus": {
      "componentVersion": "2.13.0",
      "configurationUpdate": {
        "merge":{\"fipsMode\":\"true\",\"iotDataEndpoint\":\"data.iot-fips.us-west-2.amazonaws.com\",\"greengrassDataPlaneEndpoint\":\"iotData\",\"iotCredEndpoint\":\"data.credentials.iot-fips.us-west-2.amazonaws.com\"}"
      }
    }
  }
}

Greengrass CLI

La CLI commande Greengrass suivante crée un déploiement local sur un appareil principal.


sudo greengrass-cli deployment create \
  --recipeDir recipes \
  --artifactDir artifacts \
  --merge "aws.greengrass.Nucleus=2.13.0" \
  --update-config dashboard-configuration.json

Le dashboard-configuration.json dossier contient le JSON document suivant.


{
  "aws.greengrass.Nucleus": {
    "MERGE": {
       "fipsMode": "true",
       "iotDataEndpoint": "data.iot-fips.us-west-2.amazonaws.com",
       "greengrassDataPlaneEndpoint": "iotData",
       "iotCredEndpoint": "data.credentials.iot-fips.us-west-2.amazonaws.com"

    }
  }
}

Installez Nucleus avec des FIPS terminaux avec provisionnement manuel des ressources

Approvisionnement manuel AWS des ressources pour les appareils AWS IoT Greengrass V2 principaux dotés de FIPS terminaux

Important

Avant de télécharger le logiciel AWS IoT Greengrass Core, vérifiez que votre appareil principal répond à la configuration requise pour installer et exécuter le logiciel AWS IoT Greengrass Core v2.0.

Rubriques

Récupérer des points de AWS IoT terminaison
Créez n'importe AWS IoT quoi
Créez le certificat d'objet
Configurer le certificat d'objet
Création d'un rôle d'échange de jetons
Télécharger les certificats sur l'appareil
Configuration de l'environnement de l'appareil
Téléchargez le logiciel AWS IoT Greengrass de base
Installation du logiciel AWS IoT Greengrass Core

Récupérer des points de AWS IoT terminaison

Obtenez le point de terminaison de FIPS données de votre région dans les points de terminaison du plan de AWS IoT Core FIPS données. Le point FIPS de terminaison de vos données Compte AWS devrait ressembler à ceci : data.iot-fips.us-west-2.amazonaws.com
Obtenez le point de terminaison des FIPS informations d'identification de votre région dans les points de terminaison du plan de AWS IoT Core FIPS données. Le point de terminaison de vos informations d'FIPSidentification Compte AWS devrait ressembler à ceci : data.credentials.iot-fips.us-west-2.amazonaws.com

Créez n'importe AWS IoT quoi

AWS IoT les objets représentent les appareils et les entités logiques auxquels ils se connectent AWS IoT. Les appareils Greengrass Core sont AWS IoT des objets. Lorsque vous enregistrez un appareil en tant qu' AWS IoT objet, celui-ci peut utiliser un certificat numérique pour s'authentifier. AWS

Dans cette section, vous allez créer un AWS IoT objet qui représente votre appareil.

Pour créer AWS IoT quelque chose

Créez AWS IoT quelque chose pour votre appareil. Sur votre ordinateur de développement, exécutez la commande suivante.
- Remplacez MyGreengrassCore avec le nom de l'objet à utiliser. Ce nom est également le nom de votre appareil principal Greengrass.
  
  Note
  Le nom de l'objet ne peut pas contenir de caractères deux-points (:).
```
aws iot create-thing --thing-name MyGreengrassCore
```
La réponse ressemble à l'exemple suivant, si la demande aboutit.
```
{
  "thingName": "MyGreengrassCore",
  "thingArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
  "thingId": "8cb4b6cd-268e-495d-b5b9-1713d71dbf42"
}
```
(Facultatif) Ajoutez l' AWS IoT objet à un nouveau groupe d'objets ou à un groupe d'objets existant. Vous utilisez des groupes d'objets pour gérer des flottes d'appareils principaux de Greengrass. Lorsque vous déployez des composants logiciels sur vos appareils, vous pouvez cibler des appareils individuels ou des groupes d'appareils. Vous pouvez ajouter un appareil à un groupe d'objets avec un déploiement Greengrass actif pour déployer les composants logiciels de ce groupe d'objets sur l'appareil. Procédez comme suit :
1. (Facultatif) Créez un AWS IoT groupe d'objets.
  - Remplacez MyGreengrassCoreGroup avec le nom du groupe d'objets à créer.
    
    Note
    Le nom du groupe d'objets ne peut pas contenir de deux-points (:).
```
aws iot create-thing-group --thing-group-name MyGreengrassCoreGroup
```
  La réponse ressemble à l'exemple suivant, si la demande aboutit.
```
{
  "thingGroupName": "MyGreengrassCoreGroup",
  "thingGroupArn": "arn:aws:iot:us-west-2:123456789012:thinggroup/MyGreengrassCoreGroup",
  "thingGroupId": "4df721e1-ff9f-4f97-92dd-02db4e3f03aa"
}
```
2. Ajoutez l' AWS IoT objet à un groupe d'objets.
  - Remplacez MyGreengrassCore avec le nom de ton AWS IoT truc.
  - Remplacez MyGreengrassCoreGroup avec le nom du groupe d'objets.
```
aws iot add-thing-to-thing-group --thing-name MyGreengrassCore --thing-group-name MyGreengrassCoreGroup
```
  La commande n'a aucune sortie si la demande aboutit.

Créez le certificat d'objet

Lorsque vous enregistrez un appareil en tant qu' AWS IoT objet, celui-ci peut utiliser un certificat numérique pour s'authentifier. AWS Ce certificat permet à l'appareil de communiquer avec AWS IoT et AWS IoT Greengrass.

Dans cette section, vous allez créer et télécharger des certificats que votre appareil peut utiliser pour se connecter AWS.

Si vous souhaitez configurer le logiciel AWS IoT Greengrass Core pour utiliser un module de sécurité matériel (HSM) pour stocker en toute sécurité la clé privée et le certificat, suivez les étapes pour créer le certificat à partir d'une clé privée dans unHSM. Sinon, suivez les étapes pour créer le certificat et la clé privée dans le AWS IoT service. La fonctionnalité de sécurité matérielle n'est disponible que sur les appareils Linux. Pour plus d'informations sur la sécurité matérielle et les conditions requises pour l'utiliser, consultezIntégration de sécurité matérielle.

Créez le certificat et la clé privée dans le AWS IoT service

Pour créer le certificat d'objet

Créez un dossier dans lequel vous téléchargerez les certificats de l' AWS IoT objet.
```
mkdir greengrass-v2-certs
```

Créez et téléchargez les certificats AWS IoT correspondants.


aws iot create-keys-and-certificate --set-as-active --certificate-pem-outfile greengrass-v2-certs/device.pem.crt --public-key-outfile greengrass-v2-certs/public.pem.key --private-key-outfile greengrass-v2-certs/private.pem.key

La réponse ressemble à l'exemple suivant, si la demande aboutit.


{
  "certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
  "certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
  "certificatePem": "-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
 WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
 EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
 MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
 WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
 HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
 BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
 k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
 ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
 AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
 KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
 EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
 3rrszlaEXAMPLE=
-----END CERTIFICATE-----",
  "keyPair": {
    "PublicKey": "-----BEGIN PUBLIC KEY-----\
MIIBIjANBgkqhkEXAMPLEQEFAAOCAQ8AMIIBCgKCAQEAEXAMPLE1nnyJwKSMHw4h\
MMEXAMPLEuuN/dMAS3fyce8DW/4+EXAMPLEyjmoF/YVF/gHr99VEEXAMPLE5VF13\
59VK7cEXAMPLE67GK+y+jikqXOgHh/xJTwo+sGpWEXAMPLEDz18xOd2ka4tCzuWEXAMPLEahJbYkCPUBSU8opVkR7qkEXAMPLE1DR6sx2HocliOOLtu6Fkw91swQWEXAMPLE\\GB3ZPrNh0PzQYvjUStZeccyNCx2EXAMPLEvp9mQOUXP6plfgxwKRX2fEXAMPLEDa\
hJLXkX3rHU2xbxJSq7D+XEXAMPLEcw+LyFhI5mgFRl88eGdsAEXAMPLElnI9EesG\
FQIDAQAB\
-----END PUBLIC KEY-----\
",
    "PrivateKey": "-----BEGIN RSA PRIVATE KEY-----\
key omitted for security reasons\
-----END RSA PRIVATE KEY-----\
"
  }
}

Enregistrez le nom de ressource Amazon (ARN) du certificat pour l'utiliser ultérieurement pour configurer le certificat.

Créez le certificat à partir d'une clé privée dans un HSM

Note

Cette fonctionnalité est disponible pour les versions 2.5.3 et ultérieures du composant Greengrass nucleus. AWS IoT Greengrass ne prend actuellement pas en charge cette fonctionnalité sur les appareils Windows principaux.

Pour créer le certificat d'objet

Sur le périphérique principal, initialisez un jeton PKCS #11 dans le HSM et générez une clé privée. La clé privée doit être une RSA clé d'une taille de RSA -2048 (ou plus) ou une ECC clé.

Note
Pour utiliser un module de sécurité matériel avec des ECC clés, vous devez utiliser Greengrass nucleus v2.5.6 ou version ultérieure.
Pour utiliser un module de sécurité matériel et un gestionnaire de secrets, vous devez utiliser un module de sécurité matériel avec des RSA clés.

Consultez la documentation HSM pour savoir comment initialiser le jeton et générer la clé privée. Si votre objet de HSM supportIDs, spécifiez un ID d'objet lorsque vous générez la clé privée. Enregistrez l'ID du slot, l'utilisateurPIN, le libellé de l'objet, l'ID de l'objet (si HSM vous en utilisez un) que vous spécifiez lorsque vous initialisez le jeton et générez la clé privée. Vous utiliserez ces valeurs ultérieurement lorsque vous importez le certificat d'objet dans le logiciel AWS IoT Greengrass Core HSM et que vous le configurez.
Créez une demande de signature de certificat (CSR) à partir de la clé privée. AWS IoT l'utilise CSR pour créer un certificat d'objet pour la clé privée que vous avez générée dans leHSM. Pour plus d'informations sur la création d'une clé privée CSR à partir de la clé privée, consultez la documentation de votreHSM. CSRIl s'agit d'un fichier, tel queiotdevicekey.csr.
Copiez le CSR depuis l'appareil vers votre ordinateur de développement. Si SSH et SCP sont activés sur l'ordinateur de développement et le périphérique, vous pouvez utiliser la scp commande de votre ordinateur de développement pour transférer leCSR. Remplacez device-ip-address avec l'adresse IP de votre appareil, et remplacez ~/iotdevicekey.csr avec le chemin d'accès au CSR fichier sur le périphérique.
```
scp device-ip-address:~/iotdevicekey.csr iotdevicekey.csr
```
Sur votre ordinateur de développement, créez un dossier dans lequel vous téléchargerez le certificat AWS IoT correspondant.
```
mkdir greengrass-v2-certs
```

Utilisez le CSR fichier pour créer et télécharger le certificat correspondant à l' AWS IoT objet sur votre ordinateur de développement.


aws iot create-certificate-from-csr --set-as-active --certificate-signing-request=file://iotdevicekey.csr --certificate-pem-outfile greengrass-v2-certs/device.pem.crt

La réponse ressemble à l'exemple suivant, si la demande aboutit.


{
  "certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
  "certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
  "certificatePem": "-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
 WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
 EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
 MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
 WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
 HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
 BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
 k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
 ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
 AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
 KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
 EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
 3rrszlaEXAMPLE=
-----END CERTIFICATE-----"
}

Enregistrez les certificats ARN à utiliser pour le configurer ultérieurement.

Configurer le certificat d'objet

Attachez le certificat d' AWS IoT objet à l'objet que vous avez créé précédemment et ajoutez une AWS IoT politique au certificat afin de définir les AWS IoT autorisations pour le périphérique principal.

Pour configurer le certificat de l'objet

Joignez le certificat à l' AWS IoT objet.
- Remplacez MyGreengrassCore avec le nom de ton AWS IoT truc.
- Remplacez le certificat Amazon Resource Name (ARN) par le ARN certificat que vous avez créé à l'étape précédente.
```
aws iot attach-thing-principal --thing-name MyGreengrassCore --principal arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4
```
La commande n'a aucune sortie si la demande aboutit.
Créez et joignez une AWS IoT politique qui définit les AWS IoT autorisations pour votre appareil principal Greengrass. La politique suivante permet d'accéder à tous les MQTT sujets et aux opérations de Greengrass, afin que votre appareil fonctionne avec les applications personnalisées et les modifications futures qui nécessitent de nouvelles opérations Greengrass. Vous pouvez restreindre cette politique en fonction de votre cas d'utilisation. Pour de plus amples informations, veuillez consulter AWS IoTPolitique minimale pour les appareils AWS IoT Greengrass V2 principaux.

Si vous avez déjà configuré un appareil principal Greengrass, vous pouvez joindre sa AWS IoT politique au lieu d'en créer une nouvelle.

Procédez comme suit :
1. Créez un fichier contenant le document de AWS IoT politique dont les appareils principaux de Greengrass ont besoin.
  
  Par exemple, sur un système basé sur Linux, vous pouvez exécuter la commande suivante pour utiliser GNU nano pour créer le fichier.
```
nano greengrass-v2-iot-policy.json
```
  Copiez ce qui suit JSON dans le fichier.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iot:Publish",
        "iot:Subscribe",
        "iot:Receive",
        "iot:Connect",
        "greengrass:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```
2. Créez une AWS IoT politique à partir du document de stratégie.
  - Remplacez GreengrassV2IoTThingPolicy avec le nom de la politique à créer.
```
aws iot create-policy --policy-name GreengrassV2IoTThingPolicy --policy-document file://greengrass-v2-iot-policy.json
```
  La réponse ressemble à l'exemple suivant, si la demande aboutit.
```
{
  "policyName": "GreengrassV2IoTThingPolicy",
  "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy",
  "policyDocument": "{
    \\"Version\\": \\"2012-10-17\\",
    \\"Statement\\": [
      {
        \\"Effect\\": \\"Allow\\",
        \\"Action\\": [
          \\"iot:Publish\\",
          \\"iot:Subscribe\\",
          \\"iot:Receive\\",
          \\"iot:Connect\\",
          \\"greengrass:*\\"
        ],
        \\"Resource\\": [
          \\"*\\"
        ]
      }
    ]
  }",
  "policyVersionId": "1"
}
```
3. Joignez la AWS IoT politique au certificat de l' AWS IoT objet.
  - Remplacez GreengrassV2IoTThingPolicy avec le nom de la politique à joindre.
  - Remplacez la cible ARN par le certificat ARN de votre AWS IoT objet.
```
aws iot attach-policy --policy-name GreengrassV2IoTThingPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4
```
  La commande n'a aucune sortie si la demande aboutit.

Création d'un rôle d'échange de jetons

Les appareils Greengrass Core utilisent un rôle IAM de service, appelé rôle d'échange de jetons, pour autoriser les appels aux AWS services. L'appareil utilise le fournisseur AWS IoT d'informations d'identification pour obtenir des AWS informations d'identification temporaires pour ce rôle, ce qui lui permet d'interagir avec Amazon Logs AWS IoT, d'envoyer des journaux à Amazon CloudWatch Logs et de télécharger des artefacts de composants personnalisés depuis Amazon S3. Pour de plus amples informations, veuillez consulter Autoriser les appareils principaux à interagir avec les AWS services.

Vous utilisez un alias de AWS IoT rôle pour configurer le rôle d'échange de jetons pour les appareils principaux de Greengrass. Les alias de rôle vous permettent de modifier le rôle d'échange de jetons d'un appareil tout en conservant la même configuration de l'appareil. Pour plus d'informations, consultez la section Autorisation des appels directs vers AWS des services dans le Guide du AWS IoT Core développeur.

Dans cette section, vous allez créer un IAM rôle d'échange de jetons et un alias de AWS IoT rôle pointant vers le rôle. Si vous avez déjà configuré un appareil principal Greengrass, vous pouvez utiliser son rôle d'échange de jetons et son alias de rôle au lieu d'en créer de nouveaux. Ensuite, vous configurez l'appareil pour AWS IoT qu'il utilise ce rôle et cet alias.

Pour créer un IAM rôle d'échange de jetons

Créez un IAM rôle que votre appareil pourra utiliser comme rôle d'échange de jetons. Procédez comme suit :

Créez un fichier contenant le document de politique de confiance requis par le rôle d'échange de jetons.

Par exemple, sur un système basé sur Linux, vous pouvez exécuter la commande suivante pour utiliser GNU nano pour créer le fichier.


nano device-role-trust-policy.json

Copiez ce qui suit JSON dans le fichier.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "credentials.iot.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Créez le rôle d'échange de jetons avec le document de politique de confiance.

Remplacez GreengrassV2TokenExchangeRole avec le nom du IAM rôle à créer.


aws iam create-role --role-name GreengrassV2TokenExchangeRole --assume-role-policy-document file://device-role-trust-policy.json

La réponse ressemble à l'exemple suivant, si la demande aboutit.


{
  "Role": {
    "Path": "/",
    "RoleName": "GreengrassV2TokenExchangeRole",
    "RoleId": "AROAZ2YMUHYHK5OKM77FB",
    "Arn": "arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
    "CreateDate": "2021-02-06T00:13:29+00:00",
    "AssumeRolePolicyDocument": {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": "credentials.iot.amazonaws.com"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
  }

Créez un fichier contenant le document de politique d'accès requis par le rôle d'échange de jetons.

Par exemple, sur un système basé sur Linux, vous pouvez exécuter la commande suivante pour utiliser GNU nano pour créer le fichier.
```
nano device-role-access-policy.json
```
Copiez ce qui suit JSON dans le fichier.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
```
Note
Cette politique d'accès n'autorise pas l'accès aux artefacts des composants dans les compartiments S3. Pour déployer des composants personnalisés qui définissent des artefacts dans Amazon S3, vous devez ajouter des autorisations au rôle afin de permettre à votre appareil principal de récupérer les artefacts des composants. Pour de plus amples informations, veuillez consulter Autoriser l'accès aux compartiments S3 pour les artefacts des composants.
Si vous ne possédez pas encore de compartiment S3 pour les artefacts des composants, vous pouvez ajouter ces autorisations ultérieurement après avoir créé un compartiment.

Créez la IAM politique à partir du document de stratégie.

Remplacez GreengrassV2TokenExchangeRoleAccess avec le nom de la IAM politique à créer.


aws iam create-policy --policy-name GreengrassV2TokenExchangeRoleAccess --policy-document file://device-role-access-policy.json

La réponse ressemble à l'exemple suivant, si la demande aboutit.


{
  "Policy": {
    "PolicyName": "GreengrassV2TokenExchangeRoleAccess",
    "PolicyId": "ANPAZ2YMUHYHACI7C5Z66",
    "Arn": "arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
    "Path": "/",
    "DefaultVersionId": "v1",
    "AttachmentCount": 0,
    "PermissionsBoundaryUsageCount": 0,
    "IsAttachable": true,
    "CreateDate": "2021-02-06T00:37:17+00:00",
    "UpdateDate": "2021-02-06T00:37:17+00:00"
  }
}

Associez la IAM politique au rôle d'échange de jetons.
- Remplacez GreengrassV2TokenExchangeRole avec le nom du IAM rôle.
- Remplacez la politique ARN par celle que vous avez créée à l'étape précédente. ARN IAM
```
aws iam attach-role-policy --role-name GreengrassV2TokenExchangeRole --policy-arn arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess
```
La commande n'a aucune sortie si la demande aboutit.

Créez un alias de AWS IoT rôle qui pointe vers le rôle d'échange de jetons.
- Remplacez GreengrassCoreTokenExchangeRoleAlias avec le nom de l'alias de rôle à créer.
- Remplacez le rôle ARN par celui que vous avez créé à l'étape précédente. ARN IAM
```
aws iot create-role-alias --role-alias GreengrassCoreTokenExchangeRoleAlias --role-arn arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole
```
La réponse ressemble à l'exemple suivant, si la demande aboutit.
```
{
  "roleAlias": "GreengrassCoreTokenExchangeRoleAlias",
  "roleAliasArn": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
}
```
Note
Pour créer un alias de rôle, vous devez être autorisé à transmettre le IAM rôle d'échange de jetons à AWS IoT. Si vous recevez un message d'erreur lorsque vous essayez de créer un alias de rôle, vérifiez que votre AWS utilisateur dispose de cette autorisation. Pour plus d'informations, consultez la section Octroi à un utilisateur des autorisations lui permettant de transférer un rôle à un AWS service dans le Guide de AWS Identity and Access Management l'utilisateur.
Créez et attachez une AWS IoT politique qui permet à votre appareil principal Greengrass d'utiliser l'alias de rôle pour assumer le rôle d'échange de jetons. Si vous avez déjà configuré un appareil principal Greengrass, vous pouvez associer sa AWS IoT politique d'alias de rôle au lieu d'en créer une nouvelle. Procédez comme suit :
1. (Facultatif) Créez un fichier contenant le document AWS IoT de politique requis par l'alias de rôle.
  
  Par exemple, sur un système basé sur Linux, vous pouvez exécuter la commande suivante pour utiliser GNU nano pour créer le fichier.
```
nano greengrass-v2-iot-role-alias-policy.json
```
  Copiez ce qui suit JSON dans le fichier.
  - Remplacez la ressource ARN par l'alias ARN de votre rôle.
```
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iot:AssumeRoleWithCertificate",
      "Resource": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
    }
  ]
}
```
2. Créez une AWS IoT politique à partir du document de stratégie.
  - Remplacez GreengrassCoreTokenExchangeRoleAliasPolicy avec le nom de la AWS IoT politique à créer.
```
aws iot create-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --policy-document file://greengrass-v2-iot-role-alias-policy.json
```
  La réponse ressemble à l'exemple suivant, si la demande aboutit.
```
{
  "policyName": "GreengrassCoreTokenExchangeRoleAliasPolicy",
  "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassCoreTokenExchangeRoleAliasPolicy",
  "policyDocument": "{
    \\"Version\\":\\"2012-10-17\\",
    \\"Statement\\": [
      {
        \\"Effect\\": \\"Allow\\",
        \\"Action\\": \\"iot:AssumeRoleWithCertificate\\",
        \\"Resource\\": \\"arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias\\"
      }
    ]
  }",
  "policyVersionId": "1"
}
```
3. Joignez la AWS IoT politique au certificat de l' AWS IoT objet.
  - Remplacez GreengrassCoreTokenExchangeRoleAliasPolicy avec le nom de la AWS IoT politique d'alias de rôle.
  - Remplacez la cible ARN par le certificat ARN de votre AWS IoT objet.
```
aws iot attach-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4
```
  La commande n'a aucune sortie si la demande aboutit.

Télécharger les certificats sur l'appareil

Auparavant, vous avez téléchargé le certificat de votre appareil sur votre ordinateur de développement. Dans cette section, vous allez copier le certificat sur votre appareil principal pour configurer celui-ci avec les certificats auxquels il se connecte AWS IoT. Vous téléchargez également le certificat de l'autorité de certification racine (CA) Amazon. Si vous utilisez unHSM, vous importez également le fichier de certificat HSM dans cette section.

Si vous avez créé le certificat d'objet et la clé privée dans le AWS IoT service précédemment, suivez les étapes pour télécharger les certificats avec la clé privée et les fichiers de certificat.
Si vous avez créé le certificat d'objet à partir d'une clé privée dans un module de sécurité matériel (HSM) plus tôt, suivez les étapes pour télécharger les certificats avec la clé privée et le certificat dans unHSM.

Télécharger des certificats avec clé privée et fichiers de certificats

Pour télécharger des certificats sur l'appareil

Copiez le certificat d' AWS IoT objet de votre ordinateur de développement sur l'appareil. Si SSH et SCP sont activés sur l'ordinateur de développement et le périphérique, vous pouvez utiliser la scp commande de votre ordinateur de développement pour transférer le certificat. Remplacez device-ip-address avec l'adresse IP de votre appareil.
```
scp -r greengrass-v2-certs/ device-ip-address:~
```
Créez le dossier racine Greengrass sur l'appareil. Vous installerez ultérieurement le logiciel AWS IoT Greengrass Core dans ce dossier.

Note
Pour Windows, la limitation de la longueur du chemin est de 260 caractères. Si vous utilisez Windows, utilisez un dossier racine tel que C:\greengrass\v2 ou D:\greengrass\v2 pour conserver les chemins des composants Greengrass en dessous de la limite de 260 caractères.
Linux or Unix
/greengrass/v2Remplacez-le par le dossier à utiliser.
```
sudo mkdir -p /greengrass/v2
```
Windows Command Prompt
Remplacez C:\greengrass\v2 avec le dossier à utiliser.
```
mkdir C:\greengrass\v2
```
PowerShell
Remplacez C:\greengrass\v2 avec le dossier à utiliser.
```
mkdir C:\greengrass\v2
```
(Linux uniquement) Définissez les autorisations du parent du dossier racine de Greengrass.
- Remplacez /greengrass avec le parent du dossier racine.
```
sudo chmod 755 /greengrass
```
Copiez les AWS IoT certificats d'objets dans le dossier racine de Greengrass.
Linux or Unix
/greengrass/v2Remplacez-le par le dossier racine de Greengrass.
```
sudo cp -R ~/greengrass-v2-certs/* /greengrass/v2
```
Windows Command Prompt
Remplacez C:\greengrass\v2 avec le dossier à utiliser.
```
robocopy %USERPROFILE%\greengrass-v2-certs C:\greengrass\v2 /E
```
PowerShell
Remplacez C:\greengrass\v2 avec le dossier à utiliser.
```
cp -Path ~\greengrass-v2-certs\* -Destination C:\greengrass\v2
```

Téléchargez le certificat de l'autorité de certification racine (CA) Amazon. AWS IoT les certificats sont associés par défaut au certificat de l'autorité de certification racine d'Amazon. Téléchargez le CA1 certificat et le CA3certificat.

Téléchargez les certificats avec la clé privée et le certificat dans un HSM

Note

Pour télécharger des certificats sur l'appareil

Copiez le certificat d' AWS IoT objet de votre ordinateur de développement sur l'appareil. Si SSH et SCP sont activés sur l'ordinateur de développement et le périphérique, vous pouvez utiliser la scp commande de votre ordinateur de développement pour transférer le certificat. Remplacez device-ip-address avec l'adresse IP de votre appareil.
```
scp -r greengrass-v2-certs/ device-ip-address:~
```
Créez le dossier racine Greengrass sur l'appareil. Vous installerez ultérieurement le logiciel AWS IoT Greengrass Core dans ce dossier.

Note
Pour Windows, la limitation de la longueur du chemin est de 260 caractères. Si vous utilisez Windows, utilisez un dossier racine tel que C:\greengrass\v2 ou D:\greengrass\v2 pour conserver les chemins des composants Greengrass en dessous de la limite de 260 caractères.
Linux or Unix
/greengrass/v2Remplacez-le par le dossier à utiliser.
```
sudo mkdir -p /greengrass/v2
```
Windows Command Prompt
Remplacez C:\greengrass\v2 avec le dossier à utiliser.
```
mkdir C:\greengrass\v2
```
PowerShell
Remplacez C:\greengrass\v2 avec le dossier à utiliser.
```
mkdir C:\greengrass\v2
```
(Linux uniquement) Définissez les autorisations du parent du dossier racine de Greengrass.
- Remplacez /greengrass avec le parent du dossier racine.
```
sudo chmod 755 /greengrass
```
Importez le fichier de certificat d'objet~/greengrass-v2-certs/device.pem.crt, dans leHSM. Consultez la documentation HSM pour savoir comment y importer des certificats. Importez le certificat en utilisant le jeton, le même identifiant de slot, le même utilisateurPIN, le même libellé d'objet et le même identifiant d'objet (si vous HSM en utilisez un) que ceux que vous avez générés la clé privée HSM précédemment.

Note
Si vous avez généré la clé privée plus tôt sans ID d'objet et que le certificat possède un ID d'objet, définissez l'ID d'objet de la clé privée sur la même valeur que le certificat. Consultez la documentation HSM pour savoir comment définir l'ID d'objet pour l'objet clé privée.
(Facultatif) Supprimez le fichier de certificat d'objet afin qu'il n'existe que dans leHSM.
```
rm ~/greengrass-v2-certs/device.pem.crt
```

Configuration de l'environnement de l'appareil

Suivez les étapes décrites dans cette section pour configurer un appareil Linux ou Windows à utiliser comme périphérique AWS IoT Greengrass principal.

Configuration d'un appareil Linux

Pour configurer un appareil Linux pour AWS IoT Greengrass V2

Installez le moteur d'exécution Java, dont le logiciel AWS IoT Greengrass Core a besoin pour fonctionner. Nous vous recommandons d'utiliser les versions de support à long terme Amazon Corretto ou JDK Open. La version 8 ou supérieure est requise. Les commandes suivantes indiquent comment installer Open JDK sur votre appareil.
- Pour les distributions basées sur Debian ou Ubuntu :
```
sudo apt install default-jdk
```
- Pour les distributions basées sur Red Hat :
```
sudo yum install java-11-openjdk-devel
```
- Dans Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
- Pour Amazon Linux 2023 :
```
sudo dnf install java-11-amazon-corretto -y
```
Lorsque l'installation est terminée, exécutez la commande suivante pour vérifier que Java s'exécute sur votre appareil Linux.
```
java -version
```
La commande affiche la version de Java exécutée sur le périphérique. Par exemple, sur une distribution basée sur Debian, le résultat peut ressembler à celui de l'exemple suivant.
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
(Facultatif) Créez l'utilisateur système et le groupe par défaut qui exécutent les composants sur le périphérique. Vous pouvez également choisir de laisser le programme d'installation du logiciel AWS IoT Greengrass Core créer cet utilisateur et ce groupe lors de l'installation avec l'argument --component-default-user installer. Pour de plus amples informations, veuillez consulter Arguments d'installation.
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
Vérifiez que l'utilisateur qui exécute le logiciel AWS IoT Greengrass Core (généralementroot) est autorisé à exécuter sudo avec n'importe quel utilisateur et n'importe quel groupe.
1. Exécutez la commande suivante pour ouvrir le /etc/sudoers fichier.
```
sudo visudo
```
2. Vérifiez que l'autorisation accordée à l'utilisateur ressemble à l'exemple suivant.
```
root    ALL=(ALL:ALL) ALL
```
(Facultatif) Pour exécuter des fonctions Lambda conteneurisées, vous devez activer cgroups v1, et vous devez activer et monter les cgroups de mémoire et de périphériques. Si vous ne prévoyez pas d'exécuter des fonctions Lambda conteneurisées, vous pouvez ignorer cette étape.

Pour activer ces options cgroups, démarrez le périphérique avec les paramètres du noyau Linux suivants.
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
Pour plus d'informations sur l'affichage et la définition des paramètres du noyau de votre appareil, consultez la documentation de votre système d'exploitation et de votre chargeur de démarrage. Suivez les instructions pour définir définitivement les paramètres du noyau.
Installez toutes les autres dépendances requises sur votre appareil, comme indiqué dans la liste des exigences figurant dansExigences relatives aux dispositifs.

Configuration d'un appareil Windows

Note

Cette fonctionnalité est disponible pour les versions 2.5.0 et ultérieures du composant Greengrass nucleus.

Pour configurer un appareil Windows pour AWS IoT Greengrass V2

Installez le moteur d'exécution Java, dont le logiciel AWS IoT Greengrass Core a besoin pour fonctionner. Nous vous recommandons d'utiliser les versions de support à long terme Amazon Corretto ou JDK Open. La version 8 ou supérieure est requise.
Vérifiez si Java est disponible sur la variable PATHsystème, et ajoutez-le dans le cas contraire. Le LocalSystem compte exécute le logiciel AWS IoT Greengrass Core. Vous devez donc ajouter Java à la variable PATH système au lieu de la variable PATH utilisateur de votre utilisateur. Procédez comme suit :
1. Appuyez sur la touche Windows pour ouvrir le menu de démarrage.
2. Tapez environment variables pour rechercher les options du système dans le menu Démarrer.
3. Dans les résultats de recherche du menu Démarrer, choisissez Modifier les variables d'environnement du système pour ouvrir la fenêtre des propriétés du système.
4. Choisissez les variables d'environnement... pour ouvrir la fenêtre des variables d'environnement.
5. Sous Variables système, sélectionnez Chemin, puis Modifier. Dans la fenêtre Modifier la variable d'environnement, vous pouvez afficher chaque chemin sur une ligne distincte.
6. Vérifiez si le chemin d'accès au bin dossier d'installation de Java est présent. Le chemin peut ressembler à celui de l'exemple suivant.
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
7. Si le bin dossier de l'installation Java est absent de Path, choisissez Nouveau pour l'ajouter, puis OK.
Ouvrez l'invite de commande Windows (cmd.exe) en tant qu'administrateur.
Créez l'utilisateur par défaut dans le LocalSystem compte sur l'appareil Windows. Remplacez password avec un mot de passe sécurisé.
```
net user /add ggc_user password
```
Astuce
En fonction de votre configuration Windows, le mot de passe de l'utilisateur peut être configuré pour expirer à une date ultérieure. Pour vous assurer que vos applications Greengrass continuent de fonctionner, suivez la date d'expiration du mot de passe et mettez-le à jour avant son expiration. Vous pouvez également définir le mot de passe de l'utilisateur pour qu'il n'expire jamais.
- Pour vérifier la date d'expiration d'un utilisateur et de son mot de passe, exécutez la commande suivante.
  
  net user ggc_user | findstr /C:expires
- Pour définir le mot de passe d'un utilisateur afin qu'il n'expire jamais, exécutez la commande suivante.
  
  wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
- Si vous utilisez Windows 10 ou une version ultérieure où la wmiccommande est obsolète, exécutez la commande suivante PowerShell .
  
  Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
Téléchargez et installez l'PsExecutilitaire de Microsoft sur l'appareil.
Utilisez l' PsExec utilitaire pour stocker le nom d'utilisateur et le mot de passe de l'utilisateur par défaut dans l'instance Credential Manager du LocalSystem compte. Remplacez password avec le mot de passe utilisateur que vous avez défini précédemment.
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
Si l'icône PsExec License Agreementouvre, choisissez Acceptpour accepter la licence et exécuter la commande.

Note
Sur les appareils Windows, le LocalSystem compte exécute le noyau Greengrass, et vous devez utiliser l' PsExec utilitaire pour stocker les informations utilisateur par défaut dans le LocalSystem compte. L'application Credential Manager stocke ces informations dans le compte Windows de l'utilisateur actuellement connecté, plutôt que dans le LocalSystem compte.

Téléchargez le logiciel AWS IoT Greengrass de base

Vous pouvez télécharger la dernière version du logiciel AWS IoT Greengrass Core à l'adresse suivante :

https://d2s8p88vqu9w66.cloudfront.net/releases/ greengrass-nucleus-latest .zip

Note

Vous pouvez télécharger une version spécifique du logiciel AWS IoT Greengrass Core à l'emplacement suivant. Remplacez version avec la version à télécharger.


https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip

Pour télécharger le logiciel AWS IoT Greengrass Core

Sur votre appareil principal, téléchargez le logiciel AWS IoT Greengrass Core dans un fichier nommégreengrass-nucleus-latest.zip.

Si vous téléchargez ce logiciel, vous acceptez le contrat de licence du logiciel Greengrass Core.

(Facultatif) Pour vérifier la signature du logiciel Greengrass Nucleus

Note
Cette fonctionnalité est disponible avec Greengrass nucleus version 2.9.5 et versions ultérieures.
1. Utilisez la commande suivante pour vérifier la signature de votre artefact Greengrass nucleus :
  Linux or Unix
  jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
  Windows Command Prompt (CMD)
  Le nom du fichier peut être différent selon la JDK version que vous installez. Remplacez jdk17,0,6_10 avec la JDK version que vous avez installée.
  
  "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
  PowerShell
  Le nom du fichier peut être différent selon la JDK version que vous installez. Remplacez jdk17,0,6_10 avec la JDK version que vous avez installée.
  
  'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
2. L'jarsignerinvocation produit une sortie qui indique les résultats de la vérification.
  1. Si le fichier zip Greengrass nucleus est signé, le résultat contient l'instruction suivante :
```
jar verified.
```
  2. Si le fichier zip Greengrass nucleus n'est pas signé, le résultat contient l'instruction suivante :
```
jar is unsigned.
```
3. Si vous avez fourni l'-certsoption Jarsigner en même temps que les -verbose options -verify et, le résultat inclut également des informations détaillées sur le certificat du signataire.

Décompressez le logiciel AWS IoT Greengrass Core dans un dossier de votre appareil. Remplacez GreengrassInstaller avec le dossier que vous souhaitez utiliser.

(Facultatif) Exécutez la commande suivante pour voir la version du logiciel AWS IoT Greengrass Core.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```

Important

Si vous installez une version du noyau Greengrass antérieure à la version 2.4.0, ne supprimez pas ce dossier après avoir installé le logiciel Core. AWS IoT Greengrass Le logiciel AWS IoT Greengrass Core utilise les fichiers de ce dossier pour s'exécuter.

Si vous avez téléchargé la dernière version du logiciel, vous devez installer la version 2.4.0 ou ultérieure, et vous pouvez supprimer ce dossier après avoir installé le logiciel AWS IoT Greengrass Core.

Installation du logiciel AWS IoT Greengrass Core

Exécutez le programme d'installation avec des arguments qui spécifient les actions suivantes :

Effectuez l'installation à partir d'un fichier de configuration partiel qui indique d'utiliser les AWS ressources et les certificats que vous avez créés précédemment. Le logiciel AWS IoT Greengrass Core utilise un fichier de configuration qui spécifie la configuration de chaque composant Greengrass de l'appareil. Le programme d'installation crée un fichier de configuration complet à partir du fichier de configuration partiel que vous fournissez.
Spécifiez d'utiliser l'utilisateur ggc_user du système pour exécuter les composants logiciels sur le périphérique principal. Sur les appareils Linux, cette commande indique également d'utiliser le groupe ggc_group système, et le programme d'installation crée l'utilisateur et le groupe système pour vous.
Configurez le logiciel AWS IoT Greengrass Core en tant que service système qui s'exécute au démarrage. Sur les appareils Linux, cela nécessite le système d'initialisation Systemd.

Important
Sur les appareils Windows Core, vous devez configurer le logiciel AWS IoT Greengrass Core en tant que service système.

Pour plus d'informations sur les arguments que vous pouvez spécifier, consultezArguments d'installation.

Note

Si vous utilisez AWS IoT Greengrass un appareil dont la mémoire est limitée, vous pouvez contrôler la quantité de mémoire utilisée par le logiciel AWS IoT Greengrass Core. Pour contrôler l'allocation de mémoire, vous pouvez définir des options JVM de taille de segment dans le paramètre jvmOptions de configuration de votre composant Nucleus. Pour de plus amples informations, veuillez consulter Contrôlez l'allocation de mémoire à l'aide JVM d'options.

Si vous avez créé le certificat d'objet et la clé privée dans le AWS IoT service précédemment, suivez les étapes pour installer le logiciel AWS IoT Greengrass Core avec les fichiers de clé privée et de certificat.
Si vous avez créé le certificat d'objet à partir d'une clé privée dans un module de sécurité matériel (HSM) plus tôt, suivez les étapes pour installer le logiciel AWS IoT Greengrass Core avec la clé privée et le certificat dans unHSM.

Installez le logiciel AWS IoT Greengrass Core avec les fichiers de clé privée et de certificat

Pour installer le logiciel AWS IoT Greengrass Core

Vérifiez la version du logiciel AWS IoT Greengrass Core.
- Remplacez GreengrassInstaller avec le chemin d'accès au dossier contenant le logiciel.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
Utilisez un éditeur de texte pour créer un fichier de configuration nommé config.yaml à fournir au programme d'installation.

Par exemple, sur un système basé sur Linux, vous pouvez exécuter la commande suivante pour utiliser GNU nano pour créer le fichier.
```
nano GreengrassInstaller/config.yaml
```
Copiez le YAML contenu suivant dans le fichier. Ce fichier de configuration partiel spécifie les paramètres du système et les paramètres du noyau Greengrass.
```
---
system:
  certificateFilePath: "/greengrass/v2/device.pem.crt"
  privateKeyPath: "/greengrass/v2/private.pem.key"
  rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
  rootpath: "/greengrass/v2"
  thingName: "MyGreengrassCore"
services:
  aws.greengrass.Nucleus:
    componentType: "NUCLEUS"
    version: "2.13.0"
    configuration:
      awsRegion: "us-west-2"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      fipsMode: "true"
      iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
      greengrassDataPlaneEndpoint: "iotData"
      iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
```
Ensuite, procédez comme suit :
- Remplacez chaque instance de /greengrass/v2 par le dossier racine de Greengrass.
- Remplacez MyGreengrassCore avec le nom du AWS IoT truc.
- Remplacez 2.13.0 avec la version du logiciel AWS IoT Greengrass Core.
- Remplacez us-west-2 avec l' Région AWS endroit où vous avez créé les ressources.
- Remplacez GreengrassCoreTokenExchangeRoleAlias avec le nom de l'alias du rôle d'échange de jetons.
- Remplacez le iotDataEndpoint avec votre point de terminaison de AWS IoT données.
- Remplacez le iotCredEndpoint avec votre point de terminaison AWS IoT d'identification.
Exécutez le programme d'installation et spécifiez --init-config de fournir le fichier de configuration.
- Remplacer /greengrass/v2 ou C:\greengrass\v2 avec le dossier racine de Greengrass.
- Remplacez chaque instance de GreengrassInstaller avec le dossier dans lequel vous avez décompressé le programme d'installation.
Linux or Unix
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --init-config ./GreengrassInstaller/config.yaml \
  --component-default-user ggc_user:ggc_group \
  --setup-system-service true
```
Windows Command Prompt (CMD)
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
  -jar ./GreengrassInstaller/lib/Greengrass.jar ^
  --init-config ./GreengrassInstaller/config.yaml ^
  --component-default-user ggc_user ^
  --setup-system-service true
```
PowerShell
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
  -jar ./GreengrassInstaller/lib/Greengrass.jar `
  --init-config ./GreengrassInstaller/config.yaml `
  --component-default-user ggc_user `
  --setup-system-service true
```
Important
Sur les appareils Windows Core, vous --setup-system-service true devez spécifier de configurer le logiciel AWS IoT Greengrass Core en tant que service système.

Si vous le spécifiez--setup-system-service true, le programme d'installation affiche Successfully set up Nucleus as a system service s'il a configuré et exécuté le logiciel en tant que service système. Dans le cas contraire, le programme d'installation n'affiche aucun message s'il installe le logiciel avec succès.

Note
Vous ne pouvez pas utiliser l'deploy-dev-toolsargument pour déployer des outils de développement locaux lorsque vous exécutez le programme d'installation sans l'--provision trueargument. Pour plus d'informations sur le déploiement du Greengrass CLI directement sur votre appareil, consultez. Interface de ligne de commande Greengrass
Vérifiez l'installation en consultant les fichiers du dossier racine.
Linux or Unix
```
ls /greengrass/v2
```
Windows Command Prompt (CMD)
```
dir C:\greengrass\v2
```
PowerShell
```
ls C:\greengrass\v2
```
Si l'installation a réussi, le dossier racine contient plusieurs dossiers, tels que configpackages, etlogs.

Installez le logiciel AWS IoT Greengrass Core avec la clé privée et le certificat dans un HSM

Note

Pour installer le logiciel AWS IoT Greengrass Core

Vérifiez la version du logiciel AWS IoT Greengrass Core.
- Remplacez GreengrassInstaller avec le chemin d'accès au dossier contenant le logiciel.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
Pour permettre au logiciel AWS IoT Greengrass Core d'utiliser la clé privée et le certificat contenus dans leHSM, installez le composant fournisseur PKCS #11 lors de l'installation du logiciel AWS IoT Greengrass Core. Le composant fournisseur PKCS #11 est un plugin que vous pouvez configurer lors de l'installation. Vous pouvez télécharger la dernière version du composant fournisseur PKCS #11 depuis l'emplacement suivant :
- https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar
Téléchargez le plugin fournisseur PKCS #11 dans un fichier nomméaws.greengrass.crypto.Pkcs11Provider.jar. Remplacez GreengrassInstaller avec le dossier que vous souhaitez utiliser.
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar > GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar
```
Si vous téléchargez ce logiciel, vous acceptez le contrat de licence du logiciel Greengrass Core.
Utilisez un éditeur de texte pour créer un fichier de configuration nommé config.yaml à fournir au programme d'installation.

Par exemple, sur un système basé sur Linux, vous pouvez exécuter la commande suivante pour utiliser GNU nano pour créer le fichier.
```
nano GreengrassInstaller/config.yaml
```
Copiez le YAML contenu suivant dans le fichier. Ce fichier de configuration partiel spécifie les paramètres système, les paramètres du noyau Greengrass et les paramètres du fournisseur PKCS #11.
```
---
system:
  certificateFilePath: "/greengrass/v2/device.pem.crt"
  privateKeyPath: "/greengrass/v2/private.pem.key"
  rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
  rootpath: "/greengrass/v2"
  thingName: "MyGreengrassCore"
services:
  aws.greengrass.Nucleus:
    componentType: "NUCLEUS"
    version: "2.13.0"
    configuration:
      awsRegion: "us-west-2"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      fipsMode: "true"
      iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
      greengrassDataPlaneEndpoint: "iotData"
      iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
```
Ensuite, procédez comme suit :
- Remplacez chaque instance de iotdevicekey dans le PKCS #11 URIs avec le libellé de l'objet dans lequel vous avez créé la clé privée et importé le certificat.
- Remplacez chaque instance de /greengrass/v2 par le dossier racine de Greengrass.
- Remplacez MyGreengrassCore avec le nom du AWS IoT truc.
- Remplacez 2.13.0 avec la version du logiciel AWS IoT Greengrass Core.
- Remplacez us-west-2 avec l' Région AWS endroit où vous avez créé les ressources.
- Remplacez GreengrassCoreTokenExchangeRoleAlias avec le nom de l'alias du rôle d'échange de jetons.
- Remplacez le iotDataEndpoint par votre point de terminaison de AWS IoT données.
- Remplacez le point de terminaison iotCredEndpoint par vos AWS IoT informations d'identification.
- Remplacez les paramètres de configuration du aws.greengrass.crypto.Pkcs11Provider composant par les valeurs HSM de configuration du périphérique principal.
Exécutez le programme d'installation et spécifiez --init-config de fournir le fichier de configuration.
- /greengrass/v2Remplacez-le par le dossier racine de Greengrass.
- Remplacez chaque instance de GreengrassInstaller avec le dossier dans lequel vous avez décompressé le programme d'installation.
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --trusted-plugin ./GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar \
  --init-config ./GreengrassInstaller/config.yaml \
  --component-default-user ggc_user:ggc_group \
  --setup-system-service true
```
Important
Sur les appareils Windows Core, vous --setup-system-service true devez spécifier de configurer le logiciel AWS IoT Greengrass Core en tant que service système.

Si vous le spécifiez--setup-system-service true, le programme d'installation affiche Successfully set up Nucleus as a system service s'il a configuré et exécuté le logiciel en tant que service système. Dans le cas contraire, le programme d'installation n'affiche aucun message s'il installe le logiciel avec succès.

Note
Vous ne pouvez pas utiliser l'deploy-dev-toolsargument pour déployer des outils de développement locaux lorsque vous exécutez le programme d'installation sans l'--provision trueargument. Pour plus d'informations sur le déploiement du Greengrass CLI directement sur votre appareil, consultez. Interface de ligne de commande Greengrass
Vérifiez l'installation en consultant les fichiers du dossier racine.
Linux or Unix
```
ls /greengrass/v2
```
Windows Command Prompt (CMD)
```
dir C:\greengrass\v2
```
PowerShell
```
ls C:\greengrass\v2
```
Si l'installation a réussi, le dossier racine contient plusieurs dossiers, tels que configpackages, etlogs.

Si vous avez installé le logiciel AWS IoT Greengrass Core en tant que service système, le programme d'installation exécute le logiciel pour vous. Dans le cas contraire, vous devez exécuter le logiciel manuellement. Pour de plus amples informations, veuillez consulter Exécutez le logiciel AWS IoT Greengrass Core.

Pour plus d'informations sur la configuration et l'utilisation du logiciel AWS IoT Greengrass, consultez les rubriques suivantes :

Installation de FIPS points de terminaison avec provisionnement de flotte

Cette fonctionnalité est disponible pour les versions 2.4.0 et ultérieures du composant Greengrass nucleus.

Installez des FIPS points de terminaison sur votre logiciel AWS IoT Greengrass principal en provisionnant un AWS IoT parc pour vos appareils principaux.

Note

Le plugin de provisionnement de flotte ne prend actuellement pas en charge le stockage de clés privées et de fichiers de certificats dans un module de sécurité matériel (HSM). Pour utiliser unHSM, installez le logiciel AWS IoT Greengrass Core avec un provisionnement manuel.

Pour installer le logiciel AWS IoT Greengrass Core avec provisionnement de AWS IoT flotte, vous devez configurer les ressources utilisées pour approvisionner Compte AWS les AWS IoT appareils principaux de Greengrass. Ces ressources incluent un modèle de provisionnement, des certificats de réclamation et un IAMrôle d'échange de jetons. Après avoir créé ces ressources, vous pouvez les réutiliser pour approvisionner plusieurs appareils principaux dans un parc. Pour de plus amples informations, veuillez consulter Configurer le provisionnement du AWS IoT parc pour les appareils principaux de Greengrass.

Important

Rubriques

Prérequis
Récupérer des points de AWS IoT terminaison
Télécharger les certificats sur l'appareil
Configuration de l'environnement de l'appareil
Téléchargez le logiciel AWS IoT Greengrass de base
Téléchargez le plugin de provisionnement de AWS IoT flotte
Installer le logiciel AWS IoT Greengrass Core

Prérequis

Pour installer le logiciel AWS IoT Greengrass Core avec le provisionnement du AWS IoT parc, vous devez d'abord configurer le provisionnement du AWS IoT parc pour les appareils principaux de Greengrass. Après avoir effectué ces étapes une fois, vous pouvez utiliser le provisionnement du parc pour installer le logiciel AWS IoT Greengrass Core sur autant d'appareils que vous le souhaitez.

Récupérer des points de AWS IoT terminaison

Obtenez les FIPS points de terminaison qui vous Compte AWS conviennent et enregistrez-les pour les utiliser ultérieurement. Votre appareil utilise ces points de terminaison pour se connecter à AWS IoT. Procédez comme suit :

Obtenez le point de terminaison de FIPS données de votre région dans les points de terminaison du plan de AWS IoT Core FIPS données. Le point FIPS de terminaison de vos données Compte AWS devrait ressembler à ceci : data.iot-fips.us-west-2.amazonaws.com
Obtenez le point de terminaison des FIPS informations d'identification de votre région dans les points de terminaison du plan de AWS IoT Core FIPS données. Le point de terminaison de vos informations d'FIPSidentification Compte AWS devrait ressembler à ceci : data.credentials.iot-fips.us-west-2.amazonaws.com

Télécharger les certificats sur l'appareil

L'appareil utilise un certificat de réclamation et une clé privée pour authentifier sa demande de fourniture de AWS ressources et acquérir un certificat de périphérique X.509. Vous pouvez intégrer le certificat de réclamation et la clé privée dans l'appareil pendant la fabrication, ou copier le certificat et la clé sur l'appareil lors de l'installation. Dans cette section, vous devez copier le certificat de réclamation et la clé privée sur l'appareil. Vous téléchargez également le certificat Amazon Root Certificate Authority (CA) sur l'appareil.

Important

L'approvisionnement des clés privées des réclamations doit être sécurisé à tout moment, y compris sur les appareils principaux de Greengrass. Nous vous recommandons d'utiliser CloudWatch les statistiques et les journaux Amazon pour détecter les signes d'utilisation abusive, tels que l'utilisation non autorisée du certificat de réclamation pour approvisionner des appareils. Si vous détectez une utilisation abusive, désactivez le certificat de demande d'approvisionnement afin qu'il ne puisse pas être utilisé pour le provisionnement des appareils. Pour plus d'informations, consultez la section Surveillance AWS IoT dans le guide du AWS IoT Core développeur.

Pour vous aider à mieux gérer le nombre d'appareils et les appareils qui s'enregistrent dans le vôtre Compte AWS, vous pouvez spécifier un crochet de préapprovisionnement lorsque vous créez un modèle de provisionnement de flotte. Un hook de pré-provisionnement est une AWS Lambda fonction qui valide les paramètres du modèle fournis par les appareils lors de l'enregistrement. Par exemple, vous pouvez créer un hook de pré-provisionnement qui compare l'identifiant d'un appareil à une base de données afin de vérifier que l'appareil est autorisé à effectuer le provisionnement. Pour plus d'informations, consultez la section Pre-provisioning hooks dans le Guide du AWS IoT Core développeur.

Pour télécharger les certificats de réclamation sur l'appareil

Copiez le certificat de réclamation et la clé privée sur l'appareil. Si SSH et SCP sont activés sur l'ordinateur de développement et le périphérique, vous pouvez utiliser la scp commande de votre ordinateur de développement pour transférer le certificat de réclamation et la clé privée. L'exemple de commande suivant transfère ces fichiers vers le périphérique dans un dossier nommé claim-certs sur votre ordinateur de développement. Remplacez device-ip-address avec l'adresse IP de votre appareil.
```
scp -r claim-certs/ device-ip-address:~
```
Créez le dossier racine Greengrass sur l'appareil. Vous installerez ultérieurement le logiciel AWS IoT Greengrass Core dans ce dossier.

Note
Pour Windows, la limitation de la longueur du chemin est de 260 caractères. Si vous utilisez Windows, utilisez un dossier racine tel que C:\greengrass\v2 ou D:\greengrass\v2 pour conserver les chemins des composants Greengrass en dessous de la limite de 260 caractères.
Linux or Unix
/greengrass/v2Remplacez-le par le dossier à utiliser.
```
sudo mkdir -p /greengrass/v2
```
Windows Command Prompt
Remplacez C:\greengrass\v2 avec le dossier à utiliser.
```
mkdir C:\greengrass\v2
```
PowerShell
Remplacez C:\greengrass\v2 avec le dossier à utiliser.
```
mkdir C:\greengrass\v2
```
(Linux uniquement) Définissez les autorisations du parent du dossier racine de Greengrass.
- Remplacez /greengrass avec le parent du dossier racine.
```
sudo chmod 755 /greengrass
```
Déplacez les certificats de réclamation vers le dossier racine de Greengrass.
- Remplacer /greengrass/v2 ou C:\greengrass\v2 avec le dossier racine de Greengrass.
Linux or Unix
```
sudo mv ~/claim-certs /greengrass/v2
```
Windows Command Prompt (CMD)
```
move %USERPROFILE%\claim-certs C:\greengrass\v2
```
PowerShell
```
mv -Path ~\claim-certs -Destination C:\greengrass\v2
```

Téléchargez à la fois le CA1 certificat et le CA3certificat.

Configuration de l'environnement de l'appareil

Suivez les étapes décrites dans cette section pour configurer un appareil Linux ou Windows à utiliser comme périphérique AWS IoT Greengrass principal.

Configuration d'un appareil Linux

Pour configurer un appareil Linux pour AWS IoT Greengrass V2

Installez le moteur d'exécution Java, dont le logiciel AWS IoT Greengrass Core a besoin pour fonctionner. Nous vous recommandons d'utiliser les versions de support à long terme Amazon Corretto ou JDK Open. La version 8 ou supérieure est requise. Les commandes suivantes indiquent comment installer Open JDK sur votre appareil.
- Pour les distributions basées sur Debian ou Ubuntu :
```
sudo apt install default-jdk
```
- Pour les distributions basées sur Red Hat :
```
sudo yum install java-11-openjdk-devel
```
- Dans Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
- Pour Amazon Linux 2023 :
```
sudo dnf install java-11-amazon-corretto -y
```
Lorsque l'installation est terminée, exécutez la commande suivante pour vérifier que Java s'exécute sur votre appareil Linux.
```
java -version
```
La commande affiche la version de Java exécutée sur le périphérique. Par exemple, sur une distribution basée sur Debian, le résultat peut ressembler à celui de l'exemple suivant.
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
(Facultatif) Créez l'utilisateur système et le groupe par défaut qui exécutent les composants sur le périphérique. Vous pouvez également choisir de laisser le programme d'installation du logiciel AWS IoT Greengrass Core créer cet utilisateur et ce groupe lors de l'installation avec l'argument --component-default-user installer. Pour de plus amples informations, veuillez consulter Arguments d'installation.
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
Vérifiez que l'utilisateur qui exécute le logiciel AWS IoT Greengrass Core (généralementroot) est autorisé à exécuter sudo avec n'importe quel utilisateur et n'importe quel groupe.
1. Exécutez la commande suivante pour ouvrir le /etc/sudoers fichier.
```
sudo visudo
```
2. Vérifiez que l'autorisation accordée à l'utilisateur ressemble à l'exemple suivant.
```
root    ALL=(ALL:ALL) ALL
```
(Facultatif) Pour exécuter des fonctions Lambda conteneurisées, vous devez activer cgroups v1, et vous devez activer et monter les cgroups de mémoire et de périphériques. Si vous ne prévoyez pas d'exécuter des fonctions Lambda conteneurisées, vous pouvez ignorer cette étape.

Pour activer ces options cgroups, démarrez le périphérique avec les paramètres du noyau Linux suivants.
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
Pour plus d'informations sur l'affichage et la définition des paramètres du noyau de votre appareil, consultez la documentation de votre système d'exploitation et de votre chargeur de démarrage. Suivez les instructions pour définir définitivement les paramètres du noyau.
Installez toutes les autres dépendances requises sur votre appareil, comme indiqué dans la liste des exigences figurant dansExigences relatives aux dispositifs.

Configuration d'un appareil Windows

Note

Cette fonctionnalité est disponible pour les versions 2.5.0 et ultérieures du composant Greengrass nucleus.

Pour configurer un appareil Windows pour AWS IoT Greengrass V2

Installez le moteur d'exécution Java, dont le logiciel AWS IoT Greengrass Core a besoin pour fonctionner. Nous vous recommandons d'utiliser les versions de support à long terme Amazon Corretto ou JDK Open. La version 8 ou supérieure est requise.
Vérifiez si Java est disponible sur la variable PATHsystème, et ajoutez-le dans le cas contraire. Le LocalSystem compte exécute le logiciel AWS IoT Greengrass Core. Vous devez donc ajouter Java à la variable PATH système au lieu de la variable PATH utilisateur de votre utilisateur. Procédez comme suit :
1. Appuyez sur la touche Windows pour ouvrir le menu de démarrage.
2. Tapez environment variables pour rechercher les options du système dans le menu Démarrer.
3. Dans les résultats de recherche du menu Démarrer, choisissez Modifier les variables d'environnement du système pour ouvrir la fenêtre des propriétés du système.
4. Choisissez les variables d'environnement... pour ouvrir la fenêtre des variables d'environnement.
5. Sous Variables système, sélectionnez Chemin, puis Modifier. Dans la fenêtre Modifier la variable d'environnement, vous pouvez afficher chaque chemin sur une ligne distincte.
6. Vérifiez si le chemin d'accès au bin dossier d'installation de Java est présent. Le chemin peut ressembler à celui de l'exemple suivant.
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
7. Si le bin dossier de l'installation Java est absent de Path, choisissez Nouveau pour l'ajouter, puis OK.
Ouvrez l'invite de commande Windows (cmd.exe) en tant qu'administrateur.
Créez l'utilisateur par défaut dans le LocalSystem compte sur l'appareil Windows. Remplacez password avec un mot de passe sécurisé.
```
net user /add ggc_user password
```
Astuce
En fonction de votre configuration Windows, le mot de passe de l'utilisateur peut être configuré pour expirer à une date ultérieure. Pour vous assurer que vos applications Greengrass continuent de fonctionner, suivez la date d'expiration du mot de passe et mettez-le à jour avant son expiration. Vous pouvez également définir le mot de passe de l'utilisateur pour qu'il n'expire jamais.
- Pour vérifier la date d'expiration d'un utilisateur et de son mot de passe, exécutez la commande suivante.
  
  net user ggc_user | findstr /C:expires
- Pour définir le mot de passe d'un utilisateur afin qu'il n'expire jamais, exécutez la commande suivante.
  
  wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
- Si vous utilisez Windows 10 ou une version ultérieure où la wmiccommande est obsolète, exécutez la commande suivante PowerShell .
  
  Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
Téléchargez et installez l'PsExecutilitaire de Microsoft sur l'appareil.
Utilisez l' PsExec utilitaire pour stocker le nom d'utilisateur et le mot de passe de l'utilisateur par défaut dans l'instance Credential Manager du LocalSystem compte. Remplacez password avec le mot de passe utilisateur que vous avez défini précédemment.
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
Si l'icône PsExec License Agreementouvre, choisissez Acceptpour accepter la licence et exécuter la commande.

Note
Sur les appareils Windows, le LocalSystem compte exécute le noyau Greengrass, et vous devez utiliser l' PsExec utilitaire pour stocker les informations utilisateur par défaut dans le LocalSystem compte. L'application Credential Manager stocke ces informations dans le compte Windows de l'utilisateur actuellement connecté, plutôt que dans le LocalSystem compte.

Téléchargez le logiciel AWS IoT Greengrass de base

Vous pouvez télécharger la dernière version du logiciel AWS IoT Greengrass Core à l'adresse suivante :

https://d2s8p88vqu9w66.cloudfront.net/releases/ greengrass-nucleus-latest .zip

Note

Vous pouvez télécharger une version spécifique du logiciel AWS IoT Greengrass Core à l'emplacement suivant. Remplacez version avec la version à télécharger.


https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip

Pour télécharger le logiciel AWS IoT Greengrass Core

Sur votre appareil principal, téléchargez le logiciel AWS IoT Greengrass Core dans un fichier nommégreengrass-nucleus-latest.zip.

Si vous téléchargez ce logiciel, vous acceptez le contrat de licence du logiciel Greengrass Core.

(Facultatif) Pour vérifier la signature du logiciel Greengrass Nucleus

Note
Cette fonctionnalité est disponible avec Greengrass nucleus version 2.9.5 et versions ultérieures.
1. Utilisez la commande suivante pour vérifier la signature de votre artefact Greengrass nucleus :
  Linux or Unix
  jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
  Windows Command Prompt (CMD)
  Le nom du fichier peut être différent selon la JDK version que vous installez. Remplacez jdk17,0,6_10 avec la JDK version que vous avez installée.
  
  "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
  PowerShell
  Le nom du fichier peut être différent selon la JDK version que vous installez. Remplacez jdk17,0,6_10 avec la JDK version que vous avez installée.
  
  'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
2. L'jarsignerinvocation produit une sortie qui indique les résultats de la vérification.
  1. Si le fichier zip Greengrass nucleus est signé, le résultat contient l'instruction suivante :
```
jar verified.
```
  2. Si le fichier zip Greengrass nucleus n'est pas signé, le résultat contient l'instruction suivante :
```
jar is unsigned.
```
3. Si vous avez fourni l'-certsoption Jarsigner en même temps que les -verbose options -verify et, le résultat inclut également des informations détaillées sur le certificat du signataire.

Décompressez le logiciel AWS IoT Greengrass Core dans un dossier de votre appareil. Remplacez GreengrassInstaller avec le dossier que vous souhaitez utiliser.

(Facultatif) Exécutez la commande suivante pour voir la version du logiciel AWS IoT Greengrass Core.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```

Important

Téléchargez le plugin de provisionnement de AWS IoT flotte

Vous pouvez télécharger la dernière version du plugin de provisionnement de AWS IoT flotte à l'adresse suivante :

https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass - FleetProvisioningByClaim /fleetprovisioningbyclaim-latest.jar

Note

Vous pouvez télécharger une version spécifique du plugin de provisionnement de AWS IoT flotte à l'emplacement suivant. Remplacez version avec la version à télécharger. Pour plus d'informations sur chaque version du plugin de provisionnement de flotte, consultezAWS IoT journal des modifications du plugin de provisionnement de flotte.


https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-version.jar

Le plugin de provisionnement de flotte est open source. Pour consulter son code source, consultez le plugin de provisionnement de AWS IoT flotte sur GitHub.

Pour télécharger le plugin de provisionnement de AWS IoT flotte

Sur votre appareil, téléchargez le plug-in de provisionnement de AWS IoT flotte dans un fichier nomméaws.greengrass.FleetProvisioningByClaim.jar. Remplacez GreengrassInstaller avec le dossier que vous souhaitez utiliser.

Si vous téléchargez ce logiciel, vous acceptez le contrat de licence du logiciel Greengrass Core.

Installer le logiciel AWS IoT Greengrass Core

Exécutez le programme d'installation avec des arguments qui spécifient les actions suivantes :

Effectuez l'installation à partir d'un fichier de configuration partiel qui indique d'utiliser le plug-in de provisionnement de flotte pour provisionner les AWS ressources. Le logiciel AWS IoT Greengrass Core utilise un fichier de configuration qui spécifie la configuration de chaque composant Greengrass de l'appareil. Le programme d'installation crée un fichier de configuration complet à partir du fichier de configuration partiel que vous fournissez et AWS des ressources créées par le plug-in de provisionnement de flotte.
Spécifiez d'utiliser l'utilisateur ggc_user du système pour exécuter les composants logiciels sur le périphérique principal. Sur les appareils Linux, cette commande indique également d'utiliser le groupe ggc_group système, et le programme d'installation crée l'utilisateur et le groupe système pour vous.
Configurez le logiciel AWS IoT Greengrass Core en tant que service système qui s'exécute au démarrage. Sur les appareils Linux, cela nécessite le système d'initialisation Systemd.

Important
Sur les appareils Windows Core, vous devez configurer le logiciel AWS IoT Greengrass Core en tant que service système.

Pour plus d'informations sur les arguments que vous pouvez spécifier, consultezArguments d'installation.

Note

Pour installer le logiciel AWS IoT Greengrass Core

Vérifiez la version du logiciel AWS IoT Greengrass Core.
- Remplacez GreengrassInstaller avec le chemin d'accès au dossier contenant le logiciel.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
Utilisez un éditeur de texte pour créer un fichier de configuration nommé config.yaml à fournir au programme d'installation.

Par exemple, sur un système basé sur Linux, vous pouvez exécuter la commande suivante pour utiliser GNU nano pour créer le fichier.
```
nano GreengrassInstaller/config.yaml
```
Copiez le YAML contenu suivant dans le fichier. Ce fichier de configuration partiel spécifie les paramètres du plugin de provisionnement de flotte. Pour plus d'informations sur les options que vous pouvez spécifier, consultezConfiguration du plugin de provisionnement de AWS IoT flotte.
Linux or Unix
```
---
services:
  aws.greengrass.Nucleus:
    version: "2.13.0"
    configuration:
      fipsMode: "true"
      greengrassDataPlaneEndpoint: "iotData"
  aws.greengrass.FleetProvisioningByClaim:
    configuration:
      rootPath: "/greengrass/v2"
      awsRegion: "us-west-2"
      iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
      iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      provisioningTemplate: "GreengrassFleetProvisioningTemplate"
      claimCertificatePath: "/greengrass/v2/claim-certs/claim.pem.crt"
      claimCertificatePrivateKeyPath: "/greengrass/v2/claim-certs/claim.private.pem.key"
      rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
      templateParameters:
        ThingName: "MyGreengrassCore"
        ThingGroupName: "MyGreengrassCoreGroup"
```
Windows
```
---
services:
  aws.greengrass.Nucleus:
    version: "2.13.0"
  aws.greengrass.FleetProvisioningByClaim:
    configuration:
      rootPath: "C:\\greengrass\\v2"
      awsRegion: "us-west-2"
      iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
      iotCredentialEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      provisioningTemplate: "GreengrassFleetProvisioningTemplate"
      claimCertificatePath: "C:\\greengrass\\v2\\claim-certs\\claim.pem.crt"
      claimCertificatePrivateKeyPath: "C:\\greengrass\\v2\\claim-certs\\claim.private.pem.key"
      rootCaPath: "C:\\greengrass\\v2\\AmazonRootCA1.pem"
      templateParameters:
        ThingName: "MyGreengrassCore"
        ThingGroupName: "MyGreengrassCoreGroup"
```
Ensuite, procédez comme suit :
- Remplacez 2.13.0 avec la version du logiciel AWS IoT Greengrass Core.
- Remplacez chaque instance de /greengrass/v2 ou C:\greengrass\v2 avec le dossier racine de Greengrass.
  
  Note
  Sur les appareils Windows, vous devez spécifier les séparateurs de chemin sous forme de barres obliques inverses (\\) doubles, tels que. C:\\greengrass\\v2
- Remplacez us-west-2 avec la AWS région dans laquelle vous avez créé le modèle de provisionnement et les autres ressources.
- Remplacez le iotDataEndpoint par votre point de terminaison de AWS IoT données.
- Remplacez le point de terminaison iotCredentialEndpoint par vos AWS IoT informations d'identification.
- Remplacez GreengrassCoreTokenExchangeRoleAlias avec le nom de l'alias du rôle d'échange de jetons.
- Remplacez GreengrassFleetProvisioningTemplate avec le nom du modèle de provisionnement de flotte.
- Remplacez le claimCertificatePath par le chemin d'accès au certificat de réclamation sur l'appareil.
- Remplacez le claimCertificatePrivateKeyPath par le chemin d'accès à la clé privée du certificat de réclamation sur l'appareil.
- Remplacez les paramètres du modèle (templateParameters) par les valeurs à utiliser pour approvisionner le périphérique. Cet exemple fait référence à l'exemple de modèle qui définit ThingName et définit ThingGroupName les paramètres.
Exécutez le programme d'installation. Spécifiez --trusted-plugin pour fournir le plug-in de provisionnement de flotte et spécifiez --init-config pour fournir le fichier de configuration.
- /greengrass/v2Remplacez-le par le dossier racine de Greengrass.
- Remplacez chaque instance de GreengrassInstaller avec le dossier dans lequel vous avez décompressé le programme d'installation.
Linux or Unix
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar \
  --init-config ./GreengrassInstaller/config.yaml \
  --component-default-user ggc_user:ggc_group \
  --setup-system-service true
```
Windows Command Prompt (CMD)
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
  -jar ./GreengrassInstaller/lib/Greengrass.jar ^
  --trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar ^
  --init-config ./GreengrassInstaller/config.yaml ^
  --component-default-user ggc_user ^
  --setup-system-service true
```
PowerShell
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
  -jar ./GreengrassInstaller/lib/Greengrass.jar `
  --trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar `
  --init-config ./GreengrassInstaller/config.yaml `
  --component-default-user ggc_user `
  --setup-system-service true
```
Important
Sur les appareils Windows Core, vous --setup-system-service true devez spécifier de configurer le logiciel AWS IoT Greengrass Core en tant que service système.

Si vous le spécifiez--setup-system-service true, le programme d'installation affiche Successfully set up Nucleus as a system service s'il a configuré et exécuté le logiciel en tant que service système. Dans le cas contraire, le programme d'installation n'affiche aucun message s'il installe le logiciel avec succès.

Note
Vous ne pouvez pas utiliser l'deploy-dev-toolsargument pour déployer des outils de développement locaux lorsque vous exécutez le programme d'installation sans l'--provision trueargument. Pour plus d'informations sur le déploiement du Greengrass CLI directement sur votre appareil, consultez. Interface de ligne de commande Greengrass
Vérifiez l'installation en consultant les fichiers du dossier racine.
Linux or Unix
```
ls /greengrass/v2
```
Windows Command Prompt (CMD)
```
dir C:\greengrass\v2
```
PowerShell
```
ls C:\greengrass\v2
```
Si l'installation a réussi, le dossier racine contient plusieurs dossiers, tels que configpackages, etlogs.

Pour plus d'informations sur la configuration et l'utilisation du logiciel AWS IoT Greengrass, consultez les rubriques suivantes :

Installation de FIPS points de terminaison avec provisionnement automatique des ressources

Le logiciel AWS IoT Greengrass Core inclut un programme d'installation qui configure votre appareil en tant qu'appareil principal Greengrass. Pour configurer rapidement un appareil, le programme d'installation peut fournir l' AWS IoT AWS IoT objet, le groupe d'objets, le IAM rôle et l'alias de AWS IoT rôle dont le périphérique principal a besoin pour fonctionner. Le programme d'installation peut également déployer les outils de développement locaux sur le périphérique principal, afin que vous puissiez utiliser l'appareil pour développer et tester des composants logiciels personnalisés. Le programme d'installation a besoin AWS d'informations d'identification pour provisionner ces ressources et créer le déploiement.

Si vous ne pouvez pas fournir AWS d'informations d'identification à l'appareil, vous pouvez fournir les AWS ressources dont le périphérique principal a besoin pour fonctionner. Vous pouvez également déployer les outils de développement sur un appareil principal pour l'utiliser comme périphérique de développement. Cela vous permet de fournir moins d'autorisations à l'appareil lorsque vous exécutez le programme d'installation. Pour de plus amples informations, veuillez consulter Installation AWS IoT Greengrass du logiciel Core avec provisionnement manuel des ressources.

Important

Rubriques

Configuration de l'environnement de l'appareil
Fournir des AWS informations d'identification à l'appareil
Téléchargez le logiciel AWS IoT Greengrass de base
Installation du logiciel AWS IoT Greengrass Core

Configuration de l'environnement de l'appareil

Suivez les étapes décrites dans cette section pour configurer un appareil Linux ou Windows à utiliser comme périphérique AWS IoT Greengrass principal.

Configuration d'un appareil Linux

Pour configurer un appareil Linux pour AWS IoT Greengrass V2

Installez le moteur d'exécution Java, dont le logiciel AWS IoT Greengrass Core a besoin pour fonctionner. Nous vous recommandons d'utiliser les versions de support à long terme Amazon Corretto ou JDK Open. La version 8 ou supérieure est requise. Les commandes suivantes indiquent comment installer Open JDK sur votre appareil.
- Pour les distributions basées sur Debian ou Ubuntu :
```
sudo apt install default-jdk
```
- Pour les distributions basées sur Red Hat :
```
sudo yum install java-11-openjdk-devel
```
- Dans Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
- Pour Amazon Linux 2023 :
```
sudo dnf install java-11-amazon-corretto -y
```
Lorsque l'installation est terminée, exécutez la commande suivante pour vérifier que Java s'exécute sur votre appareil Linux.
```
java -version
```
La commande affiche la version de Java exécutée sur le périphérique. Par exemple, sur une distribution basée sur Debian, le résultat peut ressembler à celui de l'exemple suivant.
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
(Facultatif) Créez l'utilisateur système et le groupe par défaut qui exécutent les composants sur le périphérique. Vous pouvez également choisir de laisser le programme d'installation du logiciel AWS IoT Greengrass Core créer cet utilisateur et ce groupe lors de l'installation avec l'argument --component-default-user installer. Pour de plus amples informations, veuillez consulter Arguments d'installation.
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
Vérifiez que l'utilisateur qui exécute le logiciel AWS IoT Greengrass Core (généralementroot) est autorisé à exécuter sudo avec n'importe quel utilisateur et n'importe quel groupe.
1. Exécutez la commande suivante pour ouvrir le /etc/sudoers fichier.
```
sudo visudo
```
2. Vérifiez que l'autorisation accordée à l'utilisateur ressemble à l'exemple suivant.
```
root    ALL=(ALL:ALL) ALL
```
(Facultatif) Pour exécuter des fonctions Lambda conteneurisées, vous devez activer cgroups v1, et vous devez activer et monter les cgroups de mémoire et de périphériques. Si vous ne prévoyez pas d'exécuter des fonctions Lambda conteneurisées, vous pouvez ignorer cette étape.

Pour activer ces options cgroups, démarrez le périphérique avec les paramètres du noyau Linux suivants.
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
Pour plus d'informations sur l'affichage et la définition des paramètres du noyau de votre appareil, consultez la documentation de votre système d'exploitation et de votre chargeur de démarrage. Suivez les instructions pour définir définitivement les paramètres du noyau.
Installez toutes les autres dépendances requises sur votre appareil, comme indiqué dans la liste des exigences figurant dansExigences relatives aux dispositifs.

Configuration d'un appareil Windows

Note

Cette fonctionnalité est disponible pour les versions 2.5.0 et ultérieures du composant Greengrass nucleus.

Pour configurer un appareil Windows pour AWS IoT Greengrass V2

Installez le moteur d'exécution Java, dont le logiciel AWS IoT Greengrass Core a besoin pour fonctionner. Nous vous recommandons d'utiliser les versions de support à long terme Amazon Corretto ou JDK Open. La version 8 ou supérieure est requise.
Vérifiez si Java est disponible sur la variable PATHsystème, et ajoutez-le dans le cas contraire. Le LocalSystem compte exécute le logiciel AWS IoT Greengrass Core. Vous devez donc ajouter Java à la variable PATH système au lieu de la variable PATH utilisateur de votre utilisateur. Procédez comme suit :
1. Appuyez sur la touche Windows pour ouvrir le menu de démarrage.
2. Tapez environment variables pour rechercher les options du système dans le menu Démarrer.
3. Dans les résultats de recherche du menu Démarrer, choisissez Modifier les variables d'environnement du système pour ouvrir la fenêtre des propriétés du système.
4. Choisissez les variables d'environnement... pour ouvrir la fenêtre des variables d'environnement.
5. Sous Variables système, sélectionnez Chemin, puis Modifier. Dans la fenêtre Modifier la variable d'environnement, vous pouvez afficher chaque chemin sur une ligne distincte.
6. Vérifiez si le chemin d'accès au bin dossier d'installation de Java est présent. Le chemin peut ressembler à celui de l'exemple suivant.
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
7. Si le bin dossier de l'installation Java est absent de Path, choisissez Nouveau pour l'ajouter, puis OK.
Ouvrez l'invite de commande Windows (cmd.exe) en tant qu'administrateur.
Créez l'utilisateur par défaut dans le LocalSystem compte sur l'appareil Windows. Remplacez password avec un mot de passe sécurisé.
```
net user /add ggc_user password
```
Astuce
En fonction de votre configuration Windows, le mot de passe de l'utilisateur peut être configuré pour expirer à une date ultérieure. Pour vous assurer que vos applications Greengrass continuent de fonctionner, suivez la date d'expiration du mot de passe et mettez-le à jour avant son expiration. Vous pouvez également définir le mot de passe de l'utilisateur pour qu'il n'expire jamais.
- Pour vérifier la date d'expiration d'un utilisateur et de son mot de passe, exécutez la commande suivante.
  
  net user ggc_user | findstr /C:expires
- Pour définir le mot de passe d'un utilisateur afin qu'il n'expire jamais, exécutez la commande suivante.
  
  wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
- Si vous utilisez Windows 10 ou une version ultérieure où la wmiccommande est obsolète, exécutez la commande suivante PowerShell .
  
  Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
Téléchargez et installez l'PsExecutilitaire de Microsoft sur l'appareil.
Utilisez l' PsExec utilitaire pour stocker le nom d'utilisateur et le mot de passe de l'utilisateur par défaut dans l'instance Credential Manager du LocalSystem compte. Remplacez password avec le mot de passe utilisateur que vous avez défini précédemment.
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
Si l'icône PsExec License Agreementouvre, choisissez Acceptpour accepter la licence et exécuter la commande.

Note
Sur les appareils Windows, le LocalSystem compte exécute le noyau Greengrass, et vous devez utiliser l' PsExec utilitaire pour stocker les informations utilisateur par défaut dans le LocalSystem compte. L'application Credential Manager stocke ces informations dans le compte Windows de l'utilisateur actuellement connecté, plutôt que dans le LocalSystem compte.

Fournir des AWS informations d'identification à l'appareil

Fournissez vos AWS informations d'identification à votre appareil afin que le programme d'installation puisse fournir les AWS ressources nécessaires. Pour plus d'informations sur les autorisations requises, consultez Politique IAM minimale permettant au programme d'installation de provisionner les ressources.

Pour fournir des AWS informations d'identification à l'appareil

Fournissez vos AWS informations d'identification à l'appareil afin que le programme d'installation puisse fournir les IAM ressources AWS IoT et les ressources pour votre appareil principal. Pour renforcer la sécurité, nous vous recommandons d'obtenir des informations d'identification temporaires pour un IAM rôle qui n'autorise que les autorisations minimales nécessaires au provisionnement. Pour de plus amples informations, veuillez consulter Politique IAM minimale permettant au programme d'installation de provisionner les ressources.

Note
Le programme d'installation n'enregistre ni ne stocke vos informations d'identification.

Sur votre appareil, effectuez l'une des opérations suivantes pour récupérer les informations d'identification et les mettre à la disposition du programme d'installation du logiciel AWS IoT Greengrass Core :
- (Recommandé) Utilisez des informations d'identification temporaires provenant de AWS IAM Identity Center
  1. Fournissez l'ID de la clé d'accès, la clé d'accès secrète et le jeton de session depuis le IAM Identity Center. Pour plus d'informations, voir Actualisation manuelle des informations d'identification dans la section Obtenir et actualiser des informations d'identification temporaires dans le guide de l'utilisateur d'IAMIdentity Center.
  2. Exécutez les commandes suivantes pour fournir les informations d'identification au logiciel AWS IoT Greengrass Core.
    Linux or Unix
    
    export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
    
    Windows Command Prompt (CMD)
    
    set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
    
    PowerShell
    
    $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE" $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY" $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
- Utilisez les informations d'identification de sécurité temporaires d'un IAM rôle :
  1. Fournissez l'ID de clé d'accès, la clé d'accès secrète et le jeton de session correspondant à un IAM rôle que vous assumez. Pour plus d'informations sur la façon de récupérer ces informations d'identification, consultez la section Demande d'informations d'identification de sécurité temporaires dans le guide de IAM l'utilisateur.
  2. Exécutez les commandes suivantes pour fournir les informations d'identification au logiciel AWS IoT Greengrass Core.
    Linux or Unix
    
    export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
    
    Windows Command Prompt (CMD)
    
    set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
    
    PowerShell
    
    $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE" $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY" $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
- Utilisez les informations d'identification à long terme d'un IAM utilisateur :
  1. Fournissez l'identifiant de la clé d'accès et la clé d'accès secrète de votre IAM utilisateur. Vous pouvez créer un IAM utilisateur pour le provisionnement, que vous supprimerez ultérieurement. Pour connaître la IAM politique à appliquer à l'utilisateur, voirPolitique IAM minimale permettant au programme d'installation de provisionner les ressources. Pour plus d'informations sur la façon de récupérer des informations d'identification à long terme, consultez la section Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de IAM l'utilisateur.
  2. Exécutez les commandes suivantes pour fournir les informations d'identification au logiciel AWS IoT Greengrass Core.
    Linux or Unix
    
    export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    
    Windows Command Prompt (CMD)
    
    set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    
    PowerShell
    
    $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE" $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
  3. (Facultatif) Si vous avez créé un IAM utilisateur pour approvisionner votre appareil Greengrass, supprimez-le.
  4. (Facultatif) Si vous avez utilisé l'ID de clé d'accès et la clé d'accès secrète d'un IAM utilisateur existant, mettez à jour les clés de l'utilisateur afin qu'elles ne soient plus valides. Pour plus d'informations, consultez la section Mise à jour des clés d'accès dans le guide de AWS Identity and Access Management l'utilisateur.

Téléchargez le logiciel AWS IoT Greengrass de base

Vous pouvez télécharger la dernière version du logiciel AWS IoT Greengrass Core à l'adresse suivante :

https://d2s8p88vqu9w66.cloudfront.net/releases/ greengrass-nucleus-latest .zip

Note

Vous pouvez télécharger une version spécifique du logiciel AWS IoT Greengrass Core à l'emplacement suivant. Remplacez version avec la version à télécharger.


https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip

Pour télécharger le logiciel AWS IoT Greengrass Core

Sur votre appareil principal, téléchargez le logiciel AWS IoT Greengrass Core dans un fichier nommégreengrass-nucleus-latest.zip.

Si vous téléchargez ce logiciel, vous acceptez le contrat de licence du logiciel Greengrass Core.

(Facultatif) Pour vérifier la signature du logiciel Greengrass Nucleus

Note
Cette fonctionnalité est disponible avec Greengrass nucleus version 2.9.5 et versions ultérieures.
1. Utilisez la commande suivante pour vérifier la signature de votre artefact Greengrass nucleus :
  Linux or Unix
  jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
  Windows Command Prompt (CMD)
  Le nom du fichier peut être différent selon la JDK version que vous installez. Remplacez jdk17,0,6_10 avec la JDK version que vous avez installée.
  
  "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
  PowerShell
  Le nom du fichier peut être différent selon la JDK version que vous installez. Remplacez jdk17,0,6_10 avec la JDK version que vous avez installée.
  
  'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
2. L'jarsignerinvocation produit une sortie qui indique les résultats de la vérification.
  1. Si le fichier zip Greengrass nucleus est signé, le résultat contient l'instruction suivante :
```
jar verified.
```
  2. Si le fichier zip Greengrass nucleus n'est pas signé, le résultat contient l'instruction suivante :
```
jar is unsigned.
```
3. Si vous avez fourni l'-certsoption Jarsigner en même temps que les -verbose options -verify et, le résultat inclut également des informations détaillées sur le certificat du signataire.

Décompressez le logiciel AWS IoT Greengrass Core dans un dossier de votre appareil. Remplacez GreengrassInstaller avec le dossier que vous souhaitez utiliser.

(Facultatif) Exécutez la commande suivante pour voir la version du logiciel AWS IoT Greengrass Core.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```

Important

Installation du logiciel AWS IoT Greengrass Core

Exécutez le programme d'installation avec des arguments spécifiant les actions suivantes :

Créez les AWS ressources dont le périphérique principal a besoin pour fonctionner.
Spécifiez d'utiliser l'utilisateur ggc_user du système pour exécuter les composants logiciels sur le périphérique principal. Sur les appareils Linux, cette commande indique également d'utiliser le groupe ggc_group système, et le programme d'installation crée l'utilisateur et le groupe système pour vous.
Configurez le logiciel AWS IoT Greengrass Core en tant que service système qui s'exécute au démarrage. Sur les appareils Linux, cela nécessite le système d'initialisation Systemd.

Important
Sur les appareils Windows Core, vous devez configurer le logiciel AWS IoT Greengrass Core en tant que service système.

Pour configurer un dispositif de développement avec des outils de développement locaux, spécifiez l'--deploy-dev-tools trueargument. Le déploiement des outils de développement local peut prendre jusqu'à une minute une fois l'installation terminée.

Pour plus d'informations sur les arguments que vous pouvez spécifier, consultezArguments d'installation.

Note

Pour installer le logiciel AWS IoT Greengrass Core

Utilisez un éditeur de texte pour créer un fichier de configuration nommé config.yaml à fournir au programme d'installation.

Par exemple, sur un système basé sur Linux, vous pouvez exécuter la commande suivante pour utiliser GNU nano pour créer le fichier.
```
nano GreengrassInstaller/config.yaml
```
Copiez le YAML contenu suivant dans le fichier. Ce fichier de configuration partiel spécifie les paramètres du système et les paramètres du noyau Greengrass.
```
---
services:
  aws.greengrass.Nucleus:
    configuration:
      fipsMode: "true"
      iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
      iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
      greengrassDataPlaneEndpoint: "iotData"                        
                    
```
- Remplacez us-west-2 avec l' Région AWS endroit où vous avez créé les ressources.
- Remplacez le iotDataEndpoint avec votre point de terminaison de AWS IoT données.
- Remplacez le iotCredEndpoint avec votre point de terminaison AWS IoT d'identification.
Exécutez le programme d'installation AWS IoT Greengrass Core. Remplacez les valeurs des arguments dans votre commande comme suit.

Note
Pour Windows, la limitation de la longueur du chemin est de 260 caractères. Si vous utilisez Windows, utilisez un dossier racine tel que C:\greengrass\v2 ou D:\greengrass\v2 pour conserver les chemins des composants Greengrass en dessous de la limite de 260 caractères.
1. /greengrass/v2 ou C:\greengrass\v2: chemin d'accès au dossier racine à utiliser pour installer le logiciel AWS IoT Greengrass Core.
2. GreengrassInstaller. Le chemin d'accès au dossier dans lequel vous avez décompressé le programme d'installation du logiciel AWS IoT Greengrass Core.
3. region. L' Région AWS endroit dans lequel trouver ou créer des ressources.
4. MyGreengrassCore. Le nom de l' AWS IoT appareil principal de votre Greengrass. Si l'objet n'existe pas, le programme d'installation le crée. Le programme d'installation télécharge les certificats pour s'authentifier en tant qu' AWS IoT objet. Pour de plus amples informations, veuillez consulter Authentification et autorisation d'appareil pour AWS IoT Greengrass.
  
  Note
  Le nom de l'objet ne peut pas contenir de caractères deux-points (:).
5. MyGreengrassCoreGroup. Le nom du AWS IoT groupe d'objets de votre appareil Greengrass principal. Si le groupe d'objets n'existe pas, le programme d'installation le crée et y ajoute l'objet. Si le groupe d'objets existe et fait l'objet d'un déploiement actif, le périphérique principal télécharge et exécute le logiciel spécifié par le déploiement.
  
  Note
  Le nom du groupe d'objets ne peut pas contenir de deux-points (:).
6. GreengrassV2IoTThingPolicy. Le nom de la AWS IoT politique qui permet aux appareils principaux de Greengrass de communiquer avec AWS IoT et. AWS IoT Greengrass Si la AWS IoT politique n'existe pas, le programme d'installation crée une AWS IoT politique permissive portant ce nom. Vous pouvez restreindre les autorisations de cette politique pour votre cas d'utilisation. Pour de plus amples informations, veuillez consulter AWS IoTPolitique minimale pour les appareils AWS IoT Greengrass V2 principaux.
7. GreengrassV2TokenExchangeRole. Nom du IAM rôle qui permet à l'appareil principal de Greengrass d'obtenir des informations d'identification temporaires AWS . Si le rôle n'existe pas, le programme d'installation le crée, puis crée et attache une politique nomméeGreengrassV2TokenExchangeRoleAccess. Pour de plus amples informations, veuillez consulter Autoriser les appareils principaux à interagir avec les AWS services.
8. GreengrassCoreTokenExchangeRoleAlias. Alias du IAM rôle qui permet à l'appareil principal de Greengrass d'obtenir des informations d'identification temporaires ultérieurement. Si l'alias de rôle n'existe pas, le programme d'installation le crée et le pointe vers le IAM rôle que vous spécifiez. Pour de plus amples informations, veuillez consulter Autoriser les appareils principaux à interagir avec les AWS services.
Linux or Unix
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --aws-region region \
  --thing-name MyGreengrassCore \
  --thing-group-name MyGreengrassCoreGroup \
  --thing-policy-name GreengrassV2IoTThingPolicy \
  --tes-role-name GreengrassV2TokenExchangeRole \
  --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
  --component-default-user ggc_user:ggc_group \
  --provision true \
  --init-config ./GreengrassInstaller/config.yaml \
  --setup-system-service true
```
Windows Command Prompt (CMD)
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
  -jar ./GreengrassInstaller/lib/Greengrass.jar ^
  --aws-region region ^
  --thing-name MyGreengrassCore ^
  --thing-group-name MyGreengrassCoreGroup ^
  --thing-policy-name GreengrassV2IoTThingPolicy ^
  --tes-role-name GreengrassV2TokenExchangeRole ^
  --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias ^
  --component-default-user ggc_user ^
  --provision true ^
  --setup-system-service true
```
PowerShell
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
  -jar ./GreengrassInstaller/lib/Greengrass.jar `
  --aws-region region `
  --thing-name MyGreengrassCore `
  --thing-group-name MyGreengrassCoreGroup `
  --thing-policy-name GreengrassV2IoTThingPolicy `
  --tes-role-name GreengrassV2TokenExchangeRole `
  --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias `
  --component-default-user ggc_user `
  --provision true `
  --setup-system-service true
```
Important
Sur les appareils Windows Core, vous --setup-system-service true devez spécifier de configurer le logiciel AWS IoT Greengrass Core en tant que service système.

Le programme d'installation affiche les messages suivants en cas de succès :
- Si vous le spécifiez--provision, le programme d'installation imprime Successfully configured Nucleus with provisioned resource details s'il a correctement configuré les ressources.
- Si vous le spécifiez--deploy-dev-tools, le programme d'installation affiche Configured Nucleus to deploy aws.greengrass.Cli component s'il a créé le déploiement avec succès.
- Si vous le spécifiez--setup-system-service true, le programme d'installation affiche Successfully set up Nucleus as a system service s'il a configuré et exécuté le logiciel en tant que service.
- Si vous ne le spécifiez pas--setup-system-service true, le programme d'installation affiche Launched Nucleus successfully s'il a réussi et a exécuté le logiciel.
Ignorez cette étape si vous avez installé la Noyau de Greengrass version 2.0.4 ou une version ultérieure. Si vous avez téléchargé la dernière version du logiciel, vous avez installé la version 2.0.4 ou ultérieure.

Exécutez la commande suivante pour définir les autorisations de fichier requises pour le dossier racine de votre logiciel AWS IoT Greengrass Core. Remplacez /greengrass/v2 par le dossier racine que vous avez spécifié dans votre commande d'installation, puis remplacez /greengrass avec le dossier parent de votre dossier racine.
```
sudo chmod 755 /greengrass/v2 && sudo chmod 755 /greengrass
```

Note

Par défaut, le IAM rôle créé par le programme d'installation n'autorise pas l'accès aux artefacts des composants dans les compartiments S3. Pour déployer des composants personnalisés qui définissent des artefacts dans Amazon S3, vous devez ajouter des autorisations au rôle afin de permettre à votre appareil principal de récupérer les artefacts des composants. Pour de plus amples informations, veuillez consulter Autoriser l'accès aux compartiments S3 pour les artefacts des composants.

Si vous ne possédez pas encore de compartiment S3 pour les artefacts des composants, vous pouvez ajouter ces autorisations ultérieurement après avoir créé un compartiment.

Pour plus d'informations sur la configuration et l'utilisation du logiciel AWS IoT Greengrass, consultez les rubriques suivantes :

FIPSconformité : composants de première partie


`aws.greengrass.Nucleus`	`data.iot-fips.us-east-1.amazonaws.com`
	`greengrass-fips.us-east-1.amazonaws.com`
	`data.credentials.iot-fips.us-east-1.amazonaws.com`
`aws.greengrass.TokenExchangeService`	`data.credentials.iot-fips.us-east-1.amazonaws.com`
`aws.greengrass.Cli`
`aws.greengrass.StreamManager`	`kinesis-fips.us-east-1.amazonaws.com` `data.iotsitewise-fips.us-east-1.amazonaws.com` `s3-fips.us-east-1.amazonaws.com` Note Le gestionnaire de flux ne prend pas en charge les AWS IoT Analytics FIPS terminaux
`aws.greengrass.LogManager`	logs-fips.`us-east-1`.amazonaws.com
`aws.greengrass.crypto.Pkcs11Provider`
`aws.greengrass.ShadowManager`
`aws.greengrass.DockerApplicationManager`	ecr-fips.`us-east-1`.amazonaws.com
`aws.greengrass.SecretManager`	secretsmanager-fips.`us-east-1`.amazonaws.com
`aws.greengrass.telemetry.NucleusEmitter`
`aws.greengrass.clientdevices.IPDetector`
`aws.greengrass.DiskSpooler`

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Validation de conformité

Résilience

FIPSpoints de terminaison

Note

Note

Activez FIPS les terminaux grâce au déploiement

Installez Nucleus avec des FIPS terminaux avec provisionnement manuel des ressources

Important

Rubriques

Récupérer des points de AWS IoT terminaison

Créez n'importe AWS IoT quoi

Pour créer AWS IoT quelque chose

Note

Note

Créez le certificat d'objet

Créez le certificat et la clé privée dans le AWS IoT service

Pour créer le certificat d'objet

Créez le certificat à partir d'une clé privée dans un HSM

Note

Pour créer le certificat d'objet

Note

Configurer le certificat d'objet

Pour configurer le certificat de l'objet

Création d'un rôle d'échange de jetons

Pour créer un IAM rôle d'échange de jetons

Note

Note

Télécharger les certificats sur l'appareil

Télécharger des certificats avec clé privée et fichiers de certificats

Pour télécharger des certificats sur l'appareil

Note

Téléchargez les certificats avec la clé privée et le certificat dans un HSM

Note

Pour télécharger des certificats sur l'appareil

Note

Note

Configuration de l'environnement de l'appareil

Configuration d'un appareil Linux

Pour configurer un appareil Linux pour AWS IoT Greengrass V2

Configuration d'un appareil Windows

Note

Pour configurer un appareil Windows pour AWS IoT Greengrass V2

Astuce

Note

Téléchargez le logiciel AWS IoT Greengrass de base

Note

Pour télécharger le logiciel AWS IoT Greengrass Core

Note

Important

Installation du logiciel AWS IoT Greengrass Core

Important

Note

Installez le logiciel AWS IoT Greengrass Core avec les fichiers de clé privée et de certificat

Pour installer le logiciel AWS IoT Greengrass Core

Important

Note

Installez le logiciel AWS IoT Greengrass Core avec la clé privée et le certificat dans un HSM

Note

Pour installer le logiciel AWS IoT Greengrass Core

Important

Note

Installation de FIPS points de terminaison avec provisionnement de flotte

Note

Important

Rubriques

Prérequis

Récupérer des points de AWS IoT terminaison

Télécharger les certificats sur l'appareil

Important

Pour télécharger les certificats de réclamation sur l'appareil

Note

Configuration de l'environnement de l'appareil

Configuration d'un appareil Linux

Pour configurer un appareil Linux pour AWS IoT Greengrass V2

Configuration d'un appareil Windows

Note

Pour configurer un appareil Windows pour AWS IoT Greengrass V2

Astuce

Note

Téléchargez le logiciel AWS IoT Greengrass de base

Note

Pour télécharger le logiciel AWS IoT Greengrass Core