Rôle de service Greengrass - AWS IoT Greengrass
Gestion du rôle de service (console)Gestion du rôle de service (interface de ligne de commande)Consultez aussi

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle de service Greengrass

Le rôle de service Greengrass est un rôle de service AWS Identity and Access Management (IAM) qui autorise l'accès AWS IoT Greengrass aux ressources des AWS services en votre nom. Ce rôle permet de vérifier l'identité AWS IoT Greengrass des appareils clients et de gérer les informations de connectivité de base des appareils.

Note

AWS IoT Greengrass V1utilise également ce rôle pour effectuer des tâches essentielles. Pour plus d'informations, voir le rôle de service Greengrass dans le Guide du AWS IoT Greengrass V1développeur.

Pour autoriser AWS IoT Greengrass l'accès à vos ressources, le rôle de service Greengrass doit être associé à votre rôle Compte AWS et spécifié en AWS IoT Greengrass tant qu'entité de confiance. Le rôle doit inclure la politique AWSGreengrassResourceAccessRolePolicygérée ou une politique personnalisée qui définit des autorisations équivalentes pour les AWS IoT Greengrass fonctionnalités que vous utilisez. AWSapplique cette politique, qui définit l'ensemble des autorisations AWS IoT Greengrass utilisées pour accéder à vos AWS ressources. Pour plus d’informations, consultez AWS Politique gérée par: AWSGreengrassResourceAccessRolePolicy.

Vous pouvez réutiliser le même rôle de service Greengrass partoutRégions AWS, mais vous devez l'associer à votre compte partout Région AWS où vous l'utilisez. AWS IoT Greengrass Si le rôle de service n'est pas configuré actuellementRégion AWS, les appareils principaux ne vérifient pas les appareils clients et ne mettent pas à jour les informations de connectivité.

Les sections suivantes décrivent comment créer et gérer le rôle de service Greengrass avec le AWS Management Console ou. AWS CLI

Note

Outre le rôle de service qui autorise l'accès au niveau de service, vous attribuez un rôle d'échange de jetons aux appareils principaux de Greengrass. Le rôle d'échange de jetons est un rôle IAM distinct qui contrôle la manière dont les composants Greengrass et les fonctions Lambda du périphérique principal peuvent accéder aux services. AWS Pour plus d’informations, consultez Autoriser les appareils principaux à interagir avec les AWS services.

Gérer le rôle de service Greengrass (console)

La console AWS IoT facilite la gestion de votre rôle de service Greengrass. Par exemple, lorsque vous configurez la découverte des appareils clients pour un appareil principal, la console vérifie si vous êtes Compte AWS actuellement attaché à un rôle de service Greengrass. Région AWS Si ce n'est pas le cas, la console peut créer et configurer un rôle de service pour vous. Pour plus d’informations, consultez Créer le rôle de service Greengrass (console).

Vous pouvez utiliser la console pour les tâches de gestion des rôles suivantes :

Note

L'utilisateur qui est connecté à la console doit disposer d'autorisations pour afficher, créer ou modifier le rôle de service.

Rechercher votre rôle de service Greengrass (console)

Suivez les étapes ci-dessous pour trouver le rôle de service AWS IoT Greengrass utilisé dans le courantRégion AWS.

  1. Accédez à la console AWS IoT.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Faites défiler l'écran jusqu'à la section Greengrass service role (Rôle de service Greengrass) pour afficher votre rôle de service et ses stratégies.

    Si aucun rôle de service n'apparaît, la console peut en créer ou en configurer un pour vous. Pour plus d’informations, consultez Créer le rôle de service Greengrass.

Créer le rôle de service Greengrass (console)

La console peut créer et configurer un rôle de service Greengrass par défaut pour vous. Ce rôle a les propriétés suivantes :

Propriété Valeur
Nom Greengrass_ServiceRole
Entité de confiance AWS service: greengrass
Politique AWSGreengrassResourceAccessRolePolicy
Note

Si vous créez ce rôle à l'aide du script de configuration de l'AWS IoT Greengrass V1appareil, le nom du rôle estGreengrassServiceRole_random-string.

Lorsque vous configurez la découverte des appareils clients pour un appareil principal, la console vérifie si un rôle de service Greengrass est associé à votre rôle Compte AWS dans le service actuel. Région AWS Dans le cas contraire, la console vous invite à autoriser AWS IoT Greengrass les AWS services à lire et à écrire en votre nom.

Si vous accordez l'autorisation, la console vérifie si un rôle nommé Greengrass_ServiceRole existe dans votreCompte AWS.

  • Si le rôle existe, la console attache le rôle de service à votre rôle Compte AWS dans le courantRégion AWS.

  • Si le rôle n'existe pas, la console crée un rôle de service Greengrass par défaut et l'attache à votre rôle Compte AWS dans le service actuel. Région AWS

Note

Si vous souhaitez créer un rôle de service avec des politiques de rôle personnalisées, utilisez la console IAM pour créer ou modifier le rôle. Pour plus d'informations, voir Création d'un rôle pour déléguer des autorisations à un AWS service ou Modification d'un rôle dans le Guide de l'utilisateur IAM. Assurez-vous que le rôle accorde des autorisations équivalentes à la stratégie AWSGreengrassResourceAccessRolePolicy gérée pour les fonctions et les ressources que vous utilisez. Nous vous recommandons également d'inclure les clés aws:SourceArn contextuelles et les clés de contexte de condition aws:SourceAccount globale dans votre politique de confiance afin d'éviter tout problème de sécurité secondaire confus. Les clés contextuelles de condition limitent l'accès pour autoriser uniquement les demandes provenant du compte spécifié et de l'espace de travail Greengrass. Pour plus d’informations sur le problème de l'adjoint confus, consultez Prévention du problème de l'adjoint confus entre services.

Si vous créez un rôle de service, retournez à la AWS IoT console et associez le rôle à votreCompte AWS. Vous pouvez le faire sous le rôle de service Greengrass sur la page Paramètres.

Modifier le rôle de service Greengrass (console)

Utilisez la procédure suivante pour choisir un autre rôle de service Greengrass à associer à votre rôle Compte AWS dans le rôle Région AWS actuellement sélectionné dans la console.

  1. Accédez à la console AWS IoT.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Sous le rôle de service Greengrass, sélectionnez Modifier le rôle.

    La boîte de dialogue Mettre à jour le rôle de service Greengrass s'ouvre et indique les rôles IAM Compte AWS que vous définissez AWS IoT Greengrass comme une entité de confiance.

  4. Choisissez le rôle de service Greengrass à associer.

  5. Choisissez Attacher un rôle.

Détacher le rôle de service Greengrass (console)

Suivez la procédure ci-dessous pour dissocier le rôle de service Greengrass de AWS votre compte à l'heure actuelle. Région AWS Cela révoque les autorisations AWS IoT Greengrass d'accès aux AWS services actuelsRégion AWS.

Important

Le détachement du rôle de service peut interrompre les opérations actives.

  1. Accédez à la console AWS IoT.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Sous le rôle de service Greengrass, choisissez Detach role.

  4. Dans la boîte de dialogue de confirmation, choisissez Détacher.

Note

Si vous n'avez plus besoin du rôle, vous pouvez le supprimer dans la console IAM. Pour plus d'informations, consultez Suppression de rôles ou de profils d'instance dans le guide de l'utilisateur IAM.

D'autres rôles peuvent permettre à AWS IoT Greengrass d'accéder à vos ressources. Pour trouver tous les rôles qui permettent AWS IoT Greengrass d'assumer des autorisations en votre nom, dans la console IAM, sur la page Rôles, recherchez les rôles incluant AWSservice : greengrass dans la colonne Entités fiables.

Gérer le rôle de service Greengrass (CLI)

Dans les procédures suivantes, nous supposons que le AWS Command Line Interface est installé et configuré pour utiliser votreCompte AWS. Pour plus d'informations, consultez les sections Installation, mise à jour et désinstallation du AWS CLI et Configuration du AWS CLI dans le guide de l'AWS Command Line Interfaceutilisateur.

Vous pouvez utiliser l'AWS CLI pour les tâches de gestion de rôles suivantes :

Obtenir le rôle de service Greengrass (interface de ligne de commande)

Utilisez la procédure suivante pour savoir si un rôle de service Greengrass vous est associé Compte AWS dans un. Région AWS

  • Obtenez le rôle de service. Remplacez la région par votre Région AWS (par exemple,us-west-2).

    aws greengrassv2 get-service-role-for-account --region region

    Si un rôle de service Greengrass est déjà associé à votre compte, la demande renvoie les métadonnées de rôle suivantes.

    {
  "associatedAt": "timestamp",
  "roleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Si la demande ne renvoie pas les métadonnées du rôle, vous devez créer le rôle de service (s'il n'existe pas) et l'associer à votre compte dans leRégion AWS.

Créer le rôle de service Greengrass (interface de ligne de commande)

Suivez les étapes ci-dessous pour créer un rôle et l'associer à votreCompte AWS.

Pour créer le rôle de service à l'aide d'IAM

  1. Créez le rôle avec une stratégie d'approbation permettant à AWS IoT Greengrass d'assumer le rôle. Cet exemple crée un rôle nommé Greengrass_ServiceRole, mais vous pouvez utiliser un autre nom. Nous vous recommandons également d'inclure les clés aws:SourceArn contextuelles et les clés de contexte de condition aws:SourceAccount globale dans votre politique de confiance afin d'éviter tout problème de sécurité secondaire confus. Les clés contextuelles de condition limitent l'accès pour autoriser uniquement les demandes provenant du compte spécifié et de l'espace de travail Greengrass. Pour plus d’informations sur le problème de l'adjoint confus, consultez Prévention du problème de l'adjoint confus entre services.

    Linux or Unix
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'
    Windows Command Prompt (CMD)
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
    PowerShell
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'

  2. Copiez l'ARN de rôle du rôle des métadonnées dans la sortie. Vous utilisez l'ARN pour associer le rôle à votre compte.

  3. Attachez la stratégie AWSGreengrassResourceAccessRolePolicy au rôle.

    aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
Pour associer le rôle de service à votre Compte AWS

  • Associez le rôle à votre compte. Remplacez role-arn par l'ARN du rôle de service et region par votre Région AWS (par exemple,us-west-2).

    aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region

    En cas de succès, la demande renvoie la réponse suivante.

    {
  "associatedAt": "timestamp"
}

Supprimer le rôle de service Greengrass (interface de ligne de commande)

Suivez les étapes ci-dessous pour dissocier le rôle de service Greengrass de votre. Compte AWS

  • Dissociez le rôle de service de votre compte. Remplacez la région par votre Région AWS (par exemple,us-west-2).

    aws greengrassv2 disassociate-service-role-from-account --region region

    En cas de réussite, la réponse suivante est renvoyée.

    {
  "disassociatedAt": "timestamp"
}
    Note

    Vous devez supprimer le rôle de service si vous ne l'utilisez dans aucun d'entre euxRégion AWS. Utilisez d'abord delete-role-policy pour détacher la stratégie gérée du rôle, puis utilisez AWSGreengrassResourceAccessRolePolicydelete-role pour supprimer le rôle. Pour plus d'informations, consultez Suppression de rôles ou de profils d'instance dans le guide de l'utilisateur IAM.

Consultez aussi