Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran layanan Greengrass adalah AWS Identity and Access Management peran layanan (IAM) yang mengotorisasi AWS IoT Greengrass untuk mengakses sumber daya dari AWS layanan atas nama Anda. Peran ini memungkinkan AWS IoT Greengrass untuk memverifikasi identitas perangkat klien dan mengelola informasi konektivitas perangkat inti.
catatan
AWS IoT Greengrass V1 juga menggunakan peran ini untuk melakukan tugas-tugas penting. Untuk informasi selengkapnya, lihat Peran layanan Greengrass di Panduan Developer AWS IoT Greengrass V1.
Untuk mengizinkan AWS IoT Greengrass untuk mengakses sumber daya Anda, peran layanan Greengrass harus dikaitkan dengan Akun AWS dan tentukan AWS IoT Greengrasssebagai entitas terpercaya. Peran harus menyertakan kebijakan AWSGreengrassResourceAccessRolePolicy
Anda dapat menggunakan kembali peran layanan Greengrass yang sama di Wilayah AWS, tetapi Anda harus mengaitkannya dengan akun Anda di setiap Wilayah AWS di mana Anda menggunakan AWS IoT Greengrass. Jika peran layanan tidak dikonfigurasi saat iniWilayah AWS, perangkat inti gagal memverifikasi perangkat klien dan gagal memperbarui informasi konektivitas.
Bagian berikut menjelaskan cara membuat dan mengelola peran layanan Greengrass dengan AWS Management Console atau AWS CLI.
catatan
Selain peran layanan yang mengesahkan akses tingkat layanan, Anda menetapkan peran pertukaran token untuk perangkat inti Greengrass. Peran pertukaran token adalah IAM role terpisah yang mengendalikan bagaimana komponen Greengrass dan fungsi Lambda pada perangkat inti dapat mengakses layanan AWS. Untuk informasi selengkapnya, lihat Otorisasi perangkat inti untuk berinteraksi dengan AWS layanan.
Kelola peran layanan Greengrass (konsol)
Konsol AWS IoT membuatnya mudah untuk mengelola peran layanan Greengrass Anda. Sebagai contoh, ketika Anda mengonfigurasi penemuan perangkat klien untuk perangkat inti, konsol tersebut akan memeriksa apakah Akun AWS Anda melekat pada peran layanan Greengrass di Wilayah AWS saat ini. Jika tidak, konsol dapat membuat dan mengonfigurasi peran layanan untuk Anda. Untuk informasi selengkapnya, lihat Buat peran layanan Greengrass (konsol).
Anda dapat menggunakan konsol untuk tugas-tugas manajemen peran berikut:
Topik
catatan
Pengguna yang masuk ke konsol harus memiliki izin untuk melihat, membuat, atau mengubah peran layanan.
Temukan peran layanan Greengrass Anda (konsol)
Gunakan langkah-langkah berikut untuk menemukan peran layanan yang AWS IoT Greengrass gunakan di Wilayah AWS saat ini.
-
Navigasikan ke konsol AWS IoT
tersebut. -
Di panel navigasi, pilih Pengaturan.
-
Gulir ke Peran layanan Greengrass untuk melihat peran layanan dan kebijakannya.
Jika Anda tidak melihat peran layanan, konsol dapat membuat atau mengonfigurasinya untuk Anda. Untuk informasi selengkapnya, lihat Buat peran layanan Greengrass.
Buat peran layanan Greengrass (konsol)
Konsol dapat membuat dan mengkonfigurasi peran layanan Greengrass default untuk Anda. Peran ini memiliki properti berikut.
Properti | Nilai |
---|---|
Nama | Greengrass_ServiceRole |
Entitas tepercaya | AWS service: greengrass |
Kebijakan | AWSGreengrassResourceAccessRolePolicy |
catatan
Jika Anda membuat peran ini dengan skrip penyiapan perangkat AWS IoT Greengrass V1, nama perannya adalah GreengrassServiceRole_
.random-string
Ketika Anda mengonfigurasi penemuan perangkat klien untuk perangkat inti, konsol tersebut akan memeriksa apakah peran layanan Greengrass terkait dengan Akun AWS Anda di Wilayah AWS saat ini. Jika tidak, konsol akan meminta Anda untuk mengizinkan AWS IoT Greengrass untuk membaca dan menulis ke layanan AWS atas nama Anda.
Jika Anda memberikan izin, konsol tersebut akan memeriksa apakah peran bernama Greengrass_ServiceRole
ada di Akun AWS Anda.
-
Jika peran itu ada, konsol tersebut akan melampirkan peran layanan ke perangkat Akun AWS di Wilayah AWS saat ini.
-
Jika peran tersebut tidak ada, konsol tersebut akan membuat peran layanan Greengrass default dan melampirkannya ke Akun AWS Anda di Wilayah AWS saat ini.
catatan
Jika Anda ingin membuat peran layanan dengan kebijakan peran kustom, gunakan konsol IAM untuk membuat atau mengubah peran. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke layanan AWS atau Mengubah peran dalam Panduan Pengguna IAM. Pastikan bahwa peran memberikan izin yang setara dengan kebijakan terkelola AWSGreengrassResourceAccessRolePolicy
untuk fitur dan sumber daya yang Anda gunakan. Kami menyarankan Anda juga menyertakan aws:SourceArn
dan kunci konteks kondisi aws:SourceAccount
global dalam kebijakan kepercayaan Anda untuk membantu mencegah masalah keamanan wakil yang membingungkan. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah wakil yang membingungkan, lihatCross-service bingung wakil pencegahan.
Jika Anda membuat peran layanan, kembali ke konsol AWS IoT tersebut dan lampirkan peran tersebut ke Akun AWS Anda. Anda dapat melakukannya di bawah Peran layanan Greengrass pada halaman Pengaturan.
Ubah peran layanan Greengrass (konsol)
Gunakan prosedur berikut untuk memilih peran layanan Greengrass yang berbeda untuk dilampirkan ke Akun AWS Anda di Wilayah AWSyang saat ini dipilih di konsol tersebut.
-
Navigasikan ke konsol AWS IoT
tersebut. -
Di panel navigasi, pilih Pengaturan.
-
Di bawah Peran layanan Greengrass, pilih Ubah peran.
Kotak dialog Perbarui peran layanan Greengrass terbuka dan menunjukkan peran IAM di Akun AWS yang menentukan AWS IoT Greengrass sebagai entitas terpercaya.
-
Pilih peran layanan Greengrass untuk dilampirkan.
-
Pilih Lampirkan peran.
Lapaskan peran layanan Greengrass (konsol)
Gunakan prosedur berikut untuk melepaskan peran layanan Greengrass dari akun AWS di Wilayah AWS saat ini. Ini akan mencabut izin bagi AWS IoT Greengrass untuk mengakses layanan AWS di Wilayah AWSsaat ini.
penting
Melepaskan peran layanan dapat mengganggu operasi aktif.
-
Navigasikan ke AWS IoT konsol
. -
Di panel navigasi, pilih Pengaturan.
-
Di bawah Peran layanan Greengrass, pilih Lepaskan peran.
-
Dalam kotak dialog konfirmasi, pilih Lepaskan.
catatan
Jika Anda tidak lagi memerlukan peran tersebut, Anda dapat menghapusnya di konsol IAM. Untuk informasi lebih lanjut, lihat Menghapus peran atau profil instans dalam Panduan Pengguna IAM.
Peran lain mungkin mengizinkan AWS IoT Greengrass untuk mengakses sumber daya Anda. Untuk menemukan semua peran yang memungkinkan AWS IoT Greengrass untuk mengambil izin atas nama Anda, di konsol IAM, pada halaman Peran, cari peran yang mencakup layanan AWS: Greengrass di kolom Entitas tepercaya.
Kelola peran layanan Greengrass (CLI)
Dalam prosedur berikut, kami berasumsi bahwa AWS Command Line Interface terinstal dan dikonfigurasi untuk menggunakan perangkat Akun AWS Anda. Untuk informasi selengkapnya, lihat Menginstal, memperbarui, dan melepas pemasangan AWS CLI dan Mengonfigurasi AWS CLI di Panduan Pengguna AWS Command Line Interface.
Anda dapat menggunakan AWS CLI untuk tugas-tugas manajemen peran berikut:
Topik
Dapatkan peran layanan Greengrass (CLI)
Gunakan prosedur berikut untuk mengetahui apakah peran layanan Greengrass dikaitkan dengan Akun AWS Anda di Wilayah AWS.
-
Dapatkan peran layanan. Ganti
wilayah
dengan Wilayah AWS Anda (misalnya,us-west-2
).aws greengrassv2 get-service-role-for-account --region
region
Jika peran layanan Greengrass telah dikaitkan dengan akun Anda, permintaan akan mengembalikan metadata peran berikut.
{ "associatedAt": "
timestamp
", "roleArn": "arn:aws:iam::account-id
:role/path/role-name
" }Jika permintaan tidak mengembalikan metadata peran, maka Anda harus membuat peran layanan (jika tidak ada) dan mengaitkannya dengan akun Anda di Wilayah AWS.
Buat peran layanan Greengrass (CLI)
Gunakan langkah-langkah berikut untuk membuat peran dan mengaitkannya dengan perangkat Akun AWS Anda.
Untuk membuat peran layanan dengan menggunakan IAM.
-
Buat peran dengan kebijakan kepercayaan yang memungkinkan AWS IoT Greengrass untuk mengambil peran. Contoh ini menciptakan peran bernama
Greengrass_ServiceRole
, tetapi Anda dapat menggunakan nama yang berbeda. Kami menyarankan Anda juga menyertakanaws:SourceArn
dan kunci konteks kondisiaws:SourceAccount
global dalam kebijakan kepercayaan Anda untuk membantu mencegah masalah keamanan wakil yang membingungkan. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah wakil yang membingungkan, lihatCross-service bingung wakil pencegahan.aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "greengrass.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:greengrass:
region
:account-id
:*" }, "StringEquals": { "aws:SourceAccount": "account-id
" } } } ] }' -
Salin peran ARN dari metadata peran dalam output. Anda menggunakan ARN untuk mengasosiasikan peran dengan akun Anda.
-
Lampirkan kebijakan
AWSGreengrassResourceAccessRolePolicy
pada peran tersebut.aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
Untuk mengaitkan peran layanan dengan Akun AWS Anda
-
Hubungkan peran itu dengan akun Anda. Ganti
role-arn
dengan ARN peran layanan danwilayah
dengan Wilayah AWS (misalnya,us-west-2
).aws greengrassv2 associate-service-role-to-account --role-arn
role-arn
--regionregion
Jika berhasil, permintaan tersebut akan mengembalikan tanggapan berikut.
{ "associatedAt": "
timestamp
" }
Hapus peran layanan Greengrass (CLI)
Gunakan langkah-langkah berikut untuk memisahkan peran layanan Greengrass dari perangkat Akun AWS.
-
Lepaskan peran layanan dari akun Anda. Ganti
wilayah
dengan Wilayah AWS Anda (misalnya,us-west-2
).aws greengrassv2 disassociate-service-role-from-account --region
region
Jika berhasil, respon berikut dikembalikan.
{ "disassociatedAt": "
timestamp
" }catatan
Anda harus menghapus peran layanan jika Anda tidak menggunakannya dalam semua Wilayah AWS. Pertama gunakan delete-role-policy untuk melepaskan
AWSGreengrassResourceAccessRolePolicy
kebijakan terkelola dari peran, dan kemudian gunakan delete-role untuk menghapus peran. Untuk informasi lebih lanjut, lihat Menghapus peran atau profil instans dalam Panduan Pengguna IAM.
Lihat juga
-
Membuat peran untuk mendelegasikan izin ke layanan AWS di Panduan Pengguna IAM.
-
Mengubah peran di Panduan Pengguna IAM
-
Menghapus peran atau profil instans dalam Panduan Pengguna IAM.
-
Perintah AWS IoT Greengrass di Referensi Perintah AWS CLI
-
Perintah IAM di Referensi PerintahAWS CLI