Mengelola perangkat edge dengan Systems Manager - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola perangkat edge dengan Systems Manager

Bagian ini menjelaskan tugas penyiapan yang dilakukan oleh administrator akun dan sistem untuk mengaktifkan konfigurasi dan pengelolaan perangkat AWS IoT Greengrass inti. Setelah Anda menyelesaikan tugas ini, pengguna yang telah diberikan izin oleh Akun AWS administrator dapat menggunakannya AWS Systems Manager untuk mengonfigurasi dan mengelola perangkat AWS IoT Greengrass inti organisasi mereka.

catatan
  • SSM Agent for AWS IoT Greengrass tidak didukung pada macOS dan Windows 10. Anda tidak dapat menggunakan kemampuan Systems Manager untuk mengelola dan mengonfigurasi perangkat edge yang menggunakan sistem operasi ini.

  • Systems Manager juga mendukung perangkat edge yang tidak dikonfigurasi sebagai perangkat AWS IoT Greengrass inti. Untuk menggunakan Systems Manager untuk mengelola perangkat AWS IoT Core dan perangkat AWS non-edge, Anda harus mengonfigurasinya menggunakan aktivasi hybrid. Untuk informasi selengkapnya, lihat Mengelola node di lingkungan hybrid dan multicloud dengan Systems Manager.

  • Untuk menggunakan Session Manager dan penambalan aplikasi Microsoft dengan perangkat edge Anda, Anda harus mengaktifkan tingkat instance lanjutan. Untuk informasi selengkapnya, lihat Mengaktifkan tingkat instans lanjutan.

Sebelum kamu memulai

Verifikasi bahwa perangkat edge Anda memenuhi persyaratan berikut.

  • Perangkat edge Anda harus memenuhi persyaratan untuk dikonfigurasi sebagai perangkat AWS IoT Greengrass inti. Untuk informasi selengkapnya, lihat Menyiapkan perangkat AWS IoT Greengrass inti di Panduan AWS IoT Greengrass Version 2 Pengembang.

  • Perangkat edge Anda harus kompatibel dengan AWS Systems Manager Agen (SSM Agent). Untuk informasi lebih lanjut, lihatSistem operasi yang didukung untuk Systems Manager.

  • Perangkat edge Anda harus dapat berkomunikasi dengan layanan Systems Manager di cloud. Systems Manager tidak mendukung perangkat edge yang terputus.

Tentang mengatur perangkat edge

Menyiapkan AWS IoT Greengrass perangkat untuk Systems Manager melibatkan proses berikut.

catatan

Untuk informasi tentang menghapus instalasi SSM Agent dari perangkat edge, lihat Menghapus instalan AWS Systems Manager Agen di Panduan AWS IoT Greengrass Version 2 Pengembang.

Buat peran IAM layanan untuk perangkat edge Anda

AWS IoT Greengrass perangkat inti memerlukan peran layanan AWS Identity and Access Management (IAM) untuk berkomunikasi dengan AWS Systems Manager. Peran memberikan AWS Security Token Service ()AWS STSAssumeRolekepercayaan pada layanan Systems Manager. Anda hanya perlu membuat peran layanan satu kali untuk masing-masing Akun AWS. Anda akan menentukan peran ini untuk RegistrationRole parameter saat Anda mengonfigurasi dan menerapkan SSM Agent komponen ke AWS IoT Greengrass perangkat Anda. Jika Anda sudah membuat peran ini saat menyiapkan EC2 non-node untuk lingkungan hybrid dan multicloud, Anda dapat melewati langkah ini.

catatan

Pengguna di perusahaan atau organisasi Anda yang akan menggunakan Systems Manager di perangkat edge Anda harus diberikan izin IAM untuk menghubungi Systems ManagerAPI.

Persyaratan kebijakan bucket S3

Jika salah satu dari kasus berikut ini benar, Anda harus membuat kebijakan IAM izin khusus untuk bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) sebelum menyelesaikan prosedur ini:

  • Kasus 1: Anda menggunakan VPC titik akhir untuk menghubungkan secara pribadi ke layanan yang didukung Layanan AWS dan VPC titik akhir yang didukung oleh. VPC AWS PrivateLink

  • Kasus 2: Anda berencana untuk menggunakan bucket S3 yang Anda buat sebagai bagian dari operasi Systems Manager, seperti untuk menyimpan output untuk Run Command perintah atau Session Manager sesi ke ember S3. Sebelum melanjutkan, ikuti langkah-langkah di Membuat kebijakan bucket S3 kustom untuk profil instans. Informasi tentang kebijakan bucket S3 dalam topik tersebut juga berlaku untuk peran layanan Anda.

    catatan

    Jika perangkat Anda dilindungi oleh firewall dan Anda berencana untuk menggunakannya Patch Manager, firewall harus mengizinkan akses ke titik akhir baseline patch. arn:aws:s3:::patch-baseline-snapshot-region/*

    region mewakili pengenal untuk Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah AS Timur (Ohio). Untuk daftar yang didukung region nilai, lihat kolom Region di titik akhir layanan Systems Manager di. Referensi Umum Amazon Web Services

AWS CLI
Untuk membuat peran IAM layanan untuk AWS IoT Greengrass lingkungan (AWS CLI)
  1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

    Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.

  2. Di mesin lokal Anda, buat file teks dengan nama seperti SSMService-Trust.json dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file .json.

    catatan

    Catat namanya. Anda akan menentukannya saat Anda menyebarkan SSM Agent ke perangkat AWS IoT Greengrass inti Anda.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } }
  3. Buka AWS CLI, dan di direktori tempat Anda membuat JSON file, jalankan perintah create-role untuk membuat peran layanan. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

    Linux & macOS

    aws iam create-role \ --role-name SSMServiceRole \ --assume-role-policy-document file://SSMService-Trust.json

    Windows

    aws iam create-role ^ --role-name SSMServiceRole ^ --assume-role-policy-document file://SSMService-Trust.json
  4. Jalankan attach-role-policyperintah sebagai berikut untuk memungkinkan peran layanan yang baru saja Anda buat untuk membuat token sesi. Token sesi memberi izin pada perangkat edge Anda untuk menjalankan perintah menggunakan Systems Manager.

    catatan

    Kebijakan yang Anda tambahkan untuk profil layanan untuk perangkat edge adalah kebijakan yang sama yang digunakan untuk membuat profil instance untuk instans Amazon Elastic Compute Cloud (AmazonEC2). Untuk informasi selengkapnya tentang IAM kebijakan yang digunakan dalam perintah berikut, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.

    (Wajib) Jalankan perintah berikut untuk memungkinkan perangkat edge menggunakan fungsionalitas inti AWS Systems Manager layanan.

    Linux & macOS

    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Windows

    aws iam attach-role-policy ^ --role-name SSMServiceRole ^ --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Jika Anda membuat kebijakan bucket S3 kustom untuk peran layanan Anda, jalankan perintah berikut untuk mengizinkan AWS Systems Manager Agen (SSM Agent) untuk mengakses bucket yang Anda tentukan dalam kebijakan. Ganti account_ID and my_bucket_policy_name dengan Akun AWS ID dan nama bucket Anda.

    Linux & macOS

    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    Windows

    aws iam attach-role-policy ^ --role-name SSMServiceRole ^ --policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name

    (Opsional) Jalankan perintah berikut untuk mengizinkan SSM Agent untuk mengakses AWS Directory Service atas nama Anda untuk permintaan untuk bergabung dengan domain dari perangkat edge. Peran layanan memerlukan kebijakan ini hanya jika Anda menggabungkan perangkat edge ke direktori Microsoft AD.

    Linux & macOS

    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    Windows

    aws iam attach-role-policy ^ --role-name SSMServiceRole ^ --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di perangkat edge Anda. Perintah ini memungkinkan untuk membaca informasi pada perangkat dan menulisnya CloudWatch. Peran layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.

    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Tools for PowerShell
Untuk membuat peran IAM layanan untuk AWS IoT Greengrass lingkungan (AWS Tools for Windows PowerShell)
  1. Instal dan konfigurasikan AWS Tools for PowerShell (Alat untuk Windows PowerShell), jika Anda belum melakukannya.

    Untuk selengkapnya, lihat Menginstal AWS Tools for PowerShell.

  2. Di mesin lokal Anda, buat file teks dengan nama seperti SSMService-Trust.json dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file .json.

    catatan

    Catat namanya. Anda akan menentukannya saat Anda menyebarkan SSM Agent ke perangkat AWS IoT Greengrass inti Anda.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } }
  3. Buka PowerShell dalam mode administratif, dan di direktori tempat Anda membuat JSON file, jalankan New- IAMRole sebagai berikut untuk membuat peran layanan.

    New-IAMRole ` -RoleName SSMServiceRole ` -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
  4. Gunakan Register- IAMRolePolicy sebagai berikut untuk mengizinkan peran layanan yang Anda buat untuk membuat token sesi. Token sesi memberi izin pada perangkat edge Anda untuk menjalankan perintah menggunakan Systems Manager.

    catatan

    Kebijakan yang Anda tambahkan untuk peran layanan untuk perangkat edge di AWS IoT Greengrass lingkungan adalah kebijakan yang sama yang digunakan untuk membuat profil instance untuk EC2 instance. Untuk informasi selengkapnya tentang AWS kebijakan yang digunakan dalam perintah berikut, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.

    (Wajib) Jalankan perintah berikut untuk memungkinkan perangkat edge menggunakan fungsionalitas inti AWS Systems Manager layanan.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Jika Anda membuat kebijakan bucket S3 khusus untuk peran layanan Anda, jalankan perintah berikut untuk mengizinkan SSM Agent untuk mengakses bucket yang Anda tentukan dalam kebijakan. Ganti account_ID and my_bucket_policy_name dengan Akun AWS ID dan nama bucket Anda.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    (Opsional) Jalankan perintah berikut untuk mengizinkan SSM Agent untuk mengakses AWS Directory Service atas nama Anda untuk permintaan untuk bergabung dengan domain dari perangkat edge. Peran layanan memerlukan kebijakan ini hanya jika Anda menggabungkan perangkat edge ke direktori Microsoft AD.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di perangkat edge Anda. Perintah ini memungkinkan untuk membaca informasi pada perangkat dan menulisnya CloudWatch. Peran layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Konfigurasikan perangkat edge Anda untuk AWS IoT Greengrass

Siapkan perangkat edge Anda sebagai perangkat AWS IoT Greengrass inti. Proses penyiapan melibatkan verifikasi sistem operasi dan persyaratan sistem yang didukung, serta menginstal dan mengonfigurasi perangkat lunak AWS IoT Greengrass Core pada perangkat Anda. Untuk informasi selengkapnya, lihat Menyiapkan perangkat AWS IoT Greengrass inti di Panduan AWS IoT Greengrass Version 2 Pengembang.

Perbarui peran pertukaran AWS IoT Greengrass token dan instal SSM Agent di perangkat tepi Anda

Langkah terakhir untuk menyiapkan dan mengonfigurasi perangkat AWS IoT Greengrass inti Anda untuk Systems Manager mengharuskan Anda memperbarui peran layanan perangkat AWS IoT Greengrass AWS Identity and Access Management (IAM), juga disebut peran pertukaran token, dan menerapkan Agen AWS Systems Manager (SSM Agent) ke AWS IoT Greengrass perangkat Anda. Untuk informasi tentang proses ini, lihat Menginstal AWS Systems Manager Agen di Panduan AWS IoT Greengrass Version 2 Pengembang.

Setelah Anda menyebarkan SSM Agent ke perangkat Anda, AWS IoT Greengrass secara otomatis mendaftarkan perangkat Anda dengan Systems Manager. Tidak diperlukan pendaftaran tambahan. Anda dapat mulai menggunakan kemampuan Systems Manager untuk mengakses, mengelola, dan mengonfigurasi AWS IoT Greengrass perangkat Anda.

catatan

Perangkat edge Anda harus dapat berkomunikasi dengan layanan Systems Manager di cloud. Systems Manager tidak mendukung perangkat edge yang terputus.