Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola perangkat edge dengan Systems Manager
Bagian ini menjelaskan tugas penyiapan yang dilakukan oleh administrator akun dan sistem untuk mengaktifkan konfigurasi dan pengelolaan perangkat AWS IoT Greengrass inti. Setelah Anda menyelesaikan tugas ini, pengguna yang telah diberikan izin oleh Akun AWS administrator dapat menggunakannya AWS Systems Manager untuk mengonfigurasi dan mengelola perangkat AWS IoT Greengrass inti organisasi mereka.
-
SSM Agent for AWS IoT Greengrass tidak didukung pada macOS dan Windows 10. Anda tidak dapat menggunakan kemampuan Systems Manager untuk mengelola dan mengonfigurasi perangkat edge yang menggunakan sistem operasi ini.
-
Systems Manager juga mendukung perangkat edge yang tidak dikonfigurasi sebagai perangkat AWS IoT Greengrass inti. Untuk menggunakan Systems Manager untuk mengelola perangkat AWS IoT Core dan perangkat AWS non-edge, Anda harus mengonfigurasinya menggunakan aktivasi hybrid. Untuk informasi selengkapnya, lihat Mengelola node di lingkungan hybrid dan multicloud dengan Systems Manager.
-
Untuk menggunakan Session Manager dan penambalan aplikasi Microsoft dengan perangkat edge Anda, Anda harus mengaktifkan tingkat instance lanjutan. Untuk informasi selengkapnya, lihat Mengaktifkan tingkat instans lanjutan.
Sebelum kamu memulai
Verifikasi bahwa perangkat edge Anda memenuhi persyaratan berikut.
-
Perangkat edge Anda harus memenuhi persyaratan untuk dikonfigurasi sebagai perangkat AWS IoT Greengrass inti. Untuk informasi selengkapnya, lihat Menyiapkan perangkat AWS IoT Greengrass inti di Panduan AWS IoT Greengrass Version 2 Pengembang.
-
Perangkat edge Anda harus kompatibel dengan AWS Systems Manager Agen (SSM Agent). Untuk informasi lebih lanjut, lihatSistem operasi yang didukung untuk Systems Manager.
-
Perangkat edge Anda harus dapat berkomunikasi dengan layanan Systems Manager di cloud. Systems Manager tidak mendukung perangkat edge yang terputus.
Tentang mengatur perangkat edge
Menyiapkan AWS IoT Greengrass perangkat untuk Systems Manager melibatkan proses berikut.
Buat peran IAM layanan untuk perangkat edge Anda
AWS IoT Greengrass perangkat inti memerlukan peran layanan AWS Identity and Access Management (IAM) untuk berkomunikasi dengan AWS Systems Manager. Peran memberikan AWS Security Token Service ()AWS STSAssumeRolekepercayaan pada layanan Systems Manager. Anda hanya perlu membuat peran layanan satu kali untuk masing-masing Akun AWS. Anda akan menentukan peran ini untuk RegistrationRole
parameter saat Anda mengonfigurasi dan menerapkan SSM Agent komponen ke AWS IoT Greengrass perangkat Anda. Jika Anda sudah membuat peran ini saat menyiapkan EC2 non-node untuk lingkungan hybrid dan multicloud, Anda dapat melewati langkah ini.
Pengguna di perusahaan atau organisasi Anda yang akan menggunakan Systems Manager di perangkat edge Anda harus diberikan izin IAM untuk menghubungi Systems ManagerAPI.
Persyaratan kebijakan bucket S3
Jika salah satu dari kasus berikut ini benar, Anda harus membuat kebijakan IAM izin khusus untuk bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) sebelum menyelesaikan prosedur ini:
-
Kasus 1: Anda menggunakan VPC titik akhir untuk menghubungkan secara pribadi ke layanan yang didukung Layanan AWS dan VPC titik akhir yang didukung oleh. VPC AWS PrivateLink
-
Kasus 2: Anda berencana untuk menggunakan bucket S3 yang Anda buat sebagai bagian dari operasi Systems Manager, seperti untuk menyimpan output untuk Run Command perintah atau Session Manager sesi ke ember S3. Sebelum melanjutkan, ikuti langkah-langkah di Membuat kebijakan bucket S3 kustom untuk profil instans. Informasi tentang kebijakan bucket S3 dalam topik tersebut juga berlaku untuk peran layanan Anda.
Jika perangkat Anda dilindungi oleh firewall dan Anda berencana untuk menggunakannya Patch Manager, firewall harus mengizinkan akses ke titik akhir baseline patch. arn:aws:s3:::patch-baseline-snapshot-region
/*
region
mewakili pengenal untuk Wilayah AWS
didukung oleh AWS Systems Manager, seperti us-east-2
untuk Wilayah AS Timur (Ohio). Untuk daftar yang didukung region
nilai, lihat kolom Region di titik akhir layanan Systems Manager di. Referensi Umum Amazon Web Services
- AWS CLI
-
Untuk membuat peran IAM layanan untuk AWS IoT Greengrass lingkungan (AWS CLI)
Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.
Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.
-
Di mesin lokal Anda, buat file teks dengan nama seperti SSMService-Trust.json
dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file .json
.
Catat namanya. Anda akan menentukannya saat Anda menyebarkan SSM Agent ke perangkat AWS IoT Greengrass inti Anda.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
}
-
Buka AWS CLI, dan di direktori tempat Anda membuat JSON file, jalankan perintah create-role untuk membuat peran layanan. Ganti masing-masing example resource placeholder
dengan informasi Anda sendiri.
Linux & macOS
aws iam create-role \
--role-name SSMServiceRole
\
--assume-role-policy-document file://SSMService-Trust
.json
Windows
aws iam create-role ^
--role-name SSMServiceRole
^
--assume-role-policy-document file://SSMService-Trust
.json
-
Jalankan attach-role-policyperintah sebagai berikut untuk memungkinkan peran layanan yang baru saja Anda buat untuk membuat token sesi. Token sesi memberi izin pada perangkat edge Anda untuk menjalankan perintah menggunakan Systems Manager.
Kebijakan yang Anda tambahkan untuk profil layanan untuk perangkat edge adalah kebijakan yang sama yang digunakan untuk membuat profil instance untuk instans Amazon Elastic Compute Cloud (AmazonEC2). Untuk informasi selengkapnya tentang IAM kebijakan yang digunakan dalam perintah berikut, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.
(Wajib) Jalankan perintah berikut untuk memungkinkan perangkat edge menggunakan fungsionalitas inti AWS Systems Manager layanan.
Linux & macOS
aws iam attach-role-policy \
--role-name SSMServiceRole
\
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
Windows
aws iam attach-role-policy ^
--role-name SSMServiceRole
^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
Jika Anda membuat kebijakan bucket S3 kustom untuk peran layanan Anda, jalankan perintah berikut untuk mengizinkan AWS Systems Manager Agen (SSM Agent) untuk mengakses bucket yang Anda tentukan dalam kebijakan. Ganti account_ID
and my_bucket_policy_name
dengan Akun AWS ID dan nama bucket Anda.
Linux & macOS
aws iam attach-role-policy \
--role-name SSMServiceRole
\
--policy-arn arn:aws:iam::account_ID
:policy/my_bucket_policy_name
Windows
aws iam attach-role-policy ^
--role-name SSMServiceRole
^
--policy-arn arn:aws:iam::account_id
:policy/my_bucket_policy_name
(Opsional) Jalankan perintah berikut untuk mengizinkan SSM Agent untuk mengakses AWS Directory Service atas nama Anda untuk permintaan untuk bergabung dengan domain dari perangkat edge. Peran layanan memerlukan kebijakan ini hanya jika Anda menggabungkan perangkat edge ke direktori Microsoft AD.
Linux & macOS
aws iam attach-role-policy \
--role-name SSMServiceRole
\
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
Windows
aws iam attach-role-policy ^
--role-name SSMServiceRole
^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
(Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di perangkat edge Anda. Perintah ini memungkinkan untuk membaca informasi pada perangkat dan menulisnya CloudWatch. Peran layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.
aws iam attach-role-policy \
--role-name SSMServiceRole
\
--policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
- Tools for PowerShell
-
Untuk membuat peran IAM layanan untuk AWS IoT Greengrass lingkungan (AWS Tools for Windows PowerShell)
Instal dan konfigurasikan AWS Tools for PowerShell (Alat untuk Windows PowerShell), jika Anda belum melakukannya.
Untuk selengkapnya, lihat Menginstal AWS Tools for PowerShell.
-
Di mesin lokal Anda, buat file teks dengan nama seperti SSMService-Trust.json
dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file .json
.
Catat namanya. Anda akan menentukannya saat Anda menyebarkan SSM Agent ke perangkat AWS IoT Greengrass inti Anda.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
}
-
Buka PowerShell dalam mode administratif, dan di direktori tempat Anda membuat JSON file, jalankan New- IAMRole sebagai berikut untuk membuat peran layanan.
New-IAMRole `
-RoleName SSMServiceRole
`
-AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust
.json)
-
Gunakan Register- IAMRolePolicy sebagai berikut untuk mengizinkan peran layanan yang Anda buat untuk membuat token sesi. Token sesi memberi izin pada perangkat edge Anda untuk menjalankan perintah menggunakan Systems Manager.
Kebijakan yang Anda tambahkan untuk peran layanan untuk perangkat edge di AWS IoT Greengrass lingkungan adalah kebijakan yang sama yang digunakan untuk membuat profil instance untuk EC2 instance. Untuk informasi selengkapnya tentang AWS kebijakan yang digunakan dalam perintah berikut, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.
(Wajib) Jalankan perintah berikut untuk memungkinkan perangkat edge menggunakan fungsionalitas inti AWS Systems Manager layanan.
Register-IAMRolePolicy `
-RoleName SSMServiceRole
`
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
Jika Anda membuat kebijakan bucket S3 khusus untuk peran layanan Anda, jalankan perintah berikut untuk mengizinkan SSM Agent untuk mengakses bucket yang Anda tentukan dalam kebijakan. Ganti account_ID
and my_bucket_policy_name
dengan Akun AWS ID dan nama bucket Anda.
Register-IAMRolePolicy `
-RoleName SSMServiceRole
`
-PolicyArn arn:aws:iam::account_ID
:policy/my_bucket_policy_name
(Opsional) Jalankan perintah berikut untuk mengizinkan SSM Agent untuk mengakses AWS Directory Service atas nama Anda untuk permintaan untuk bergabung dengan domain dari perangkat edge. Peran layanan memerlukan kebijakan ini hanya jika Anda menggabungkan perangkat edge ke direktori Microsoft AD.
Register-IAMRolePolicy `
-RoleName SSMServiceRole
`
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
(Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di perangkat edge Anda. Perintah ini memungkinkan untuk membaca informasi pada perangkat dan menulisnya CloudWatch. Peran layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.
Register-IAMRolePolicy `
-RoleName SSMServiceRole
`
-PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Konfigurasikan perangkat edge Anda untuk AWS IoT Greengrass
Siapkan perangkat edge Anda sebagai perangkat AWS IoT Greengrass inti. Proses penyiapan melibatkan verifikasi sistem operasi dan persyaratan sistem yang didukung, serta menginstal dan mengonfigurasi perangkat lunak AWS IoT Greengrass Core pada perangkat Anda. Untuk informasi selengkapnya, lihat Menyiapkan perangkat AWS IoT Greengrass inti di Panduan AWS IoT Greengrass Version 2 Pengembang.
Perbarui peran pertukaran AWS IoT Greengrass token dan instal SSM Agent di perangkat tepi Anda
Langkah terakhir untuk menyiapkan dan mengonfigurasi perangkat AWS IoT Greengrass inti Anda untuk Systems Manager mengharuskan Anda memperbarui peran layanan perangkat AWS IoT Greengrass AWS Identity and Access Management (IAM), juga disebut peran pertukaran token, dan menerapkan Agen AWS Systems Manager (SSM Agent) ke AWS IoT Greengrass perangkat Anda. Untuk informasi tentang proses ini, lihat Menginstal AWS Systems Manager Agen di Panduan AWS IoT Greengrass Version 2 Pengembang.
Setelah Anda menyebarkan SSM Agent ke perangkat Anda, AWS IoT Greengrass secara otomatis mendaftarkan perangkat Anda dengan Systems Manager. Tidak diperlukan pendaftaran tambahan. Anda dapat mulai menggunakan kemampuan Systems Manager untuk mengakses, mengelola, dan mengonfigurasi AWS IoT Greengrass perangkat Anda.
Perangkat edge Anda harus dapat berkomunikasi dengan layanan Systems Manager di cloud. Systems Manager tidak mendukung perangkat edge yang terputus.