Avviso di fine del supporto: il 7 ottobre 2026, AWS il supporto per. AWS IoT Greengrass Version 1 Dopo il 7 ottobre 2026, non potrai più accedere alle risorse. AWS IoT Greengrass V1 Per ulteriori informazioni, visita [Migrate](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html) from. AWS IoT Greengrass Version 1
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruolo del gruppo Greengrass
Il ruolo del gruppo Greengrass è un ruolo IAM che autorizza il codice in esecuzione su un core Greengrass per accedere alle tue risorse. AWS Crei il ruolo e gestisci le autorizzazioni in AWS Identity and Access Management (IAM) e associ il ruolo al tuo gruppo Greengrass. Un gruppo Greengrass dispone di un ruolo del gruppo. Per aggiungere o modificare le autorizzazioni, puoi assegnare un ruolo diverso o modificare le politiche IAM associate al ruolo.
Il ruolo deve essere definito AWS IoT Greengrass come entità attendibile. A seconda del business case, il ruolo di gruppo potrebbe contenere policy IAM che definiscono:
+ Autorizzazioni per le [funzioni Lambda](lambda-functions.md) definite dall'utente per accedere ai servizi. AWS
+ Autorizzazioni per i [connettori per accedere ai servizi](connectors.md). AWS
+ Autorizzazioni per [lo stream manager](stream-manager.md) per esportare i flussi verso AWS IoT Analytics e Kinesis Data Streams.
+ Autorizzazioni per consentire la [registrazione CloudWatch ](greengrass-logs-overview.md).
Le sezioni seguenti descrivono come collegare o scollegare un ruolo del gruppo Greengrass in Console di gestione AWS sala operatoria. AWS CLI
+ [Gestione del ruolo del gruppo (console)](#manage-group-role-console)
+ [Gestire il ruolo del gruppo (CLI)](#manage-group-role-cli)
**Nota**
Oltre al ruolo di gruppo che autorizza l'accesso dal core di Greengrass, puoi assegnare [un ruolo di servizio Greengrass](service-role.md) AWS IoT Greengrass che consente di accedere AWS alle risorse per tuo conto.
## Gestione del ruolo del gruppo Greengrass (console)
È possibile utilizzare la AWS IoT console per le seguenti attività di gestione dei ruoli:
+ [Individuazione del ruolo del gruppo Greengrass](#get-group-role-console)
+ [Aggiunta o modifica del ruolo del gruppo Greengrass ](#add-or-change-group-role-console)
+ [Rimuovere il ruolo del gruppo Greengrass](#remove-group-role-console)
**Nota**
L'utente che ha effettuato l'accesso alla console deve disporre delle autorizzazioni per gestire il ruolo.
### Individuazione del ruolo del gruppo Greengrass (console)
Segui questi passaggi per trovare il ruolo assegnato a un gruppo Greengrass.
1. Nel riquadro di navigazione della AWS IoT console, in **Gestione**, espandi **i dispositivi Greengrass**, quindi scegli **Gruppi (V1**).
1. Scegliere il gruppo target.
1. Nella pagina di configurazione del gruppo, scegli **Visualizza** impostazioni.
Se un ruolo è associato al gruppo, viene visualizzato in **Ruolo di gruppo**.
### Aggiunta o modifica del ruolo del gruppo Greengrass (console)
Segui questi passaggi per scegliere un ruolo IAM dal tuo da aggiungere Account AWS a un gruppo Greengrass.
Un ruolo di gruppo ha i seguenti requisiti:
+ AWS IoT Greengrass definita come entità affidabile.
+ Le politiche di autorizzazione allegate al ruolo devono concedere alle AWS risorse le autorizzazioni richieste dalle funzioni e dai connettori Lambda del gruppo e dai componenti del sistema Greengrass.
**Nota**
Ti consigliamo di includere anche le chiavi di contesto `aws:SourceArn` e della condizione `aws:SourceAccount` globale nella tua politica di fiducia per evitare il *confuso problema della sicurezza secondaria.* Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).
Utilizza la console IAM per creare e configurare il ruolo e le relative autorizzazioni. Per i passaggi che creano un ruolo di esempio che consente l'accesso a una tabella Amazon DynamoDB, consulta. [Configurazione del ruolo del gruppo](config-iam-roles.md) Per i passaggi generali, consulta [Creating a role for an AWS service (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) nella *IAM User Guide*.
Dopo aver configurato il ruolo, usa la AWS IoT console per aggiungere il ruolo al gruppo.
**Nota**
Questa procedura è necessaria solo per scegliere un ruolo per il gruppo. Non è necessario dopo aver modificato le autorizzazioni del ruolo del gruppo attualmente selezionato.
1. Nel riquadro di navigazione della AWS IoT console, in **Gestione**, espandi **i dispositivi Greengrass**, quindi scegli **Gruppi (V1**).
1. Scegliere il gruppo target.
1. Nella pagina di configurazione del gruppo, scegli **Visualizza** impostazioni.
1. In **Ruolo di gruppo**, scegli di aggiungere o modificare il ruolo:
+ Per aggiungere il ruolo, scegli **Ruolo associato**, quindi seleziona il tuo ruolo dall'elenco dei ruoli. Questi sono i ruoli Account AWS che definisci AWS IoT Greengrass come entità attendibile.
+ Per scegliere un ruolo diverso, scegli **Modifica ruolo**, quindi seleziona il tuo ruolo dall'elenco dei ruoli.
1. Scegli **Save** (Salva).
### Rimozione del ruolo del gruppo Greengrass (console)
Attenersi alla seguente procedura per scollegare il ruolo da un gruppo Greengrass.
1. Nel riquadro di navigazione della AWS IoT console, in **Gestione**, espandi **i dispositivi Greengrass**, quindi scegli **Gruppi (V1**).
1. Scegliere il gruppo target.
1. Nella pagina di configurazione del gruppo, scegli **Visualizza** impostazioni.
1. In **Ruolo di gruppo**, scegli **Dissocia ruolo**.
1. Nella finestra di dialogo di conferma, scegli **Dissocia ruolo**. Questo passaggio rimuove il ruolo dal gruppo ma non elimina il ruolo. Se desideri eliminare il ruolo, utilizza la console IAM.
## Gestione del ruolo del gruppo Greengrass (CLI)
Puoi utilizzare il AWS CLI per le seguenti attività di gestione dei ruoli:
+ [Ottenere il ruolo del gruppo Greengrass](#get-group-role)
+ [Creare il ruolo del gruppo Greengrass](#create-group-role)
+ [Rimuovere il ruolo del gruppo Greengrass](#remove-group-role)
### Ottenere il ruolo del gruppo Greengrass (CLI)
Attenersi alla seguente procedura per scoprire se un gruppo Greengrass ha un ruolo associato.
1. Ottenere l'ID del gruppo di destinazione dall'elenco dei gruppi.
```
aws greengrass list-groups
```
Di seguito è riportata una risposta `list-groups` di esempio: Ogni gruppo nella risposta include una proprietà `Id` che contiene l'ID gruppo.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Per ulteriori informazioni, inclusi esempi che utilizzano l'opzione `query` per filtrare i risultati, consulta [Ottenere l'ID del gruppo](deployments.md#api-get-group-id).
1. Copiare l'`Id` del gruppo di destinazione dall'output.
1. Prendere il ruolo di gruppo. Sostituisci *group-id* con l'ID del gruppo target.
```
aws greengrass get-associated-role --group-id group-id
```
Se un ruolo è associato al gruppo Greengrass, vengono restituiti i seguenti metadati del ruolo.
```
{
"AssociatedAt": "timestamp",
"RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
Se il gruppo non ha un ruolo associato, viene restituito il seguente errore.
```
An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.
```
### Creare il ruolo del gruppo Greengrass (CLI)
Attenersi alla seguente procedura per creare un ruolo e associarlo a un gruppo Greengrass.
**Per creare il ruolo di gruppo utilizzando IAM**
1. Crea il ruolo con una politica di fiducia che AWS IoT Greengrass consenta di assumere il ruolo. In questo esempio viene creato un ruolo denominato `MyGreengrassGroupRole`, ma è possibile utilizzare un nome diverso. Ti consigliamo di includere anche le chiavi del contesto `aws:SourceArn` e della condizione `aws:SourceAccount` globale nella tua politica di fiducia per evitare il *confuso problema della sicurezza dei vicedirettori*. Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
1. Copiare il ruolo ARN dai metadati del ruolo nell'output. Utilizzare l'ARN per associare un ruolo al gruppo.
1. Allegare le policy gestite o in linea al ruolo per supportare il proprio business case. Ad esempio, se una funzione Lambda definita dall'utente legge da Amazon S3, puoi allegare `AmazonS3ReadOnlyAccess` la policy gestita al ruolo.
```
aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
```
In caso di esito positivo, non viene restituita alcuna risposta.
**Per associare il ruolo al gruppo Greengrass**
1. Ottenere l'ID del gruppo di destinazione dall'elenco dei gruppi.
```
aws greengrass list-groups
```
Di seguito è riportata una risposta `list-groups` di esempio: Ogni gruppo nella risposta include una proprietà `Id` che contiene l'ID gruppo.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Per ulteriori informazioni, inclusi esempi che utilizzano l'opzione `query` per filtrare i risultati, consulta [Ottenere l'ID del gruppo](deployments.md#api-get-group-id).
1. Copiare l'`Id` del gruppo di destinazione dall'output.
1. Associare il ruolo al cluster. Sostituisci *group-id* con l'ID del gruppo target e *role-arn* con l'ARN del ruolo del gruppo.
```
aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn
```
Se l'operazione riesce, viene restituita la seguente risposta.
```
{
"AssociatedAt": "timestamp"
}
```
### Rimuovere il ruolo del gruppo Greengrass (CLI)
Attenersi alla seguente procedura per scollegare il ruolo del gruppo dal gruppo Greengrass.
1. Ottenere l'ID del gruppo di destinazione dall'elenco dei gruppi.
```
aws greengrass list-groups
```
Di seguito è riportata una risposta `list-groups` di esempio: Ogni gruppo nella risposta include una proprietà `Id` che contiene l'ID gruppo.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Per ulteriori informazioni, inclusi esempi che utilizzano l'opzione `query` per filtrare i risultati, consulta [Ottenere l'ID del gruppo](deployments.md#api-get-group-id).
1. Copiare l'`Id` del gruppo di destinazione dall'output.
1. Annullare associazione del ruolo dal gruppo. Sostituisci *group-id* con l'ID del gruppo target.
```
aws greengrass disassociate-role-from-group --group-id group-id
```
Se l'operazione riesce, viene restituita la seguente risposta.
```
{
"DisassociatedAt": "timestamp"
}
```
**Nota**
È possibile eliminare il ruolo del gruppo se non lo si utilizza. Per prima cosa utilizzare [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) per scollegare la policy gestita dal ruolo, quindi usare [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) per eliminare il ruolo. Per ulteriori informazioni, consulta la sezione [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
## Consulta anche
+ Argomenti correlati nella *Guida per l'utente IAM*
+ [Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ [Modifica di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)
+ [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)
+ AWS IoT Greengrass *comandi nel Command Reference AWS CLI *
+ [list-groups](https://docs.aws.amazon.com/cli/latest/reference/greengrass/list-groups.html)
+ [associate-role-to-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-role-to-group.html)
+ [disassociate-role-from-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-role-from-group.html)
+ [get-associated-role](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-associated-role.html)
+ Comandi IAM nel *AWS CLI Command Reference*
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)