Ruolo del servizio Greengrass - AWS IoT Greengrass
Gestione del ruolo del servizio (console)Gestione del ruolo del servizio (CLI)Consultare anche

AWS IoT Greengrass Version 1 è entrato nella fase di estensione della vita utile il 30 giugno 2023. Per ulteriori informazioni, consulta la politica AWS IoT Greengrass V1 di manutenzione. Dopo questa data, AWS IoT Greengrass V1 non rilascerà aggiornamenti che forniscano funzionalità, miglioramenti, correzioni di bug o patch di sicurezza. I dispositivi che funzionano AWS IoT Greengrass V1 non subiranno interruzioni e continueranno a funzionare e a connettersi al cloud. Ti consigliamo vivamente di eseguire la migrazione a AWS IoT Greengrass Version 2, che aggiunge nuove importanti funzionalità e supporto per piattaforme aggiuntive.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo del servizio Greengrass

Il ruolo del servizio Greengrass è unAWS Identity and Access ManagementRuolo del servizio (IAM) che autorizzaAWS IoT Greengrassper accedere alle risorse daAWSservizi per tuo conto. Questo consente a AWS IoT Greengrass di eseguire attività di base, ad esempio recuperare le funzioni AWS Lambda e gestire shadow AWS IoT.

Per consentireAWS IoT Greengrassper accedere alle proprie risorse, il ruolo del servizio Greengrass deve essere associato alAccount AWSe specificaAWS IoT Greengrasscome entità attendibile. Il ruolo deve includere la AWSGreengrassResourceAccessRolePolicypolicy gestita o una policy personalizzata che definisce autorizzazioni equivalenti per laAWS IoT Greengrassfunzionalità che utilizzi. Questa politica è gestita daAWSe definisce l'insieme di autorizzazioni cheAWS IoT Greengrassutilizza per accedere al tuoAWSrisorse AWS.

Puoi riutilizzare lo stesso ruolo del servizio Greengrass inRegione AWSs, ma devi associarlo al tuo account in ogniRegione AWSdove si utilizzaAWS IoT Greengrass. La distribuzione del gruppo ha esito negativo se il ruolo del servizio non esiste nella correnteAccount AWSe regione.

Le sezioni seguenti descrivono come creare e gestire il ruolo del servizio Greengrass nella AWS Management Console o nell'AWS CLI.

Nota

Oltre al ruolo del servizio che autorizza l'accesso a livello di servizio, puoi assegnare unRuolo del gruppoa unAWS IoT Greengrassgruppo. Il ruolo del gruppo è un ruolo IAM separato che controlla il modo in cui le funzioni Greengrass Lambda e i connettori del gruppo possono accedere.AWSServizi .

Gestione del ruolo del servizio Greengrass (console)

La console AWS IoT semplifica la gestione del ruolo del servizio Greengrass. Ad esempio, quando crei o distribuisci un gruppo Greengrass, la console verifica se laAccount AWSè collegato a un ruolo di servizio Greengrass inRegione AWSche è attualmente selezionata nella console. In caso contrario, la console può creare e configurare un ruolo del servizio automaticamente. Per ulteriori informazioni, consulta la pagina Creazione del ruolo del servizio Greengrass (console) .

Puoi utilizzare il pluginAWS IoTconsole per le seguenti attività di gestione dei ruoli:

Nota

L'utente che ha effettuato l'accesso alla console deve disporre delle autorizzazioni per visualizzare, creare o modificare il ruolo del servizio.

 

Individuazione del ruolo del servizio Greengrass (console)

Per individuare il ruolo del servizio, attenersi alla seguente procedura:AWS IoT Greengrasssta usando nella correnteRegione AWS.

  1. DaAWS IoTplanciariquadro di navigazione, scegliereImpostazioni.

  2. Scorrere fino alla sezione Greengrass service role (Ruolo del servizio Greengrass) per visualizzare il ruolo del servizio e le relative policy.

    Se non vendi un ruolo del servizio, puoi consentire alla console di crearne o configurarne uno automaticamente. Per ulteriori informazioni, consulta la pagina Creazione del ruolo del servizio Greengrass .

 

Creazione del ruolo del servizio Greengrass (console)

La console può creare e configurare automaticamente un ruolo di servizio Greengrass predefinito. Il ruolo ha le proprietà seguenti:

Proprietà Value (Valore)
Nome Greengrass_ServiceRole
Trusted entity (Entità attendibile) AWS service: greengrass
Policy AWSGreengrassResourceAccessRolePolicy
Nota

Se la configurazione del dispositivo Greengrass crea il ruolo del servizio, il nome del ruolo è GreengrassServiceRole_random-string.

Quando crei o distribuisci un gruppo Greengrass dalAWS IoTconsole, la console verifica se un ruolo del servizio Greengrass è associato alAccount AWSnellaRegione AWSche è attualmente selezionata nella console. In caso contrario, la console richiede di consentireAWS IoT Greengrassper leggere e scrivere aAWSservizi per tuo conto.

Se concedi l'autorizzazione, la console verifica se un ruolo denominatoGreengrass_ServiceRoleesiste nel tuoAccount AWS.

  • Se il ruolo esiste, la console collega il ruolo del servizio allaAccount AWSin correnteRegione AWS.

  • Se il ruolo non esiste, la console crea un ruolo di servizio Greengrass predefinito e lo collega alAccount AWSin correnteRegione AWS.

Nota

Se desideri creare un ruolo del servizio con policy di ruolo personalizzate, utilizza la console IAM per creare o modificare il ruolo. Per ulteriori informazioni, consultaCreazione di un ruolo per delegare le autorizzazioni a unAWSserviziooModifica di un ruolonellaIAM User Guide. Assicurati che il ruolo conceda autorizzazioni equivalenti alle policy AWSGreengrassResourceAccessRolePolicy gestite per le funzionalità e le risorse utilizzate. Consigliamo di includere ancheaws:SourceArneaws:SourceAccountChiavi di contesto delle condizioni globali nella policy di fiducia per evitare che«confused deputy»problema di sicurezza. Le chiavi di contesto della condizione limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dallo spazio di lavoro Greengrass. Per ulteriori informazioni sul problema del «confused deputy», consultaPrevenzione del problema "confused deputy" tra servizi.

Se crei un ruolo di servizio, torna allaAWS IoTconsole e allegalo al gruppo. Puoi farlo in Greengrass service role (Ruolo di servizio Greengrass) nella pagina Settings (Impostazioni) del gruppo.

 

Modifica del ruolo del servizio Greengrass (console)

Utilizza la procedura che segue per scegliere un ruolo di servizio Greengrass diverso da collegare alAccount AWSnellaRegione AWSattualmente selezionato nella console.

  1. DaAWS IoTplanciariquadro di navigazione, scegliereImpostazioni.

  2. UNDERRuolo del servizio Greengrass, scegliCambia ruolo.

    LaAggiornamento del ruolo del servizio Greengrasssi apre una finestra di dialogo che mostra i ruoli IAM nel tuoAccount AWSche definisciAWS IoT Greengrasscome entità attendibile.

  3. Scegli il ruolo del servizio Greengrass da allegare.

  4. ScegliereCollegamento del ruolo.

Nota

Per consentire alla console di creare automaticamente un ruolo di servizio Greengrass predefinito, scegliere Create role for me (Crea ruolo automaticamente) anziché scegliere un ruolo dall'elenco. LaCrea un ruolo per meil link non viene visualizzato se un ruolo denominatoGreengrass_ServiceRoleè nellaAccount AWS.

 

Scollegare il ruolo del servizio Greengrass (console)

Utilizza la procedura che segue per scollegare il ruolo del servizio Greengrass dallaAccount AWSnellaRegione AWSattualmente selezionato nella console. Questa operazione revoca le autorizzazioni perAWS IoT GreengrassaccedereAWSservizi nell'attualeRegione AWS.

Importante

Lo scollegamento del ruolo del servizio potrebbe interrompere le operazioni attive.

  1. DaAWS IoTplanciariquadro di navigazione, scegliereImpostazioni.

  2. UNDERRuolo del servizio Greengrass, scegliScollegare un ruolo.

  3. Nella finestra di dialogo di conferma, scegli Detach (Scollega).

Nota

Se il ruolo non è più necessario, è possibile eliminarlo nella console IAM. Per ulteriori informazioni, consulta la sezione Eliminazione di ruoli o profili delle istanze nella Guida per l'utente di IAM.

Altri ruoli potrebbero consentire ad AWS IoT Greengrass di accedere alle risorse. Per trovare tutti i ruoli che consentonoAWS IoT Greengrassper assumere le autorizzazioni per tuo conto, nella console IAM, sulRuolipagina, cerca i ruoli che includonoAWSservizio: greengrassnellaSoggetti attendibilicolonna.

Gestione del ruolo del servizio Greengrass (CLI)

Nelle procedure seguenti, supponiamo che laAWS CLIè installato e configurato per utilizzare il tuoAccount AWSID. Per ulteriori informazioni, consultaInstallazione diAWSInterfaccia a riga di comandoeConfigurazione dellaAWS CLInellaAWS Command Line InterfaceGuida per l’utente di.

Puoi utilizzare l'AWS CLI per le seguenti attività di gestione dei ruoli:

 

Ottenimento del ruolo del servizio Greengrass (CLI)

Utilizza la procedura che segue per scoprire se un ruolo del servizio Greengrass è associato alAccount AWSin unRegione AWS.

  • Come ottenere il ruolo del servizio. Replace (Sostituisci)regionecon le istruzioni diRegione AWS(ad esempio,us-west-2).

    aws Greengrass get-service-role-for-account --region region

    Se un ruolo del servizio Greengrass è già associato all'account, vengono restituiti i seguenti metadati del ruolo.

    {
  "AssociatedAt": "timestamp",
  "RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Se non vengono restituiti metadati del ruolo, è necessario creare il ruolo del servizio (se non esiste) e associarlo all'account nellaRegione AWS.

 

Creazione del ruolo del servizio Greengrass (CLI)

Utilizza la procedura che segue per creare un ruolo e associarlo allaAccount AWS.

Per creare il ruolo di servizio utilizzando IAM

  1. Creare il ruolo con una policy di attendibilità che consenta a AWS IoT Greengrass di assumere tale ruolo. In questo esempio viene creato un ruolo denominato Greengrass_ServiceRole, ma è possibile utilizzare un nome diverso. Consigliamo di includere ancheaws:SourceArneaws:SourceAccountChiavi di contesto delle condizioni globali nella policy di fiducia per evitare che«confused deputy»problema di sicurezza. Le chiavi di contesto della condizione limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dallo spazio di lavoro Greengrass. Per ulteriori informazioni sul problema del «confused deputy», consultaPrevenzione del problema "confused deputy" tra servizi.

    Linux, macOS, or Unix
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        }
      }
    }
  ]
}'
    Windows command prompt
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"

  2. Copiare il ruolo ARN dai metadati del ruolo nell'output. Utilizzare l'ARN per associare un ruolo all'account.

  3. Collegare la policy AWSGreengrassResourceAccessRolePolicy al ruolo.

    aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
Per associare il ruolo del servizio allaAccount AWS

  • Associare il ruolo all'account. Replace (Sostituisci)Arn del ruolocon il ruolo del servizio ARN eregionecon le istruzioni diRegione AWS(ad esempio,us-west-2).

    aws greengrass associate-service-role-to-account --role-arn role-arn --region region

    Se l'operazione riesce, viene restituita la seguente risposta.

    {
  "AssociatedAt": "timestamp"
}

 

Rimozione del ruolo del servizio Greengrass (CLI)

Utilizza la procedura che segue per disassociare il ruolo del servizio Greengrass dallaAccount AWS.

  • Disassociare un ruolo del servizio dall'account. Replace (Sostituisci)regionecon le istruzioni diRegione AWS(ad esempio,us-west-2).

    aws greengrass disassociate-service-role-from-account --region region

    Se l'operazione riesce, viene restituita la seguente risposta.

    {
  "DisassociatedAt": "timestamp"
}
    Nota

    È necessario eliminare il ruolo del servizio se non lo si utilizza in nessunoRegione AWS. Per prima cosa utilizzare delete-role-policy per scollegare la policy gestita AWSGreengrassResourceAccessRolePolicy dal ruolo, quindi usare delete-role per eliminare il ruolo. Per ulteriori informazioni, consulta la sezione Eliminazione di ruoli o profili delle istanze nella Guida per l'utente di IAM.

Consultare anche