Ruolo del servizio Greengrass - AWS IoT Greengrass
Gestione del ruolo del servizio (console)Gestione del ruolo del servizio (CLI)Consulta anche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo del servizio Greengrass

Il ruolo di servizio Greengrass è un ruolo di servizio AWS Identity and Access Management (IAM) che AWS IoT Greengrass autorizza l'accesso alle risorse AWS dei servizi per conto dell'utente. Questo ruolo consente di AWS IoT Greengrass verificare l'identità dei dispositivi client e gestire le informazioni principali sulla connettività dei dispositivi.

Nota

AWS IoT Greengrass V1utilizza questo ruolo anche per eseguire attività essenziali. Per ulteriori informazioni, consulta il ruolo del servizio Greengrass nella AWS IoT Greengrass V1Developer Guide.

Per consentire l'accesso AWS IoT Greengrass alle tue risorse, il ruolo di servizio Greengrass deve essere associato a te Account AWS e specificato AWS IoT Greengrass come entità affidabile. Il ruolo deve includere la politica AWSGreengrassResourceAccessRolePolicygestita o una politica personalizzata che definisca autorizzazioni equivalenti per le AWS IoT Greengrass funzionalità utilizzate. AWSmantiene questa politica, che definisce l'insieme di autorizzazioni AWS IoT Greengrass utilizzate per accedere AWS alle risorse. Per ulteriori informazioni, consulta AWSPolicy gestita: AWSGreengrassResourceAccessRolePolicy.

Puoi riutilizzare lo stesso ruolo del servizio Greengrass Regioni AWS in tutto il mondo, ma devi associarlo al tuo account Regione AWS ovunque lo utilizzi. AWS IoT Greengrass Se il ruolo di servizio non è configurato nell'attuale versioneRegione AWS, i dispositivi principali non riescono a verificare i dispositivi client e ad aggiornare le informazioni di connettività.

Le sezioni seguenti descrivono come creare e gestire il ruolo di servizio Greengrass con o. AWS Management Console AWS CLI

Nota

Oltre al ruolo di servizio che autorizza l'accesso a livello di servizio, assegni un ruolo di scambio di token ai dispositivi principali di Greengrass. Il ruolo di scambio di token è un ruolo IAM separato che controlla il modo in cui i componenti Greengrass e le funzioni Lambda sul dispositivo principale possono accedere ai servizi. AWS Per ulteriori informazioni, consulta Autorizza i dispositivi principali a interagire con i servizi AWS.

Gestire il ruolo del servizio Greengrass (console)

La console AWS IoT semplifica la gestione del ruolo del servizio Greengrass. Ad esempio, quando configuri il rilevamento dei dispositivi client per un dispositivo principale, la console verifica se il tuo Account AWS è collegato a un ruolo di servizio Greengrass nell'attuale. Regione AWS In caso contrario, la console può creare e configurare un ruolo del servizio automaticamente. Per ulteriori informazioni, consulta Creazione del ruolo del servizio Greengrass (console).

È possibile utilizzare la console per le seguenti attività di gestione dei ruoli:

Nota

L'utente che ha effettuato l'accesso alla console deve disporre delle autorizzazioni per visualizzare, creare o modificare il ruolo del servizio.

Individuazione del ruolo del servizio Greengrass (console)

Utilizza i seguenti passaggi per trovare il ruolo di servizio AWS IoT Greengrass utilizzato nella versione correnteRegione AWS.

  1. Passare alla console AWS IoT.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Scorrere fino alla sezione Greengrass service role (Ruolo del servizio Greengrass) per visualizzare il ruolo del servizio e le relative policy.

    Se non vedi un ruolo di servizio, la console può crearne o configurarne uno per te. Per ulteriori informazioni, consulta Creazione del ruolo del servizio Greengrass.

Creazione del ruolo del servizio Greengrass (console)

La console può creare e configurare automaticamente un ruolo di servizio Greengrass predefinito. Il ruolo ha le proprietà seguenti:

Proprietà Valore
Nome Greengrass_ServiceRole
Trusted entity (Entità attendibile) AWS service: greengrass
Policy AWSGreengrassResourceAccessRolePolicy
Nota

Se crei questo ruolo con lo script di configurazione del AWS IoT Greengrass V1 dispositivo, il nome del ruolo èGreengrassServiceRole_random-string.

Quando configuri il rilevamento dei dispositivi client per un dispositivo principale, la console verifica se un ruolo del servizio Greengrass è associato al tuo ruolo Account AWS nel sistema corrente. Regione AWS In caso contrario, la console richiede all'utente di consentire la lettura e AWS IoT Greengrass la scrittura sui AWS servizi per conto dell'utente.

Se concedi l'autorizzazione, la console verifica se Greengrass_ServiceRole esiste un ruolo denominato nel tuo. Account AWS

  • Se il ruolo esiste, la console assegna il ruolo di servizio al tuo Account AWS ruolo attualeRegione AWS.

  • Se il ruolo non esiste, la console crea un ruolo di servizio Greengrass predefinito e lo associa a quello correnteAccount AWS. Regione AWS

Nota

Se desideri creare un ruolo di servizio con politiche di ruolo personalizzate, utilizza la console IAM per creare o modificare il ruolo. Per ulteriori informazioni, consulta Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio o Modifica di un ruolo nella Guida per l'utente IAM. Assicurati che il ruolo conceda autorizzazioni equivalenti alle policy AWSGreengrassResourceAccessRolePolicy gestite per le funzionalità e le risorse utilizzate. Ti consigliamo di includere anche le chiavi di contesto aws:SourceArn e della condizione aws:SourceAccount globale nella tua politica di fiducia per evitare il confuso problema della sicurezza dei vicedirettori. Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta Prevenzione del problema "confused deputy" tra servizi.

Se crei un ruolo di servizio, torna alla AWS IoT console e assegna il ruolo al tuo. Account AWS È possibile eseguire questa operazione nel ruolo di servizio Greengrass nella pagina Impostazioni.

Modifica del ruolo del servizio Greengrass (console)

Usa la seguente procedura per scegliere un ruolo di servizio Greengrass diverso da assegnare al tuo Account AWS nel ruolo Regione AWS attualmente selezionato nella console.

  1. Passare alla console AWS IoT.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. In Ruolo di servizio Greengrass, scegli Cambia ruolo.

    Si apre la finestra di dialogo Aggiorna ruolo di servizio Greengrass e mostra i ruoli IAM del tuo Account AWS che definisci AWS IoT Greengrass come entità attendibile.

  4. Scegli il ruolo di servizio Greengrass da associare.

  5. Scegli Allega ruolo.

Scollegare il ruolo del servizio Greengrass (console)

Utilizza la seguente procedura per scollegare il ruolo di servizio Greengrass dal AWS tuo account nella versione corrente. Regione AWS Ciò revoca le autorizzazioni per l'accesso AWS IoT Greengrass ai servizi AWS nella versione corrente. Regione AWS

Importante

Lo scollegamento del ruolo del servizio potrebbe interrompere le operazioni attive.

  1. Passare alla console AWS IoT.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Nel ruolo di servizio Greengrass, scegli il ruolo Detach.

  4. Nella finestra di dialogo di conferma, scegli Detach (Scollega).

Nota

Se non hai più bisogno del ruolo, puoi eliminarlo nella console IAM. Per ulteriori informazioni, consulta la sezione Eliminazione di ruoli o profili delle istanze nella Guida per l'utente di IAM.

Altri ruoli potrebbero consentire ad AWS IoT Greengrass di accedere alle risorse. Per trovare tutti i ruoli che consentono di AWS IoT Greengrass assumere autorizzazioni per tuo conto, nella console IAM, nella pagina Ruoli, cerca i ruoli che includono AWSservice: greengrass nella colonna Trusted entities.

Gestione del ruolo di servizio Greengrass (CLI)

Nelle procedure seguenti, si presume che AWS Command Line Interface sia installato e configurato per utilizzare il tuo. Account AWS Per ulteriori informazioni, vedere Installazione, aggiornamento e disinstallazione AWS CLI e configurazione di AWS CLI nella Guida per l'AWS Command Line Interfaceutente.

Puoi utilizzare l'AWS CLI per le seguenti attività di gestione dei ruoli:

Ottenimento del ruolo del servizio Greengrass (CLI)

Utilizza la seguente procedura per scoprire se un ruolo di servizio Greengrass è associato al tuo Account AWS in un. Regione AWS

  • Come ottenere il ruolo del servizio. Sostituisci la regione con la tua Regione AWS (ad esempio,us-west-2).

    aws greengrassv2 get-service-role-for-account --region region

    Se un ruolo di servizio Greengrass è già associato al tuo account, la richiesta restituisce i seguenti metadati del ruolo.

    {
  "associatedAt": "timestamp",
  "roleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Se la richiesta non restituisce i metadati del ruolo, devi creare il ruolo di servizio (se non esiste) e associarlo al tuo account nel. Regione AWS

Creazione del ruolo del servizio Greengrass (CLI)

Utilizza i seguenti passaggi per creare un ruolo e associarlo al tuoAccount AWS.

Per creare il ruolo di servizio utilizzando IAM

  1. Creare un ruolo con una policy di attendibilità che consenta a AWS IoT Greengrass di assumere tale ruolo. In questo esempio viene creato un ruolo denominato Greengrass_ServiceRole, ma è possibile utilizzare un nome diverso. Ti consigliamo di includere anche le chiavi del contesto aws:SourceArn e della condizione aws:SourceAccount globale nella tua politica di fiducia per evitare il confuso problema della vice sicurezza. Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta Prevenzione del problema "confused deputy" tra servizi.

    Linux or Unix
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'
    Windows Command Prompt (CMD)
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
    PowerShell
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'

  2. Copiare il ruolo ARN dai metadati del ruolo nell'output. Utilizzare l'ARN per associare un ruolo all'account.

  3. Collegare la policy AWSGreengrassResourceAccessRolePolicy al ruolo.

    aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
Per associare il ruolo di servizio al tuo Account AWS

  • Associare il ruolo all'account. Sostituisci role-arn con l'ARN del ruolo di servizio e la regione con il tuo Regione AWS (ad esempio,). us-west-2

    aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region

    In caso di successo, la richiesta restituisce la seguente risposta.

    {
  "associatedAt": "timestamp"
}

Rimozione del ruolo del servizio Greengrass (CLI)

Utilizza i seguenti passaggi per dissociare il ruolo di servizio Greengrass dal tuo. Account AWS

  • Disassociare un ruolo del servizio dall'account. Sostituisci la regione con la tua Regione AWS (ad esempio,us-west-2).

    aws greengrassv2 disassociate-service-role-from-account --region region

    Se l'operazione riesce, viene restituita la seguente risposta.

    {
  "disassociatedAt": "timestamp"
}
    Nota

    È necessario eliminare il ruolo di servizio se non lo si utilizza in nessunoRegione AWS. Per prima cosa utilizzare delete-role-policy per scollegare la policy gestita AWSGreengrassResourceAccessRolePolicy dal ruolo, quindi usare delete-role per eliminare il ruolo. Per ulteriori informazioni, consulta la sezione Eliminazione di ruoli o profili delle istanze nella Guida per l'utente di IAM.

Consulta anche