Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruolo del servizio Greengrass
Il ruolo di servizio Greengrass è un ruolo di servizio AWS Identity and Access Management (IAM) che AWS IoT Greengrass autorizza l'accesso alle risorse AWS dei servizi per conto dell'utente. Questo ruolo consente di AWS IoT Greengrass verificare l'identità dei dispositivi client e gestire le informazioni principali sulla connettività dei dispositivi.
**Nota**
AWS IoT Greengrass V1 utilizza questo ruolo anche per eseguire attività essenziali. Per ulteriori informazioni, consulta il [ruolo del servizio Greengrass](https://docs.aws.amazon.com/greengrass/v1/developerguide/service-role.html) nella *AWS IoT Greengrass V1 Developer* Guide.
Per consentire l'accesso AWS IoT Greengrass alle tue risorse, il ruolo di servizio Greengrass deve essere associato a te Account AWS e specificato AWS IoT Greengrass come entità affidabile. Il ruolo deve includere la politica [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)gestita o una politica personalizzata che definisca autorizzazioni equivalenti per le AWS IoT Greengrass funzionalità utilizzate. AWS mantiene questa politica, che definisce l'insieme di autorizzazioni AWS IoT Greengrass utilizzate per accedere AWS alle risorse. Per ulteriori informazioni, consulta [AWS politica gestita: AWSGreengrass ResourceAccessRolePolicy](security-iam-aws-managed-policies.md#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy).
Puoi riutilizzare lo stesso ruolo del servizio Greengrass Regioni AWS in tutto il mondo, ma devi associarlo al tuo account Regione AWS ovunque lo utilizzi. AWS IoT Greengrass Se il ruolo di servizio non è configurato nell'attuale versione Regione AWS, i dispositivi principali non riescono a verificare i dispositivi client e ad aggiornare le informazioni di connettività.
Le sezioni seguenti descrivono come creare e gestire il ruolo di servizio Greengrass con o. Console di gestione AWS AWS CLI
**Topics**
+ [Gestire il ruolo del servizio Greengrass (console)](#manage-greengrass-service-role-console)
+ [Gestione del ruolo di servizio Greengrass (CLI)](#manage-service-role-cli)
+ [Consulta anche](#service-role-see-also)
**Nota**
Oltre al ruolo di servizio che autorizza l'accesso a livello di servizio, assegni un *ruolo di scambio di token ai dispositivi principali di Greengrass*. Il ruolo di scambio di token è un ruolo IAM separato che controlla il modo in cui i componenti Greengrass e le funzioni Lambda sul dispositivo principale possono accedere ai servizi. AWS Per ulteriori informazioni, consulta [Autorizza i dispositivi principali a interagire con i servizi AWS](device-service-role.md).
## Gestire il ruolo del servizio Greengrass (console)
La AWS IoT console semplifica la gestione del ruolo di servizio Greengrass. Ad esempio, quando configuri il rilevamento dei dispositivi client per un dispositivo principale, la console verifica se il tuo Account AWS è collegato a un ruolo di servizio Greengrass nell'attuale. Regione AWS In caso contrario, la console può creare e configurare un ruolo del servizio automaticamente. Per ulteriori informazioni, consulta [Creazione del ruolo del servizio Greengrass (console)](#create-greengrass-service-role-console).
È possibile utilizzare la console per le seguenti attività di gestione dei ruoli:
**Topics**
+ [Individuazione del ruolo del servizio Greengrass (console)](#get-greengrass-service-role-console)
+ [Creazione del ruolo del servizio Greengrass (console)](#create-greengrass-service-role-console)
+ [Modifica del ruolo del servizio Greengrass (console)](#update-greengrass-service-role-console)
+ [Scollegare il ruolo del servizio Greengrass (console)](#remove-greengrass-service-role-console)
**Nota**
L'utente che ha effettuato l'accesso alla console deve disporre delle autorizzazioni per visualizzare, creare o modificare il ruolo del servizio.
### Individuazione del ruolo del servizio Greengrass (console)
Utilizza i seguenti passaggi per trovare il ruolo di servizio AWS IoT Greengrass utilizzato nella versione corrente Regione AWS.
1. Passare alla [console AWS IoT](https://console.aws.amazon.com/iot).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Scorrere fino alla sezione **Greengrass service role (Ruolo del servizio Greengrass)** per visualizzare il ruolo del servizio e le relative policy.
Se non vedi un ruolo di servizio, la console può crearne o configurarne uno per te. Per ulteriori informazioni, consulta [Creazione del ruolo del servizio Greengrass](#create-greengrass-service-role-console).
### Creazione del ruolo del servizio Greengrass (console)
La console può creare e configurare automaticamente un ruolo di servizio Greengrass predefinito. Il ruolo ha le proprietà seguenti:
| Proprietà | Valore |
| --- | --- |
| Name | Greengrass\_ServiceRole |
| Trusted entity (Entità attendibile) | AWS service: greengrass |
| Policy | [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) |
**Nota**
Se crei questo ruolo con lo [script di configurazione del AWS IoT Greengrass V1 dispositivo](https://docs.aws.amazon.com/greengrass/v1/developerguide/quick-start.html), il nome del ruolo è`GreengrassServiceRole_{{random-string}}`.
Quando configuri il rilevamento dei dispositivi client per un dispositivo principale, la console verifica se un ruolo del servizio Greengrass è associato al tuo ruolo Account AWS corrente. Regione AWS In caso contrario, la console richiede all'utente di consentire la lettura e AWS IoT Greengrass la scrittura sui AWS servizi per conto dell'utente.
Se concedi l'autorizzazione, la console verifica se `Greengrass_ServiceRole` esiste un ruolo denominato nel tuo. Account AWS
+ Se il ruolo esiste, la console assegna il ruolo di servizio al tuo Account AWS ruolo attuale Regione AWS.
+ Se il ruolo non esiste, la console crea un ruolo di servizio Greengrass predefinito e lo associa a quello corrente Account AWS . Regione AWS
**Nota**
Se desideri creare un ruolo di servizio con politiche di ruolo personalizzate, utilizza la console IAM per creare o modificare il ruolo. Per ulteriori informazioni, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) o [Modifica di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) nella Guida per l'utente *IAM*. Assicurati che il ruolo conceda autorizzazioni equivalenti alle policy `AWSGreengrassResourceAccessRolePolicy` gestite per le funzionalità e le risorse utilizzate. Ti consigliamo di includere anche le chiavi di contesto `aws:SourceArn` e della condizione `aws:SourceAccount` globale nella tua politica di fiducia per evitare il *confuso problema della sicurezza dei vicedirettori*. Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).
Se crei un ruolo di servizio, torna alla AWS IoT console e assegna il ruolo al tuo. Account AWS Puoi farlo nel **ruolo di servizio Greengrass nella** pagina **Impostazioni**.
### Modifica del ruolo del servizio Greengrass (console)
Usa la seguente procedura per scegliere un ruolo di servizio Greengrass diverso da assegnare al tuo Account AWS nel ruolo Regione AWS attualmente selezionato nella console.
1. Passare alla [console AWS IoT](https://console.aws.amazon.com/iot).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. In Ruolo di **servizio Greengrass, scegli **Cambia** ruolo**.
Si apre la finestra di dialogo **Aggiorna ruolo di servizio Greengrass** e mostra i ruoli IAM del tuo Account AWS che definisci AWS IoT Greengrass come entità attendibile.
1. Scegli il ruolo di servizio Greengrass da associare.
1. Scegli **Allega ruolo**.
### Scollegare il ruolo del servizio Greengrass (console)
Utilizza la seguente procedura per scollegare il ruolo di servizio Greengrass dal AWS tuo account nella versione corrente. Regione AWS Ciò revoca le autorizzazioni per accedere AWS IoT Greengrass ai servizi AWS nella versione corrente. Regione AWS
**Importante**
Lo scollegamento del ruolo del servizio potrebbe interrompere le operazioni attive.
1. Passare alla [console AWS IoT](https://console.aws.amazon.com/iot).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nel ruolo di **servizio Greengrass, scegli il ruolo** **Detach**.
1. Nella finestra di dialogo di conferma, scegli **Detach (Scollega)**.
**Nota**
Se non hai più bisogno del ruolo, puoi eliminarlo nella console IAM. Per ulteriori informazioni, consulta la sezione [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
Altri ruoli potrebbero consentire l'accesso AWS IoT Greengrass alle tue risorse. Per trovare tutti i ruoli che consentono di AWS IoT Greengrass assumere autorizzazioni per tuo conto, nella console IAM, nella pagina **Ruoli, cerca i ruoli** che includono **AWS service: greengrass** nella colonna **Entità attendibili**.
## Gestione del ruolo di servizio Greengrass (CLI)
Nelle procedure seguenti, si presume che AWS Command Line Interface sia installato e configurato per utilizzare il tuo. Account AWS Per ulteriori informazioni, vedere [Installazione, aggiornamento e disinstallazione AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) e [configurazione](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) di AWS CLI nella Guida per l'*AWS Command Line Interface utente*.
È possibile utilizzare il AWS CLI per le seguenti attività di gestione dei ruoli:
**Topics**
+ [Ottenimento del ruolo del servizio Greengrass (CLI)](#get-service-role)
+ [Creazione del ruolo del servizio Greengrass (CLI)](#create-service-role)
+ [Rimozione del ruolo del servizio Greengrass (CLI)](#remove-service-role)
### Ottenimento del ruolo del servizio Greengrass (CLI)
Utilizza la seguente procedura per scoprire se un ruolo di servizio Greengrass è associato al tuo Account AWS in un. Regione AWS
+ Come ottenere il ruolo del servizio. {{region}}Sostituiscilo con il tuo Regione AWS (ad esempio,`us-west-2`).
```
aws greengrassv2 get-service-role-for-account --region {{region}}
```
Se un ruolo di servizio Greengrass è già associato al tuo account, la richiesta restituisce i seguenti metadati del ruolo.
```
{
"associatedAt": "{{timestamp}}",
"roleArn": "arn:aws:iam::{{account-id}}:role/{{path/role-name}}"
}
```
Se la richiesta non restituisce i metadati del ruolo, devi creare il ruolo di servizio (se non esiste) e associarlo al tuo account nel. Regione AWS
### Creazione del ruolo del servizio Greengrass (CLI)
Utilizza i seguenti passaggi per creare un ruolo e associarlo al tuo Account AWS.
**Per creare il ruolo di servizio utilizzando IAM**
1. Crea un ruolo con una politica di fiducia che AWS IoT Greengrass consenta di assumere il ruolo. In questo esempio viene creato un ruolo denominato `Greengrass_ServiceRole`, ma è possibile utilizzare un nome diverso. Ti consigliamo di includere anche le chiavi del contesto `aws:SourceArn` e della condizione `aws:SourceAccount` globale nella tua politica di fiducia per evitare il *confuso problema della sicurezza dei vicedirettori*. Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).
------
#### [ Linux or Unix ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:{{region}}:{{account-id}}:*"
},
"StringEquals": {
"aws:SourceAccount": "{{account-id}}"
}
}
}
]
}'
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:{{region}}:{{account-id}}:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"{{account-id}}\"}}}]}"
```
------
#### [ PowerShell ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:{{region}}:{{account-id}}:*"
},
"StringEquals": {
"aws:SourceAccount": "{{account-id}}"
}
}
}
]
}'
```
------
1. Copiare il ruolo ARN dai metadati del ruolo nell'output. Utilizzare l'ARN per associare un ruolo all'account.
1. Collegare la policy `AWSGreengrassResourceAccessRolePolicy` al ruolo.
```
aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
```
**Per associare il ruolo di servizio al tuo Account AWS**
+ Associare il ruolo all'account. Sostituisci {{role-arn}} con il ruolo di servizio ARN e {{region}} con il tuo Regione AWS (ad esempio,`us-west-2`).
```
aws greengrassv2 associate-service-role-to-account --role-arn {{role-arn}} --region {{region}}
```
In caso di successo, la richiesta restituisce la seguente risposta.
```
{
"associatedAt": "{{timestamp}}"
}
```
### Rimozione del ruolo del servizio Greengrass (CLI)
Utilizza i seguenti passaggi per dissociare il ruolo di servizio Greengrass dal tuo. Account AWS
+ Disassociare un ruolo del servizio dall'account. {{region}}Sostituiscilo con il tuo Regione AWS (ad esempio,`us-west-2`).
```
aws greengrassv2 disassociate-service-role-from-account --region {{region}}
```
Se l'operazione riesce, viene restituita la seguente risposta.
```
{
"disassociatedAt": "{{timestamp}}"
}
```
**Nota**
È necessario eliminare il ruolo di servizio se non lo si utilizza in nessuno Regione AWS. Per prima cosa utilizzare [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) per scollegare la policy gestita `AWSGreengrassResourceAccessRolePolicy` dal ruolo, quindi usare [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) per eliminare il ruolo. Per ulteriori informazioni, consulta la sezione [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
## Consulta anche
+ [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *IAM* User Guide
+ [Modifica di un ruolo nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) *per l'utente IAM*
+ [Eliminazione di ruoli o profili di istanza](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *IAM* User Guide
+ AWS IoT Greengrass comandi nel *AWS CLI Command* Reference
+ [associate-service-role-to-account](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/associate-service-role-to-account.html)
+ [disassociate-service-role-from-conto](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/disassociate-service-role-from-account.html)
+ [get-service-role-for-conto](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/get-service-role-for-account.html)
+ Comandi IAM nel *AWS CLI Command* Reference
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)