Gestore segreto - AWS IoT Greengrass
VersioniTypeSistema operativoRequisitiDipendenzeConfigurazioneFile di registro localeChangelog

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestore segreto

Il componente secret manager (aws.greengrass.SecretManager) distribuisce i segreti dai dispositivi AWS Secrets Manager principali di Greengrass. Usa questo componente per utilizzare in modo sicuro le credenziali, come le password, nei componenti personalizzati dei tuoi dispositivi principali Greengrass. Per ulteriori informazioni su Secrets Manager, vedi Cos'è AWS Secrets Manager? nella Guida AWS Secrets Manager per l'utente.

Per accedere ai segreti di questo componente nei componenti Greengrass personalizzati, utilizzate l'GetSecretValueoperazione in. SDK per dispositivi AWS IoT Per ulteriori informazioni, consulta SDK per dispositivi AWS IoT Utilizzatelo per comunicare con il nucleo Greengrass, gli altri componenti e AWS IoT Core e Recupera valori segreti.

Questo componente crittografa i segreti sul dispositivo principale per proteggere le credenziali e le password fino al momento del loro utilizzo. Utilizza la chiave privata del dispositivo principale per crittografare e decrittografare i segreti.

Versioni

Questo componente ha le seguenti versioni:

  • 2.2.x

  • 2.1.x

  • 2,0x

Type

Questo componente è un componente del plugin ()aws.greengrass.plugin. Il nucleo Greengrass esegue questo componente nella stessa Java Virtual Machine (JVM) del nucleo. Il nucleo si riavvia quando si modifica la versione di questo componente sul dispositivo principale.

Questo componente utilizza lo stesso file di registro del nucleo Greengrass. Per ulteriori informazioni, consulta Monitora AWS IoT Greengrass i registri.

Per ulteriori informazioni, consulta Tipi di componenti.

Sistema operativo

Questo componente può essere installato su dispositivi principali che eseguono i seguenti sistemi operativi:

  • Linux

  • Windows

Requisiti

Questo componente presenta i seguenti requisiti:

  • Il ruolo del dispositivo Greengrass deve consentire l'secretsmanager:GetSecretValueazione, come illustrato nella politica di esempio IAM seguente.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:secretsmanager:region:123456789012:secret:MySecret"
      ]
    }
  ]
}
    Nota

    Se utilizzi una AWS Key Management Service chiave gestita dal cliente per crittografare i segreti, anche il ruolo del dispositivo deve consentire l'azione. kms:Decrypt

    Per ulteriori informazioni sulle IAM politiche per Secrets Manager, vedere quanto segue nella Guida per l'AWS Secrets Manager utente:

  • I componenti personalizzati devono definire una politica di autorizzazione che aws.greengrass#GetSecretValue consenta di ottenere i segreti archiviati con questo componente. In questa politica di autorizzazione, puoi limitare l'accesso dei componenti a segreti specifici. Per ulteriori informazioni, vedere Secret Manager IPC Authorization.

  • (Facoltativo) Se memorizzate la chiave privata e il certificato del dispositivo principale in un modulo di sicurezza hardware (HSM), HSM devono supportare RSA le chiavi, la chiave privata deve avere l'unwrapautorizzazione e la chiave pubblica deve avere l'wrapautorizzazione.

Endpoint e porte

Questo componente deve essere in grado di eseguire richieste in uscita verso i seguenti endpoint e porte, oltre agli endpoint e alle porte necessari per le operazioni di base. Per ulteriori informazioni, consulta Consenti il traffico dei dispositivi tramite un proxy o un firewall.

Endpoint Porta Richiesto Descrizione

secretsmanager.region.amazonaws.com

 443

Scarica i segreti sul dispositivo principale.

Dipendenze

Quando distribuisci un componente, distribuisce AWS IoT Greengrass anche versioni compatibili delle sue dipendenze. Ciò significa che è necessario soddisfare i requisiti per il componente e tutte le sue dipendenze per distribuire correttamente il componente. Questa sezione elenca le dipendenze per le versioni rilasciate di questo componente e i vincoli di versione semantica che definiscono le versioni dei componenti per ogni dipendenza. È inoltre possibile visualizzare le dipendenze per ogni versione del componente nella console.AWS IoT Greengrass Nella pagina dei dettagli del componente, cerca l'elenco delle dipendenze.

2.2.0

La tabella seguente elenca le dipendenze per le versioni 2.2.0 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.13.0 <2.14.0 Flessibili
2.1.7 – 2.1.8

La tabella seguente elenca le dipendenze per le versioni 2.1.7 e 2.1.8 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.5.0 <2.13.0 Flessibili
2.1.6

La tabella seguente elenca le dipendenze per la versione 2.1.6 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.5.0 <2.12.0 Flessibili
2.1.5

La tabella seguente elenca le dipendenze per la versione 2.1.5 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.5.0 <2.11.0 Flessibili
2.1.4

La tabella seguente elenca le dipendenze per la versione 2.1.4 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.5.0 <2.10.0 Flessibili
2.1.3

La tabella seguente elenca le dipendenze per la versione 2.1.3 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.5.0 <2.9.0 Flessibili
2.1.2

La tabella seguente elenca le dipendenze per la versione 2.1.2 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.5.0 <2.8.0 Flessibili
2.1.1

La tabella seguente elenca le dipendenze per la versione 2.1.1 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.5.0 <2.7.0 Flessibili
2.1.0

La tabella seguente elenca le dipendenze per la versione 2.1.0 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.5.0 <2.6.0 Flessibili
2.0.9

La tabella seguente elenca le dipendenze per la versione 2.0.9 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.0.0 <2.5.0 Flessibili
2.0.8

La tabella seguente elenca le dipendenze per la versione 2.0.8 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.0.0 <2.4.0 Flessibili
2.0.7

La tabella seguente elenca le dipendenze per la versione 2.0.7 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.0.0 <2.3.0 Flessibili
2.0.6

La tabella seguente elenca le dipendenze per la versione 2.0.6 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.0.0 <2.2.0 Flessibili
2.0.4 and 2.0.5

La tabella seguente elenca le dipendenze per le versioni 2.0.4 e 2.0.5 di questo componente.

Dipendenza Versioni compatibili Tipo di dipendenza
Nucleo Greengrass >=2.0.3 <2.1.0 Flessibili

Per ulteriori informazioni sulle dipendenze dei componenti, vedere il riferimento alla ricetta dei componenti.

Configurazione

Questo componente fornisce i seguenti parametri di configurazione che è possibile personalizzare durante la distribuzione del componente.

periodicRefreshIntervalMin(opzionale)

L'intervallo in minuti in cui questo componente sincronizza i segreti configurati sul dispositivo principale con i valori segreti più recenti del AWS Secrets Manager servizio. Se questo intervallo non è configurato, il gestore segreto non aggiornerà periodicamente i segreti configurati.

{
  "cloudSecrets": [
    {
      "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef"
    }
  ],
  "periodicRefreshIntervalMin" : 60
}
cloudSecrets

Un elenco di segreti di Secrets Manager da distribuire sul dispositivo principale. È possibile specificare etichette per definire quali versioni di ogni segreto distribuire. Se non specifichi una versione, questo componente distribuisce la versione con l'etichetta di staging allegata. AWSCURRENT Per ulteriori informazioni, consulta Staging labels nella Guida per l'AWS Secrets Manager utente.

Il componente secret manager memorizza i segreti nella cache locale. Se il valore segreto cambia in Secrets Manager, questo componente non recupera automaticamente il nuovo valore. Per aggiornare la copia locale, assegna al segreto una nuova etichetta e configura questo componente per recuperare il segreto identificato dalla nuova etichetta.

Ogni oggetto contiene le seguenti informazioni:

arn

Il ARN segreto da implementare. Il ARN segreto può essere completo ARN o parzialeARN. Si consiglia di specificare un valore completo ARN anziché parzialeARN. Per ulteriori informazioni, vedere Trovare un segreto da un parziale ARN. Di seguito è riportato un esempio di una soluzione completa ARN e una parzialeARN:

  • CompletoARN: arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

  • ParzialeARN: arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName

labels

(Facoltativo) Un elenco di etichette per identificare le versioni del segreto da distribuire sul dispositivo principale.

Ogni etichetta deve essere una stringa.

Esempio: configurazione, unione, aggiornamento
{
  "cloudSecrets": [
    {
      "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef"
    }
  ]
}

File di registro locale

Questo componente utilizza lo stesso file di registro del componente Greengrass nucleus.

Linux
/greengrass/v2/logs/greengrass.log
Windows
C:\greengrass\v2\logs\greengrass.log
Per visualizzare i log di questo componente

  • Esegui il seguente comando sul dispositivo principale per visualizzare il file di registro di questo componente in tempo reale. Sostituisci /greengrass/v2 o C:\greengrass\v2 con il percorso della cartella AWS IoT Greengrass principale.

    Linux
    sudo tail -f /greengrass/v2/logs/greengrass.log
    Windows (PowerShell)
    Get-Content C:\greengrass\v2\logs\greengrass.log -Tail 10 -Wait

Changelog

La tabella seguente descrive le modifiche in ogni versione del componente.

Versione

Modifiche

2.2.0
Nuove funzionalità

Aggiunge il supporto per l'aggiornamento periodico dei segreti configurati tramite una nuova chiave di configurazione del componente.

Aggiunge il supporto per un nuovo parametro di richiesta nella GetSecretValue IPC richiesta di aggiornamento dei segreti per richiesta

2.1.8
Correzioni di bug e miglioramenti

Risolve un problema per cui il gestore segreto non accetta un arn parziale.

2.1.7

 Versione aggiornata per la versione 2.12.0 di Greengrass nucleus.

2.1.6

 Versione aggiornata per la versione 2.11.0 di Greengrass nucleus.

2.1.5

 Versione aggiornata per la versione 2.10.0 di Greengrass nucleus.

2.1.4
Correzioni di bug e miglioramenti

Risolve un problema per cui i segreti memorizzati nella cache venivano rimossi quando il gestore segreto veniva distribuito e Greengrass nucleus si riavviava.

Versione aggiornata per la versione 2.9.0 di Greengrass nucleus.

2.1.3

 Versione aggiornata per la versione 2.8.0 di Greengrass nucleus.

2.1.2

Versione aggiornata per la versione 2.7.0 di Greengrass nucleus.

2.1.1

Versione aggiornata per la versione 2.6.0 di Greengrass nucleus.

2.1.0
Nuove funzionalità

  • Aggiunge il supporto per l'integrazione della sicurezza hardware. Il componente secret manager può crittografare e decrittografare i segreti utilizzando una chiave privata archiviata in un modulo di sicurezza hardware (). HSM Per ulteriori informazioni, consulta Integrazione della sicurezza hardware.

Correzioni di bug e miglioramenti

  • Versione aggiornata per la versione 2.5.0 di Greengrass nucleus.

2.0.9

Versione aggiornata per la versione 2.4.0 di Greengrass nucleus.

2.0.8

Versione aggiornata per la versione 2.3.0 di Greengrass nucleus.

2.0.7

Versione aggiornata per la versione 2.2.0 di Greengrass nucleus.

2.0.6

Versione aggiornata per la versione 2.1.0 di Greengrass nucleus.

2.0.5
Miglioramenti

  • Aggiunge il supporto per le regioni e le regioni AWS della Cina. AWS GovCloud (US)

2.0.4

Versione iniziale.