Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi per AWS IoT Greengrass
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS IoT Greengrass IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Nota**
Questo argomento descrive i concetti e le funzionalità di IAM. Per informazioni sulle funzionalità IAM supportate da AWS IoT Greengrass, consulta[Come AWS IoT Greengrass funziona con IAM](security_iam_service-with-iam.md).
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di identità e accesso per AWS IoT Greengrass](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS IoT Greengrass funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS IoT Greengrass](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
## Consulta anche
+ [Come AWS IoT Greengrass funziona con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
+ [Risoluzione dei problemi di identità e accesso per AWS IoT Greengrass](security_iam_troubleshoot.md)
# Come AWS IoT Greengrass funziona con IAM
Prima di utilizzare IAM per gestire l'accesso AWS IoT Greengrass, è necessario comprendere le funzionalità IAM con cui è possibile utilizzare AWS IoT Greengrass.
| Funzionalità IAM | Supportata da Greengrass? |
| --- | --- |
| [Policy basate sull'identità con autorizzazioni a livello di risorse](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Liste di controllo degli accessi (ACLs)](#security_iam_service-with-iam-acls) | No |
| [Autorizzazione basata su tag ](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per una visione di alto livello di come altri AWS servizi funzionano con IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per AWS IoT Greengrass
Con le policy basate sull'identità IAM, puoi specificare azioni e risorse consentite o negate e le condizioni in base alle quali le azioni sono consentite o negate. AWS IoT Greengrass supporta azioni, risorse e chiavi di condizione specifiche. Per conoscere tutti gli elementi utilizzati in una policy, consulta il [riferimento agli elementi della policy IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *IAM User Guide*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Azioni politiche per AWS IoT Greengrass utilizzare il `greengrass:` prefisso prima dell'azione. Ad esempio, per consentire a qualcuno di utilizzare l'operazione `ListCoreDevices` API per elencare i dispositivi principali presenti nella propria politica Account AWS, è necessario includere l'`greengrass:ListCoreDevices`azione nella propria politica. Le dichiarazioni politiche devono includere un `NotAction` elemento `Action` or. AWS IoT Greengrass definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una singola istruzione, elencale tra parentesi (`[``]`) e separale con virgole, come segue:
```
"Action": [
"greengrass:action1",
"greengrass:action2",
"greengrass:action3"
]
```
È possibile utilizzare i caratteri jolly (`*`) per specificare più operazioni. Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "greengrass:List*"
```
**Nota**
Si consiglia di evitare l'uso di caratteri jolly per specificare tutte le operazioni disponibili per un servizio. Come procedura consigliata, è necessario concedere privilegi minimi e autorizzazioni di ambito ristretto in una policy. Per ulteriori informazioni, consulta [Concedere autorizzazioni minime possibili](security-best-practices.md#least-privilege).
Per l'elenco completo delle AWS IoT Greengrass azioni, consulta [Actions Defined by AWS IoT Greengrass](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions) nella *IAM User Guide*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
La tabella seguente contiene la AWS IoT Greengrass risorsa ARNs che può essere utilizzata nell'`Resource`elemento di una dichiarazione politica. *Per una mappatura delle autorizzazioni a livello di risorsa supportate per le AWS IoT Greengrass azioni, consulta [Actions Defined by AWS IoT Greengrass](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions) nella IAM User Guide.*
Alcune AWS IoT Greengrass azioni (ad esempio, alcune operazioni sugli elenchi) non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare solo il carattere jolly.
```
"Resource": "*"
```
Per specificare più risorse ARNs in un'istruzione, elencale tra parentesi (`[``]`) e separale con virgole, come segue:
```
"Resource": [
"resource-arn1",
"resource-arn2",
"resource-arn3"
]
```
Per ulteriori informazioni sui formati ARN, consulta [Amazon Resource Names (ARNs) e i namespace dei AWS servizi](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nel. *Riferimenti generali di Amazon Web Services*
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
### Esempi
Per visualizzare esempi di politiche AWS IoT Greengrass basate sull'identità, consulta. [Esempi di policy basate sull'identità per AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse per AWS IoT Greengrass
AWS IoT Greengrass [non supporta politiche basate sulle risorse.](security-iam.md#security_iam_access-manage-resource-based-policies)
## Elenchi di controllo degli accessi () ACLs
AWS IoT Greengrass non supporta [ACLs](security-iam.md#security_iam_access-manage-acl).
## Autorizzazione basata su AWS IoT Greengrass tag
È possibile allegare tag a AWS IoT Greengrass risorse supportate o passare tag in una richiesta a AWS IoT Greengrass. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione, `aws:ResourceTag/${TagKey}` o `aws:RequestTag/${TagKey}` `aws:TagKeys`. Per ulteriori informazioni, consulta [Tagga le tue AWS IoT Greengrass Version 2 risorse](tag-resources.md).
## Ruoli IAM per AWS IoT Greengrass
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno dell' Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con AWS IoT Greengrass
Le credenziali temporanee vengono utilizzate per accedere con la federazione, assumere un ruolo IAM o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
Sul core Greengrass, le credenziali temporanee per il [ruolo del dispositivo](device-service-role.md) sono rese disponibili ai componenti Greengrass. Se i componenti utilizzano l' AWS SDK, non è necessario aggiungere logica per ottenere le credenziali perché l' AWS SDK lo fa per te.
### Ruoli collegati ai servizi
AWS IoT Greengrass [non supporta ruoli collegati ai servizi.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
AWS IoT Greengrass i dispositivi principali utilizzano un ruolo di servizio per consentire ai componenti Greengrass e alle funzioni Lambda di accedere ad alcune AWS risorse per conto dell'utente. Per ulteriori informazioni, consulta [Autorizza i dispositivi principali a interagire con i servizi AWS](device-service-role.md).
AWS IoT Greengrass utilizza un ruolo di servizio per accedere ad alcune delle tue AWS risorse per tuo conto. Per ulteriori informazioni, consulta [Ruolo del servizio Greengrass](greengrass-service-role.md).
# Esempi di policy basate sull'identità per AWS IoT Greengrass
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse AWS IoT Greengrass . Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS, AWS CLI o. AWS Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi collegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS IoT Greengrass risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Esempi di policy
Nell'esempio riportato di seguito le policy definite dal cliente concedono autorizzazioni per scenari comuni.
**Topics**
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consultare [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
### Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Autorizza i dispositivi principali a interagire con i servizi AWS
AWS IoT Greengrass i dispositivi principali utilizzano il provider di AWS IoT Core credenziali per autorizzare le chiamate ai servizi. AWS Il provider di AWS IoT Core credenziali consente ai dispositivi di utilizzare i propri certificati X.509 come identità univoca del dispositivo per autenticare le richieste. AWS Ciò elimina la necessità di memorizzare un ID della chiave di AWS accesso e una chiave di accesso segreta sui dispositivi principali. AWS IoT Greengrass Per ulteriori informazioni, consulta [Autorizzazione delle chiamate dirette ai AWS servizi](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html) nella *Guida per gli AWS IoT Core sviluppatori*.
Quando esegui il software AWS IoT Greengrass Core, puoi scegliere di fornire le AWS risorse richieste dal dispositivo principale. Ciò include il ruolo AWS Identity and Access Management (IAM) che il dispositivo principale assume tramite il fornitore di AWS IoT Core credenziali. Utilizzate l'`--provision true`argomento per configurare un ruolo e delle politiche che consentano al dispositivo principale di ottenere credenziali temporanee AWS . Questo argomento configura anche un alias di AWS IoT ruolo che punta a questo ruolo IAM. È possibile specificare il nome del ruolo IAM e l'alias del AWS IoT ruolo da utilizzare. Se si specifica `--provision true` senza questi altri parametri di nome, il dispositivo principale Greengrass crea e utilizza le seguenti risorse predefinite:
+ Ruolo IAM: `GreengrassV2TokenExchangeRole`
Questo ruolo ha un nome di policy `GreengrassV2TokenExchangeRoleAccess` e una relazione di fiducia che `credentials.iot.amazonaws.com` consente di assumere il ruolo. La policy include le autorizzazioni minime per il dispositivo principale.
**Importante**
Questa politica non include l'accesso ai file nei bucket S3. È necessario aggiungere autorizzazioni al ruolo per consentire ai dispositivi principali di recuperare gli artefatti dei componenti dai bucket S3. Per ulteriori informazioni, consulta [Consenti l'accesso ai bucket S3 per gli artefatti dei componenti](#device-service-role-access-s3-bucket).
+ AWS IoT alias del ruolo: `GreengrassV2TokenExchangeRoleAlias`
Questo alias di ruolo si riferisce al ruolo IAM.
Per ulteriori informazioni, consulta [Fase 3: Installare il software AWS IoT Greengrass Core](install-greengrass-v2.md).
Puoi anche impostare l'alias del ruolo per un dispositivo principale esistente. A tale scopo, configurate il parametro di `iotRoleAlias` configurazione del componente [Greengrass nucleus](greengrass-nucleus-component.md).
È possibile acquisire AWS credenziali temporanee per questo ruolo IAM per eseguire AWS operazioni sui componenti personalizzati. Per ulteriori informazioni, consulta [Interagisci con AWS i servizi](interact-with-aws-services.md).
**Topics**
+ [Autorizzazioni relative ai ruoli di servizio per i dispositivi principali](#device-service-role-permissions)
+ [Consenti l'accesso ai bucket S3 per gli artefatti dei componenti](#device-service-role-access-s3-bucket)
## Autorizzazioni relative ai ruoli di servizio per i dispositivi principali
Il ruolo consente al seguente servizio di assumere il ruolo:
+ `credentials.iot.amazonaws.com`
Se si utilizza il software AWS IoT Greengrass Core per creare questo ruolo, questo utilizza la seguente politica di autorizzazioni per consentire ai dispositivi principali di connettersi e inviare i log a. AWS Il nome predefinito della policy è il nome del ruolo IAM che termina con. `Access` Ad esempio, se utilizzi il nome del ruolo IAM predefinito, il nome di questa policy è. `GreengrassV2TokenExchangeRoleAccess`
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ v2.4.x ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.4.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"iot:Connect",
"iot:Publish",
"iot:Subscribe",
"iot:Receive",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
## Consenti l'accesso ai bucket S3 per gli artefatti dei componenti
Il ruolo predefinito del dispositivo principale non consente ai dispositivi principali di accedere ai bucket S3. Per distribuire componenti che presentano artefatti nei bucket S3, devi aggiungere l'`s3:GetObject`autorizzazione per consentire ai dispositivi principali di scaricare gli artefatti dei componenti. Puoi aggiungere una nuova policy al ruolo principale del dispositivo per concedere questa autorizzazione.
**Per aggiungere una policy che consenta l'accesso agli artefatti dei componenti in Amazon S3**
1. Crea un file chiamato `component-artifact-policy.json` e copia il seguente codice JSON nel file. Questa politica consente l'accesso a tutti i file in un bucket S3. Sostituisci amzn-s3-demo-bucket con il nome del bucket S3 per consentire l'accesso al dispositivo principale.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Esegui il seguente comando per creare la politica dal documento di policy in. `component-artifact-policy.json`
------
#### [ Linux or Unix ]
```
aws iam create-policy \
--policy-name MyGreengrassV2ComponentArtifactPolicy \
--policy-document file://component-artifact-policy.json
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-policy ^
--policy-name MyGreengrassV2ComponentArtifactPolicy ^
--policy-document file://component-artifact-policy.json
```
------
#### [ PowerShell ]
```
aws iam create-policy `
--policy-name MyGreengrassV2ComponentArtifactPolicy `
--policy-document file://component-artifact-policy.json
```
------
Copia la policy Amazon Resource Name (ARN) dai metadati della policy nell'output. Utilizzerai questo ARN per collegare questa policy al ruolo principale del dispositivo nel passaggio successivo.
1. Esegui il comando seguente per allegare la policy al ruolo principale del dispositivo. Sostituiscilo *GreengrassV2TokenExchangeRole* con il nome del ruolo specificato durante l'esecuzione del software AWS IoT Greengrass Core. Quindi, sostituisci l'ARN della policy con l'ARN del passaggio precedente.
------
#### [ Linux or Unix ]
```
aws iam attach-role-policy \
--role-name GreengrassV2TokenExchangeRole \
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam attach-role-policy ^
--role-name GreengrassV2TokenExchangeRole ^
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ PowerShell ]
```
aws iam attach-role-policy `
--role-name GreengrassV2TokenExchangeRole `
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
Se il comando non produce alcun output, significa che è stato eseguito correttamente e il dispositivo principale può accedere agli artefatti caricati in questo bucket S3.
# Policy IAM minima per l'installatore per il provisioning delle risorse
Quando installi il software AWS IoT Greengrass Core, puoi fornire AWS le risorse necessarie, come un AWS IoT oggetto e un ruolo IAM per il tuo dispositivo. Puoi anche implementare strumenti di sviluppo locale sul dispositivo. Il programma di installazione richiede AWS credenziali per poter eseguire queste azioni nel tuo. Account AWS Per ulteriori informazioni, consulta [Installare il software AWS IoT Greengrass Core](install-greengrass-core-v2.md).
La seguente politica di esempio include il set minimo di azioni richieste dal programma di installazione per fornire queste risorse. Queste autorizzazioni sono necessarie se si specifica l'`--provision`argomento per l'installatore. *account-id*Sostituitelo con il vostro Account AWS ID e *GreengrassV2TokenExchangeRole* sostituitelo con il nome del ruolo di scambio di token specificato con l'argomento `--tes-role-name` [installer](configure-installer.md).
**Nota**
L'informativa sulla `DeployDevTools` politica è richiesta solo se si specifica l'`--deploy-dev-tools`argomento per l'installatore.
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.5.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
# Ruolo del servizio Greengrass
Il ruolo di servizio Greengrass è un ruolo di servizio AWS Identity and Access Management (IAM) che AWS IoT Greengrass autorizza l'accesso alle risorse AWS dei servizi per conto dell'utente. Questo ruolo consente di AWS IoT Greengrass verificare l'identità dei dispositivi client e gestire le informazioni principali sulla connettività dei dispositivi.
**Nota**
AWS IoT Greengrass V1 utilizza questo ruolo anche per eseguire attività essenziali. Per ulteriori informazioni, consulta il [ruolo del servizio Greengrass](https://docs.aws.amazon.com/greengrass/v1/developerguide/service-role.html) nella *AWS IoT Greengrass V1 Developer* Guide.
Per consentire l'accesso AWS IoT Greengrass alle tue risorse, il ruolo di servizio Greengrass deve essere associato a te Account AWS e specificato AWS IoT Greengrass come entità affidabile. Il ruolo deve includere la politica [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)gestita o una politica personalizzata che definisca autorizzazioni equivalenti per le AWS IoT Greengrass funzionalità utilizzate. AWS mantiene questa politica, che definisce l'insieme di autorizzazioni AWS IoT Greengrass utilizzate per accedere AWS alle risorse. Per ulteriori informazioni, consulta [AWS politica gestita: AWSGreengrass ResourceAccessRolePolicy](security-iam-aws-managed-policies.md#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy).
Puoi riutilizzare lo stesso ruolo del servizio Greengrass Regioni AWS in tutto il mondo, ma devi associarlo al tuo account Regione AWS ovunque lo utilizzi. AWS IoT Greengrass Se il ruolo di servizio non è configurato nell'attuale versione Regione AWS, i dispositivi principali non riescono a verificare i dispositivi client e ad aggiornare le informazioni di connettività.
Le sezioni seguenti descrivono come creare e gestire il ruolo di servizio Greengrass con o. Console di gestione AWS AWS CLI
**Topics**
+ [Gestire il ruolo del servizio Greengrass (console)](#manage-greengrass-service-role-console)
+ [Gestione del ruolo di servizio Greengrass (CLI)](#manage-service-role-cli)
+ [Consulta anche](#service-role-see-also)
**Nota**
Oltre al ruolo di servizio che autorizza l'accesso a livello di servizio, assegni un *ruolo di scambio di token ai dispositivi principali di Greengrass*. Il ruolo di scambio di token è un ruolo IAM separato che controlla il modo in cui i componenti Greengrass e le funzioni Lambda sul dispositivo principale possono accedere ai servizi. AWS Per ulteriori informazioni, consulta [Autorizza i dispositivi principali a interagire con i servizi AWS](device-service-role.md).
## Gestire il ruolo del servizio Greengrass (console)
La AWS IoT console semplifica la gestione del ruolo di servizio Greengrass. Ad esempio, quando configuri il rilevamento dei dispositivi client per un dispositivo principale, la console verifica se il tuo Account AWS è collegato a un ruolo di servizio Greengrass nell'attuale. Regione AWS In caso contrario, la console può creare e configurare un ruolo del servizio automaticamente. Per ulteriori informazioni, consulta [Creazione del ruolo del servizio Greengrass (console)](#create-greengrass-service-role-console).
È possibile utilizzare la console per le seguenti attività di gestione dei ruoli:
**Topics**
+ [Individuazione del ruolo del servizio Greengrass (console)](#get-greengrass-service-role-console)
+ [Creazione del ruolo del servizio Greengrass (console)](#create-greengrass-service-role-console)
+ [Modifica del ruolo del servizio Greengrass (console)](#update-greengrass-service-role-console)
+ [Scollegare il ruolo del servizio Greengrass (console)](#remove-greengrass-service-role-console)
**Nota**
L'utente che ha effettuato l'accesso alla console deve disporre delle autorizzazioni per visualizzare, creare o modificare il ruolo del servizio.
### Individuazione del ruolo del servizio Greengrass (console)
Utilizza i seguenti passaggi per trovare il ruolo di servizio AWS IoT Greengrass utilizzato nella versione corrente Regione AWS.
1. Passare alla [console AWS IoT](https://console.aws.amazon.com/iot).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Scorrere fino alla sezione **Greengrass service role (Ruolo del servizio Greengrass)** per visualizzare il ruolo del servizio e le relative policy.
Se non vedi un ruolo di servizio, la console può crearne o configurarne uno per te. Per ulteriori informazioni, consulta [Creazione del ruolo del servizio Greengrass](#create-greengrass-service-role-console).
### Creazione del ruolo del servizio Greengrass (console)
La console può creare e configurare automaticamente un ruolo di servizio Greengrass predefinito. Il ruolo ha le proprietà seguenti:
| Proprietà | Valore |
| --- | --- |
| Name | Greengrass\$1ServiceRole |
| Trusted entity (Entità attendibile) | AWS service: greengrass |
| Policy | [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) |
**Nota**
Se crei questo ruolo con lo [script di configurazione del AWS IoT Greengrass V1 dispositivo](https://docs.aws.amazon.com/greengrass/v1/developerguide/quick-start.html), il nome del ruolo è`GreengrassServiceRole_random-string`.
Quando configuri il rilevamento dei dispositivi client per un dispositivo principale, la console verifica se un ruolo del servizio Greengrass è associato al tuo ruolo Account AWS corrente. Regione AWS In caso contrario, la console richiede all'utente di consentire la lettura e AWS IoT Greengrass la scrittura sui AWS servizi per conto dell'utente.
Se concedi l'autorizzazione, la console verifica se `Greengrass_ServiceRole` esiste un ruolo denominato nel tuo. Account AWS
+ Se il ruolo esiste, la console assegna il ruolo di servizio al tuo Account AWS ruolo attuale Regione AWS.
+ Se il ruolo non esiste, la console crea un ruolo di servizio Greengrass predefinito e lo associa a quello corrente Account AWS . Regione AWS
**Nota**
Se desideri creare un ruolo di servizio con politiche di ruolo personalizzate, utilizza la console IAM per creare o modificare il ruolo. Per ulteriori informazioni, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) o [Modifica di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) nella Guida per l'utente *IAM*. Assicurati che il ruolo conceda autorizzazioni equivalenti alle policy `AWSGreengrassResourceAccessRolePolicy` gestite per le funzionalità e le risorse utilizzate. Ti consigliamo di includere anche le chiavi di contesto `aws:SourceArn` e della condizione `aws:SourceAccount` globale nella tua politica di fiducia per evitare il *confuso problema della sicurezza dei vicedirettori*. Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).
Se crei un ruolo di servizio, torna alla AWS IoT console e assegna il ruolo al tuo. Account AWS Puoi farlo nel **ruolo di servizio Greengrass nella** pagina **Impostazioni**.
### Modifica del ruolo del servizio Greengrass (console)
Usa la seguente procedura per scegliere un ruolo di servizio Greengrass diverso da assegnare al tuo Account AWS nel ruolo Regione AWS attualmente selezionato nella console.
1. Passare alla [console AWS IoT](https://console.aws.amazon.com/iot).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. In Ruolo di **servizio Greengrass, scegli **Cambia** ruolo**.
Si apre la finestra di dialogo **Aggiorna ruolo di servizio Greengrass** e mostra i ruoli IAM del tuo Account AWS che definisci AWS IoT Greengrass come entità attendibile.
1. Scegli il ruolo di servizio Greengrass da associare.
1. Scegli **Allega ruolo**.
### Scollegare il ruolo del servizio Greengrass (console)
Utilizza la seguente procedura per scollegare il ruolo di servizio Greengrass dal AWS tuo account nella versione corrente. Regione AWS Ciò revoca le autorizzazioni per accedere AWS IoT Greengrass ai servizi AWS nella versione corrente. Regione AWS
**Importante**
Lo scollegamento del ruolo del servizio potrebbe interrompere le operazioni attive.
1. Passare alla [console AWS IoT](https://console.aws.amazon.com/iot).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nel ruolo di **servizio Greengrass, scegli il ruolo** **Detach**.
1. Nella finestra di dialogo di conferma, scegli **Detach (Scollega)**.
**Nota**
Se non hai più bisogno del ruolo, puoi eliminarlo nella console IAM. Per ulteriori informazioni, consulta la sezione [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
Altri ruoli potrebbero consentire l'accesso AWS IoT Greengrass alle tue risorse. Per trovare tutti i ruoli che consentono di AWS IoT Greengrass assumere autorizzazioni per tuo conto, nella console IAM, nella pagina **Ruoli, cerca i ruoli** che includono **AWS service: greengrass** nella colonna **Entità attendibili**.
## Gestione del ruolo di servizio Greengrass (CLI)
Nelle procedure seguenti, si presume che AWS Command Line Interface sia installato e configurato per utilizzare il tuo. Account AWS Per ulteriori informazioni, vedere [Installazione, aggiornamento e disinstallazione AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) e [configurazione](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) di AWS CLI nella Guida per l'*AWS Command Line Interface utente*.
È possibile utilizzare il AWS CLI per le seguenti attività di gestione dei ruoli:
**Topics**
+ [Ottenimento del ruolo del servizio Greengrass (CLI)](#get-service-role)
+ [Creazione del ruolo del servizio Greengrass (CLI)](#create-service-role)
+ [Rimozione del ruolo del servizio Greengrass (CLI)](#remove-service-role)
### Ottenimento del ruolo del servizio Greengrass (CLI)
Utilizza la seguente procedura per scoprire se un ruolo di servizio Greengrass è associato al tuo Account AWS in un. Regione AWS
+ Come ottenere il ruolo del servizio. *region*Sostituiscilo con il tuo Regione AWS (ad esempio,`us-west-2`).
```
aws greengrassv2 get-service-role-for-account --region region
```
Se un ruolo di servizio Greengrass è già associato al tuo account, la richiesta restituisce i seguenti metadati del ruolo.
```
{
"associatedAt": "timestamp",
"roleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
Se la richiesta non restituisce i metadati del ruolo, devi creare il ruolo di servizio (se non esiste) e associarlo al tuo account nel. Regione AWS
### Creazione del ruolo del servizio Greengrass (CLI)
Utilizza i seguenti passaggi per creare un ruolo e associarlo al tuo Account AWS.
**Per creare il ruolo di servizio utilizzando IAM**
1. Crea un ruolo con una politica di fiducia che AWS IoT Greengrass consenta di assumere il ruolo. In questo esempio viene creato un ruolo denominato `Greengrass_ServiceRole`, ma è possibile utilizzare un nome diverso. Ti consigliamo di includere anche le chiavi del contesto `aws:SourceArn` e della condizione `aws:SourceAccount` globale nella tua politica di fiducia per evitare il *confuso problema della sicurezza dei vicedirettori*. Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).
------
#### [ Linux or Unix ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
#### [ PowerShell ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
1. Copiare il ruolo ARN dai metadati del ruolo nell'output. Utilizzare l'ARN per associare un ruolo all'account.
1. Collegare la policy `AWSGreengrassResourceAccessRolePolicy` al ruolo.
```
aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
```
**Per associare il ruolo di servizio al tuo Account AWS**
+ Associare il ruolo all'account. Sostituisci *role-arn* con il ruolo di servizio ARN e *region* con il tuo Regione AWS (ad esempio,`us-west-2`).
```
aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region
```
In caso di successo, la richiesta restituisce la seguente risposta.
```
{
"associatedAt": "timestamp"
}
```
### Rimozione del ruolo del servizio Greengrass (CLI)
Utilizza i seguenti passaggi per dissociare il ruolo di servizio Greengrass dal tuo. Account AWS
+ Disassociare un ruolo del servizio dall'account. *region*Sostituiscilo con il tuo Regione AWS (ad esempio,`us-west-2`).
```
aws greengrassv2 disassociate-service-role-from-account --region region
```
Se l'operazione riesce, viene restituita la seguente risposta.
```
{
"disassociatedAt": "timestamp"
}
```
**Nota**
È necessario eliminare il ruolo di servizio se non lo si utilizza in nessuno Regione AWS. Per prima cosa utilizzare [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) per scollegare la policy gestita `AWSGreengrassResourceAccessRolePolicy` dal ruolo, quindi usare [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) per eliminare il ruolo. Per ulteriori informazioni, consulta la sezione [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.
## Consulta anche
+ [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *IAM* User Guide
+ [Modifica di un ruolo nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) *per l'utente IAM*
+ [Eliminazione di ruoli o profili di istanza](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *IAM* User Guide
+ AWS IoT Greengrass comandi nel *AWS CLI Command* Reference
+ [associate-service-role-to-account](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/associate-service-role-to-account.html)
+ [disassociate-service-role-from-conto](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/disassociate-service-role-from-account.html)
+ [get-service-role-for-conto](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/get-service-role-for-account.html)
+ Comandi IAM nel *AWS CLI Command* Reference
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)
# AWS politiche gestite per AWS IoT Greengrass
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**Topics**
+ [AWS politica gestita: AWSGreengrass FullAccess](#aws-managed-policies-AWSGreengrassFullAccess)
+ [AWS politica gestita: AWSGreengrass ReadOnlyAccess](#aws-managed-policies-AWSGreengrassReadOnlyAccess)
+ [AWS politica gestita: AWSGreengrass ResourceAccessRolePolicy](#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)
+ [AWS IoT Greengrass aggiornamenti alle politiche gestite AWS](#aws-managed-policy-updates)
## AWS politica gestita: AWSGreengrass FullAccess
È possibile allegare la policy `AWSGreengrassFullAccess` alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo e principale a tutte le AWS IoT Greengrass azioni.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `greengrass`— Consente ai responsabili l'accesso completo a tutte le azioni. AWS IoT Greengrass
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSGreengrass ReadOnlyAccess
È possibile allegare la policy `AWSGreengrassReadOnlyAccess` alle identità IAM.
Questa politica concede autorizzazioni di sola lettura che consentono a un responsabile di visualizzare, ma non modificare, le informazioni in. AWS IoT Greengrass Ad esempio, i responsabili con queste autorizzazioni possono visualizzare l'elenco dei componenti distribuiti su un dispositivo principale Greengrass, ma non possono creare una distribuzione per modificare i componenti che funzionano su quel dispositivo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `greengrass`— Consente ai responsabili di eseguire azioni che restituiscono un elenco di elementi o dettagli su un elemento. Ciò include le operazioni API che iniziano con `List` o`Get`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSGreengrass ResourceAccessRolePolicy
Puoi allegare la `AWSGreengrassResourceAccessRolePolicy` policy alle tue entità IAM. AWS IoT Greengrass associa inoltre questa policy a un ruolo di servizio che consente di AWS IoT Greengrass eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Ruolo del servizio Greengrass](greengrass-service-role.md).
Questa politica concede autorizzazioni amministrative che consentono di AWS IoT Greengrass eseguire attività essenziali, come il recupero delle funzioni Lambda, la AWS IoT gestione delle ombre dei dispositivi e la verifica dei dispositivi client Greengrass.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `greengrass`— Gestisci le risorse Greengrass.
+ `iot`(`*Shadow`) — Gestisci le AWS IoT ombre che hanno i seguenti identificatori speciali nei loro nomi. Queste autorizzazioni sono necessarie per AWS IoT Greengrass poter comunicare con i dispositivi principali.
+ `*-gci`— AWS IoT Greengrass utilizza questa ombra per archiviare le informazioni principali sulla connettività dei dispositivi, in modo che i dispositivi client possano rilevare e connettersi ai dispositivi principali.
+ `*-gcm`— AWS IoT Greengrass V1 utilizza questa ombra per notificare al dispositivo principale che il certificato di autorità di certificazione (CA) del gruppo Greengrass è ruotato.
+ `*-gda`— AWS IoT Greengrass V1 utilizza questa ombra per notificare al dispositivo principale una distribuzione.
+ `GG_*`— Inutilizzato.
+ `iot`(`DescribeThing`e`DescribeCertificate`) — Recupera informazioni su AWS IoT oggetti e certificati. Queste autorizzazioni sono necessarie per AWS IoT Greengrass verificare i dispositivi client che si connettono a un dispositivo principale. Per ulteriori informazioni, consulta [Interagisci con dispositivi IoT locali](interact-with-local-iot-devices.md).
+ `lambda`— Recupera informazioni sulle AWS Lambda funzioni. Questa autorizzazione è necessaria per consentire alla AWS IoT Greengrass V1 di distribuire le funzioni Lambda sui core Greengrass. Per ulteriori informazioni, consulta [Run Lambda function on the AWS IoT Greengrass core](https://docs.aws.amazon.com/greengrass/v1/developerguide/lambda-functions.html) nella *AWS IoT Greengrass V1* Developer Guide.
+ `secretsmanager`— Recupera il valore dei Gestione dei segreti AWS segreti i cui nomi iniziano con. `greengrass-` Questa autorizzazione è necessaria affinché AWS IoT Greengrass V1 possa distribuire i segreti di Secrets Manager sui core Greengrass. *Per ulteriori informazioni, consulta [Deploy secret to AWS IoT Greengrass core nella V1 Developer](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html) Guide.AWS IoT Greengrass *
+ `s3`— Recupera file e oggetti dai bucket S3 i cui nomi contengono o. `greengrass` `sagemaker` Queste autorizzazioni sono necessarie affinché AWS IoT Greengrass V1 possa distribuire risorse di machine learning archiviate nei bucket S3. *Per ulteriori informazioni, consulta le [risorse di machine learning](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html#ml-resources) nella V1 Developer Guide.AWS IoT Greengrass *
+ `sagemaker`— Recupera informazioni sui modelli di inferenza di apprendimento automatico di Amazon SageMaker AI. Questa autorizzazione è necessaria affinché AWS IoT Greengrass V1 possa distribuire modelli ML sui core Greengrass. *Per ulteriori informazioni, consulta [Eseguire l'inferenza dell'apprendimento automatico](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html) nella V1 Developer Guide.AWS IoT Greengrass *
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}
```
------
## AWS IoT Greengrass aggiornamenti alle politiche gestite AWS
È possibile visualizzare i dettagli sugli aggiornamenti delle politiche AWS gestite AWS IoT Greengrass dal momento in cui questo servizio ha iniziato a tenere traccia di tali modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei [documenti AWS IoT Greengrass V2](document-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| AWS IoT Greengrass ha iniziato a tenere traccia delle modifiche | AWS IoT Greengrass ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 2 luglio 2021 |
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può causare il problema del vice delegato confuso. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS IoT Greengrass forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il valore di `aws:SourceArn` deve essere la risorsa cliente Greengrass associata alla `sts:AssumeRole` richiesta.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:greengrass::account-id:*`.
Per un esempio di policy che utilizza le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition, vedi[Creazione del ruolo del servizio Greengrass](greengrass-service-role.md#create-service-role).
# Risoluzione dei problemi di identità e accesso per AWS IoT Greengrass
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS IoT Greengrass IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Sono un amministratore e desidero consentire ad altri di accedere AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse AWS IoT Greengrass](#security_iam_troubleshoot-cross-account-access)
Per un aiuto generale nella risoluzione dei problemi, consulta [Risoluzione dei problemi AWS IoT Greengrass V2](troubleshooting.md).
## Non sono autorizzato a eseguire un'azione in AWS IoT Greengrass
Se ricevi un errore che indica che non sei autorizzato a eseguire un'operazione, devi contattare il tuo amministratore per ricevere assistenza. L'amministratore è la persona che ti ha fornito il nome utente e la password.
Il seguente errore di esempio si verifica quando l'utente `mateojackson` IAM tenta di visualizzare i dettagli su un dispositivo principale, ma non dispone `greengrass:GetCoreDevice` delle autorizzazioni.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDevice on resource: arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore` mediante l'operazione `greengrass:GetCoreDevice`.
Di seguito sono riportati i problemi generali relativi a IAM che potresti riscontrare quando lavori con AWS IoT Greengrass.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a AWS IoT Greengrass.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in AWS IoT Greengrass. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Sono un amministratore e desidero consentire ad altri di accedere AWS IoT Greengrass
Per consentire ad altri di accedere AWS IoT Greengrass, devi concedere l'autorizzazione alle persone o alle applicazioni che necessitano dell'accesso. Se si utilizza AWS IAM Identity Center per gestire persone e applicazioni, si assegnano set di autorizzazioni a utenti o gruppi per definirne il livello di accesso. I set di autorizzazioni creano e assegnano automaticamente le policy IAM ai ruoli IAM associati alla persona o all'applicazione. Per ulteriori informazioni, consulta [Set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l'AWS IAM Identity Center utente*.
Se non utilizzi IAM Identity Center, devi creare entità IAM (utenti o ruoli) per le persone o le applicazioni che necessitano di accesso. Dovrai quindi collegare all'entità una policy che conceda le autorizzazioni corrette in AWS IoT Greengrass. Dopo aver concesso le autorizzazioni, fornisci le credenziali all'utente o allo sviluppatore dell'applicazione. Utilizzeranno tali credenziali per accedere. AWS*Per ulteriori informazioni sulla creazione di utenti, gruppi, policy e autorizzazioni IAM, consulta [IAM Identities](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) and [Policies and permissions in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) User Guide.*
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse AWS IoT Greengrass
Puoi creare un ruolo IAM che gli utenti di altri account o persone esterne alla tua organizzazione possano utilizzare per accedere alle tue AWS risorse. Puoi specificare chi è attendibile per l'assunzione del ruolo. Per ulteriori informazioni, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS utente di tua](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) proprietà e [Fornire l'accesso a Account AWS utenti di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
AWS IoT Greengrass non supporta l'accesso tra account in base a policy basate sulle risorse o liste di controllo degli accessi (). ACLs