Gestione dei dispositivi periferici con Systems Manager - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dei dispositivi periferici con Systems Manager

Questa sezione descrive le attività di configurazione eseguite dagli amministratori di account e di sistema per consentire la configurazione e la gestione dei dispositivi AWS IoT Greengrass principali. Dopo aver completato queste attività, gli utenti a cui sono state concesse le autorizzazioni dall' Account AWS amministratore possono utilizzarle AWS Systems Manager per configurare e gestire i dispositivi AWS IoT Greengrass principali dell'organizzazione.

Nota
  • SSM Agent for AWS IoT Greengrass non è supportato su macOS e Windows 10. Non è possibile utilizzare le funzionalità di Systems Manager per gestire e configurare i dispositivi edge che utilizzano questi sistemi operativi.

  • Systems Manager supporta anche dispositivi edge che non sono configurati come dispositivi AWS IoT Greengrass principali. Per utilizzare Systems Manager per gestire i dispositivi AWS IoT Core e i dispositivi non AWS edge, è necessario configurarli utilizzando un'attivazione ibrida. Per ulteriori informazioni, consulta Gestione dei nodi in ambienti ibridi e multicloud con Systems Manager.

  • Per utilizzare Session Manager e applicando patch alle applicazioni Microsoft con i tuoi dispositivi edge, devi abilitare il livello Advanced-Instances. Per ulteriori informazioni, consulta Attivazione del piano istanze avanzate.

Prima di iniziare

Verifica che i dispositivi Edge soddisfino i seguenti requisiti.

  • I dispositivi periferici devono soddisfare i requisiti per essere configurati come dispositivi principali. AWS IoT Greengrass Per ulteriori informazioni, consulta Configurazione dei dispositivi AWS IoT Greengrass principali nella Guida per gli AWS IoT Greengrass Version 2 sviluppatori.

  • I tuoi dispositivi periferici devono essere compatibili con AWS Systems Manager Agent (SSM Agent). Per ulteriori informazioni, vedereSistemi operativi supportati per Systems Manager.

  • I dispositivi Edge devono essere in grado di comunicare con il servizio Systems Manager nel cloud. Systems Manager non supporta dispositivi edge scollegati.

Informazioni sulla configurazione di dispositivi edge

La configurazione AWS IoT Greengrass dei dispositivi per Systems Manager prevede i seguenti processi.

Nota

Per informazioni sulla disinstallazione SSM Agent da un dispositivo edge, consulta Disinstalla l' AWS Systems Manager agente nella Guida per gli AWS IoT Greengrass Version 2 sviluppatori.

Crea un ruolo IAM di servizio per i tuoi dispositivi edge

AWS IoT Greengrass i dispositivi principali richiedono un ruolo di servizio AWS Identity and Access Management (IAM) con cui comunicare AWS Systems Manager. Il ruolo concede AWS Security Token Service ()AWS STSAssumeRoleaffidarsi al servizio Systems Manager. È necessario creare il ruolo di servizio una sola volta per ogni Account AWS. Specificherai questo ruolo per il RegistrationRole parametro quando configurerai e distribuirai il SSM Agent componente per i tuoi AWS IoT Greengrass dispositivi. Se hai già creato questo ruolo durante la configurazione di non EC2 nodi per un ambiente ibrido e multicloud, puoi saltare questo passaggio.

Nota

Agli utenti dell'azienda o dell'organizzazione che utilizzeranno Systems Manager sui dispositivi periferici deve essere concessa l'autorizzazione IAM a chiamare Systems ManagerAPI.

Requisito delle policy dei bucket S3

Se si verifica uno dei seguenti casi, devi creare una politica di IAM autorizzazione personalizzata per i bucket Amazon Simple Storage Service (Amazon S3) prima di completare questa procedura:

  • Caso 1: stai utilizzando un VPC endpoint per connetterti privatamente ai servizi VPC endpoint supportati Servizi AWS e forniti VPC da. AWS PrivateLink

  • Caso 2: si prevede di utilizzare un bucket S3 creato come parte delle operazioni di Systems Manager, ad esempio per archiviare l'output per Run Command comandi o Session Manager sessioni su un bucket S3. Prima di procedere, segui i passaggi descritti in Create a custom S3 bucket policy for an instance profileCreare una policy del bucket S3 personalizzata per un profilo dell'istanza. Le informazioni sulle policy dei bucket S3 fornite in quell'argomento sono valide anche per il ruolo di servizio.

    Nota

    Se i tuoi dispositivi sono protetti da un firewall e intendi utilizzarli Patch Manager, il firewall deve consentire l'accesso all'endpoint arn:aws:s3:::patch-baseline-snapshot-region/* di base della patch.

    region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco di quelli supportati region valori, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

AWS CLI
Per creare un ruolo IAM di servizio per un AWS IoT Greengrass ambiente ()AWS CLI
  1. Installa e configura AWS Command Line Interface (AWS CLI), se non l'hai già fatto.

    Per informazioni, consulta la pagina Installazione o aggiornamento della versione più recente di AWS CLI.

  2. Creare un file di testo con un nome, ad esempio SSMService-Trust.json con la seguente policy di attendibilità. Salvare il file con l'estensione .json.

    Nota

    Prendere nota del nome. Lo specificherai al momento della distribuzione SSM Agent sui tuoi dispositivi AWS IoT Greengrass principali.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } }
  3. Apri e AWS CLI, nella directory in cui hai creato il JSON file, esegui il comando create-role per creare il ruolo di servizio. Sostituisci ogni example resource placeholder con le tue informazioni.

    Linux e macOS

    aws iam create-role \ --role-name SSMServiceRole \ --assume-role-policy-document file://SSMService-Trust.json

    Windows

    aws iam create-role ^ --role-name SSMServiceRole ^ --assume-role-policy-document file://SSMService-Trust.json
  4. Esegui il attach-role-policycomando come segue per consentire al ruolo di servizio appena creato di creare un token di sessione. Il token della sessione fornisce ai tuoi dispositivi edge l'autorizzazione di eseguire comandi utilizzando Systems Manager.

    Nota

    Le politiche che aggiungi per un profilo di servizio per i dispositivi edge sono le stesse politiche utilizzate per creare un profilo di istanza per le istanze Amazon Elastic Compute Cloud (AmazonEC2). Per ulteriori informazioni sulle IAM politiche utilizzate nei seguenti comandi, vedere Configurazione delle autorizzazioni di istanza richieste per Systems Manager.

    (Obbligatorio) Eseguite il comando seguente per consentire a un dispositivo periferico di utilizzare le funzionalità AWS Systems Manager di base del servizio.

    Linux e macOS

    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Windows

    aws iam attach-role-policy ^ --role-name SSMServiceRole ^ --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Se hai creato una policy per i bucket S3 personalizzata per il tuo ruolo di servizio, esegui il comando seguente per consentire AWS Systems Manager a Agent (SSM Agent) per accedere ai bucket specificati nella policy. Replace (Sostituisci) account_ID e my_bucket_policy_name con il tuo Account AWS ID e il nome del tuo bucket.

    Linux e macOS

    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    Windows

    aws iam attach-role-policy ^ --role-name SSMServiceRole ^ --policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name

    (Facoltativo) Esegui il seguente comando per consentire SSM Agent per accedere per tuo AWS Directory Service conto alle richieste di iscrizione al dominio dai dispositivi periferici. Il ruolo di servizio necessita di questa policy solo se i dispositivi Edge vengono aggiunti a una directory Microsoft AD.

    Linux e macOS

    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    Windows

    aws iam attach-role-policy ^ --role-name SSMServiceRole ^ --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facoltativo) Esegui il comando seguente per consentire all' CloudWatch agente di funzionare sui tuoi dispositivi edge. Questo comando consente di leggere le informazioni su un dispositivo e scriverle su CloudWatch. Il tuo ruolo di servizio richiede questa politica solo se utilizzerai servizi come Amazon EventBridge o Amazon CloudWatch Logs.

    aws iam attach-role-policy \ --role-name SSMServiceRole \ --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Tools for PowerShell
Per creare un ruolo IAM di servizio per un AWS IoT Greengrass ambiente ()AWS Tools for Windows PowerShell
  1. Installa e configura AWS Tools for PowerShell (Strumenti per Windows PowerShell), se non l'hai già fatto.

    Per informazioni, consulta la pagina Installazione di AWS Tools for PowerShell.

  2. Creare un file di testo con un nome, ad esempio SSMService-Trust.json con la seguente policy di attendibilità. Salvare il file con l'estensione .json.

    Nota

    Prendere nota del nome. Lo specificherai al momento della distribuzione SSM Agent sui tuoi dispositivi AWS IoT Greengrass principali.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } }
  3. Apri PowerShell in modalità amministrativa e nella directory in cui hai creato il JSON file, esegui New- IAMRole come segue per creare un ruolo di servizio.

    New-IAMRole ` -RoleName SSMServiceRole ` -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
  4. Usa Register- IAMRolePolicy come segue per consentire al ruolo di servizio che hai creato di creare un token di sessione. Il token della sessione fornisce ai tuoi dispositivi edge l'autorizzazione di eseguire comandi utilizzando Systems Manager.

    Nota

    Le politiche aggiunte per un ruolo di servizio per i dispositivi periferici in un AWS IoT Greengrass ambiente sono le stesse politiche utilizzate per creare un profilo di istanza per EC2 le istanze. Per ulteriori informazioni sulle AWS politiche utilizzate nei seguenti comandi, vedere Configurazione delle autorizzazioni di istanza richieste per Systems Manager.

    (Obbligatorio) Eseguite il comando seguente per consentire a un dispositivo periferico di utilizzare le funzionalità AWS Systems Manager di base del servizio.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Se hai creato una policy personalizzata per il bucket S3 per il tuo ruolo di servizio, esegui il comando seguente per consentire SSM Agent per accedere ai bucket specificati nella policy. Replace (Sostituisci) account_ID e my_bucket_policy_name con il tuo Account AWS ID e il nome del tuo bucket.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    (Facoltativo) Esegui il seguente comando per consentire SSM Agent per accedere per tuo AWS Directory Service conto alle richieste di iscrizione al dominio dai dispositivi periferici. Il ruolo di servizio necessita di questa policy solo se i dispositivi Edge vengono aggiunti a una directory Microsoft AD.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facoltativo) Esegui il comando seguente per consentire all' CloudWatch agente di funzionare sui tuoi dispositivi edge. Questo comando consente di leggere le informazioni su un dispositivo e scriverle su CloudWatch. Il tuo ruolo di servizio richiede questa politica solo se utilizzerai servizi come Amazon EventBridge o Amazon CloudWatch Logs.

    Register-IAMRolePolicy ` -RoleName SSMServiceRole ` -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Configura i tuoi dispositivi edge per AWS IoT Greengrass

Configura i tuoi dispositivi perimetrali come dispositivi AWS IoT Greengrass principali. Il processo di configurazione prevede la verifica dei sistemi operativi e dei requisiti di sistema supportati, nonché l'installazione e la configurazione del software AWS IoT Greengrass Core sui dispositivi. Per ulteriori informazioni, consulta Configurazione di altri dispositivi AWS IoT Greengrass nella Guida per sviluppatori AWS IoT Greengrass Version 2 .

Aggiorna il ruolo di scambio di AWS IoT Greengrass token e installa SSM Agent sui tuoi dispositivi periferici

Il passaggio finale per la configurazione e la configurazione dei dispositivi AWS IoT Greengrass principali per Systems Manager richiede l'aggiornamento del ruolo di servizio del dispositivo AWS IoT Greengrass AWS Identity and Access Management (IAM), chiamato anche ruolo di scambio di token, e la distribuzione AWS Systems Manager di Agent (SSM Agent) sui tuoi dispositivi. AWS IoT Greengrass Per informazioni su questi processi, consulta Installazione dell’agente AWS Systems Manager nella Guida per gli sviluppatori di AWS IoT Greengrass Version 2 .

Dopo la distribuzione SSM Agent sui tuoi dispositivi, registra AWS IoT Greengrass automaticamente i tuoi dispositivi con Systems Manager. Non è necessaria alcuna registrazione aggiuntiva. È possibile iniziare a utilizzare le funzionalità di Systems Manager per accedere, gestire e configurare i AWS IoT Greengrass dispositivi.

Nota

I dispositivi Edge devono essere in grado di comunicare con il servizio Systems Manager nel cloud. Systems Manager non supporta dispositivi edge scollegati.