Crea un ruolo di servizio IAM per i tuoi dispositivi edge Configura i tuoi dispositivi edge per AWS IoT Greengrass Aggiorna il ruolo di scambio di AWS IoT Greengrass token e installalo SSM Agent sui tuoi dispositivi periferici

Gestione dei dispositivi periferici con Systems Manager

Questa sezione descrive le attività di configurazione eseguite dagli amministratori di account e sistema per consentire la configurazione e la gestione dei dispositivi AWS IoT Greengrass principali. Dopo aver completato queste attività, gli utenti a cui sono state concesse le autorizzazioni dall' Account AWS amministratore possono utilizzarle AWS Systems Manager per configurare e gestire i dispositivi AWS IoT Greengrass principali dell'organizzazione.

Nota

SSM Agentfor AWS IoT Greengrass non è supportato in macOS e Windows 10. Non è possibile utilizzare le funzionalità di Systems Manager per gestire e configurare i dispositivi edge che utilizzano questi sistemi operativi.
Systems Manager supporta anche dispositivi edge che non sono configurati come dispositivi AWS IoT Greengrass principali. Per utilizzare Systems Manager per gestire i dispositivi AWS IoT Core e i dispositivi non AWS edge, è necessario configurarli utilizzando un'attivazione ibrida. Per ulteriori informazioni, consulta Utilizzo di Systems Manager in ambienti ibridi e multicloud.
Per utilizzare Session Manager e l'applicazione Microsoft patching con i dispositivi Edge, è necessario abilitare il livello di istanze avanzate. Per ulteriori informazioni, consulta Attivazione del piano istanze avanzate.

Prima di iniziare

Verifica che i dispositivi Edge soddisfino i seguenti requisiti.

I dispositivi periferici devono soddisfare i requisiti per essere configurati come dispositivi AWS IoT Greengrass principali. Per ulteriori informazioni, consulta Configurazione dei dispositivi AWS IoT Greengrass principali nella Guida per gli AWS IoT Greengrass Version 2 sviluppatori.
I dispositivi edge devono essere compatibili con AWS Systems Manager Agent (SSM Agent). Per ulteriori informazioni, consulta Sistemi operativi supportati per Systems Manager.
I dispositivi Edge devono essere in grado di comunicare con il servizio Systems Manager nel cloud. Systems Manager non supporta dispositivi edge scollegati.

Informazioni sulla configurazione di dispositivi edge

La configurazione AWS IoT Greengrass dei dispositivi per Systems Manager prevede i seguenti processi.

Nota

Per informazioni sulla disinstallazione SSM Agent da un dispositivo edge, consulta Uninstall the AWS Systems Manager Agent nella AWS IoT Greengrass Version 2 Developer Guide.

Crea un ruolo di servizio IAM per i tuoi dispositivi edge

AWS IoT Greengrass i dispositivi principali richiedono un ruolo di servizio AWS Identity and Access Management (IAM) con cui comunicare AWS Systems Manager. Il ruolo concede AWS Security Token Service (AWS STS) AssumeRoletrust al servizio Systems Manager. È necessario creare il ruolo di servizio una sola volta per ogni Account AWS. Specificherai questo ruolo per il RegistrationRole parametro quando configurerai e distribuirai il SSM Agent componente sui tuoi AWS IoT Greengrass dispositivi. Se è già stato creato questo ruolo durante la configurazione di nodi non EC2 per un ambiente ibrido e multicloud, puoi ignorare questo passaggio.

Nota

È necessario fornire agli utenti dell'azienda o dell'organizzazione che usano Systems Manager sui tuoi dispositivi edge l'autorizzazione in IAM per richiamare l'API Systems Manager.

Requisito delle policy dei bucket S3

Se uno dei seguenti casi è true, è necessario creare una policy di autorizzazione IAM personalizzata per i bucket Amazon Simple Storage Service (Amazon S3) prima di completare questa procedura:

Caso 1: stai utilizzando un endpoint VPC per connettere privatamente il tuo VPC a servizi endpoint VPC supportati Servizi AWS e basati su. AWS PrivateLink
Caso 2: prevedi di utilizzare un bucket S3 che hai creato durante le operazioni Systems Manager, ad esempio per archiviare l'output per i comandi Run Command o le sessioni Session Manager in un bucket S3. Prima di procedere, segui i passaggi descritti in Create a custom S3 bucket policy for an instance profileCreare una policy del bucket S3 personalizzata per un profilo dell'istanza. Le informazioni sulle policy dei bucket S3 fornite in quell'argomento sono valide anche per il ruolo di servizio.

Nota
Se i tuoi dispositivi sono protetti da un firewall e prevedi di utilizzare Patch Manager, il firewall deve permettere l'accesso all'endpoint di base delle patch arn:aws:s3:::patch-baseline-snapshot-region/*.
region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio per la regione Stati Uniti orientali (us-east-2Ohio). Per un elenco dei valori region supportati, consulta la colonna Regione in Endpoint del servizio Systems Manager nella Riferimenti generali di Amazon Web Services.

AWS CLI

Per creare un ruolo di servizio IAM per un AWS IoT Greengrass ambiente ()AWS CLI

Installa e configura AWS Command Line Interface (AWS CLI), se non l'hai già fatto.

Per informazioni, consulta la pagina Installazione o aggiornamento della versione più recente di AWS CLI.
Creare un file di testo con un nome, ad esempio SSMService-Trust.json con la seguente policy di attendibilità. Salvare il file con l'estensione .json.

Nota
Prendere nota del nome. Lo specificherai SSM Agent al momento della distribuzione sui tuoi dispositivi AWS IoT Greengrass principali.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}
```

Apri e AWS CLI, nella directory in cui hai creato il file JSON, esegui il comando create-role per creare il ruolo di servizio. Sostituisci ciascun segnaposto delle risorse di esempio con le tue informazioni.

Linux e macOS


aws iam create-role \
    --role-name SSMServiceRole \
    --assume-role-policy-document file://SSMService-Trust.json

Windows


aws iam create-role ^
    --role-name SSMServiceRole ^
    --assume-role-policy-document file://SSMService-Trust.json

Usare attach-role-policy come segue per abilitare il ruolo di servizio appena creato per la creazione di un token di sessione. Il token della sessione fornisce ai tuoi dispositivi edge l'autorizzazione di eseguire comandi utilizzando Systems Manager.

Nota
Le policy aggiunte per un profilo del servizio per i dispositivi edge sono le stesse policy utilizzate per la creazione di un profilo dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Per ulteriori informazioni sulle policy IAM utilizzate nei seguenti comandi, consulta Configurare i permessi di istanza richiesti per Systems Manager.

(Obbligatorio) Esegui il comando seguente per consentire a un dispositivo periferico di utilizzare le funzionalità AWS Systems Manager di base del servizio.

Linux e macOS
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Windows
```
aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Se hai creato una policy personalizzata per i bucket S3 per il tuo ruolo di servizio, esegui il comando seguente per consentire ad AWS Systems Manager Agent (SSM Agent) di accedere ai bucket specificati nella policy. Sostituisci account_ID e my_bucket_policy_name con il tuo ID account Account AWS e il nome del bucket.

Linux & macOS
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
Windows
```
aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name
```
(Facoltativo) Esegui il comando seguente per permettere a SSM Agent di accedere a AWS Directory Service per tuo conto per unirti al dominio da dispositivi edge. Il ruolo di servizio necessita di questa policy solo se i dispositivi Edge vengono aggiunti a una directory Microsoft AD.

Linux e macOS
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
Windows
```
aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(Facoltativo) Esegui il comando seguente per consentire all' CloudWatch agente di funzionare sui tuoi dispositivi edge. Questo comando consente di leggere le informazioni su un dispositivo e scriverle su CloudWatch. Il tuo ruolo di servizio necessita di questa politica solo se utilizzerai servizi come Amazon EventBridge o Amazon CloudWatch Logs.
```
aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```

Tools for PowerShell

Per creare un ruolo di servizio IAM per un AWS IoT Greengrass ambiente ()AWS Tools for Windows PowerShell

Installa e configura AWS Tools for PowerShell (Tools for Windows PowerShell), se non l'hai già fatto.

Per informazioni, consulta la pagina Installazione di AWS Tools for PowerShell.
Creare un file di testo con un nome, ad esempio SSMService-Trust.json con la seguente policy di attendibilità. Salvare il file con l'estensione .json.

Nota
Prendere nota del nome. Lo specificherai SSM Agent al momento della distribuzione sui tuoi dispositivi AWS IoT Greengrass principali.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}
```
Apri PowerShell in modalità amministrativa e nella directory in cui hai creato il file JSON, esegui New-IAMRole come segue per creare un ruolo di servizio.
```
New-IAMRole `
    -RoleName SSMServiceRole `
    -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
```
Usa register-IAM RolePolicy come segue per consentire al ruolo di servizio che hai creato di creare un token di sessione. Il token della sessione fornisce ai tuoi dispositivi edge l'autorizzazione di eseguire comandi utilizzando Systems Manager.

Nota
Le policy aggiunte per un ruolo di servizio per i dispositivi edge in un ambiente AWS IoT Greengrass sono le stesse policy utilizzate per la creazione di un profilo dell'istanza per le istanze EC2. Per ulteriori informazioni sulle AWS politiche utilizzate nei seguenti comandi, vedere Configurazione delle autorizzazioni di istanza richieste per Systems Manager.

(Obbligatorio) Eseguite il comando seguente per consentire a un dispositivo periferico di utilizzare le funzionalità AWS Systems Manager di base del servizio.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
Se è stata creata una policy di bucket S3 personalizzata per il ruolo di servizio, eseguire il comando seguente per abilitare SSM Agent per l'accesso al bucket specificato nella policy. Sostituisci account_ID e my_bucket_policy_name con il tuo ID account Account AWS e il nome del bucket.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name
```
(Facoltativo) Esegui il comando seguente per permettere a SSM Agent di accedere a AWS Directory Service per tuo conto per unirti al dominio da dispositivi edge. Il ruolo di servizio necessita di questa policy solo se i dispositivi Edge vengono aggiunti a una directory Microsoft AD.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
```
(Facoltativo) Esegui il comando seguente per consentire all' CloudWatch agente di funzionare sui tuoi dispositivi edge. Questo comando consente di leggere le informazioni su un dispositivo e scriverle su CloudWatch. Il tuo ruolo di servizio necessita di questa politica solo se utilizzerai servizi come Amazon EventBridge o Amazon CloudWatch Logs.
```
Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
```

Configura i tuoi dispositivi edge per AWS IoT Greengrass

Configura i tuoi dispositivi perimetrali come dispositivi AWS IoT Greengrass principali. Il processo di configurazione prevede la verifica dei sistemi operativi e dei requisiti di sistema supportati, nonché l'installazione e la configurazione del software AWS IoT Greengrass Core sui dispositivi. Per ulteriori informazioni, consulta Configurazione di altri dispositivi AWS IoT Greengrass nella Guida per sviluppatori AWS IoT Greengrass Version 2 .

Aggiorna il ruolo di scambio di AWS IoT Greengrass token e installalo SSM Agent sui tuoi dispositivi periferici

Il passaggio finale per la configurazione e la configurazione dei dispositivi AWS IoT Greengrass principali per Systems Manager richiede l'aggiornamento del ruolo del servizio del dispositivo AWS IoT Greengrass AWS Identity and Access Management (IAM), chiamato anche ruolo di scambio di token, e la distribuzione di AWS Systems Manager Agent (SSM Agent) sui AWS IoT Greengrass dispositivi. Per informazioni su questi processi, consulta Installazione dell’agente AWS Systems Manager nella Guida per gli sviluppatori di AWS IoT Greengrass Version 2 .

Dopo la distribuzione SSM Agent sui dispositivi, registra AWS IoT Greengrass automaticamente i dispositivi con Systems Manager. Non è necessaria alcuna registrazione aggiuntiva. È possibile iniziare a utilizzare le funzionalità di Systems Manager per accedere, gestire e configurare i AWS IoT Greengrass dispositivi.

Nota

I dispositivi Edge devono essere in grado di comunicare con il servizio Systems Manager nel cloud. Systems Manager non supporta dispositivi edge scollegati.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Come installarlo SSM Agent su Windows nodi ibridi

Creazione di un amministratore AWS Organizations delegato per Systems Manager