サポート終了通知: 2026 年 10 月 7 日、 AWS はサポートを終了します AWS IoT Greengrass Version 1。2026 年 10 月 7 日以降、 AWS IoT Greengrass V1 リソースにアクセスできなくなります。詳細については、[「 からの移行 AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS IoT Greengrass Core ソフトウェアの OTA 更新
AWS IoT Greengrass Core ソフトウェアパッケージには、 AWS IoT Greengrass ソフトウェアのover-the-air (OTA) 更新を実行できる更新エージェントが含まれています。OTA 更新を使用して、最新バージョンの AWS IoT Greengrass Core ソフトウェアまたは OTA 更新エージェントソフトウェアを 1 つ以上の コアにインストールできます。OTA 更新では、コアデバイスが物理的に存在する必要はありません。
可能であれば、OTA 更新を使用することをお勧めします。これらは、更新ステータスと更新履歴を追跡するために使用できるメカニズムを提供します。更新に失敗すると、OTA 更新エージェントは以前のソフトウェアバージョンにロールバックします。
**注記**
`apt` を使用して AWS IoT Greengrass Core ソフトウェアをインストールする場合、OTA 更新はサポートされていません。このようなインストールでは、`apt` を使用してソフトウェアをアップグレードすることをお勧めします。詳細については、「[APT リポジトリから AWS IoT Greengrass Core ソフトウェアをインストールする](install-ggc.md#ggc-package-manager)」を参照してください。
OTA 更新により、以下の作業の効率が向上します。
+ セキュリティの脆弱性を修正する。
+ ソフトウェアの安定性の問題に対処する。
+ 新しい機能や改良された機能をデプロイする。
この機能は、[AWS IoT ジョブ](https://docs.aws.amazon.com/iot/latest/developerguide/iot-jobs.html)と統合されています。
## 要件
AWS IoT Greengrass ソフトウェアの OTA 更新には、次の要件が適用されます。
+ Greengrass Core はローカルストレージに 400 MB 以上の空き容量が必要です。OTA 更新エージェントには、 AWS IoT Greengrass Core ソフトウェアのランタイム使用要件の約 3 倍が必要です。詳細については、「*Amazon Web Services 全般のリファレンス*」の Greengrass core の「[Service Quotas](https://docs.aws.amazon.com/general/latest/gr/greengrass.html#limits_greengrass)」を参照してください。
+ Greengrass Core では、 AWS クラウドへの接続が必要です。
+ Greengrass コアは、 および で認証するための証明書とキーで正しく設定 AWS IoT Core およびプロビジョニングする必要があります AWS IoT Greengrass。詳細については、「[X.509 証明書](device-auth.md#x509-certificates)」を参照してください。
+ Greengrass コアは、ネットワークプロキシを使用するように設定することはできません。
**注記**
AWS IoT Greengrass v1.9.3 以降、OTA 更新は、デフォルトのポート 8883 ではなくポート 443 を使用するように MQTT トラフィックを設定するコアでサポートされています。ただし、OTA 更新エージェントはネットワークプロキシを介した更新をサポートしていません。詳細については、「[ポート 443 での接続またはネットワークプロキシを通じた接続](gg-core.md#alpn-network-proxy)」を参照してください。
+ AWS IoT Greengrass Core ソフトウェアを含むパーティションでは、信頼されたブートを有効にすることはできません。
**注記**
Core AWS IoT Greengrass ソフトウェアは、信頼できるブートが有効になっているパーティションにインストールして実行できますが、OTA 更新はサポートされていません。
+ AWS IoT Greengrass には、 Core ソフトウェアを含む AWS IoT Greengrass パーティションに対する読み取り/書き込みアクセス許可が必要です。
+ Greengrass コアを管理するために init システムを使用する場合、OTA 更新を init システムと統合するように設定する必要があります。詳細については、「[init システムとの統合](#integration-with-init)」を参照してください。
+ Amazon S3 URL を AWS IoT Greengrass ソフトウェア更新アーティファクトに事前署名するために使用されるロールを作成する必要があります。 URLs この署名者ロールにより AWS IoT Core 、 はユーザーに代わって Amazon S3 に保存されているソフトウェア更新アーティファクトにアクセスできます。詳細については、「[OTA 更新の IAM アクセス許可](#ota-permissions)」を参照してください。
### OTA 更新の IAM アクセス許可
が AWS IoT Greengrass Core ソフトウェアの新しいバージョンを AWS IoT Greengrass リリースすると、 は OTA 更新に使用される Amazon S3 に保存されているソフトウェアアーティファクト AWS IoT Greengrass を更新します。
には、これらのアーティファクトへのアクセスに使用できる Amazon S3 URL 署名者ロールが含まれている AWS アカウント 必要があります。ロールには、ターゲット のバケットに対する `s3:GetObject`アクションを許可するアクセス許可ポリシーが必要です AWS リージョン。ロールには、信頼されたエンティティとしてロールを引き受けることを `iot.amazonaws.com` に許可する信頼ポリシーも必要です。
**アクセス許可ポリシー**
ロールのアクセス許可については、 AWS 管理ポリシーを使用するか、カスタムポリシーを作成できます。
+ ** AWS 管理ポリシーを使用する**
[GreengrassOTAUpdateArtifactAccess](https://console.aws.amazon.com/iam/home?region=us-west-2#/policies/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2Fservice-role%2FGreengrassOTAUpdateArtifactAccess) 管理ポリシーは、 AWS IoT Greengrassによって提供されています。現在と将来の両方の でサポートされているすべての Amazon Web Services リージョンでアクセスを許可する場合は AWS IoT Greengrass、このポリシーを使用します。
+ **カスタムポリシーの作成**
コアがデプロイされるアマゾン ウェブ サービスリージョンを明示的に指定する場合は、カスタムポリシーを作成する必要があります。次のポリシー例では、6 つのリージョンの AWS IoT Greengrass ソフトウェア更新へのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToGreengrassOTAUpdateArtifacts",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::us-east-1-greengrass-updates/*",
"arn:aws:s3:::us-west-2-greengrass-updates/*",
"arn:aws:s3:::ap-northeast-1-greengrass-updates/*",
"arn:aws:s3:::ap-southeast-2-greengrass-updates/*",
"arn:aws:s3:::eu-central-1-greengrass-updates/*",
"arn:aws:s3:::eu-west-1-greengrass-updates/*"
]
}
]
}
```
------
**信頼ポリシー**
ロールにアタッチされた信頼ポリシーは、`sts:AssumeRole` アクションを許可し、`iot.amazonaws.com` をプリンシパルとして定義する必要があります。これにより、 AWS IoT Core は信頼されたエンティティとしてロールを引き受けることができます。ポリシードキュメントの例を次に示します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIotToAssumeRole",
"Action": "sts:AssumeRole",
"Principal": {
"Service": "iot.amazonaws.com"
},
"Effect": "Allow"
}
]
}
```
さらに、OTA 更新を開始するユーザーには、`greengrass:CreateSoftwareUpdateJob` および `iot:CreateJob` を使用するアクセス許可と、`iam:PassRole` を使用して署名者ロールのアクセス許可を渡すアクセス許可が必要です。IAM ポリシーの例を次に示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"greengrass:CreateSoftwareUpdateJob"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iot:CreateJob"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::123456789012:role/name-of-s3-url-signer-role"
}
]
}
```
------
## 考慮事項
Greengrass Core ソフトウェアの OTA 更新を開始する前に、Core デバイスと、その Core にローカルに接続されたクライアントデバイスの両方で、Greengrass グループのデバイスへの影響に注意します。
+ Core は更新中にシャットダウンされます。
+ Core で実行されている Lambda 関数はすべてシャットダウンされます。これらの関数がローカルリソースに書き込むと、それらのリソースは適切にシャットダウンされない限り正しい状態にならない場合があります。
+ コアのダウンタイム中、 との接続はすべて失われ AWS クラウド ます。クライアントデバイスによって Core 経由でルーティングされたメッセージは失われます。
+ 認証情報キャッシュは失われます。
+ Lambda 関数の作業を保留中のキューは失われます。
+ 存続期間の長い Lambda 関数は動的な状態情報を失い、保留中の作業はすべて破棄されます。
OTA 更新の実行中、以下の状態情報は保持されます。
+ Core 設定
+ Greengrass グループ設定
+ ローカルシャドウ
+ Greengrass のログ
+ OTA 更新エージェントログ
## Greengrass OTA Update Agent
Greengrass OTA 更新エージェントは、クラウドで作成およびデプロイされた更新ジョブを処理する、デバイス上のソフトウェアコンポーネントです。OTA 更新エージェントは、 AWS IoT Greengrass Core ソフトウェアと同じソフトウェアパッケージに配布されます。エージェントは `/greengrass-root/ota/ota_agent/ggc-ota` にあります。ログを `/var/log/greengrass/ota/ggc_ota.txt` に書き込みます。
**注記**
*greengrass-root* は、デバイスに AWS IoT Greengrass Core ソフトウェアがインストールされているパスを表します。通常、これは `/greengrass` ディレクトリです。
OTA 更新エージェントを起動するには、バイナリを手動で実行するか、systemd サービスファイルなどの init スクリプトの一部として統合します。バイナリを手動で実行する場合は、ルートとして実行する必要があります。起動すると、OTA 更新エージェントは からソフトウェア更新ジョブを AWS IoT Greengrass リッスン AWS IoT Core し、順番に実行します。OTA 更新エージェントは、他のすべての AWS IoT ジョブタイプを無視します。
次の抜粋は、OTA 更新エージェントを起動、停止、および再起動する systemd サービスファイルの例を示したものです。
```
[Unit]
Description=Greengrass OTA Daemon
[Service]
Type=forking
Restart=on-failure
ExecStart=/greengrass/ota/ota_agent/ggc-ota
[Install]
WantedBy=multi-user.target
```
更新のターゲットであるコアは、OTA 更新エージェントの 2 つのインスタンスを実行することはできません。実行すると、2 つのエージェントが同じジョブを処理し、それにより競合が発生します。
## init システムとの統合
OTA 更新中に、OTA 更新エージェントは Core デバイスのバイナリを再起動します。バイナリが実行されている場合、更新中に init システムが AWS IoT Greengrass Core ソフトウェアまたはエージェントの状態をモニタリングしているときに競合が発生する可能性があります。OTA 更新メカニズムを init モニタリング戦略と統合するために、更新の前後に実行するシェルスクリプトを記述できます。例えば、データをバックアップしたり、デバイスをシャットダウンする前にプロセスを停止したりする `ggc_pre_update.sh` スクリプトを記述できます。
これらのシェルスクリプトを実行するように OTA 更新エージェントに指示するには、[config.json](gg-core.md#config-json) ファイルに `"managedRespawn" : true` フラグを含める必要があります。この設定は、次の抜粋に示されています。
```
{
"coreThing": {
…
},
"runtime": {
…
},
"managedRespawn": true
…
}
```
### OTA 更新による管理された再生成
`managedRespawn` を `true` に設定した OTA 更新では、以下の要件が適用されます。
+ 以下のシェルスクリプトが `/greengrass-root/usr/scripts` ディレクトリ内に必要です。
+ `ggc_pre_update.sh`
+ `ggc_post_update.sh`
+ `ota_pre_update.sh`
+ `ota_post_update.sh`
+ スクリプトは、成功のリターンコードを返す必要があります。
+ スクリプトは root が所有し、root のみが実行できることが必要です。
+ `ggc_pre_update.sh` スクリプトで Greengrass デーモンを停止させる必要があります。
+ `ggc_post_update.sh` スクリプトで Greengrass デーモンを開始しておく必要があります。
**注記**
OTA 更新エージェントは自身でプロセスを管理しているため、`ota_pre_update.sh` および `ota_post_update.sh` スクリプトが OTA サービスの停止と開始に対応する必要はありません。
OTA 更新エージェントは `/greengrass-root/usr/scripts` にあるスクリプトを実行します。ディレクトリツリーは次のようになります。
```
|-- certs
|-- config
| |-- config.json
|-- ggc
|-- usr/scripts
| |-- ggc_pre_update.sh
| |-- ggc_post_update.sh
| |-- ota_pre_update.sh
| |-- ota_post_update.sh
|-- ota
```
`managedRespawn` が `true` に設定されている場合、OTA 更新エージェントは、ソフトウェア更新の前後に `/greengrass-root/usr/scripts` ディレクトリでスクリプトをチェックします。スクリプトがない場合は、更新は失敗します。 AWS IoT Greengrass はスクリプトの内容については検証しません。ベストプラクティスとして、スクリプトが正しく機能することを確認した上で、エラーの発生時には適切な終了コードを発行するようにしてください。
**AWS IoT Greengrass Core ソフトウェアの OTA 更新の場合:**
+ 更新を開始する前に、エージェントは `ggc_pre_update.sh` スクリプトを実行します。このスクリプトは、OTA 更新エージェントが AWS IoT Greengrass Core ソフトウェアの更新を開始する前に実行する必要があるコマンドに使用します。たとえば、データをバックアップしたり、実行中のプロセスを停止したりする場合などです。次の例は、Greengrass デーモンを停止させる単純なスクリプトです。
```
#!/bin/bash
set -euo pipefail
systemctl stop greengrass
```
+ 更新が完了すると、エージェントは `ggc_post_update.sh` スクリプトを実行します。このスクリプトは、プロセスの再起動など、OTA 更新エージェントが AWS IoT Greengrass Core ソフトウェアの更新を開始した後に実行する必要があるコマンドに使用します。次の例は、Greengrass デーモンを起動する単純なスクリプトです。
```
#!/bin/bash
set -euo pipefail
systemctl start greengrass
```
**OTA 更新エージェントの OTA 更新の場合**
+ 更新を開始する前に、エージェントは `ota_pre_update.sh` スクリプトを実行します。OTA 更新エージェントが自身を更新する前に必要なコマンド (データのバックアップや実行中のプロセスの停止など) を実行するために、このスクリプトを使用します。
+ 更新が完了すると、エージェントは `ota_post_update.sh` スクリプトを実行します。OTA 更新エージェントが自身の更新を開始した後に必要なコマンド (プロセスの再起動など) を実行するために、このスクリプトを使用します。
**注記**
`managedRespawn` が `false` に設定されている場合、OTA 更新エージェントはスクリプトを実行しません。
## OTA 更新の作成
1 つ以上のコアで AWS IoT Greengrass ソフトウェアの OTA 更新を実行するには、次の手順に従います。
1. コアが OTA 更新の[要件](#ota-update-requirements)を満たしていることを確認します。
**注記**
AWS IoT Greengrass Core ソフトウェアまたは OTA 更新エージェントを管理するように init システムを設定した場合は、コアで以下を確認します。
[config.json](gg-core.md#config-json) ファイルは `"managedRespawn" : true` を指定します。
/*greengrass-root*/usr/scripts ディレクトリには、次のスクリプトが含まれています。
ggc\$1pre\$1update.sh
ggc\$1post\$1update.sh
ota\$1pre\$1update.sh
ota\$1post\$1update.sh
詳細については、「[init システムとの統合](#integration-with-init)」を参照してください。
1. Core デバイスターミナルで、OTA 更新エージェントを起動します。
```
cd /greengrass-root/ota/ota_agent
sudo ./ggc-ota
```
**注記**
*greengrass-root* は、デバイスに AWS IoT Greengrass Core ソフトウェアがインストールされているパスを表します。通常、これは `/greengrass` ディレクトリです。
競合の原因となる可能性があるため、コアで OTA 更新エージェントの複数のインスタンスを起動しないでください。
1. AWS IoT Greengrass API を使用してソフトウェア更新ジョブを作成します。
1. [CreateSoftwareUpdateJob](#create-software-update-job) API を呼び出します。この例では、 AWS CLI コマンドを使用します。
次のコマンドは、1 つのコアで AWS IoT Greengrass Core ソフトウェアを更新するジョブを作成します。サンプル値を置き換えて、コマンドを実行します。
------
#### [ Linux or macOS terminal ]
```
aws greengrass create-software-update-job \
--update-targets-architecture x86_64 \
--update-targets [\"arn:aws:iot:region:123456789012:thing/myCoreDevice\"] \
--update-targets-operating-system ubuntu \
--software-to-update core \
--s3-url-signer-role arn:aws:iam::123456789012:role/myS3UrlSignerRole \
--update-agent-log-level WARN \
--amzn-client-token myClientToken1
```
------
#### [ Windows command prompt ]
```
aws greengrass create-software-update-job ^
--update-targets-architecture x86_64 ^
--update-targets [\"arn:aws:iot:region:123456789012:thing/myCoreDevice\"] ^
--update-targets-operating-system ubuntu ^
--software-to-update core ^
--s3-url-signer-role arn:aws:iam::123456789012:role/myS3UrlSignerRole ^
--update-agent-log-level WARN ^
--amzn-client-token myClientToken1
```
------
このコマンドは、次のレスポンスを返します。
```
{
"IotJobId": "GreengrassUpdateJob_c3bd7f36-ee80-4d42-8321-a1da0EXAMPLE",
"IotJobArn": "arn:aws:iot:region:123456789012:job/GreengrassUpdateJob_c3bd7f36-ee80-4d42-8321-a1da0EXAMPLE",
"PlatformSoftwareVersion": "1.10.1"
}
```
1. レスポンスから `IoTJobId` をコピーします。
1. AWS IoT Core API で [DescribeJob](https://docs.aws.amazon.com/iot/latest/developerguide/manage-job-cli.html#describe-job) を呼び出して、ジョブのステータスを確認します。サンプル値をジョブ ID に置き換えて、コマンドを実行します。
```
aws iot describe-job --job-id GreengrassUpdateJob_c3bd7f36-ee80-4d42-8321-a1da0EXAMPLE
```
コマンドは、ジョブに関する情報(`status` や `jobProcessDetails` など) を含むレスポンスオブジェクトを返します。
```
{
"job": {
"jobArn": "arn:aws:iot:region:123456789012:job/GreengrassUpdateJob_c3bd7f36-ee80-4d42-8321-a1da0EXAMPLE",
"jobId": "GreengrassUpdateJob_c3bd7f36-ee80-4d42-8321-a1da0EXAMPLE",
"targetSelection": "SNAPSHOT",
"status": "IN_PROGRESS",
"targets": [
"arn:aws:iot:region:123456789012:thing/myCoreDevice"
],
"description": "This job was created by Greengrass to update the Greengrass Cores in the targets with version 1.10.1 of the core software running on x86_64 architecture.",
"presignedUrlConfig": {
"roleArn": "arn:aws::iam::123456789012:role/myS3UrlSignerRole",
"expiresInSec": 3600
},
"jobExecutionsRolloutConfig": {},
"createdAt": 1588718249.079,
"lastUpdatedAt": 1588718253.419,
"jobProcessDetails": {
"numberOfCanceledThings": 0,
"numberOfSucceededThings": 0,
"numberOfFailedThings": 0,
"numberOfRejectedThings": 0,
"numberOfQueuedThings": 1,
"numberOfInProgressThings": 0,
"numberOfRemovedThings": 0,
"numberOfTimedOutThings": 0
},
"timeoutConfig": {}
}
}
```
トラブルシューティングのヘルプについては、[トラブルシューティング AWS IoT Greengrass](gg-troubleshooting.md) を参照してください。
## CreateSoftwareUpdateJob API
`CreateSoftwareUpdateJob` API を使用して、コアデバイスの AWS IoT Greengrass Core ソフトウェアまたは OTA 更新エージェントソフトウェアを更新できます。この API は、更新が利用可能になったときにデバイスに通知する AWS IoT スナップショットジョブを作成します。を呼び出すと`CreateSoftwareUpdateJob`、他の AWS IoT ジョブコマンドを使用してソフトウェアの更新を追跡できます。詳細については、*AWS IoT デベロッパーガイド*の[ジョブ](https://docs.aws.amazon.com/iot/latest/developerguide/iot-jobs.html)を参照してください。
次の例は、 を使用して AWS CLI 、コアデバイスで Core ソフトウェアを更新する AWS IoT Greengrass ジョブを作成する方法を示しています。
```
aws greengrass create-software-update-job \
--update-targets-architecture x86_64 \
--update-targets [\"arn:aws:iot:region:123456789012:thing/myCoreDevice\"] \
--update-targets-operating-system ubuntu \
--software-to-update core \
--s3-url-signer-role arn:aws:iam::123456789012:role/myS3UrlSignerRole \
--update-agent-log-level WARN \
--amzn-client-token myClientToken1
```
`create-software-update-job` コマンドは、更新によってインストールされたジョブ ID、ジョブ ARN、およびソフトウェアバージョンを含む JSON レスポンスを返します。
```
{
"IotJobId": "GreengrassUpdateJob_c3bd7f36-ee80-4d42-8321-a1da0EXAMPLE",
"IotJobArn": "arn:aws:iot:region:123456789012:job/GreengrassUpdateJob_c3bd7f36-ee80-4d42-8321-a1da0EXAMPLE",
"PlatformSoftwareVersion": "1.9.2"
}
```
`create-software-update-job` を使用してコアデバイスを更新する方法を示す手順については、「[OTA 更新の作成](#create-ota-update)」を参照してください。
`create-software-update-job` コマンドでは、以下のパラメータを使用します。
`--update-targets-architecture`
Core デバイスのアーキテクチャ。
有効な値: `armv7l`、`armv6l`、`x86_64`、または `aarch64`
`--update-targets`
更新するコア。リストには、個々のコアの ARN と、メンバーがコアであるモノのグループの ARN を含めることができます。モノのグループの詳細については、「*AWS IoT デベロッパーガイド*」の「[モノの静的グループ](https://docs.aws.amazon.com/iot/latest/developerguide/thing-groups.html)」を参照してください。
`--update-targets-operating-system`
Core デバイスのオペレーティングシステム。
有効な値: `ubuntu`、`amazon_linux`、`raspbian`、または `openwrt`
`--software-to-update`
更新するのが Core ソフトウェアであるか OTA 更新エージェントソフトウェアであるかを指定します。
有効な値: `core` または `ota_agent`
`--s3-url-signer-role`
AWS IoT Greengrass ソフトウェア更新アーティファクトにリンクする Amazon S3 URL の事前署名に使用される IAM ロールの ARN。ロールのアタッチされたアクセス許可ポリシーは、ターゲット AWS リージョン内のバケットに対する `s3:GetObject` アクションを許可する必要があります。ロールは、ロールを信頼されたエンティティとして引き受けることを `iot.amazonaws.com` に許可する必要があります。詳細については、「[OTA 更新の IAM アクセス許可](#ota-permissions)」を参照してください。
`--amzn-client-token`
(オプション) べき等リクエストを行うために使用されるクライアントトークン。内部再試行のため重複した更新が作成されないようにする一意のトークンを指定します。
`--update-agent-log-level`
(オプション) OTA 更新エージェントによって生成されるログステートメントのログ記録レベル。デフォルトは `ERROR` です。
有効な値: `NONE`、`TRACE`、`DEBUG`、`VERBOSE`、`INFO`、`WARN`、`ERROR`、または `FATAL`
**注記**
`CreateSoftwareUpdateJob` は、次のサポートされているアーキテクチャとオペレーティングシステムの組み合わせに対するリクエストのみを受け入れます。
ubuntu/x86\$164
ubuntu/aarch64
amazon\$1linux/x86\$164
raspbian/armv7l
raspbian/armv6l
openwrt/aarch64
openwrt/armv7l