サポート終了通知: 2026 年 10 月 7 日、 AWS はサポートを終了します AWS IoT Greengrass Version 1。2026 年 10 月 7 日以降、 AWS IoT Greengrass V1 リソースにアクセスできなくなります。詳細については、[「 からの移行 AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# シークレットリソースを作成する方法 (コンソール)
この機能は AWS IoT Greengrass Core v1.7 以降で使用できます。
このチュートリアルでは、 AWS マネジメントコンソール を使用して Greengrass グループに*シークレットリソース*を追加する方法を示します。シークレットリソースは、シークレットへの参照です AWS Secrets Manager。詳細については、「[シークレットを AWS IoT Greengrass コアにデプロイする](secrets.md)」を参照してください。
AWS IoT Greengrass コアデバイスでは、コネクタと Lambda 関数はシークレットリソースを使用して、パスワード、トークン、その他の認証情報をハードコーディングすることなく、サービスやアプリケーションで認証できます。
このチュートリアルでは、まず AWS Secrets Manager コンソールでシークレットを作成します。次に、 AWS IoT Greengrass コンソールで、グループの **[Resources]** (リソース) ページからシークレットリソースを Greengrass グループに追加します。このシークレットリソースは、Secrets Manager シークレットを参照します。後で、シークレットリソースを Lambda 関数にアタッチします。これにより、関数はローカルシークレットの値を取得できます。
**注記**
別の方法として、コネクタや Lambda 関数を設定するときに、コンソールでシークレットとシークレットリソースを作成することもできます。これはコネクタの **[Configure parameters]** (パラメータの設定) ページか、Lambda 関数の **[Resources]** (リソース) ページから実行できます。
シークレットのパラメータを含むコネクタのみがシークレットにアクセスできます。ローカルに保存された認証トークンを Twilio 通知コネクタがどのように使用するかを示すチュートリアルについては、「[Greengrass コネクタの開始方法 (コンソール)](connectors-console.md)」を参照してください。
このチュートリアルのおおまかな手順は以下のとおりです。
1. [Secrets Manager シークレットを作成する](#secrets-console-create-secret)
1. [グループにシークレットリソースを追加する](#secrets-console-create-resource)
1. [Lambda 関数デプロイパッケージを作成する](#secrets-console-create-deployment-package)
1. [Lambda 関数を作成する](#secrets-console-create-function)
1. [ 関数をグループに追加する](#secrets-console-create-gg-function)
1. [シークレットリソースを関数にアタッチする](#secrets-console-affiliate-gg-function)
1. [サブスクリプションをグループに追加する](#secrets-console-create-subscription)
1. [グループをデプロイする](#secrets-console-create-deployment)
1. [Lambda 関数をテストする](#secrets-console-test-solution)
このチュートリアルは完了までに約 20 分かかります。
## 前提条件
このチュートリアルを完了するには、以下が必要です。
+ Greengrass グループと Greengrass コア (v1.7 以降)。Greengrass のグループまたは Core を作成する方法については、「[の開始方法 AWS IoT Greengrass](gg-gs.md)」を参照してください。入門チュートリアルには、 AWS IoT Greengrass Core ソフトウェアをインストールする手順も含まれています。
+ AWS IoT Greengrass は、ローカルシークレットをサポートするように設定する必要があります。詳細については、「[シークレットの要件](secrets.md#secrets-reqs)」を参照してください。
**注記**
この要件には、Secrets Manager シークレットへのアクセス許可が含まれます。デフォルトの Greengrass サービスロールを使用している場合、Greengrass は *greengrass-* で始まる名前の付いたシークレット値にアクセスできます。
+ ローカルシークレットの値を取得するには、ユーザー定義の Lambda 関数で AWS IoT Greengrass Core SDK v1.3.0 以降を使用する必要があります。
## ステップ 1: Secrets Manager シークレットを作成する
このステップでは、 AWS Secrets Manager コンソールを使用してシークレットを作成します。
1. [AWS Secrets Manager コンソール](https://console.aws.amazon.com/secretsmanager/) にサインインします。
**注記**
このプロセスの詳細については、「AWS Secrets Manager ユーザーガイド」の「[ステップ 1: AWS Secrets Managerでシークレットを作成および保存する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials_basic.html)」を参照してください。
1. **新しいシークレットを保存** を選択します。
1. **[Choose secret type]** (シークレットの種類を選択) で、**[Other type of secrets]** (他の種類のシークレット) を選択します。
1. [**このシークレットに保存するキーと値のペアを指定します**] で以下の操作を行います。
+ [**キー**] に「**test**」と入力します。
+ [**Value (値)**] に「**abcdefghi**」と入力します。
1. 暗号化には **aws/secretsmanager** を暗号キーとして選択した状態で、**[Next]** (次へ) を選択します。
**注記**
Secrets Manager がアカウントで作成するデフォルトの AWS マネージドキー AWS KMS を使用する場合、 は課金されません。
1. [**シークレット名**] に「**greengrass-TestSecret**」と入力し、[**次へ**] を選択します。
**注記**
デフォルトでは、Greengrass サービスロールにより AWS IoT Greengrass 、 は *greengrass-* で始まる名前のシークレットの値を取得できます。詳細については、「[シークレットの要件](secrets.md#secrets-reqs)」を参照してください。
1. このチュートリアルではローテーションは不要であるため、[disable automatic rotation] (自動ローテーションを無効化)、**Next** (次へ) の順に選択します。
1. [**確認**] ページで、設定を確認し、[**保存**] を選択します。
次に、シークレットを参照する Greengrass グループにシークレットリソースを作成します。
## ステップ 2: Greengrass グループにローカルシークレットリソースを追加する
この手順では、Secrets Manager シークレットを参照するグループリソースを設定します。
1. AWS IoT コンソールナビゲーションペインの**「管理**」で **Greengrass デバイス**を展開し、**「グループ (V1)**」を選択します。
1. シークレットリソースを追加するグループを選択します。
1. グループ設定ページの **[Resources]** (リソース) タブから、**[Secrets]** (シークレット) セクションを選択します。**[Secrets]** (シークレット) セクションには、グループに属するシークレットリソースが表示されます。このセクションからシークレットリソースを追加、編集、削除できます。
**注記**
別の方法として、コネクタや Lambda 関数を設定するときに、コンソールでシークレットとシークレットリソースを作成することもできます。これはコネクタの **[Configure parameters]** (パラメータの設定) ページか、Lambda 関数の **[Resources]** (リソース) ページから実行できます。
1. **[Secrets]** (シークレット) セクションから **[Add]** (追加) を選択します。
1. **[Add a secret resource]** (シークレットリソースに追加) ページで、**[Resource name]** (リソース名) に **MyTestSecret** を入力します。
1. **[Secret]** (シークレット) から**[greengrass-testsecret]**を選択します。
1. **[Select labels (Optional)]** (ラベルを選択 〔オプション〕) セクションの、AWSCURRENT ステージングラベルはシークレットの最新バージョンを表します。このラベルはシークレットリソースに常に含まれています。
**注記**
このチュートリアルでは、AWSCURRENT ラベルのみが必要です。オプションで、Lambda 関数またはコネクタで必要になるラベルを含めることができます。
1. **[Add resource]** (リソースを追加) を選択します。
## ステップ 3: Lambda 関数デプロイパッケージを作成する
Lambda 関数を作成するには、関数のコードと依存関係を含む Lambda 関数デプロイパッケージを最初に作成する必要があります。Greengrass Lambda 関数には、コア環境での MQTT メッセージとの通信やローカルシークレットへのアクセスなどのタスクに使用する、[AWS IoT Greengrass Core SDK](lambda-functions.md#lambda-sdks-core) が必要です。このチュートリアルでは Python 関数を作成するため、デプロイパッケージには Python 版の SDK を使用します。
**注記**
ローカルシークレットの値を取得するには、ユーザー定義の Lambda 関数で AWS IoT Greengrass Core SDK v1.3.0 以降を使用する必要があります。
1. [AWS IoT Greengrass Core SDK](what-is-gg.md#gg-core-sdk-download) ダウンロードページから、 AWS IoT Greengrass Core SDK for Python をコンピュータにダウンロードします。
1. ダウンロードしたパッケージを解凍し、SDK を取得します。SDK は `greengrasssdk` フォルダです。
1. 以下の Python コード関数を `secret_test.py` というローカルファイルに保存します。
```
import greengrasssdk
secrets_client = greengrasssdk.client("secretsmanager")
iot_client = greengrasssdk.client("iot-data")
secret_name = "greengrass-TestSecret"
send_topic = "secrets/output"
def function_handler(event, context):
"""
Gets a secret and publishes a message to indicate whether the secret was
successfully retrieved.
"""
response = secrets_client.get_secret_value(SecretId=secret_name)
secret_value = response.get("SecretString")
message = (
f"Failed to retrieve secret {secret_name}."
if secret_value is None
else f"Successfully retrieved secret {secret_name}."
)
iot_client.publish(topic=send_topic, payload=message)
print("Published: " + message)
```
`get_secret_value` 関数は、`SecretId` 値として Secrets Manager シークレットの名前または ARN をサポートしています。この例では、シークレット名を使用しています。このシークレットの例では、 はキーと値のペア AWS IoT Greengrass を返します`{"test":"abcdefghi"}`。
**重要**
ユーザー定義の Lambda 関数がシークレットを安全に処理することと、シークレットに格納されている機密データをログに記録しないことを確認してください。詳細については、「AWS Secrets Manager ユーザーガイド」の「[Lambda 関数のログ記録とデバッグのリスクを軽減する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/best-practices.html#best-practice_lamda-debug-statements)」を参照してください。このドキュメントでは特に回転関数について言及していますが、こうした推奨事項は Greengrass Lambda 関数にも適用されます。
1. 以下の項目を `secret_test_python.zip` という名前のファイルに圧縮します。ZIP ファイルを作成するときに、コードと依存関係のみを含め、フォルダは含めません。
+ **secret\$1test.py** アプリケーションロジック。
+ **greengrasssdk**。すべての Python Greengrass Lambda 関数に必要なライブラリ。
これが Lambda 関数デプロイパッケージです。
## ステップ 4: Lambda 関数を作成する
このステップでは、 AWS Lambda コンソールを使用して Lambda 関数を作成し、デプロイパッケージを使用するように設定します。次に、関数のバージョンを公開し、エイリアスを作成します。
1. 最初に Lambda 関数を作成します。
1. で AWS マネジメントコンソール、**サービス**を選択し、 AWS Lambda コンソールを開きます。
1. **[Create function]** (関数の作成) を選択し、**[Author from scratch]** (一から作成) を選択します。
1. **[基本的な情報]** セクションで、以下の値を使用します。
+ **[関数名]** に「**SecretTest**」と入力します。
+ **[ランタイム]** で **[Python 3.7]** を選択します。
+ **[アクセス許可]** はデフォルト設定のままにしておきます。これで Lambda への基本的なアクセス許可を付与する実行ロールが作成されます。このロールは では使用されません AWS IoT Greengrass。
1. ページの下部で、**[関数の作成]** を選択します。
1. 今度は、ハンドラを登録し、Lambda 関数デプロイパッケージをアップロードします。
1. **[Code]** (コード) タブの **[Code source]** (コードソース) で、**[Upload from]** (アップロード元) を選択します。ドロップダウンから **[.zip ファイル]** を選択します。
![\[[.zip file] (.zip ファイル) が強調表示された [Upload from] (アップロード元) ドロップダウンリスト。\]](http://docs.aws.amazon.com/ja_jp/greengrass/v1/developerguide/images/lra-console/upload-deployment-package.png)
1. **[Upload]** (アップロード) を選択し、`secret_test_python.zip` デプロイパッケージを選択します。次に、**[保存]** を選択します。
1. 関数の **[Code]** (コード) タブにある **[Runtime settings]** (ランタイム設定) で **[Edit]** (編集) を選択し、次の値を入力します。
+ **[ランタイム]** で **[Python 3.7]** を選択します。
+ **[ハンドラ]** に **secret\$1test.function\$1handler** と入力します。
1. **[保存]** を選択します。
**注記**
AWS Lambda コンソールの**テスト**ボタンは、この関数では機能しません。 AWS IoT Greengrass Core SDK には、Greengrass Lambda 関数を AWS Lambda コンソールで個別に実行するために必要なモジュールは含まれていません。これらのモジュール (例えば `greengrass_common`) が関数に提供されるのは、Greengrass Core にデプロイされた後になります。
1. ここで、Lambda 関数の最初のバージョンを公開し、[バージョンのエイリアス](https://docs.aws.amazon.com/lambda/latest/dg/versioning-aliases.html)を作成します。
**注記**
Greengrass グループは、Lambda 関数をエイリアス別 (推奨) またはバージョン別に参照できます。エイリアスを使用すると、関数コードを更新する時にサブスクリプションテーブルやグループ定義を変更する必要がないため、コード更新を簡単に管理できます。その代わりに、新しい関数バージョンにエイリアスを指定するだけで済みます。
1. **[アクション]** メニューから、**[新しいバージョンを発行]** を選択します。
1. **[バージョンの説明]** に **First version** と入力し、**[発行]** を選択します。
1. [**SecretTest: 1**] 設定ページで、[**Actions (アクション)**] メニューの [**エイリアスの作成**] を選択します。
1. **[新しいエイリアスの作成]** ページで、次の値を使用します。
+ [**名前**] に**GG\$1SecretTest**と入力してください。
+ **[バージョン]** で、**[1]** を選択します。
**注記**
AWS IoT Greengrass は、**\$1LATEST** バージョンの Lambda エイリアスをサポートしていません。
1. **[作成]** を選択します。
これで、Greengrass グループに Lambda 関数を追加し、シークレットリソースをアタッチする準備ができました。
## ステップ 5: Lambda 関数を Greengrass グループに追加する
このステップでは、Lambda 関数を AWS IoT コンソールの Greengrass グループに追加します。
1. グループ設定ページで、**[Lambda functions]** (Lambda 関数) タブを選択します。
1. **[My Lambda functions]** (自分の Lambda 関数) セクションで、**[Add]**(追加)を選択します。
1. **[Lambda function]** (Lambda 関数) で、**[SecretTest]**を選択します。
1. **[Lambda function version]** (Lambda 関数のバージョン) で、公開したバージョンのエイリアスを選択します。
次に、Lambda 関数のライフサイクルを設定します。
1. **[Lambda function configuration]** (Lambda 関数の設定) セクションで次のように更新します。
**注記**
ビジネスケースで要求される場合を除き、Lambda 関数はコンテナ化を使用せずに実行することをお勧めします。これにより、デバイスリソースを設定しなくても、デバイスの GPU とカメラにアクセスできるようになります。コンテナ化なしで を実行する場合は、 AWS IoT Greengrass Lambda 関数へのルートアクセスも許可する必要があります。
1. **コンテナ化を使用せずに実行するには:**
+ **[System user and group]** (システムユーザーとグループ) で、**Another user ID/group ID**を選択します。**[System user ID]** (システムユーザ ID) には、「**0**」と入力します。**[System group ID]** (システムグループ ID) には、「**0**」と入力します。
これにより、Lambda 関数を root として実行できます。root として実行の詳細については、「[グループ内の Lambda 関数に対するデフォルトのアクセス ID の設定](lambda-group-config.md#lambda-access-identity-groupsettings)」を参照してください。
**ヒント**
また、ルートアクセスを Lambda 関数に付与するように `config.json` ファイルを更新する必要があります。手順については、「[root としての Lambda 関数の実行](lambda-group-config.md#lambda-running-as-root)」を参照してください。
+ **[Lambda function containerization]** (Lambda 関数のコンテナ化) で、**[No container]** (コンテナなし) を選択します。
コンテナ化を使用しない実行の詳細については、「[Lambda 関数のコンテナ化を選択する場合の考慮事項](lambda-group-config.md#lambda-containerization-considerations)」を参照してください。
+ **[タイムアウト]** に **10 seconds** と入力します。
+ **[固定]** で、**[True]** を選択します。
詳細については、「[Greengrass Lambda 関数のライフサイクル設定](lambda-functions.md#lambda-lifecycle)」を参照してください。
+ **[Additional Parameter]** (追加のパラメータ) の、**[Read access to /sys directory]** (/sys ディレクトリへの読み取りアクセス) で、**[Enabled]** (有効) を選択します。
1. **代わりにコンテナ化モードで実行するには:**
**注記**
ビジネスケースで要求されない限り、コンテナ化モードでの実行はお勧めしていません。
+ **[System user and group]** (システムユーザーとグループ) で、**[Use group default]** (グループのデフォルトを使用) を選択します。
+ **[Lambda function containerization]** (Lambda 関数のコンテナ化) で、**[Use group default]** (グループのデフォルトを使用) を選択します。
+ **[メモリ制限]** に **1024 MB** と入力します。
+ **[タイムアウト]** に **10 seconds** と入力します。
+ **[固定]** で、**[True]** を選択します。
詳細については、「[Greengrass Lambda 関数のライフサイクル設定](lambda-functions.md#lambda-lifecycle)」を参照してください。
+ **[Additional Parameter]** (追加のパラメータ) の、**[Read access to /sys directory]** (/sys ディレクトリへの読み取りアクセス) で、**[Enabled]** (有効) を選択します。
1. **[Add Lambda function]** (Lambda 関数の追加) を選択します。
次に、シークレットリソースを関数に関連付けます。
## ステップ 6: シークレットリソースを Lambda 関数にアタッチする
このステップでは、シークレットリソースを Greengrass グループの Lambda 関数に関連付けます。これで、リソースは関数に関連付けられて、ローカルシークレットの値を取得できるようになります。
1. グループ設定ページで、**[Lambda functions]** (Lambda 関数) タブを選択します。
1. **[SecretTest]** 関数を選択します。
1. 関数の詳細ページで、**[Resources]** (リソース) を選択します。
1. **シークレット** セクションまでスクロールして、**[Associate]** (関連付け) を選択します。
1. **[MyTestSecret]**、**[Associate]** (関連付け) の順に選択します。
## ステップ 7: サブスクリプションを Greengrass グループに追加する
このステップでは、 AWS IoT と Lambda 関数がメッセージを交換できるようにするサブスクリプションを追加します。1 つのサブスクリプションでは AWS IoT が関数を呼び出し、もう 1 つのサブスクリプションでは関数が出力データを送信できるようにします AWS IoT。
1. グループ設定ページの **[Subscriptions]** (サブスクリプション) タブで、**[Add Subscription]** (サブスクリプションの追加) を選択します。
1. が 関数 AWS IoT にメッセージを発行できるようにするサブスクリプションを作成します。
グループ設定ページで、**[Subscriptions]** (サブスクリプション) タブ、**[Add subscription]** (サブスクリプションの追加) の順に選択します。
1. **[Create a subscription]** (サブスクリプションの作成) ページで、ソースおよびターゲットを次のように設定します。
1. **[Source type]** (ソースタイプ) で、**[Lambda function]** (Lambda 関数)、**[IoT Cloud]** (IoT クラウド) の順に選択します。
1. **[Target type]** (ターゲットタイプ) で、**[Service]** (サービス)、**[SecretTest]**の順に選択します。
1. **[Topic filter]** (トピックのフィルター) で、「**secrets/input**」と入力し、**[Create subscription]** (サブスクリプションの作成) を選択します。
1. 2 つ目のサブスクリプションを追加します。**[Subscriptions]** (サブスクリプション) タブ、**[Add subscription]** (サブスクリプションの追加) の順に選択し、ソースとターゲットを次のように設定します。
1. **[Source type]** (ソースタイプ) で、**[Services]** (サービス)、**[SecretTest]**の順に選択します。
1. **[Target type]** (ターゲットタイプ) で、**[Lambda function]** (Lambda 関数)、 **[IoT Cloud]** (IoT クラウド) の順に選択します。
1. **[Topic filter]** (トピックのフィルター) で、「**secrets/output**」と入力し、**[Create subscription]** (サブスクリプションの作成) を選択します。
## ステップ 8: Greengrass グループをデプロイする
Core デバイスにグループをデプロイします。デプロイ中、 は Secrets Manager からシークレットの値 AWS IoT Greengrass を取得し、暗号化されたローカルコピーをコアに作成します。
1. AWS IoT Greengrass コアが実行されていることを確認します。必要に応じて、Raspberry Pi のターミナルで以下のコマンドを実行します。
1. デーモンが実行中かどうかを確認するには、以下を実行します。
```
ps aux | grep -E 'greengrass.*daemon'
```
出力に `root` で実行中の `/greengrass/ggc/packages/ggc-version/bin/daemon` のエントリが含まれていれば、デーモンは実行されています。
**注記**
パスのバージョンは、コアデバイスにインストールされている AWS IoT Greengrass Core ソフトウェアのバージョンによって異なります。
1. デーモンを開始するには、以下を実行します。
```
cd /greengrass/ggc/core/
sudo ./greengrassd start
```
1. グループ設定ページで、**[Deploy]** (デプロイ) を選択します。
1.
1. **[Lambda functions]** (Lambda 関数) タブの **[System Lambda functions]** (システム Lambda 関数) セクションで、**[IP detector]** (IP ディテクター)、**[Edit]** (編集) の順に選択します。
1. **[IP ディテクターの設定を編集]** ダイアログボックスで、**[MQTT ブローカーエンドポイントを自動的に検出して上書きする]** を選択します。
1. **[保存]** を選択します。
これにより、デバイスは、IP アドレス、DNS、ポート番号など、コアの接続情報を自動的に取得できます。自動検出が推奨されますが、手動で指定されたエンドポイント AWS IoT Greengrass もサポートされます。グループが初めてデプロイされたときにのみ、検出方法の確認が求められます。
**注記**
プロンプトが表示されたら、[Greengrass サービスロール](service-role.md)を作成し、それを現在の AWS アカウント の に関連付けるアクセス許可を付与します AWS リージョン。このロールにより AWS IoT Greengrass 、 は AWS サービスのリソースにアクセスできます。
**[デプロイ]** ページには、デプロイのタイムスタンプ、バージョン ID、ステータスが表示されます。完了すると、デプロイのステータスが **[完了]** と表示されます。
トラブルシューティングのヘルプについては、[トラブルシューティング AWS IoT Greengrass](gg-troubleshooting.md) を参照してください。
## Lambda 関数をテストする
1. AWS IoT コンソールのホームページで、**テスト**を選択します。
1. **[Subscribe to topic]** (トピックへのサブスクライブ) で、以下の値を使用し、**[Subscribe]** (サブスクリプション) を選択します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/greengrass/v1/developerguide/secrets-console.html)
1. **[Publish to topic]** (トピックに発行) で、以下の値を使用し、**[Publish]** (発行) を選択して関数を呼び出します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/greengrass/v1/developerguide/secrets-console.html)
成功した場合、関数は成功のメッセージを発行します。
## 関連情報
+ [シークレットを AWS IoT Greengrass コアにデプロイする](secrets.md)