수동 리소스 프로비저닝을 사용하여 AWS IoT Greengrass Core 소프트웨어 설치

1. 의 AWS IoT 데이터 엔드포인트를 가져옵니다 AWS 계정.

   aws iot describe-endpoint --endpoint-type iot:Data-ATS

   요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

   {
     "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
   }

2. 의 AWS IoT 자격 증명 엔드포인트를 가져옵니다 AWS 계정.

   aws iot describe-endpoint --endpoint-type iot:CredentialProvider

   요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

   {
     "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
   }

AWS IoT 사물을 생성하려면

1. 디바이스에 대한 AWS IoT 사물을 생성합니다. 개발 컴퓨터에서 다음 명령을 실행합니다.

   • MyGreengrassCore를 사용할 사물 이름으로 바꿉니다. 이 이름은 Greengrass 코어 디바이스의 이름이기도 합니다.

     참고

     사물 이름에는 콜론(:) 문자를 포함할 수 없습니다.

   aws iot create-thing --thing-name MyGreengrassCore

   요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

   {
     "thingName": "MyGreengrassCore",
     "thingArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
     "thingId": "8cb4b6cd-268e-495d-b5b9-1713d71dbf42"
   }

2. (선택 사항) 새 AWS IoT 사물 또는 기존 사물 그룹에 사물을 추가합니다. 사물 그룹을 사용하여 Greengrass 코어 디바이스 플릿을 관리합니다. 소프트웨어 구성 요소를 디바이스에 배포할 때 개별 디바이스 또는 디바이스 그룹을 대상으로 지정할 수 있습니다. 활성 Greengrass 배포가 있는 사물 그룹에 디바이스를 추가하여 사물 그룹의 소프트웨어 구성 요소를 디바이스에 배포할 수 있습니다. 다음을 수행합니다.

   1. (선택 사항) AWS IoT 사물 그룹을 생성합니다.

      • MyGreengrassCoreGroup를 생성할 사물 그룹의 이름으로 바꿉니다.

        참고

        사물 그룹 이름에는 콜론(:) 문자를 포함할 수 없습니다.

      aws iot create-thing-group --thing-group-name MyGreengrassCoreGroup

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      {
        "thingGroupName": "MyGreengrassCoreGroup",
        "thingGroupArn": "arn:aws:iot:us-west-2:123456789012:thinggroup/MyGreengrassCoreGroup",
        "thingGroupId": "4df721e1-ff9f-4f97-92dd-02db4e3f03aa"
      }

   2. AWS IoT 사물을 사물 그룹에 추가합니다.

      • MyGreengrassCore를 AWS IoT 사물의 이름으로 바꿉니다.

      • MyGreengrassCoreGroup를 사물 그룹의 이름으로 바꿉니다.

      aws iot add-thing-to-thing-group --thing-name MyGreengrassCore --thing-group-name MyGreengrassCoreGroup

      요청에 성공하는 경우 명령에 출력이 없습니다.

사물 인증서를 생성하려면

1. AWS IoT 사물에 대한 인증서를 다운로드할 폴더를 생성합니다.

   mkdir greengrass-v2-certs

2. AWS IoT 사물에 대한 인증서를 생성하고 다운로드합니다.

   aws iot create-keys-and-certificate --set-as-active --certificate-pem-outfile greengrass-v2-certs/device.pem.crt --public-key-outfile greengrass-v2-certs/public.pem.key --private-key-outfile greengrass-v2-certs/private.pem.key

   요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

   {
     "certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
     "certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
     "certificatePem": "-----BEGIN CERTIFICATE-----
   MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
    0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
    WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
    EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
    jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
    MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
    WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
    HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
    BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
    k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
    ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
    AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
    KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
    EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
    3rrszlaEXAMPLE=
   -----END CERTIFICATE-----",
     "keyPair": {
       "PublicKey": "-----BEGIN PUBLIC KEY-----\
   MIIBIjANBgkqhkEXAMPLEQEFAAOCAQ8AMIIBCgKCAQEAEXAMPLE1nnyJwKSMHw4h\
   MMEXAMPLEuuN/dMAS3fyce8DW/4+EXAMPLEyjmoF/YVF/gHr99VEEXAMPLE5VF13\
   59VK7cEXAMPLE67GK+y+jikqXOgHh/xJTwo+sGpWEXAMPLEDz18xOd2ka4tCzuWEXAMPLEahJbYkCPUBSU8opVkR7qkEXAMPLE1DR6sx2HocliOOLtu6Fkw91swQWEXAMPLE\\GB3ZPrNh0PzQYvjUStZeccyNCx2EXAMPLEvp9mQOUXP6plfgxwKRX2fEXAMPLEDa\
   hJLXkX3rHU2xbxJSq7D+XEXAMPLEcw+LyFhI5mgFRl88eGdsAEXAMPLElnI9EesG\
   FQIDAQAB\
   -----END PUBLIC KEY-----\
   ",
       "PrivateKey": "-----BEGIN RSA PRIVATE KEY-----\
   key omitted for security reasons\
   -----END RSA PRIVATE KEY-----\
   "
     }
   }

   나중에 인증서를 구성하는 데 사용할 인증서의 Amazon 리소스 이름(ARN)을 저장합니다.

사물 인증서를 생성하려면

1. 코어 디바이스에서에서 PKCS#11 토큰을 초기화HSM하고 프라이빗 키를 생성합니다. 프라이빗 키는 RSA 키 크기가 RSA-2048(이상)이거나 ECC 키여야 합니다.

   참고

   하드웨어 보안 모듈을 ECC 키와 함께 사용하려면 Greengrass nucleus v2.5.6 이상을 사용해야 합니다.

   하드웨어 보안 모듈 및 보안 관리자를 사용하려면 RSA 키가 있는 하드웨어 보안 모듈을 사용해야 합니다.

   에 대한 설명서를 확인하여 토큰을 초기화하고 프라이빗 키를 생성하는 방법을 HSM 알아봅니다. 가 객체를 HSM 지원하는 경우 프라이빗 키를 생성할 때 객체 ID를 IDs지정합니다. 토큰을 초기화하고 프라이빗 키를 생성할 때 지정한 슬롯 ID, 사용자PIN, 객체 레이블, 객체 ID(HSM가 사용하는 경우)를 저장합니다. 나중에 사물 인증서를 로 가져오HSM고 AWS IoT Greengrass 코어 소프트웨어를 구성할 때 이러한 값을 사용합니다.

2. 프라이빗 키에서 인증서 서명 요청(CSR)을 생성합니다.는 이를 AWS IoT 사용하여에서 생성한 프라이빗 키에 대한 사물 인증서를 CSR 생성합니다HSM. 프라이빗 키CSR에서를 생성하는 방법에 대한 자세한 내용은에 대한 설명서를 참조하세요HSM. CSR는와 같은 파일입니다iotdevicekey.csr.

3. 디바이스CSR에서 개발 컴퓨터로를 복사합니다. 개발 컴퓨터와 디바이스에서 SSH 및 SCP가 활성화된 경우 개발 컴퓨터의 scp 명령을 사용하여를 전송할 수 있습니다CSR. device-ip-address를 디바이스의 IP 주소로 바꾸고를 디바이스의 CSR 파일 경로~/iotdevicekey.csr로 바꿉니다.

   scp device-ip-address:~/iotdevicekey.csr iotdevicekey.csr

4. 개발 컴퓨터에서 AWS IoT 사물에 대한 인증서를 다운로드할 폴더를 생성합니다.

   mkdir greengrass-v2-certs

5. CSR 파일을 사용하여 AWS IoT 사물에 대한 인증서를 생성하고 개발 컴퓨터에 다운로드합니다.

   aws iot create-certificate-from-csr --set-as-active --certificate-signing-request=file://iotdevicekey.csr --certificate-pem-outfile greengrass-v2-certs/device.pem.crt

   요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

   {
     "certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
     "certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
     "certificatePem": "-----BEGIN CERTIFICATE-----
   MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
    0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
    WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
    EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
    jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
    MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
    WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
    HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
    BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
    k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
    ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
    AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
    KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
    EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
    3rrszlaEXAMPLE=
   -----END CERTIFICATE-----"
   }

   나중에 인증서를 구성하는 데 ARN 사용할 인증서를 저장합니다.

사물의 인증서를 구성하려면

1. 인증서를 AWS IoT 사물에 연결합니다.

   • MyGreengrassCore를 사물의 이름으로 바꿉니다 AWS IoT .

   • 인증서 Amazon 리소스 이름(ARN)을 이전 단계에서 생성한 인증서ARN의 로 바꿉니다.

   aws iot attach-thing-principal --thing-name MyGreengrassCore --principal arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

   요청에 성공하는 경우 명령에 출력이 없습니다.

2. Greengrass 코어 디바이스에 대한 AWS IoT 권한을 정의하는 AWS IoT 정책을 생성하고 연결합니다. 다음 정책은 모든 MQTT 주제 및 Greengrass 작업에 대한 액세스를 허용하므로 디바이스가 사용자 지정 애플리케이션 및 새로운 Greengrass 작업이 필요한 향후 변경 사항과 함께 작동합니다. 사용 사례를 기반으로 이 정책을 제한할 수 있습니다. 자세한 내용은 AWS IoT Greengrass V2 코어 디바이스에 대한 최소 AWS IoT 정책 단원을 참조하십시오.

   이전에 Greengrass 코어 디바이스를 설정한 경우 새 디바이스를 생성하는 대신 AWS IoT 정책을 연결할 수 있습니다.

   다음을 수행합니다.

   1. Greengrass 코어 디바이스에 필요한 AWS IoT 정책 문서가 포함된 파일을 생성합니다.

      예를 들어 Linux 기반 시스템에서 다음 명령을 실행하여 GNU 나노를 사용하여 파일을 생성할 수 있습니다.

      nano greengrass-v2-iot-policy.json

      파일에 다음을 복사JSON합니다.

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "iot:Publish",
              "iot:Subscribe",
              "iot:Receive",
              "iot:Connect",
              "greengrass:*"
            ],
            "Resource": [
              "*"
            ]
          }
        ]
      }

   2. AWS IoT 정책 문서에서 정책을 생성합니다.

      • GreengrassV2IoTThingPolicy를 생성할 정책의 이름으로 바꿉니다.

      aws iot create-policy --policy-name GreengrassV2IoTThingPolicy --policy-document file://greengrass-v2-iot-policy.json

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      {
        "policyName": "GreengrassV2IoTThingPolicy",
        "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy",
        "policyDocument": "{
          \\"Version\\": \\"2012-10-17\\",
          \\"Statement\\": [
            {
              \\"Effect\\": \\"Allow\\",
              \\"Action\\": [
                \\"iot:Publish\\",
                \\"iot:Subscribe\\",
                \\"iot:Receive\\",
                \\"iot:Connect\\",
                \\"greengrass:*\\"
              ],
              \\"Resource\\": [
                \\"*\\"
              ]
            }
          ]
        }",
        "policyVersionId": "1"
      }

   3. AWS IoT 정책을 AWS IoT 사물의 인증서에 연결합니다.

      • GreengrassV2IoTThingPolicy를 연결할 정책의 이름으로 바꿉니다.

      • 대상을 사물에 대한 인증서ARN의 ARN 로 바꿉니다 AWS IoT .

      aws iot attach-policy --policy-name GreengrassV2IoTThingPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

      요청에 성공하는 경우 명령에 출력이 없습니다.

토큰 교환 IAM 역할을 생성하려면

1. 디바이스가 토큰 교환 IAM 역할로 사용할 수 있는 역할을 생성합니다. 다음을 수행합니다.

   1. 토큰 교환 역할에 필요한 신뢰 정책 문서가 포함된 파일을 생성합니다.

      예를 들어 Linux 기반 시스템에서 다음 명령을 실행하여 GNU 나노를 사용하여 파일을 생성할 수 있습니다.

      nano device-role-trust-policy.json

      파일에 다음을 복사JSON합니다.

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "Service": "credentials.iot.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      }

   2. 신뢰 정책 문서를 사용하여 토큰 교환 역할을 생성합니다.

      • GreengrassV2TokenExchangeRole를 생성할 IAM 역할의 이름으로 바꿉니다.

      aws iam create-role --role-name GreengrassV2TokenExchangeRole --assume-role-policy-document file://device-role-trust-policy.json

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      {
        "Role": {
          "Path": "/",
          "RoleName": "GreengrassV2TokenExchangeRole",
          "RoleId": "AROAZ2YMUHYHK5OKM77FB",
          "Arn": "arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
          "CreateDate": "2021-02-06T00:13:29+00:00",
          "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
              {
                "Effect": "Allow",
                "Principal": {
                  "Service": "credentials.iot.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
              }
            ]
          }
        }

   3. 토큰 교환 역할에 필요한 액세스 정책 문서가 포함된 파일을 생성합니다.

      예를 들어 Linux 기반 시스템에서 다음 명령을 실행하여 GNU 나노를 사용하여 파일을 생성할 수 있습니다.

      nano device-role-access-policy.json

      파일에 다음을 복사JSON합니다.

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "logs:CreateLogGroup",
              "logs:CreateLogStream",
              "logs:PutLogEvents",
              "logs:DescribeLogStreams",
              "s3:GetBucketLocation"
            ],
            "Resource": "*"
          }
        ]
      }

      참고

      이 액세스 정책은 S3 버킷의 구성 요소 아티팩트에 대한 액세스를 허용하지 않습니다. Amazon S3에서 아티팩트를 정의하는 사용자 지정 구성 요소를 배포하려면 코어 디바이스가 구성 요소 아티팩트를 검색할 수 있도록 역할에 권한을 추가해야 합니다. 자세한 내용은 구성 요소 아티팩트에 대한 S3 버킷 액세스 허용 단원을 참조하십시오.

      구성 요소 아티팩트에 대한 S3 버킷이 아직 없는 경우 버킷을 생성한 후 권한을 추가할 수 있습니다.

   4. IAM 정책 문서에서 정책을 생성합니다.

      • GreengrassV2TokenExchangeRoleAccess를 생성할 IAM 정책의 이름으로 바꿉니다.

      aws iam create-policy --policy-name GreengrassV2TokenExchangeRoleAccess --policy-document file://device-role-access-policy.json

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      {
        "Policy": {
          "PolicyName": "GreengrassV2TokenExchangeRoleAccess",
          "PolicyId": "ANPAZ2YMUHYHACI7C5Z66",
          "Arn": "arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
          "Path": "/",
          "DefaultVersionId": "v1",
          "AttachmentCount": 0,
          "PermissionsBoundaryUsageCount": 0,
          "IsAttachable": true,
          "CreateDate": "2021-02-06T00:37:17+00:00",
          "UpdateDate": "2021-02-06T00:37:17+00:00"
        }
      }

   5. IAM 정책을 토큰 교환 역할에 연결합니다.

      • GreengrassV2TokenExchangeRole를 IAM 역할 이름으로 바꿉니다.

      • 정책을 이전 단계에서 생성한 ARN IAM 정책의 ARN 로 바꿉니다.

      aws iam attach-role-policy --role-name GreengrassV2TokenExchangeRole --policy-arn arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess

      요청에 성공하는 경우 명령에 출력이 없습니다.

2. 토큰 교환 AWS IoT 역할을 가리키는 역할 별칭을 생성합니다.

   • GreengrassCoreTokenExchangeRoleAlias를 생성할 역할 별칭의 이름으로 바꿉니다.

   • 역할을 이전 단계에서 생성한 IAM 역할ARN의 ARN 로 바꿉니다.

   aws iot create-role-alias --role-alias GreengrassCoreTokenExchangeRoleAlias --role-arn arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole

   요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

   {
     "roleAlias": "GreengrassCoreTokenExchangeRoleAlias",
     "roleAliasArn": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
   }

   참고

   역할 별칭을 생성하려면 토큰 교환 IAM 역할을 전달할 권한이 있어야 합니다 AWS IoT. 역할 별칭을 생성하려고 할 때 오류 메시지가 표시되면 AWS 사용자에게이 권한이 있는지 확인합니다. 자세한 내용은 사용 AWS Identity and Access Management 설명서의 AWS 서비스에 역할을 전달할 수 있는 사용자 권한 부여를 참조하세요.

3. Greengrass 코어 디바이스가 역할 별칭을 사용하여 토큰 교환 역할을 수임하도록 허용하는 AWS IoT 정책을 생성하고 연결합니다. 이전에 Greengrass 코어 디바이스를 설정한 경우 새 디바이스를 생성하는 대신 해당 역할 별칭 AWS IoT 정책을 연결할 수 있습니다. 다음을 수행합니다.

   1. (선택 사항) 역할 별칭에 필요한 AWS IoT 정책 문서가 포함된 파일을 생성합니다.

      예를 들어 Linux 기반 시스템에서 다음 명령을 실행하여 GNU 나노를 사용하여 파일을 생성할 수 있습니다.

      nano greengrass-v2-iot-role-alias-policy.json

      파일에 다음을 복사JSON합니다.

      • 리소스를 역할 별칭ARN의 ARN로 바꿉니다.

      {
        "Version":"2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "iot:AssumeRoleWithCertificate",
            "Resource": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
          }
        ]
      }

   2. AWS IoT 정책 문서에서 정책을 생성합니다.

      • GreengrassCoreTokenExchangeRoleAliasPolicy를 생성할 AWS IoT 정책의 이름으로 바꿉니다.

      aws iot create-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --policy-document file://greengrass-v2-iot-role-alias-policy.json

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      {
        "policyName": "GreengrassCoreTokenExchangeRoleAliasPolicy",
        "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassCoreTokenExchangeRoleAliasPolicy",
        "policyDocument": "{
          \\"Version\\":\\"2012-10-17\\",
          \\"Statement\\": [
            {
              \\"Effect\\": \\"Allow\\",
              \\"Action\\": \\"iot:AssumeRoleWithCertificate\\",
              \\"Resource\\": \\"arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias\\"
            }
          ]
        }",
        "policyVersionId": "1"
      }

   3. AWS IoT 정책을 AWS IoT 사물의 인증서에 연결합니다.

      • GreengrassCoreTokenExchangeRoleAliasPolicy를 역할 별칭 AWS IoT 정책의 이름으로 바꿉니다.

      • 대상을 사물에 대한 인증서ARN의 ARN 로 바꿉니다 AWS IoT .

      aws iot attach-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

      요청에 성공하는 경우 명령에 출력이 없습니다.

디바이스에 인증서를 다운로드하려면

1. 개발 컴퓨터에서 디바이스로 AWS IoT 사물 인증서를 복사합니다. 개발 컴퓨터와 디바이스에서 SSH 및 SCP가 활성화된 경우 개발 컴퓨터의 scp 명령을 사용하여 인증서를 전송할 수 있습니다. device-ip-address를 디바이스의 IP 주소로 바꿉니다.

   scp -r greengrass-v2-certs/ device-ip-address:~

2. 디바이스에 Greengrass 루트 폴더를 생성합니다. 나중에이 폴더에 AWS IoT Greengrass 코어 소프트웨어를 설치합니다.

   참고

   Windows의 경우 260자의 경로 길이 제한이 있습니다. Windows를 사용하는 경우 루트 폴더(예: C:\greengrass\v2 또는 D:\greengrass\v2)를 사용하여 Greengrass 구성 요소 경로를 260자 제한 미만으로 유지합니다.

   Linux or Unix

   • /greengrass/v2를 사용할 폴더로 바꿉니다.

   sudo mkdir -p /greengrass/v2

   Windows Command Prompt

   • C:\greengrass\v2를 사용할 폴더로 바꿉니다.

   mkdir C:\greengrass\v2

   PowerShell

   • C:\greengrass\v2를 사용할 폴더로 바꿉니다.

   mkdir C:\greengrass\v2

3. (Linux만 해당) Greengrass 루트 폴더의 상위 권한을 설정합니다.

   • 를 루트 폴더의 상위 폴더/greengrass로 바꿉니다.

   sudo chmod 755 /greengrass

4. AWS IoT 사물 인증서를 Greengrass 루트 폴더에 복사합니다.

   Linux or Unix

   • /greengrass/v2를 Greengrass 루트 폴더로 바꿉니다.

   sudo cp -R ~/greengrass-v2-certs/* /greengrass/v2

   Windows Command Prompt

   • C:\greengrass\v2를 사용할 폴더로 바꿉니다.

   robocopy %USERPROFILE%\greengrass-v2-certs C:\greengrass\v2 /E

   PowerShell

   • C:\greengrass\v2를 사용할 폴더로 바꿉니다.

   cp -Path ~\greengrass-v2-certs\* -Destination C:\greengrass\v2

5. Amazon 루트 인증 기관(CA) 인증서를 다운로드합니다. AWS IoT 인증서는 기본적으로 Amazon의 루트 CA 인증서와 연결됩니다.

   Linux or Unix

   sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem

   Windows Command Prompt (CMD)

   curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem

   PowerShell

   iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem

디바이스에 인증서를 다운로드하려면

1. 개발 컴퓨터에서 디바이스로 AWS IoT 사물 인증서를 복사합니다. 개발 컴퓨터와 디바이스에서 SSH 및 SCP가 활성화된 경우 개발 컴퓨터의 scp 명령을 사용하여 인증서를 전송할 수 있습니다. device-ip-address를 디바이스의 IP 주소로 바꿉니다.

   scp -r greengrass-v2-certs/ device-ip-address:~

2. 디바이스에 Greengrass 루트 폴더를 생성합니다. 나중에이 폴더에 AWS IoT Greengrass 코어 소프트웨어를 설치합니다.

   참고

   Windows의 경우 260자의 경로 길이 제한이 있습니다. Windows를 사용하는 경우 루트 폴더(예: C:\greengrass\v2 또는 D:\greengrass\v2)를 사용하여 Greengrass 구성 요소 경로를 260자 제한 미만으로 유지합니다.

   Linux or Unix

   • /greengrass/v2를 사용할 폴더로 바꿉니다.

   sudo mkdir -p /greengrass/v2

   Windows Command Prompt

   • C:\greengrass\v2를 사용할 폴더로 바꿉니다.

   mkdir C:\greengrass\v2

   PowerShell

   • C:\greengrass\v2를 사용할 폴더로 바꿉니다.

   mkdir C:\greengrass\v2

3. (Linux만 해당) Greengrass 루트 폴더의 상위 권한을 설정합니다.

   • 를 루트 폴더의 상위 폴더/greengrass로 바꿉니다.

   sudo chmod 755 /greengrass

4. 사물 인증서 파일인를 ~/greengrass-v2-certs/device.pem.crt로 가져옵니다HSM. 에 대한 설명서를 확인하여 인증서를 가져오는 방법을 HSM 알아봅니다. HSM 이전에서 프라이빗 키를 생성한 것과 동일한 토큰, 슬롯 IDPIN, 사용자, 객체 레이블 및 객체 ID(HSM가 사용하는 경우)를 사용하여 인증서를 가져옵니다.

   참고

   앞서 객체 ID 없이 프라이빗 키를 생성했고, 인증서에 객체 ID가 있는 경우 프라이빗 키의 객체 ID를 인증서와 동일한 값으로 설정합니다. 에 대한 설명서를 확인하여 프라이빗 키 객체의 객체 ID를 설정하는 방법을 HSM 알아봅니다.

5. (선택 사항) 사물 인증서 파일이 에만 존재하도록 삭제합니다HSM.

   rm ~/greengrass-v2-certs/device.pem.crt

6. Amazon 루트 인증 기관(CA) 인증서를 다운로드합니다. AWS IoT 인증서는 기본적으로 Amazon의 루트 CA 인증서와 연결됩니다.

   Linux or Unix

   sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem

   Windows Command Prompt (CMD)

   curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem

   PowerShell

   iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem

용 Linux 디바이스를 설정하려면 AWS IoT Greengrass V2

1. 실행에 필요한 AWS IoT Greengrass 코어 소프트웨어인 Java 런타임을 설치합니다. Amazon Corretto 또는 OpenJDK 장기 지원 버전을 사용하는 것이 좋습니다. 버전 8 이상이 필요합니다. 다음 명령은 디바이스에 OpenJDK을 설치하는 방법을 보여줍니다.

   • Debian 기반 또는 Ubuntu 기반 배포판의 경우:

     sudo apt install default-jdk

   • Red Hat 기반 배포판의 경우:

     sudo yum install java-11-openjdk-devel

   • 대상 Amazon Linux 2:

     sudo amazon-linux-extras install java-openjdk11

   • Amazon Linux 2023의 경우:

     sudo dnf install java-11-amazon-corretto -y

   설치가 완료되면 다음 명령을 실행하여 Linux 디바이스에서 Java가 실행되는지 확인합니다.

   java -version

   디바이스에서 실행되는 Java 버전이 명령을 통해 인쇄됩니다. 예를 들어 Debian 기반 배포의 경우 출력이 다음 샘플과 유사할 수 있습니다.

   openjdk version "11.0.9.1" 2020-11-04
   OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
   OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)

2. (선택 사항) 디바이스에서 구성 요소를 실행하는 기본 시스템 사용자와 그룹을 생성합니다. 설치 관리자 인수를 사용하여 설치하는 동안 AWS IoT Greengrass 코어 소프트웨어 --component-default-user 설치 관리자가이 사용자 및 그룹을 생성하도록 선택할 수도 있습니다. 자세한 내용은 설치 프로그램 인수 단원을 참조하십시오.

   sudo useradd --system --create-home ggc_user
   sudo groupadd --system ggc_group

3. AWS IoT Greengrass Core 소프트웨어(일반적으로 root)를 실행하는 사용자에게 모든 사용자 및 모든 그룹에서 실행할 수 sudo 있는 권한이 있는지 확인합니다.

   1. 다음 명령을 실행하여 /etc/sudoers 파일을 엽니다.

      sudo visudo

   2. 사용자에 대한 권한이 다음 예제와 같은지 확인합니다.

      root    ALL=(ALL:ALL) ALL

4. (선택 사항) 컨테이너화된 Lambda 함수를 실행하려면 cgroups v1을 활성화하고 memory 및 devices cgroups를 활성화하고 탑재해야 합니다. 컨테이너화된 Lambda 함수를 실행할 계획이 없는 경우 이 단계를 건너뛸 수 있습니다.

   이러한 cgroups 옵션을 활성화하려면 다음 Linux 커널 파라미터로 디바이스를 부팅합니다.

   cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0

   디바이스의 커널 파라미터를 보고 설정하는 방법에 대한 자세한 내용은 운영 체제 및 부트 로더 설명서를 참조하세요. 지침에 따라 커널 파라미터를 영구적으로 설정합니다.

5. 장치 요구 사항의 요구 사항 목록에 따라 디바이스에 기타 모든 필수 종속성을 설치합니다.

용 Windows 디바이스를 설정하려면 AWS IoT Greengrass V2

1. 실행에 필요한 AWS IoT Greengrass 코어 소프트웨어인 Java 런타임을 설치합니다. Amazon Corretto 또는 OpenJDK 장기 지원 버전을 사용하는 것이 좋습니다. 버전 8 이상이 필요합니다.

2. PATH 시스템 변수에서 Java를 사용할 수 있는지 확인하고 사용할 수 없는 경우 추가합니다. LocalSystem 계정은 AWS IoT Greengrass 코어 소프트웨어를 실행하므로 사용자의 PATH 사용자 변수 대신 PATH 시스템 변수에 Java를 추가해야 합니다. 다음을 수행합니다.

   1. Windows 키를 눌러 시작 메뉴를 엽니다.

   2. 시작 메뉴에서 environment variables를 입력하여 시스템 옵션을 검색합니다.

   3. 시작 메뉴 검색 결과에서 시스템 환경 변수 편집을 선택하여 시스템 속성 창을 엽니다.

   4. 환경 변수...를 선택하여 환경 변수 창을 엽니다.

   5. 시스템 변수에서 경로를 선택하고 편집을 선택합니다. 환경 변수 편집 창에서 각 경로를 별도의 줄로 볼 수 있습니다.

   6. Java 설치 bin 폴더의 경로가 있는지 확인합니다. 경로는 다음 예제와 유사할 수 있습니다.

      C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin

   7. 경로에서 Java 설치 bin 폴더가 누락된 경우 새로 만들기를 선택하여 추가한 다음 확인을 선택합니다.

3. 관리자 권한으로 Windows 명령 프롬프트(cmd.exe)를 엽니다.

4. Windows 디바이스의 LocalSystem 계정에 기본 사용자를 생성합니다. 를 보안 암호password로 바꿉니다.

   net user /add ggc_user password

   작은 정보

   Windows 구성에 따라 사용자의 암호가 미래의 날짜에 만료되도록 설정할 수 있습니다. Greengrass 애플리케이션이 계속 작동하도록 하려면 암호가 만료되는 시기를 추적하고 만료되기 전에 이를 업데이트합니다. 사용자의 암호가 만료되지 않도록 설정할 수도 있습니다.

   • 사용자와 암호가 만료되는 시기를 확인하려면 다음 명령을 실행합니다.

     net user ggc_user | findstr /C:expires

   • 사용자의 암호가 만료되지 않도록 설정하려면 다음 명령을 실행합니다.

     wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False

   • wmic 명령이 더 이상 사용되지 않는 Windows 10 이상을 사용하는 경우 다음 PowerShell 명령을 실행합니다.

     Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}

5. Microsoft에서 PsExec 유틸리티를 다운로드하여 디바이스에 설치합니다.

6. PsExec 유틸리티를 사용하여 LocalSystem 계정의 Credential Manager 인스턴스에 기본 사용자의 사용자 이름과 암호를 저장합니다. 를 이전에 설정한 사용자의 암호password로 바꿉니다.

   psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password

   가 PsExec License Agreement 열기, 선택 Accept는 라이선스에 동의하고 명령을 실행합니다.

   참고

   Windows 디바이스에서 LocalSystem 계정은 Greengrass 핵을 실행하며, PsExec 유틸리티를 사용하여 LocalSystem 계정에 기본 사용자 정보를 저장해야 합니다. Credential Manager 애플리케이션을 사용하면이 정보가 계정 대신 현재 로그인한 사용자의 Windows LocalSystem 계정에 저장됩니다.

AWS IoT Greengrass 코어 소프트웨어를 다운로드하려면

1. 코어 디바이스에서 AWS IoT Greengrass 코어 소프트웨어를 라는 파일에 다운로드합니다greengrass-nucleus-latest.zip.

   Linux or Unix

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   PowerShell

   iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip

   이 소프트웨어를 다운로드하면 Greengrass 코어 소프트웨어 라이선스 계약에 동의하는 것입니다.

2. (선택 사항) Greengrass nucleus 소프트웨어 서명을 확인하려면

   참고

   이 기능은 Greengrass nucleus 버전 2.9.5 이상에서 사용할 수 있습니다.

   1. 다음 명령을 사용하여 Greengrass nucleus 아티팩트의 서명을 확인합니다.

      Linux or Unix

      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

      Windows Command Prompt (CMD)

      설치하는 JDK 버전에 따라 파일 이름이 다를 수 있습니다. jdk17.0.6_10를 설치한 JDK 버전으로 바꿉니다.

      "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip

      PowerShell

      설치하는 JDK 버전에 따라 파일 이름이 다를 수 있습니다. jdk17.0.6_10를 설치한 JDK 버전으로 바꿉니다.

      'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip

   2. jarsigner 간접 호출 시 확인 결과를 나타내는 출력이 생성됩니다.

      1. Greengrass nucleus zip 파일이 서명되면 출력에 다음 문이 포함됩니다.

         jar verified.

      2. Greengrass nucleus zip 파일이 서명되지 않으면 출력에 다음 문이 포함됩니다.

         jar is unsigned.

   3. -verify 및 -certs 옵션과 함께 Jarsigner -verbose 옵션을 제공한 경우 출력에는 자세한 서명자 인증서 정보도 포함됩니다.

3. AWS IoT Greengrass 코어 소프트웨어의 압축을 디바이스의 폴더에 풉니다. 를 사용하려는 폴더GreengrassInstaller로 바꿉니다.

   Linux or Unix

   unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip

   PowerShell

   Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
   rm greengrass-nucleus-latest.zip

4. (선택 사항) 다음 명령을 실행하여 AWS IoT Greengrass 코어 소프트웨어의 버전을 확인합니다.

   java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

AWS IoT Greengrass 코어 소프트웨어를 설치하려면

1. AWS IoT Greengrass 코어 소프트웨어의 버전을 확인합니다.

   • 를 소프트웨어가 포함된 폴더의 경로GreengrassInstaller로 바꿉니다.

   java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

2. 텍스트 편집기를 사용하여 config.yaml 구성 파일을 생성하고 설치 관리자에 제공합니다.

   예를 들어 Linux 기반 시스템에서 다음 명령을 실행하여 GNU 나노를 사용하여 파일을 생성할 수 있습니다.

   nano GreengrassInstaller/config.yaml

   다음 YAML 콘텐츠를 파일에 복사합니다. 이 부분 구성 파일은 시스템 파라미터와 Greengrass nucleus 파라미터를 지정합니다.

   ---
   system:
     certificateFilePath: "/greengrass/v2/device.pem.crt"
     privateKeyPath: "/greengrass/v2/private.pem.key"
     rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
     rootpath: "/greengrass/v2"
     thingName: "MyGreengrassCore"
   services:
     aws.greengrass.Nucleus:
       componentType: "NUCLEUS"
       version: "2.14.0"
       configuration:
         awsRegion: "us-west-2"
         iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
         iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
         iotCredEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"

   뒤이어 다음과 같이 하세요.

   • /greengrass/v2의 각 인스턴스를 Greengrass 루트 폴더로 바꿉니다.

   • MyGreengrassCore를 사물의 이름으로 바꿉니다 AWS IoT .

   • 2.14.0를 AWS IoT Greengrass 코어 소프트웨어 버전으로 바꿉니다.

   • 를 리소스를 생성한 AWS 리전 us-west-2로 바꿉니다.

   • GreengrassCoreTokenExchangeRoleAlias를 토큰 교환 역할 별칭의 이름으로 바꿉니다.

   • 를 AWS IoT 데이터 엔드포인트iotDataEndpoint로 바꿉니다.

   • 를 AWS IoT 자격 증명 엔드포인트iotCredEndpoint로 바꿉니다.

   참고

   이 구성 파일에서는 다음 예제와 같이 사용할 포트 및 네트워크 프록시와 같은 다른 nucleus 구성 옵션을 사용자 지정할 수 있습니다. 자세한 내용은 Greengrass nucleus 구성을 참조하세요.

   ---
   system:
     certificateFilePath: "/greengrass/v2/device.pem.crt"
     privateKeyPath: "/greengrass/v2/private.pem.key"
     rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
     rootpath: "/greengrass/v2"
     thingName: "MyGreengrassCore"
   services:
     aws.greengrass.Nucleus:
       componentType: "NUCLEUS"
       version: "2.14.0"
       configuration:
         awsRegion: "us-west-2"
         iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
         iotCredEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
         iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
         mqtt:
           port: 443
         greengrassDataPlanePort: 443
         networkProxy:
           noProxyAddresses: "http://192.168.0.1,www.example.com"
           proxy:
             url: "https://my-proxy-server:1100"
             username: "Mary_Major"
             password: "pass@word1357"

3. 설치 관리자를 실행하고, --init-config를 지정하여 구성 파일을 제공합니다.

   • /greengrass/v2 또는를 Greengrass 루트 폴더C:\greengrass\v2로 바꿉니다.

   • 의 각 인스턴스를 설치 프로그램을 압축 해제한 폴더GreengrassInstaller로 바꿉니다.

   Linux or Unix

   sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
     -jar ./GreengrassInstaller/lib/Greengrass.jar \
     --init-config ./GreengrassInstaller/config.yaml \
     --component-default-user ggc_user:ggc_group \
     --setup-system-service true

   Windows Command Prompt (CMD)

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
     -jar ./GreengrassInstaller/lib/Greengrass.jar ^
     --init-config ./GreengrassInstaller/config.yaml ^
     --component-default-user ggc_user ^
     --setup-system-service true

   PowerShell

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
     -jar ./GreengrassInstaller/lib/Greengrass.jar `
     --init-config ./GreengrassInstaller/config.yaml `
     --component-default-user ggc_user `
     --setup-system-service true

   중요

   Windows 코어 디바이스에서는 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설정--setup-system-service true하도록를 지정해야 합니다.

   --setup-system-service true를 지정하면 설치 관리자는 소프트웨어를 시스템 서비스로 설정하고 실행한 경우 Successfully set up Nucleus as a system service를 출력합니다. 그렇지 않은 경우 소프트웨어가 성공적으로 설치되면 설치 관리자에서 메시지가 출력되지 않습니다.

   참고

   --provision true 인수 없이 설치 관리자를 실행할 때는 deploy-dev-tools 인수를 사용하여 로컬 개발 도구를 배포할 수 없습니다. Greengrass를 디바이스에 CLI 직접 배포하는 방법에 대한 자세한 내용은 섹션을 참조하세요Greengrass 명령줄 인터페이스.

4. 루트 폴더의 파일을 확인하여 설치를 확인합니다.

   Linux or Unix

   ls /greengrass/v2

   Windows Command Prompt (CMD)

   dir C:\greengrass\v2

   PowerShell

   ls C:\greengrass\v2

   설치에 성공하면 루트 폴더에 config, packages 및 logs와 같은 여러 폴더가 포함됩니다.

AWS IoT Greengrass 코어 소프트웨어를 설치하려면

1. AWS IoT Greengrass 코어 소프트웨어의 버전을 확인합니다.

   • 를 소프트웨어가 포함된 폴더의 경로GreengrassInstaller로 바꿉니다.

   java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

2. AWS IoT Greengrass Core 소프트웨어가에서 프라이빗 키와 인증서를 사용하도록 하려면 AWS IoT Greengrass Core 소프트웨어를 HSM설치할 때 PKCS#11 공급자 구성 요소를 설치합니다. PKCS#11 공급자 구성 요소는 설치 중에 구성할 수 있는 플러그인입니다. 다음 위치에서 PKCS#11 공급자 구성 요소의 최신 버전을 다운로드할 수 있습니다.

   • https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar

   PKCS#11 공급자 플러그인을 라는 파일에 다운로드합니다aws.greengrass.crypto.Pkcs11Provider.jar. 를 사용하려는 폴더GreengrassInstaller로 바꿉니다.

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar > GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar

   이 소프트웨어를 다운로드하면 Greengrass 코어 소프트웨어 라이선스 계약에 동의하는 것입니다.

3. 텍스트 편집기를 사용하여 config.yaml 구성 파일을 생성하고 설치 관리자에 제공합니다.

   예를 들어 Linux 기반 시스템에서 다음 명령을 실행하여 GNU 나노를 사용하여 파일을 생성할 수 있습니다.

   nano GreengrassInstaller/config.yaml

   다음 YAML 콘텐츠를 파일에 복사합니다. 이 부분 구성 파일은 시스템 파라미터, Greengrass 핵 파라미터 및 PKCS#11 공급자 파라미터를 지정합니다.

   ---
   system:
     certificateFilePath: "pkcs11:object=iotdevicekey;type=cert"
     privateKeyPath: "pkcs11:object=iotdevicekey;type=private"
     rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
     rootpath: "/greengrass/v2"
     thingName: "MyGreengrassCore"
   services:
     aws.greengrass.Nucleus:
       componentType: "NUCLEUS"
       version: "2.14.0"
       configuration:
         awsRegion: "us-west-2"
         iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
         iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
         iotCredEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
     aws.greengrass.crypto.Pkcs11Provider:
       configuration:
         name: "softhsm_pkcs11"
         library: "/usr/local/Cellar/softhsm/2.6.1/lib/softhsm/libsofthsm2.so"
         slot: 1
         userPin: "1234"

   뒤이어 다음과 같이 하세요.

   • PKCS#11iotdevicekey의 각 인스턴스를 프라이빗 키를 생성하고 인증서를 가져온 객체 레이블URIs로 바꿉니다.

   • /greengrass/v2의 각 인스턴스를 Greengrass 루트 폴더로 바꿉니다.

   • MyGreengrassCore를 사물의 이름으로 바꿉니다 AWS IoT .

   • 2.14.0를 AWS IoT Greengrass 코어 소프트웨어 버전으로 바꿉니다.

   • 를 리소스를 생성한 AWS 리전 us-west-2로 바꿉니다.

   • GreengrassCoreTokenExchangeRoleAlias를 토큰 교환 역할 별칭의 이름으로 바꿉니다.

   • 를 AWS IoT 데이터 엔드포인트iotDataEndpoint로 바꿉니다.

   • 를 AWS IoT 자격 증명 엔드포인트iotCredEndpoint로 바꿉니다.

   • aws.greengrass.crypto.Pkcs11Provider 구성 요소의 구성 파라미터를 코어 디바이스의 HSM 구성 값으로 바꿉니다.

   참고

   이 구성 파일에서는 다음 예제와 같이 사용할 포트 및 네트워크 프록시와 같은 다른 nucleus 구성 옵션을 사용자 지정할 수 있습니다. 자세한 내용은 Greengrass nucleus 구성을 참조하세요.

   ---
   system:
     certificateFilePath: "pkcs11:object=iotdevicekey;type=cert"
     privateKeyPath: "pkcs11:object=iotdevicekey;type=private"
     rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
     rootpath: "/greengrass/v2"
     thingName: "MyGreengrassCore"
   services:
     aws.greengrass.Nucleus:
       componentType: "NUCLEUS"
       version: "2.14.0"
       configuration:
         awsRegion: "us-west-2"
         iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
         iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
         iotCredEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
         mqtt:
           port: 443
         greengrassDataPlanePort: 443
         networkProxy:
           noProxyAddresses: "http://192.168.0.1,www.example.com"
           proxy:
             url: "https://my-proxy-server:1100"
             username: "Mary_Major"
             password: "pass@word1357"
     aws.greengrass.crypto.Pkcs11Provider:
       configuration:
         name: "softhsm_pkcs11"
         library: "/usr/local/Cellar/softhsm/2.6.1/lib/softhsm/libsofthsm2.so"
         slot: 1
         userPin: "1234"

4. 설치 관리자를 실행하고, --init-config를 지정하여 구성 파일을 제공합니다.

   • /greengrass/v2를 Greengrass 루트 폴더로 바꿉니다.

   • 의 각 인스턴스를 설치 프로그램을 압축 해제한 폴더GreengrassInstaller로 바꿉니다.

   sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
     -jar ./GreengrassInstaller/lib/Greengrass.jar \
     --trusted-plugin ./GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar \
     --init-config ./GreengrassInstaller/config.yaml \
     --component-default-user ggc_user:ggc_group \
     --setup-system-service true

   중요

   Windows 코어 디바이스에서는 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설정--setup-system-service true하도록를 지정해야 합니다.

   --setup-system-service true를 지정하면 설치 관리자는 소프트웨어를 시스템 서비스로 설정하고 실행한 경우 Successfully set up Nucleus as a system service를 출력합니다. 그렇지 않은 경우 소프트웨어가 성공적으로 설치되면 설치 관리자에서 메시지가 출력되지 않습니다.

   참고

   --provision true 인수 없이 설치 관리자를 실행할 때는 deploy-dev-tools 인수를 사용하여 로컬 개발 도구를 배포할 수 없습니다. Greengrass를 디바이스에 CLI 직접 배포하는 방법에 대한 자세한 내용은 섹션을 참조하세요Greengrass 명령줄 인터페이스.

5. 루트 폴더의 파일을 확인하여 설치를 확인합니다.

   Linux or Unix

   ls /greengrass/v2

   Windows Command Prompt (CMD)

   dir C:\greengrass\v2

   PowerShell

   ls C:\greengrass\v2

   설치에 성공하면 루트 폴더에 config, packages 및 logs와 같은 여러 폴더가 포함됩니다.