쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

수동 리소스 프로비저닝을 사용하여 Docker 컨테이너에서 AWS IoT Greengrass 실행

포커스 모드
수동 리소스 프로비저닝을 사용하여 Docker 컨테이너에서 AWS IoT Greengrass 실행 - AWS IoT Greengrass

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

이 자습서에서는 수동으로 프로비저닝된 AWS 리소스를 사용하여 Docker 컨테이너에 AWS IoT Greengrass 코어 소프트웨어를 설치하고 실행하는 방법을 설명합니다.

사전 조건

이 튜토리얼을 완료하려면 다음이 필요합니다.

  • AWS 계정. 계정이 없는 경우 설정 AWS 계정 섹션을 참조하십시오.

  • AWS IoT Greengrass Docker 이미지. AWS IoT Greengrass Dockerfile에서 이미지를 빌드할 수 있습니다.

  • Docker 컨테이너를 실행하는 호스트 컴퓨터는 다음과 같은 요구 사항을 충족해야 합니다.

    • 인터넷에 연결된 Linux 기반 운영 체제.

    • Docker Engine 버전 18.09 이상.

    • (선택 사항) Docker Compose 버전 1.22 이상. Docker Compose는 Docker Compose CLI를 사용하여 Docker 이미지를 실행하려는 경우에만 필요합니다.

AWS IoT 엔드포인트 검색

AWS 계정의 AWS IoT 엔드포인트를 가져와서 나중에 사용할 수 있도록 저장합니다. 디바이스에서는 이러한 엔드포인트를 사용하여 AWS IoT에 연결합니다. 다음을 따릅니다.

  1. AWS 계정의 AWS IoT 데이터 엔드포인트를 가져옵니다.

    aws iot describe-endpoint --endpoint-type iot:Data-ATS

    요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

    { "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com" }
  2. AWS 계정의 AWS IoT 자격 증명 엔드포인트를 가져옵니다.

    aws iot describe-endpoint --endpoint-type iot:CredentialProvider

    요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

    { "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com" }

AWS IoT 사물 생성

AWS IoT 사물은 AWS IoT에 연결하는 디바이스와 논리적 엔터티를 나타냅니다. Greengrass 코어 디바이스는 AWS IoT 사물입니다. 디바이스를 AWS IoT 사물로 등록하면 해당 디바이스는 디지털 인증서를 사용하여 AWS에 인증할 수 있습니다.

이 섹션에서는 디바이스를 나타내는 AWS IoT 사물을 생성합니다.

AWS IoT 사물을 생성하려면
  1. 디바이스에 대한 AWS IoT 사물을 생성합니다. 개발 컴퓨터에서 다음 명령을 실행합니다.

    • MyGreengrassCore를 사용할 사물 이름으로 바꿉니다. 이 이름은 Greengrass 코어 디바이스의 이름이기도 합니다.

      참고

      사물 이름에는 콜론(:) 문자를 포함할 수 없습니다.

    aws iot create-thing --thing-name MyGreengrassCore

    요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

    { "thingName": "MyGreengrassCore", "thingArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore", "thingId": "8cb4b6cd-268e-495d-b5b9-1713d71dbf42" }
  2. (선택 사항) 새로운 또는 기존 사물 그룹에 AWS IoT 사물을 추가합니다. 사물 그룹을 사용하여 Greengrass 코어 디바이스 플릿을 관리합니다. 소프트웨어 구성 요소를 디바이스에 배포할 때 개별 디바이스 또는 디바이스 그룹을 대상으로 지정할 수 있습니다. 활성 Greengrass 배포가 있는 사물 그룹에 디바이스를 추가하여 사물 그룹의 소프트웨어 구성 요소를 디바이스에 배포할 수 있습니다. 다음을 따릅니다.

    1. (선택 사항) AWS IoT 사물 그룹을 생성합니다.

      • MyGreengrassCoreGroup을 생성할 사물 그룹의 이름으로 바꿉니다.

        참고

        사물 그룹 이름에는 콜론(:) 문자를 포함할 수 없습니다.

      aws iot create-thing-group --thing-group-name MyGreengrassCoreGroup

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      { "thingGroupName": "MyGreengrassCoreGroup", "thingGroupArn": "arn:aws:iot:us-west-2:123456789012:thinggroup/MyGreengrassCoreGroup", "thingGroupId": "4df721e1-ff9f-4f97-92dd-02db4e3f03aa" }
    2. AWS IoT 사물을 사물 그룹에 추가합니다.

      • MyGreengrassCore를 AWS IoT 사물의 이름으로 바꿉니다.

      • MyGreengrassCoreGroup을 사물 그룹의 이름으로 바꿉니다.

      aws iot add-thing-to-thing-group --thing-name MyGreengrassCore --thing-group-name MyGreengrassCoreGroup

      요청에 성공하는 경우 명령에 출력이 없습니다.

사물 인증서 생성

디바이스를 AWS IoT 사물로 등록하면 해당 디바이스는 디지털 인증서를 사용하여 AWS에 인증할 수 있습니다. 이 인증서를 사용하면 디바이스가 AWS IoT 및 AWS IoT Greengrass와 통신할 수 있습니다.

이 섹션에서는 디바이스가 AWS에 연결하는 데 사용할 수 있는 인증서를 생성하고 다운로드합니다.

사물 인증서를 생성하려면
  1. AWS IoT 사물에 대한 인증서를 다운로드할 폴더를 생성합니다.

    mkdir greengrass-v2-certs
  2. AWS IoT 사물에 대한 인증서를 생성하고 다운로드합니다.

    aws iot create-keys-and-certificate --set-as-active --certificate-pem-outfile greengrass-v2-certs/device.pem.crt --public-key-outfile greengrass-v2-certs/public.pem.key --private-key-outfile greengrass-v2-certs/private.pem.key

    요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

    { "certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4", "certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4", "certificatePem": "-----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEXAMPLE= -----END CERTIFICATE-----", "keyPair": { "PublicKey": "-----BEGIN PUBLIC KEY-----\ MIIBIjANBgkqhkEXAMPLEQEFAAOCAQ8AMIIBCgKCAQEAEXAMPLE1nnyJwKSMHw4h\ MMEXAMPLEuuN/dMAS3fyce8DW/4+EXAMPLEyjmoF/YVF/gHr99VEEXAMPLE5VF13\ 59VK7cEXAMPLE67GK+y+jikqXOgHh/xJTwo+sGpWEXAMPLEDz18xOd2ka4tCzuWEXAMPLEahJbYkCPUBSU8opVkR7qkEXAMPLE1DR6sx2HocliOOLtu6Fkw91swQWEXAMPLE\\GB3ZPrNh0PzQYvjUStZeccyNCx2EXAMPLEvp9mQOUXP6plfgxwKRX2fEXAMPLEDa\ hJLXkX3rHU2xbxJSq7D+XEXAMPLEcw+LyFhI5mgFRl88eGdsAEXAMPLElnI9EesG\ FQIDAQAB\ -----END PUBLIC KEY-----\ ", "PrivateKey": "-----BEGIN RSA PRIVATE KEY-----\ key omitted for security reasons\ -----END RSA PRIVATE KEY-----\ " } }

    이후 인증서 구성에 사용할 인증서의 Amazon 리소스 이름(ARN)을 저장합니다.

사물 인증서 구성

사물 인증서를 앞서 생성한 AWS IoT 사물에 연결하고 인증서에 AWS IoT 정책을 추가하여 코어 디바이스에 대한 AWS IoT 권한을 정의합니다.

사물의 인증서를 구성하려면
  1. 인증서를 AWS IoT 사물에 연결합니다.

    • MyGreengrassCore를 AWS IoT 사물의 이름으로 바꿉니다.

    • 인증서 Amazon 리소스 이름(ARN)을 이전 단계에서 생성한 인증서의 ARN으로 바꿉니다.

    aws iot attach-thing-principal --thing-name MyGreengrassCore --principal arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

    요청에 성공하는 경우 명령에 출력이 없습니다.

  2. Greengrass 코어 디바이스에 대한 AWS IoT 권한을 정의하는 AWS IoT 정책을 생성하고 연결합니다. 다음 정책은 모든 MQTT 주제 및 Greengrass 작업에 대한 액세스를 허용하므로 디바이스에서 사용자 지정 애플리케이션 및 새로운 Greengrass 작업이 필요한 향후 변경 사항과 호환됩니다. 사용 사례를 기반으로 이 정책을 제한할 수 있습니다. 자세한 내용은 AWS IoT Greengrass V2 코어 디바이스에 대한 최소 AWS IoT 정책 단원을 참조하십시오.

    이전에 Greengrass 코어 디바이스를 설정한 경우 새 디바이스를 생성하는 대신 AWS IoT 정책을 연결할 수 있습니다.

    다음을 따릅니다.

    1. Greengrass 코어 디바이스에 필요한 AWS IoT 정책 문서가 포함된 파일을 생성합니다.

      예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.

      nano greengrass-v2-iot-policy.json

      다음 JSON을 파일로 복사합니다.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Publish", "iot:Subscribe", "iot:Receive", "iot:Connect", "greengrass:*" ], "Resource": [ "*" ] } ] }
    2. 정책 문서에서 AWS IoT 정책을 생성합니다.

      • GreengrassV2IoTThingPolicy를 생성할 정책의 이름으로 바꿉니다.

      aws iot create-policy --policy-name GreengrassV2IoTThingPolicy --policy-document file://greengrass-v2-iot-policy.json

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      { "policyName": "GreengrassV2IoTThingPolicy", "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy", "policyDocument": "{ \\"Version\\": \\"2012-10-17\\", \\"Statement\\": [ { \\"Effect\\": \\"Allow\\", \\"Action\\": [ \\"iot:Publish\\", \\"iot:Subscribe\\", \\"iot:Receive\\", \\"iot:Connect\\", \\"greengrass:*\\" ], \\"Resource\\": [ \\"*\\" ] } ] }", "policyVersionId": "1" }
    3. AWS IoT 정책을 AWS IoT 사물 인증서에 연결합니다.

      • GreengrassV2IoTThingPolicy를 연결할 정책의 이름으로 바꿉니다.

      • 대상 ARN을 AWS IoT 사물 인증서의 ARN으로 바꿉니다.

      aws iot attach-policy --policy-name GreengrassV2IoTThingPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

      요청에 성공하는 경우 명령에 출력이 없습니다.

토큰 교환 역할 생성

Greengrass 코어 디바이스는 토큰 교환 역할이라는 IAM 서비스 역할을 사용하여 AWS 서비스에 대한 직접 호출 권한을 부여합니다. 디바이스는 AWS IoT 자격 증명 공급자를 사용하여 이 역할에 대한 임시 AWS 자격 증명을 가져오고, 이를 통해 디바이스가 AWS IoT와 연동하고, Amazon CloudWatch Logs로 로그를 보내고, Amazon S3에서 사용자 지정 구성 요소 아티팩트를 다운로드할 수 있습니다. 자세한 내용은 코어 디바이스에 AWS 서비스와 상호 작용 권한 부여 단원을 참조하십시오.

AWS IoT 역할 별칭을 사용하여 Greengrass 코어 디바이스에 대한 토큰 교환 역할을 구성합니다. 역할 별칭을 사용하면 디바이스의 토큰 교환 역할을 변경할 수 있지만 디바이스 구성은 동일하게 유지할 수 있습니다. 자세한 내용은 AWS IoT Core 개발자 안내서AWS 서비스 직접 호출에 대한 권한 부여를 참조하세요.

이 섹션에서는 토큰 교환 IAM 역할과 이 역할을 가리키는 AWS IoT 역할 별칭을 생성합니다. 이미 Greengrass 코어 디바이스를 설정한 경우 새 디바이스를 생성하는 대신 토큰 교환 역할 및 역할 별칭을 사용할 수 있습니다. 그런 다음 해당 역할과 별칭을 사용하도록 디바이스의 AWS IoT 사물을 구성합니다.

토큰 교환 IAM 역할을 생성하려면
  1. 디바이스가 토큰 교환 역할로 사용할 수 있는 IAM 역할을 생성합니다. 다음을 따릅니다.

    1. 토큰 교환 역할에 필요한 신뢰 정책 문서가 포함된 파일을 생성합니다.

      예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.

      nano device-role-trust-policy.json

      다음 JSON을 파일로 복사합니다.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "credentials.iot.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
    2. 신뢰 정책 문서를 사용하여 토큰 교환 역할을 생성합니다.

      • GreengrassV2TokenExchangeRole을 생성할 IAM 역할의 이름으로 바꿉니다.

      aws iam create-role --role-name GreengrassV2TokenExchangeRole --assume-role-policy-document file://device-role-trust-policy.json

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      { "Role": { "Path": "/", "RoleName": "GreengrassV2TokenExchangeRole", "RoleId": "AROAZ2YMUHYHK5OKM77FB", "Arn": "arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole", "CreateDate": "2021-02-06T00:13:29+00:00", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "credentials.iot.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } }
    3. 토큰 교환 역할에 필요한 액세스 정책 문서가 포함된 파일을 생성합니다.

      예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.

      nano device-role-access-policy.json

      다음 JSON을 파일로 복사합니다.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams", "s3:GetBucketLocation" ], "Resource": "*" } ] }
      참고

      이 액세스 정책은 S3 버킷의 구성 요소 아티팩트에 대한 액세스를 허용하지 않습니다. Amazon S3에서 아티팩트를 정의하는 사용자 지정 구성 요소를 배포하려면 코어 디바이스가 구성 요소 아티팩트를 검색할 수 있도록 역할에 권한을 추가해야 합니다. 자세한 내용은 구성 요소 아티팩트에 대한 S3 버킷 액세스 허용 단원을 참조하십시오.

      구성 요소 아티팩트에 대한 S3 버킷이 아직 없는 경우 버킷을 생성한 후 권한을 추가할 수 있습니다.

    4. 정책 문서에서 IAM 정책을 생성합니다.

      • GreengrassV2TokenExchangeRoleAccess를 생성할 IAM 정책의 이름으로 바꿉니다.

      aws iam create-policy --policy-name GreengrassV2TokenExchangeRoleAccess --policy-document file://device-role-access-policy.json

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      { "Policy": { "PolicyName": "GreengrassV2TokenExchangeRoleAccess", "PolicyId": "ANPAZ2YMUHYHACI7C5Z66", "Arn": "arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2021-02-06T00:37:17+00:00", "UpdateDate": "2021-02-06T00:37:17+00:00" } }
    5. IAM 정책을 토큰 교환 역할에 연결합니다.

      • GreengrassV2TokenExchangeRole을 IAM 역할의 이름으로 바꿉니다.

      • 정책 ARN을 이전 단계에서 생성한 IAM 정책의 ARN으로 변경합니다.

      aws iam attach-role-policy --role-name GreengrassV2TokenExchangeRole --policy-arn arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess

      요청에 성공하는 경우 명령에 출력이 없습니다.

  2. 토큰 교환 역할을 가리키는 AWS IoT 역할 별칭을 생성합니다.

    • GreengrassCoreTokenExchangeRoleAlias를 생성할 역할 별칭의 이름으로 바꿉니다.

    • 역할 ARN을 이전 단계에서 생성한 IAM 역할의 ARN으로 변경합니다.

    aws iot create-role-alias --role-alias GreengrassCoreTokenExchangeRoleAlias --role-arn arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole

    요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

    { "roleAlias": "GreengrassCoreTokenExchangeRoleAlias", "roleAliasArn": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias" }
    참고

    역할 별칭을 생성하려면 토큰 교환 IAM 역할을 AWS IoT에 전달할 권한이 있어야 합니다. 역할 별칭을 생성하려고 할 때 오류 메시지가 표시되면 AWS 사용자에게 이 권한이 있는지 확인합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서에서 사용자에게 AWS 서비스 역할을 전달할 수 있는 권한 부여를 참조하세요.

  3. Greengrass 코어 디바이스가 역할 별칭을 사용하여 토큰 교환 역할을 수임할 수 있도록 허용하는 AWS IoT 정책을 생성 및 연결합니다. 이전에 Greengrass 코어 디바이스를 설정한 경우 새 디바이스를 생성하는 대신 역할 별칭 AWS IoT 정책을 연결할 수 있습니다. 다음을 따릅니다.

    1. (선택 사항) 역할 별칭에 필요한 AWS IoT 정책 문서가 포함된 파일을 생성합니다.

      예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.

      nano greengrass-v2-iot-role-alias-policy.json

      다음 JSON을 파일로 복사합니다.

      • 리소스 ARN을 역할 별칭의 ARN으로 바꿉니다.

      { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iot:AssumeRoleWithCertificate", "Resource": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias" } ] }
    2. 정책 문서에서 AWS IoT 정책을 생성합니다.

      • GreengrassCoreTokenExchangeRoleAliasPolicy를 생성할 AWS IoT 정책의 이름으로 바꿉니다.

      aws iot create-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --policy-document file://greengrass-v2-iot-role-alias-policy.json

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      { "policyName": "GreengrassCoreTokenExchangeRoleAliasPolicy", "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassCoreTokenExchangeRoleAliasPolicy", "policyDocument": "{ \\"Version\\":\\"2012-10-17\\", \\"Statement\\": [ { \\"Effect\\": \\"Allow\\", \\"Action\\": \\"iot:AssumeRoleWithCertificate\\", \\"Resource\\": \\"arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias\\" } ] }", "policyVersionId": "1" }
    3. AWS IoT 정책을 AWS IoT 사물 인증서에 연결합니다.

      • GreengrassCoreTokenExchangeRoleAliasPolicy를 역할 별칭 AWS IoT 정책의 이름으로 바꿉니다.

      • 대상 ARN을 AWS IoT 사물 인증서의 ARN으로 바꿉니다.

      aws iot attach-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

      요청에 성공하는 경우 명령에 출력이 없습니다.

디바이스에 인증서 다운로드

앞서 디바이스의 인증서를 개발 컴퓨터에 다운로드했습니다. 이 섹션에서는 Amazon 루트 인증 기관(CA) 인증서를 다운로드합니다. 그런 다음 개발 컴퓨터가 아닌 다른 컴퓨터에서 Docker의 AWS IoT Greengrass 코어 소프트웨어를 실행하려는 경우 인증서를 해당 호스트 컴퓨터에 복사합니다. AWS IoT Greengrass 코어 소프트웨어는 이러한 인증서를 사용하여 AWS IoT 클라우드 서비스에 연결합니다.

디바이스에 인증서를 다운로드하려면
  1. 개발 컴퓨터에서 Amazon 루트 인증 기관(CA) 인증서를 다운로드합니다. AWS IoT 인증서는 기본적으로 Amazon 루트 CA 인증서와 연결됩니다.

    Linux or Unix
    sudo curl -o ./greengrass-v2-certs/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
    Windows Command Prompt (CMD)
    curl -o .\greengrass-v2-certs\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
    PowerShell
    iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile .\greengrass-v2-certs\AmazonRootCA1.pem
    sudo curl -o ./greengrass-v2-certs/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
  2. 개발 컴퓨터가 아닌 다른 디바이스에서 Docker의 AWS IoT Greengrass 코어 소프트웨어를 실행하려는 경우 인증서를 호스트 컴퓨터에 복사합니다. 개발 컴퓨터와 호스트 컴퓨터에서 SSH 및 SCP가 활성화된 경우 개발 컴퓨터에서 scp 명령을 사용하여 인증서를 전송할 수 있습니다. device-ip-address를 호스트 컴퓨터의 IP 주소로 바꿉니다.

    scp -r greengrass-v2-certs/ device-ip-address:~

구성 파일 생성

  1. 호스트 컴퓨터에서 구성 파일을 배치할 폴더를 생성합니다.

    mkdir ./greengrass-v2-config
  2. 텍스트 편집기를 사용하여 config.yaml 폴더에 ./greengrass-v2-config라는 이름의 구성 파일을 생성합니다.

    예를 들어 다음 명령을 실행하면 GNU nano를 사용하여 config.yaml을 생성할 수 있습니다.

    nano ./greengrass-v2-config/config.yaml
  3. 다음 YAML 콘텐츠를 파일에 복사합니다. 이 부분 구성 파일은 시스템 파라미터와 Greengrass nucleus 파라미터를 지정합니다.

    --- system: certificateFilePath: "/tmp/certs/device.pem.crt" privateKeyPath: "/tmp/certs/private.pem.key" rootCaPath: "/tmp/certs/AmazonRootCA1.pem" rootpath: "/greengrass/v2" thingName: "MyGreengrassCore" services: aws.greengrass.Nucleus: componentType: "NUCLEUS" version: "nucleus-version" configuration: awsRegion: "region" iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias" iotDataEndpoint: "device-data-prefix-ats.iot.region.amazonaws.com" iotCredEndpoint: "device-credentials-prefix.credentials.region.amazonaws.com"

    그런 다음, 다음 값을 바꿉니다.

    • /tmp/certs. 컨테이너를 시작할 때 다운로드한 인증서를 탑재하는 Docker 컨테이너의 디렉터리입니다.

    • /greengrass/v2. 설치에 사용하려는 Greengrass 루트 폴더입니다. GGC_ROOT 환경 변수를 사용하여 이 값을 지정할 수 있습니다.

    • MyGreengrassCore. AWS IoT 사물의 이름입니다.

    • nucleus-version. 설치할 AWS IoT Greengrass 코어 소프트웨어의 버전입니다. 이 값은 다운로드한 Docker 이미지 또는 Dockerfile의 버전과 일치해야 합니다. latest 태그와 함께 Greengrass Docker 이미지를 다운로드한 경우 docker inspect image-id를 사용하여 이미지 버전을 확인합니다.

    • region. AWS IoT 리소스를 생성한 AWS 리전입니다. 또한 환경 파일에서 AWS_REGION 환경 변수에 대해 동일한 값을 지정해야 합니다.

    • GreengrassCoreTokenExchangeRoleAlias. 토큰 교환 역할 별칭입니다.

    • device-data-prefix. AWS IoT 데이터 엔드포인트의 접두사입니다.

    • device-credentials-prefix. AWS IoT 자격 증명 엔드포인트의 접두사입니다.

환경 파일 생성

이 자습서에서는 환경 파일을 사용하여 Docker 컨테이너 내 AWS IoT Greengrass 코어 소프트웨어 설치 관리자로 전달되는 환경 변수를 설정합니다. docker run 명령의 -e 또는 --env 인수를 사용하여 Docker 컨테이너에서 환경 변수를 설정하거나 docker-compose.yml 파일의 environment 블록에서 변수를 설정할 수 있습니다.

  1. 텍스트 편집기를 사용하여 .env라는 이름의 환경 파일을 생성합니다.

    예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 현재 디렉터리에 .env를 생성할 수 있습니다.

    nano .env
  2. 다음 콘텐츠를 파일에 복사합니다.

    GGC_ROOT_PATH=/greengrass/v2 AWS_REGION=region PROVISION=false COMPONENT_DEFAULT_USER=ggc_user:ggc_group INIT_CONFIG=/tmp/config/config.yaml

    그런 다음, 다음 값을 바꿉니다.

    • /greengrass/v2. AWS IoT Greengrass 코어 소프트웨어를 설치하는 데 사용할 루트 폴더의 경로입니다.

    • region. AWS IoT 리소스를 생성한 AWS 리전입니다. 구성 파일에서 awsRegion 구성 파라미터에 대해 동일한 값을 지정해야 합니다.

    • /tmp/config/. Docker 컨테이너를 시작할 때 구성 파일을 탑재하는 폴더입니다.

    참고

    DEPLOY_DEV_TOOLS 환경 변수를 true로 설정하여 Docker 컨테이너 내에서 사용자 지정 구성 요소를 개발할 수 있도록 하는 Greengrass CLI 구성 요소를 배포할 수 있습니다. 이 구성 요소는 프로덕션 환경이 아닌 개발 환경에서만 사용하는 것이 좋습니다. 이 구성 요소는 일반적으로 프로덕션 환경에서는 필요하지 않은 정보와 작업에 대한 액세스를 제공합니다. 필요한 코어 디바이스에만 이 구성 요소를 배포하여 최소 권한 원칙을 따르세요.

컨테이너에서 AWS IoT Greengrass 코어 소프트웨어 실행

이 자습서에서는 Docker 컨테이너에 빌드한 Docker 이미지를 시작하는 방법을 설명합니다. Docker CLI 또는 Docker Compose CLI를 사용하여 Docker 컨테이너에서 AWS IoT Greengrass 코어 소프트웨어 이미지를 실행할 수 있습니다.

Docker
  • 이 자습서에서는 Docker 컨테이너에 빌드한 Docker 이미지를 시작하는 방법을 설명합니다.

    docker run --rm --init -it --name docker-image \ -v path/to/greengrass-v2-config:/tmp/config/:ro \ -v path/to/greengrass-v2-certs:/tmp/certs:ro \ --env-file .env \ -p 8883 \ your-container-image:version

    이 예제 명령은 Docker 실행을 위해 다음 인수를 사용합니다.

    • --rm. 컨테이너가 종료될 때 컨테이너를 정리합니다.

    • --init. 컨테이너에서 init 프로세스를 사용합니다.

      참고

      --init 인수는 Docker 컨테이너를 중지할 때 AWS IoT Greengrass 코어 소프트웨어를 종료하는 데 필요합니다.

    • -it. (선택 사항) 전경의 Docker 컨테이너를 대화형 프로세스로 실행합니다. 이를 대신 Docker 컨테이너를 분리 모드로 실행하기 위한 -d 인수로 바꿀 수 있습니다. 자세한 내용은 Docker 설명서의 Detached vs foreground를 참조하세요.

    • --name. aws-iot-greengrass라는 이름의 컨테이너를 실행합니다.

    • -v. Docker 컨테이너에 볼륨을 탑재하여 컨테이너 내부에서 실행되는 AWS IoT Greengrass에서 구성 파일과 인증서 파일을 사용할 수 있도록 합니다.

    • --env-file. (선택 사항) 환경 파일을 지정하여 Docker 컨테이너 내 AWS IoT Greengrass 코어 소프트웨어 설치 관리자로 전달되는 환경 변수를 설정합니다. 이 인수는 환경 변수를 설정하기 위해 환경 파일을 생성한 경우에만 필요합니다. 환경 파일을 생성하지 않은 경우 --env 인수를 사용하여 Docker 실행 명령에서 환경 변수를 직접 설정할 수 있습니다.

    • -p. (선택 사항) 8883 컨테이너 포트를 호스트 시스템에 게시합니다. AWS IoT Greengrass는 MQTT 트래픽에 포트 8883을 사용하므로 이 인수는 MQTT를 통해 연결하고 통신하려는 경우에 필요합니다. 다른 포트를 열려면 추가 -p 인수를 사용합니다.

    참고

    Docker 컨테이너를 강화된 보안으로 실행하려면 --cap-drop--cap-add 인수를 사용하여 컨테이너에 대한 Linux 기능을 선택적으로 활성화할 수 있습니다. 자세한 내용은 Docker 설명서의 런타임 권한 및 Linux 기능을 참조하세요.

Docker Compose
  1. 텍스트 편집기를 사용하여 docker-compose.yml이라는 이름의 Docker Compose 파일을 생성합니다.

    예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 현재 디렉터리에 docker-compose.yml를 생성할 수 있습니다.

    nano docker-compose.yml
    참고

    GitHub에서 AWS 제공 Compose 파일의 최신 버전을 다운로드하여 사용할 수도 있습니다.

  2. Compose 파일에 다음 콘텐츠를 추가합니다. 파일은 다음 예제와 비슷할 것입니다. your-container-name:version을 Docker 이미지의 이름으로 바꿉니다.

    version: '3.7' services: greengrass: init: true build: context: . container_name: aws-iot-greengrass image: your-container-name:version volumes: - /path/to/greengrass-v2-config:/tmp/config/:ro - /path/to/greengrass-v2-certs:/tmp/certs:ro env_file: .env ports: - "8883:8883"

    이 예제 Compose 파일의 다음 파라미터는 선택 사항입니다.

    • ports - 8883 컨테이너 포트를 호스트 시스템에 게시합니다. AWS IoT Greengrass는 MQTT 트래픽에 포트 8883을 사용하므로 이 파라미터는 MQTT를 통해 연결하고 통신하려는 경우에 필요합니다.

    • env_file - 환경 파일을 지정하여 Docker 컨테이너 내 AWS IoT Greengrass 코어 소프트웨어 설치 관리자로 전달되는 환경 변수를 설정합니다. 이 파라미터는 환경 변수를 설정하기 위해 환경 파일을 생성한 경우에만 필요합니다. 환경 파일을 생성하지 않은 경우 환경 파라미터를 사용하여 Compose 파일에서 변수를 직접 설정할 수 있습니다.

    참고

    Docker 컨테이너를 강화된 보안으로 실행하려면 Compose 파일의 cap_dropcap_add를 사용하여 컨테이너에 대한 Linux 기능을 선택적으로 활성화할 수 있습니다. 자세한 내용은 Docker 설명서의 런타임 권한 및 Linux 기능을 참조하세요.

  3. 컨테이너를 시작하려면 다음 명령을 실행합니다.

    docker-compose -f docker-compose.yml up
  • 이 자습서에서는 Docker 컨테이너에 빌드한 Docker 이미지를 시작하는 방법을 설명합니다.

    docker run --rm --init -it --name docker-image \ -v path/to/greengrass-v2-config:/tmp/config/:ro \ -v path/to/greengrass-v2-certs:/tmp/certs:ro \ --env-file .env \ -p 8883 \ your-container-image:version

    이 예제 명령은 Docker 실행을 위해 다음 인수를 사용합니다.

    • --rm. 컨테이너가 종료될 때 컨테이너를 정리합니다.

    • --init. 컨테이너에서 init 프로세스를 사용합니다.

      참고

      --init 인수는 Docker 컨테이너를 중지할 때 AWS IoT Greengrass 코어 소프트웨어를 종료하는 데 필요합니다.

    • -it. (선택 사항) 전경의 Docker 컨테이너를 대화형 프로세스로 실행합니다. 이를 대신 Docker 컨테이너를 분리 모드로 실행하기 위한 -d 인수로 바꿀 수 있습니다. 자세한 내용은 Docker 설명서의 Detached vs foreground를 참조하세요.

    • --name. aws-iot-greengrass라는 이름의 컨테이너를 실행합니다.

    • -v. Docker 컨테이너에 볼륨을 탑재하여 컨테이너 내부에서 실행되는 AWS IoT Greengrass에서 구성 파일과 인증서 파일을 사용할 수 있도록 합니다.

    • --env-file. (선택 사항) 환경 파일을 지정하여 Docker 컨테이너 내 AWS IoT Greengrass 코어 소프트웨어 설치 관리자로 전달되는 환경 변수를 설정합니다. 이 인수는 환경 변수를 설정하기 위해 환경 파일을 생성한 경우에만 필요합니다. 환경 파일을 생성하지 않은 경우 --env 인수를 사용하여 Docker 실행 명령에서 환경 변수를 직접 설정할 수 있습니다.

    • -p. (선택 사항) 8883 컨테이너 포트를 호스트 시스템에 게시합니다. AWS IoT Greengrass는 MQTT 트래픽에 포트 8883을 사용하므로 이 인수는 MQTT를 통해 연결하고 통신하려는 경우에 필요합니다. 다른 포트를 열려면 추가 -p 인수를 사용합니다.

    참고

    Docker 컨테이너를 강화된 보안으로 실행하려면 --cap-drop--cap-add 인수를 사용하여 컨테이너에 대한 Linux 기능을 선택적으로 활성화할 수 있습니다. 자세한 내용은 Docker 설명서의 런타임 권한 및 Linux 기능을 참조하세요.

다음 단계

이제 AWS IoT Greengrass 코어 소프트웨어가 Docker 컨테이너에서 실행되고 있습니다. 다음 명령을 실행하여 현재 실행 중인 컨테이너의 컨테이너 ID를 검색합니다.

docker ps

그런 다음, 다음 명령을 실행하여 컨테이너에 액세스하고 컨테이너 내에서 실행되는 AWS IoT Greengrass 코어 소프트웨어를 탐색할 수 있습니다.

docker exec -it container-id /bin/bash

간단한 구성 요소 생성에 대한 자세한 내용은 자습서: 시작하기 AWS IoT Greengrass V24단계: 디바이스에서 구성 요소 개발 및 테스트 섹션을 참조하세요.

참고

docker exec를 사용하여 Docker 컨테이너 내에서 명령을 실행하면 이 명령이 Docker 로그에 기록되지 않습니다. Docker 로그에 명령을 기록하려면 Docker 컨테이너에 대화형 쉘을 연결합니다. 자세한 내용은 대화형 쉘을 Docker 컨테이너에 연결 단원을 참조하십시오.

AWS IoT Greengrass 코어 로그 파일은 greengrass.log라고 하며 /greengrass/v2/logs에 있습니다. 구성 요소 로그 파일도 동일한 디렉터리에 있습니다. Greengrass 로그를 호스트의 임시 디렉터리에 복사하려면 다음 명령을 실행합니다.

docker cp container-id:/greengrass/v2/logs /tmp/logs

컨테이너가 종료되거나 제거된 후 로그를 유지하려면 호스트의 임시 로그 디렉터리에 전체 Greengrass 디렉터리를 탑재하는 대신 /greengrass/v2/logs 디렉터리만 바인딩 탑재하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너 외부에서 Greengrass 로그 유지 단원을 참조하십시오.

실행 중인 AWS IoT Greengrass Docker 컨테이너를 중지하려면 docker stop 또는 docker-compose -f docker-compose.yml stop을 실행합니다. 이 작업은 SIGTERM을 Greengrass 프로세스로 전송하고 컨테이너에서 시작된 모든 관련 프로세스를 종료합니다. Docker 컨테이너는 docker-init 실행 파일을 사용하여 프로세스 PID 1로 초기화되며, 이는 남아 있는 좀비 프로세스를 제거하는 데 도움이 됩니다. 자세한 내용은 Docker 설명서의 Specify an init process를 참조하세요.

Docker 컨테이너에서 AWS IoT Greengrass를 실행하는 데 발생하는 문제 해결에 대한 자세한 내용은 Docker 컨테이너 AWS IoT Greengrass 에서 문제 해결 섹션을 참조하세요.

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.