Aviso de fim do suporte: em 7 de outubro de 2026, AWS o suporte para o. AWS IoT Greengrass Version 1 Depois de 7 de outubro de 2026, você não poderá mais acessar os AWS IoT Greengrass V1 recursos. Para obter mais informações, visite [Migrar de AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Função de serviço do Greengrass
A função de serviço do Greengrass é uma função de serviço AWS Identity and Access Management (IAM) que AWS IoT Greengrass autoriza o acesso a recursos de AWS serviços em seu nome. Isso possibilita AWS IoT Greengrass a execução de tarefas essenciais, como recuperar suas AWS Lambda funções e gerenciar AWS IoT sombras.
Para permitir AWS IoT Greengrass o acesso aos seus recursos, a função de serviço do Greengrass deve estar associada à sua Conta da AWS e ser especificada AWS IoT Greengrass como uma entidade confiável. A função deve incluir a política [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)gerenciada ou uma política personalizada que defina permissões equivalentes para os AWS IoT Greengrass recursos que você usa. Essa política é mantida AWS e define o conjunto de permissões que você AWS IoT Greengrass usa para acessar seus AWS recursos.
Você pode reutilizar a mesma função de serviço do Greengrass Região da AWS entre s, mas deve associá-la à sua conta em Região da AWS todos os lugares em que usa. AWS IoT Greengrass A implantação do grupo falhará se a função de serviço não existir na região atual Conta da AWS e na região.
As seções a seguir descrevem como criar e gerenciar a função de serviço do Greengrass no Console de gerenciamento da AWS ou. AWS CLI
+ [Gerenciar a função de serviço (console)](#manage-service-role-console)
+ [Gerenciar a função de serviço (CLI)](#manage-service-role-cli)
**nota**
Além da função de serviço que autoriza o acesso em nível de serviço, você pode atribuir uma *função de grupo a um grupo*. AWS IoT Greengrass A função de grupo é uma função separada do IAM que controla como as funções e conectores do Greengrass Lambda no grupo podem acessar os serviços. AWS
## Gerenciar a função de serviço do Greengrass (console)
O AWS IoT console facilita o gerenciamento de sua função de serviço no Greengrass. Por exemplo, quando você cria ou implanta um grupo do Greengrass, o console verifica se você Conta da AWS está vinculado a uma função de serviço do Greengrass na Região da AWS que está atualmente selecionada no console. Caso contrário, o console pode criar e configurar uma função de serviço para você. Para obter mais informações, consulte [Criar a função de serviço do Greengrass (console)](#create-service-role-console).
Você pode usar o AWS IoT console para as seguintes tarefas de gerenciamento de funções:
+ [Encontrar a função de serviço do Greengrass](#get-service-role-console)
+ [Criar a função de serviço do Greengrass](#create-service-role-console)
+ [Alterar a função de serviço do Greengrass](#update-service-role-console)
+ [Desanexar a função de serviço do Greengrass](#remove-service-role-console)
**nota**
O usuário que está conectado no console deve ter permissões para visualizar, criar ou alterar o perfil de serviço.
### Encontrar a função de serviço do Greengrass (console)
Use as etapas a seguir para encontrar a função de serviço que AWS IoT Greengrass está sendo usada no momento Região da AWS.
1. No painel de navegação do [console do AWS IoT](https://console.aws.amazon.com/iot/), selecione **Configurações**.
1. Role até a seção **Função de serviço do Greengrass** para ver a função de serviço e as políticas dela.
Se não for exibida uma função de serviço, deixe que o console crie ou configure uma para você. Para obter mais informações, consulte [Criar a função de serviço do Greengrass](#create-service-role-console).
### Criar a função de serviço do Greengrass (console)
O console pode criar e configurar uma função de serviço padrão do Greengrass para você. Essa função tem as propriedades a seguir.
| Propriedade | Valor |
| --- | --- |
| Nome | Greengrass\$1ServiceRole |
| Entidade confiável | AWS service: greengrass |
| Política | [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) |
**nota**
Se a [configuração do dispositivo do Greengrass](quick-start.md) criar o perfil de serviço, o nome da função será `GreengrassServiceRole_random-string`.
Quando você cria ou implanta um grupo do Greengrass a partir do AWS IoT console, o console verifica se uma função de serviço do Greengrass está associada à sua Conta da AWS no Região da AWS que está atualmente selecionado no console. Caso contrário, o console solicitará que você permita AWS IoT Greengrass a leitura e gravação nos AWS serviços em seu nome.
Se você conceder permissão, o console verifica se uma função chamada `Greengrass_ServiceRole` existe na Conta da AWS.
+ Se a função existir, o console anexará a função de serviço à sua Conta da AWS na atual Região da AWS.
+ Se a função não existir, o console cria uma função de serviço padrão do Greengrass e a anexa à sua Conta da AWS na atual. Região da AWS
**nota**
Se quiser criar uma função de serviço com políticas de função personalizadas, use o console do IAM para criar ou modificar a função. Para obter mais informações, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) ou [Modificar uma função no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) do *usuário do IAM*. Verifique se a função concede permissões equivalentes à política gerenciada `AWSGreengrassResourceAccessRolePolicy` para os atributos e as características que você utiliza. Recomendamos que você também inclua as chaves de contexto de condição global `aws:SourceArn` e `aws:SourceAccount` em sua política de confiança para ajudar a evitar o problema de segurança *confused deputy*. As chaves de contexto de condição restringem o acesso para permitir somente as solicitações provenientes da conta especificada e do espaço de trabalho do Greengrass. Para obter mais informações sobre o problema confused deputy, consulte [Prevenção do problema do substituto confuso entre serviços](cross-service-confused-deputy-prevention.md).
Se você criar uma função de serviço, retorne ao AWS IoT console e anexe a função ao grupo. É possível fazer isso na **função de serviço do Greengrass**, na página **Configurações** do grupo.
### Alterar a função de serviço do Greengrass (console)
Use o procedimento a seguir para escolher uma função de serviço diferente do Greengrass para anexar à sua Conta da AWS na Região da AWS atualmente selecionada no console.
1. No painel de navegação do [console do AWS IoT](https://console.aws.amazon.com/iot/), selecione **Configurações**.
1. Em **Função de serviço do Greengrass**, selecione **Change role (Mudar perfil)**.
A caixa de diálogo **Atualizar função de serviço do Greengrass** é aberta e mostra as funções do IAM em sua Conta da AWS que você define AWS IoT Greengrass como uma entidade confiável.
1. Selecione a função de serviço do Greengrass a ser anexado.
1. Selecione **Anexar função**.
**nota**
Para permitir que o console crie uma função de serviço padrão do Greengrass para você, selecione **Create role for me (Criar função para mim)** em vez de escolher uma função na lista. O link **Criar função para mim** não aparecerá se uma função chamada `Greengrass_ServiceRole` estiver na Conta da AWS.
### Desanexar a função de serviço do Greengrass (console)
Use o procedimento a seguir para separar a função de serviço do Greengrass da Conta da AWS sua na Região da AWS atualmente selecionada no console. Isso revoga as permissões AWS IoT Greengrass para acessar AWS serviços no atual Região da AWS.
**Importante**
Desanexar o perfil de serviço pode interromper operações ativas.
1. No painel de navegação do [console do AWS IoT](https://console.aws.amazon.com/iot/), selecione **Configurações**.
1. Em **Função de serviço do Greengrass**, selecione **Detach role (Desanexar função)**.
1. Na caixa de diálogo de confirmação, selecione **Detach (Desvincular)**.
**nota**
Se você não precisar mais da função, poderá excluí-la no console do IAM. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Manual do usuário do IAM*.
Outras funções podem permitir AWS IoT Greengrass o acesso aos seus recursos. Para encontrar todas as funções que permitem que o AWS IoT Greengrass assuma permissões em seu nome, no console do IAM, na página **Funções**, procure as funções que incluem **AWS service: greengrass** na coluna **Entidades confiáveis**.
## Gerenciar a função de serviço do Greengrass (CLI)
Nos procedimentos a seguir, presumimos que o AWS CLI esteja instalado e configurado para usar sua Conta da AWS ID. Para obter mais informações, consulte [Instalando a interface de linha de AWS comando](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) e [Configurando a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) no *Guia do AWS Command Line Interface Usuário*.
Você pode usar o AWS CLI para as seguintes tarefas de gerenciamento de funções:
+ [Obter a função de serviço do Greengrass](#get-service-role)
+ [Criar a função de serviço do Greengrass](#create-service-role)
+ [Remover a função de serviço do Greengrass](#remove-service-role)
### Obter a função de serviço do Greengrass (CLI)
Use o procedimento a seguir para descobrir se uma função de serviço do Greengrass está associada à sua Conta da AWS em um. Região da AWS
+ Obtenha a função de serviço. *region*Substitua pelo seu Região da AWS (por exemplo,`us-west-2`).
```
aws Greengrass get-service-role-for-account --region region
```
Se uma função de serviço do Greengrass já estiver associado à sua conta, os metadados de função serão retornados.
```
{
"AssociatedAt": "timestamp",
"RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
Se nenhum metadado de função for retornado, você deverá criar a função de serviço (se ele não existir) e associá-la á sua conta na Região da AWS.
### Criar a função de serviço do Greengrass (CLI)
Use as etapas a seguir para criar uma função e associá-la à sua Conta da AWS.
**Como criar a função de serviço usando o IAM**
1. Crie a função com uma política de confiança que AWS IoT Greengrass permita assumir a função. Este exemplo cria uma função chamada `Greengrass_ServiceRole`, mas você pode usar um nome diferente. Recomendamos que você também inclua as chaves de contexto de condição global `aws:SourceArn` e `aws:SourceAccount` em sua política de confiança para ajudar a evitar o problema de segurança *confused deputy*. As chaves de contexto de condição restringem o acesso para permitir somente as solicitações provenientes da conta especificada e do espaço de trabalho do Greengrass. Para obter mais informações sobre o problema confused deputy, consulte [Prevenção do problema do substituto confuso entre serviços](cross-service-confused-deputy-prevention.md).
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
1. Copie o ARN da função dos metadados da função na saída. Você usará o ARN para associar a função à sua conta.
1. Anexe a política do `AWSGreengrassResourceAccessRolePolicy` à função.
```
aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
```
**Para associar a função de serviço à sua Conta da AWS**
+ Associe a função à sua conta. *role-arn*Substitua pelo ARN da função de serviço e *region* pelo seu Região da AWS (por exemplo,`us-west-2`).
```
aws greengrass associate-service-role-to-account --role-arn role-arn --region region
```
Se houver êxito, a resposta a seguir será retornada.
```
{
"AssociatedAt": "timestamp"
}
```
### Remover a função de serviço do Greengrass (CLI)
Use as etapas a seguir para desassociar a função de serviço do Greengrass de sua Conta da AWS.
+ Desassocie a função de serviço da conta. *region*Substitua pelo seu Região da AWS (por exemplo,`us-west-2`).
```
aws greengrass disassociate-service-role-from-account --region region
```
Se houver êxito, a resposta a seguir será retornada.
```
{
"DisassociatedAt": "timestamp"
}
```
**nota**
Você deve excluir a função de serviço se não a estiver usando em nenhuma Região da AWS. Primeiro, use [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) para desvincular a política gerenciada `AWSGreengrassResourceAccessRolePolicy` do perfil, depois use [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) para excluir o perfil. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Manual do usuário do IAM*.
## Consulte também
+ [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no Guia do *usuário do IAM*
+ [Modificando uma função](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) no *Guia do usuário do IAM*
+ [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Manual do usuário do IAM*.
+ AWS IoT Greengrass comandos na *Referência de AWS CLI Comandos*
+ [associate-service-role-to-conta](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-service-role-to-account.html)
+ [disassociate-service-role-from-conta](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-service-role-from-account.html)
+ [get-service-role-for-conta](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-service-role-for-account.html)
+ Comandos do IAM disponíveis na *Referência de comandos do AWS CLI *
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)