Instale o software AWS IoT Greengrass principal com provisionamento automático de recursos

Para configurar um dispositivo Linux para AWS IoT Greengrass V2

1. Instale o Java Runtime, que o software AWS IoT Greengrass Core exige para ser executado. Recomendamos que você use as versões de suporte de longo prazo do Amazon Corretto ou do OpenJDK. A versão 8 ou superior é obrigatória. Os seguintes comandos mostram como instalar o OpenJDK no dispositivo.

   • Para distribuições com base em Debian ou em Ubuntu:

     sudo apt install default-jdk

   • Para distribuições com base em Red Hat:

     sudo yum install java-11-openjdk-devel

   • Para Amazon Linux 2:

     sudo amazon-linux-extras install java-openjdk11

   • Para Amazon Linux 2023:

     sudo dnf install java-11-amazon-corretto -y

   Quando a instalação for concluída, execute o seguinte comando para verificar se o Java é executado no dispositivo Linux.

   java -version

   O comando imprime a versão do Java que é executada no dispositivo. Por exemplo, em uma distribuição baseada em Debian, o resultado pode ser semelhante ao seguinte exemplo.

   openjdk version "11.0.9.1" 2020-11-04
   OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
   OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)

2. (Opcional) Crie o usuário e o grupo padrão do sistema que executa componentes no dispositivo. Você também pode optar por permitir que o instalador do software AWS IoT Greengrass Core crie esse usuário e grupo durante a instalação com o argumento do --component-default-user instalador. Para obter mais informações, consulte Argumentos de instalação.

   sudo useradd --system --create-home ggc_user
   sudo groupadd --system ggc_group

3. Verifique se o usuário que executa o software AWS IoT Greengrass Core (normalmenteroot) tem permissão para executar sudo com qualquer usuário e qualquer grupo.

   1. Execute o seguinte comando para abrir o arquivo /etc/sudoers.

      sudo visudo

   2. Verifique se a permissão do usuário se parece com o seguinte exemplo.

      root    ALL=(ALL:ALL) ALL

4. (Opcional) Para executar funções do Lambda em contêineres, habilite cgroups v1 e habilite e monte os cgroups de memória e dispositivos. Se você não planeja executar funções do Lambda em contêineres, ignore esta etapa.

   Para habilitar essas opções de cgroups, inicialize o dispositivo com os seguintes parâmetros do kernel do Linux.

   cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0

   Para mais informações sobre como visualizar e definir parâmetros do kernel para o dispositivo, consulte a documentação do sistema operacional e do carregador de inicialização. Siga as instruções para definir permanentemente os parâmetros do kernel.

5. Instale todas as outras dependências necessárias no dispositivo, conforme indicado na lista de requisitos em Requisitos do dispositivo.

Para configurar um dispositivo Windows para AWS IoT Greengrass V2

1. Instale o Java Runtime, que o software AWS IoT Greengrass Core exige para ser executado. Recomendamos que você use as versões de suporte de longo prazo do Amazon Corretto ou do OpenJDK. A versão 8 ou superior é obrigatória.

2. Verifique se o Java está disponível na variável de sistema PATH e, caso contrário, adicione. A LocalSystem conta executa o software AWS IoT Greengrass Core, então você deve adicionar Java à variável de sistema PATH em vez da variável de usuário PATH para seu usuário. Faça o seguinte:

   1. Pressione a tecla Windows para abrir o menu Iniciar.

   2. Digite environment variables para pesquisar as opções do sistema no menu Iniciar.

   3. Nos resultados da pesquisa do menu Iniciar, escolha Editar as variáveis de ambiente do sistema para abrir a janela Propriedades do sistema.

   4. Escolha Variáveis de ambiente... para abrir a janela Variáveis de ambiente.

   5. Em Variáveis de Sistema, selecione a variável Path e em seguida Editar. Na janela Editar variável de ambiente, você visualiza cada caminho em uma linha separada.

   6. Verifique se o caminho para a pasta bin da instalação do Java está presente. O arquivo pode ser semelhante ao seguinte exemplo.

      C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin

   7. Se a pasta bin da instalação do Java estiver ausente do Path, selecione Novo para adicioná-la e, em seguida, selecione OK.

3. Abra o prompt de comando do Windows (cmd.exe) como um administrador.

4. Crie o usuário padrão na LocalSystem conta no dispositivo Windows. passwordSubstitua por uma senha segura.

   net user /add ggc_user password

   dica

   Dependendo da configuração do Windows, a senha do usuário pode ser definida para expirar em uma data futura. Para garantir que as aplicações Greengrass continuem operando, monitore quando a senha expira e atualize-a antes disso. Também é possível definir que a senha nunca expire.

   • Para verificar quando um usuário e senha expiram, execute o comando a seguir.

     net user ggc_user | findstr /C:expires

   • Para definir que a senha de um usuário nunca expire, execute o seguinte comando.

     wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False

   • Se você estiver usando o Windows 10 ou posterior, onde o wmiccomando está obsoleto, execute o comando a seguir. PowerShell

     Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}

5. Baixe e instale o PsExecutilitário da Microsoft no dispositivo.

6. Use o PsExec utilitário para armazenar o nome de usuário e a senha do usuário padrão na instância do Credential Manager da LocalSystem conta. passwordSubstitua pela senha do usuário que você definiu anteriormente.

   psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password

   Se o PsExec License Agreementabre, escolha Acceptpara concordar com a licença e executar o comando.

   nota

   Em dispositivos Windows, a LocalSystem conta executa o núcleo Greengrass, e você deve usar o PsExec utilitário para armazenar as informações padrão do usuário na conta. LocalSystem O uso do aplicativo Credential Manager armazena essas informações na conta do Windows do usuário atualmente conectado, em vez da LocalSystem conta.

Para fornecer AWS credenciais ao dispositivo

• Forneça suas AWS credenciais ao dispositivo para que o instalador possa provisionar os recursos do IAM AWS IoT e do IAM para seu dispositivo principal. Para aumentar a segurança, recomendamos que você obtenha credenciais temporárias para um perfil do IAM que habilite somente as permissões mínimas necessárias para provisionar. Para obter mais informações, consulte Política mínima de IAM para o instalador provisionar recursos.

  nota

  O instalador não salva nem armazena suas credenciais.

  No seu dispositivo, faça o seguinte para recuperar as credenciais e disponibilizá-las para o AWS IoT Greengrass instalador do software Core:

  • (Recomendado) Use credenciais temporárias de AWS IAM Identity Center

    1. Forneça o ID da chave de acesso, a chave de acesso secreta e o token de sessão do IAM Identity Center. Para obter mais informações, consulte Atualização manual de credenciais em Como conseguir e atualizar credenciais temporárias no Guia do usuário do Centro de Identidade do IAM.

    2. Execute os comandos a seguir para fornecer as credenciais para o software AWS IoT Greengrass principal.

       Linux or Unix

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       Windows Command Prompt (CMD)

       set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       PowerShell

       $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
       $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
       $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="

       anchoranchoranchor
       • Linux or Unix
       • Windows Command Prompt (CMD)
       • PowerShell

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

  • Use credenciais de segurança temporárias de um perfil do IAM:

    1. Forneça o ID da chave de acesso, a chave de acesso secreta e o token de sessão do perfil do IAM que você assume. Para obter mais informações sobre como recuperar essas credenciais, consulte Solicitação de credenciais de segurança temporárias no Guia do usuário do IAM.

    2. Execute os comandos a seguir para fornecer as credenciais para o software AWS IoT Greengrass principal.

       Linux or Unix

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       Windows Command Prompt (CMD)

       set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       PowerShell

       $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
       $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
       $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="

       anchoranchoranchor
       • Linux or Unix
       • Windows Command Prompt (CMD)
       • PowerShell

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

  • Use credenciais de segurança de longo prazo de um usuário do IAM:

    1. Forneça o ID da chave de acesso e a chave de acesso secreta para seu usuário do IAM. É possível criar um usuário do IAM para provisionamento que será excluído posteriormente. Para ver a política do IAM a ser fornecida ao usuário, consulte Política mínima de IAM para o instalador provisionar recursos. Para obter mais informações sobre como recuperar credenciais de longo prazo, consulte Como gerenciar chaves de acesso para usuários do IAM no Guia do usuário do IAM.

    2. Execute os comandos a seguir para fornecer as credenciais para o software AWS IoT Greengrass principal.

       Linux or Unix

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

       Windows Command Prompt (CMD)

       set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

       PowerShell

       $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
       $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"

       anchoranchoranchor
       • Linux or Unix
       • Windows Command Prompt (CMD)
       • PowerShell

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

    3. (Opcional) Se você criou um usuário do IAM para provisionar seu dispositivo Greengrass, exclua o usuário.

    4. (Opcional) Se você usou o ID da chave de acesso e a chave de acesso secreta de um usuário do IAM existente, atualize as chaves do usuário para que elas não sejam mais válidas. Para obter mais informações, consulte Atualização de chaves de acesso no Guia de usuário do AWS Identity and Access Management .

Para baixar o software AWS IoT Greengrass Core

1. Em seu dispositivo principal, baixe o software AWS IoT Greengrass Core para um arquivo chamadogreengrass-nucleus-latest.zip.

   Linux or Unix

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   PowerShell

   iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip

   anchoranchoranchor
   • Linux or Unix
   • Windows Command Prompt (CMD)
   • PowerShell

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   Ao fazer download desse software, você concorda com o Contrato de licença do software do Greengrass Core.

2. (Opcional) Para verificar a assinatura do software do núcleo do Greengrass

   nota

   Esse atributo está disponível com o núcleo do Greengrass versão 2.9.5 e posterior.

   1. Use o comando a seguir para verificar a assinatura do artefato do núcleo do Greengrass:

      Linux or Unix

      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

      Windows Command Prompt (CMD)

      O nome do arquivo pode parecer diferente dependendo da versão do JDK que você instala. Substitua jdk17.0.6_10 pela versão do JDK que você instalou.

      "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip

      PowerShell

      O nome do arquivo pode parecer diferente dependendo da versão do JDK que você instala. Substitua jdk17.0.6_10 pela versão do JDK que você instalou.

      'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip

      anchoranchoranchor
      • Linux or Unix
      • Windows Command Prompt (CMD)
      • PowerShell

      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

   2. A invocação jarsigner produz uma saída que indica os resultados da verificação.

      1. Se o arquivo zip do núcleo do Greengrass estiver assinado, a saída conterá a seguinte declaração:

         jar verified.

      2. Se o arquivo zip do núcleo do Greengrass não estiver assinado, a saída conterá a seguinte declaração:

         jar is unsigned.

   3. Se você forneceu a opção -certs do Jarsigner junto com as opções -verify e -verbose, a saída também incluirá informações detalhadas do certificado do assinante.

3. Descompacte o software AWS IoT Greengrass Core em uma pasta no seu dispositivo. GreengrassInstallerSubstitua pela pasta que você deseja usar.

   Linux or Unix

   unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip

   PowerShell

   Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
   rm greengrass-nucleus-latest.zip

   anchoranchoranchor
   • Linux or Unix
   • Windows Command Prompt (CMD)
   • PowerShell

   unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

4. (Opcional) Execute o comando a seguir para ver a versão do software AWS IoT Greengrass Core.

   java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

Para instalar o software AWS IoT Greengrass Core

1. Execute o instalador AWS IoT Greengrass Core. Substitua os valores dos argumentos no comando da seguinte maneira.

   nota

   O Windows tem uma limitação de comprimento de caminho de 260 caracteres. Se você estiver usando o Windows, use uma pasta raiz como C:\greengrass\v2 ou D:\greengrass\v2 para manter os caminhos dos componentes do Greengrass abaixo do limite de 260 caracteres.

   1. /greengrass/v2ouC:\greengrass\v2: O caminho para a pasta raiz a ser usada para instalar o software AWS IoT Greengrass Core.

   2. GreengrassInstaller. O caminho para a pasta em que você descompactou o instalador do software AWS IoT Greengrass Core.

   3. region. O Região da AWS no qual encontrar ou criar recursos.

   4. MyGreengrassCore. O nome da AWS IoT coisa para o seu dispositivo principal do Greengrass. Se o objeto não existir, o instalador o cria. O instalador baixa os certificados para autenticar a AWS IoT coisa. Para obter mais informações, consulte Autenticação e autorização de dispositivos para AWS IoT Greengrass.

      nota

      O nome do objeto não pode conter caracteres de dois pontos (:).

   5. MyGreengrassCoreGroup. O nome do grupo de AWS IoT coisas do seu dispositivo principal do Greengrass. Se o grupo de objetos não existir, o instalador o cria e adiciona o objeto a ele. Se o grupo de objetos existir e tiver uma implantação ativa, o dispositivo principal baixará e executará o software especificado pela implantação.

      nota

      O nome do grupo de objetos não pode conter caracteres de dois pontos (:).

   6. GreengrassV2IoTThingPolicy. O nome da AWS IoT política que permite que os dispositivos principais do Greengrass se comuniquem com e. AWS IoT AWS IoT Greengrass Se a AWS IoT política não existir, o instalador cria uma AWS IoT política permissiva com esse nome. É possível restringir as permissões dessa política para seu caso de uso. Para obter mais informações, consulte AWS IoT Política mínima para dispositivos AWS IoT Greengrass V2 principais.

   7. GreengrassV2TokenExchangeRole. O nome da função do IAM que permite que o dispositivo principal do Greengrass obtenha credenciais temporárias AWS . Se a função não existir, o instalador a criará e criará e anexará uma política chamada GreengrassV2TokenExchangeRoleAccess. Para obter mais informações, consulte Autorize os dispositivos principais a interagir com os serviços da AWS.

   8. GreengrassCoreTokenExchangeRoleAlias. O alias para a função do IAM que permite que o dispositivo principal do Greengrass obtenha credenciais temporárias posteriormente. Se o alias do perfil não existir, o instalador o cria e o aponta para o perfil do IAM especificado por você. Para obter mais informações, consulte Autorize os dispositivos principais a interagir com os serviços da AWS.

   Linux or Unix

   sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
     -jar ./GreengrassInstaller/lib/Greengrass.jar \
     --aws-region region \
     --thing-name MyGreengrassCore \
     --thing-group-name MyGreengrassCoreGroup \
     --thing-policy-name GreengrassV2IoTThingPolicy \
     --tes-role-name GreengrassV2TokenExchangeRole \
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
     --component-default-user ggc_user:ggc_group \
     --provision true \
     --setup-system-service true

   Windows Command Prompt (CMD)

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
     -jar ./GreengrassInstaller/lib/Greengrass.jar ^
     --aws-region region ^
     --thing-name MyGreengrassCore ^
     --thing-group-name MyGreengrassCoreGroup ^
     --thing-policy-name GreengrassV2IoTThingPolicy ^
     --tes-role-name GreengrassV2TokenExchangeRole ^
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias ^
     --component-default-user ggc_user ^
     --provision true ^
     --setup-system-service true

   PowerShell

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
     -jar ./GreengrassInstaller/lib/Greengrass.jar `
     --aws-region region `
     --thing-name MyGreengrassCore `
     --thing-group-name MyGreengrassCoreGroup `
     --thing-policy-name GreengrassV2IoTThingPolicy `
     --tes-role-name GreengrassV2TokenExchangeRole `
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias `
     --component-default-user ggc_user `
     --provision true `
     --setup-system-service true

   anchoranchoranchor
   • Linux or Unix
   • Windows Command Prompt (CMD)
   • PowerShell

   sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
     -jar ./GreengrassInstaller/lib/Greengrass.jar \
     --aws-region region \
     --thing-name MyGreengrassCore \
     --thing-group-name MyGreengrassCoreGroup \
     --thing-policy-name GreengrassV2IoTThingPolicy \
     --tes-role-name GreengrassV2TokenExchangeRole \
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
     --component-default-user ggc_user:ggc_group \
     --provision true \
     --setup-system-service true

   Importante

   Nos dispositivos principais do Windows, você deve especificar --setup-system-service true a configuração do software AWS IoT Greengrass Core como um serviço do sistema.

   O instalador imprime as seguintes mensagens se for bem-sucedido:

   • Se você especificar --provision, o instalador imprimirá Successfully configured Nucleus with provisioned resource details se ele configurou os recursos com êxito.

   • Se você especificar --deploy-dev-tools, o instalador imprimirá Configured Nucleus to deploy aws.greengrass.Cli component se ele criou a implantação com êxito.

   • Se você especificar --setup-system-service true, o instalador imprimirá Successfully set up Nucleus as a system service se ele configurou e executou o software como um serviço.

   • Se você não especificar --setup-system-service true, o instalador imprimirá Launched Nucleus successfully se foi bem-sucedido e executou o software.

2. Ignore esta etapa se você instalou a versão 2.0.4 do Núcleo do Greengrass ou posterior. Se você baixou a versão mais recente do software, instalou a versão 2.0.4 ou posterior.

   Execute o comando a seguir para definir as permissões de arquivo necessárias para a pasta raiz do software AWS IoT Greengrass Core. /greengrass/v2Substitua pela pasta raiz especificada no comando de instalação e /greengrass substitua pela pasta principal da pasta raiz.

   sudo chmod 755 /greengrass/v2 && sudo chmod 755 /greengrass