本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略。
主题
AWS 托管策略: AWSGreengrassFullAccess
您可以将 AWSGreengrassFullAccess 策略附加到 IAM 身份。
此策略授予管理权限,允许主体完全访问所有 AWS IoT Greengrass 操作。
权限详细信息
该策略包含以下权限:
-
greengrass– 允许主体完全访问所有 AWS IoT Greengrass 操作。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}AWS 托管策略: AWSGreengrassReadOnlyAccess
您可以将 AWSGreengrassReadOnlyAccess 策略附加到 IAM 身份。
此策略授予只读权限,允许主体查看 AWS IoT Greengrass中的信息,但无法修改。例如,拥有这些权限的主体可以查看部署到 Greengrass 核心设备的组件列表,但无法创建部署以更改在该设备上运行的组件。
权限详细信息
该策略包含以下权限:
-
greengrass- 允许主体执行返回项目列表或项目详细信息的操作。这包括以List或Get开头的 API 操作。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}AWS 托管策略: AWSGreengrassResourceAccessRolePolicy
您可以将该AWSGreengrassResourceAccessRolePolicy策略附加到您的 IAM 实体。 AWS IoT Greengrass 还将此策略附加 AWS IoT Greengrass 到允许代表您执行操作的服务角色。有关更多信息,请参阅 Greengrass 服务角色。
此策略授予管理权限, AWS IoT Greengrass 允许执行基本任务,例如检索您的 Lambda 函数、 AWS IoT 管理设备影子和验证 Greengrass 客户端设备。
权限详细信息
该策略包含以下权限。
-
greengrass– 管理 Greengrass 资源。 -
iot(*Shadow)-管理名称中包含以下特殊标识符的 AWS IoT 阴影。 AWS IoT Greengrass 需要这些权限才能与核心设备通信。-
*-gci— AWS IoT Greengrass 使用此影子存储核心设备连接信息,以便客户端设备可以发现并连接到核心设备。 -
*-gcm— AWS IoT Greengrass V1 使用此影子通知核心设备 Greengrass 组的证书颁发机构 (CA) 证书已轮换。 -
*-gda— AWS IoT Greengrass V1 使用此影子将部署通知核心设备。 -
GG_*– 未使用。
-
-
iot(DescribeThing和DescribeCertificate)-检索有关 AWS IoT 事物和证书的信息。需要这些权限 AWS IoT Greengrass 才能验证连接到核心设备的客户端设备。有关更多信息,请参阅 与本地 IoT 设备交互。 -
lambda— 检索有关 AWS Lambda 函数的信息。需要此权限 AWS IoT Greengrass V1 才能将 Lambda 函数部署到 Greengrass 内核。有关更多信息,请参阅《AWS IoT Greengrass V1 开发人员指南》中的在 AWS IoT Greengrass 核心上运行 Lambda 函数。 -
secretsmanager— 检索名称以开头的 AWS Secrets Manager 机密的值greengrass-。需要此权限才能将 Secrets Manager 机密部署到 Greengrass 内核。 AWS IoT Greengrass V1 有关更多信息,请参阅《AWS IoT Greengrass V1 开发人员指南》中的将密钥部署到内 AWS IoT Greengrass 核。 -
s3– 从名称包含greengrass或sagemaker的 S3 存储桶中检索文件对象。需要这些权限 AWS IoT Greengrass V1 才能部署存储在 S3 存储桶中的机器学习资源。有关更多信息,请参阅《AWS IoT Greengrass V1 开发人员指南》中的机器学习资源。 -
sagemaker— 检索有关 Amazon SageMaker AI 机器学习推理模型的信息。需要此权限 AWS IoT Greengrass V1 才能将机器学习模型部署到 Greengrass 内核。有关更多信息,请参阅《AWS IoT Greengrass V1 开发人员指南》中的执行机器学习推理。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}AWS IoT GreengrassAWS 托管策略的更新
您可以查看自该服务开始跟踪这些更改之时 AWS IoT Greengrass 起的 AWS 托管策略更新的详细信息。有关此页面更改的提示,请订阅 AWS IoT Greengrass V2 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AWS IoT Greengrass 开始跟踪更改 |
AWS IoT Greengrass 开始跟踪其 AWS 托管策略的更改。 |
2021 年 7 月 2 日 |
