本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性 AWS IoT Greengrass
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性:
+ **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划合规计划合规计划合](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师定期测试和验证我们安全的有效性。要了解适用的合规计划 AWS IoT Greengrass,请参阅按合规计划划分的[范围内的AWSAWS 服务按合规计划](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云中的安全性**:您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
使用时 AWS IoT Greengrass,您还要负责保护您的设备、本地网络连接和私钥。
本文档可帮助您了解在使用时如何应用分担责任模型 AWS IoT Greengrass。以下主题向您介绍如何进行配置 AWS IoT Greengrass 以满足您的安全和合规性目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 AWS IoT Greengrass 资源。
**Topics**
+ [中的数据保护 AWS IoT Greengrass](data-protection.md)
+ [设备身份验证和授权 AWS IoT Greengrass](device-auth.md)
+ [的身份和访问管理 AWS IoT Greengrass](security-iam.md)
+ [允许设备流量通过代理或防火墙](allow-device-traffic.md)
+ [的合规性验证 AWS IoT Greengrass](compliance-validation.md)
+ [FIPS 端点](FIPS.md)
+ [AWS IoT Greengrass 中的故障恢复能力](disaster-recovery-resiliency.md)
+ [中的基础设施安全 AWS IoT Greengrass](infrastructure-security.md)
+ [中的配置和漏洞分析 AWS IoT Greengrass](vulnerability-analysis-and-management.md)
+ [AWS IoT Greengrass V2 中的代码完整性](code-integrity.md)
+ [AWS IoT Greengrass 和接口 VPC 终端节点 (AWS PrivateLink)](vpc-interface-endpoints.md)
+ [以下方面的安全最佳实践 AWS IoT Greengrass](security-best-practices.md)
# 中的数据保护 AWS IoT Greengrass
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS IoT Greengrass。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅*AWS CloudTrail 用户指南*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您使用控制台、API AWS IoT Greengrass 或以其他 AWS 服务 方式使用控制台 AWS CLI、API 或时 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
有关保护敏感信息的更多信息 AWS IoT Greengrass,请参阅[不要记录敏感信息](security-best-practices.md#protect-pii)。
有关数据保护的更多信息,请参阅 *AWS 安全性博客* 上的 [AWS 责任共担模式和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
**Topics**
+ [数据加密](data-encryption.md)
+ [硬件安全性集成](hardware-security.md)
# 数据加密
AWS IoT Greengrass 使用加密来保护传输中的数据(通过 Internet 或本地网络)和静态数据(存储在 AWS 云)。
AWS IoT Greengrass 环境中的设备通常会收集发送到 AWS 服务以供进一步处理的数据。有关其他 AWS 服务上的数据加密的更多信息,请参阅该服务的安全文档。
**Topics**
+ [传输中加密](encryption-in-transit.md)
+ [静态加密](encryption-at-rest.md)
+ [Greengrass 核心设备的密钥管理](key-management.md)
# 传输中加密
AWS IoT Greengrass 有两种传输数据的通信模式:
+ [通过 Internet 传输的数据](#data-in-transit-internet). Greengrass 核心和 AWS IoT Greengrass 通过互联网进行的通信是加密的。
+ [核心设备上的数据](#data-in-transit-locally). Greengrass 核心设备上的组件之间的通信未加密
## 通过 Internet 传输的数据
AWS IoT Greengrass 使用传输层安全性 (TLS) 来加密通过 Internet 进行的所有通信。发送到 AWS 云 的所有数据都使用 MQTT 或 HTTPS 协议通过 TLS 连接发送,因此默认情况下是安全的。AWS IoT Greengrass 使用 AWS IoT 传输安全模型。有关更多信息,请参阅 *AWS IoT Core 开发人员指南*中的[传输安全](https://docs.aws.amazon.com/iot/latest/developerguide/transport-security.html)。
## 核心设备上的数据
AWS IoT Greengrass 不会对 Greengrass 核心设备上本地交换的数据进行加密,因为数据不会离开设备。这包括用户定义组件、AWS IoT 设备 SDK 和公用组件(如流管理器)之间的通信。
# 静态加密
AWS IoT Greengrass 存储您的数据:
+ [AWS 云 中的静态数据](#data-at-rest-cloud). 此数据已加密。
+ [Greengrass 核心上的静态数据](#data-at-rest-device). 此数据未加密(密钥的本地副本除外)。
## AWS 云 中的静态数据
AWS IoT Greengrass 加密存储在 AWS 云 中的客户数据。此数据使用由 AWS KMS 管理的 AWS IoT Greengrass 密钥进行保护。
## Greengrass 核心上的静态数据
AWS IoT Greengrass 依赖于 Unix 文件权限和全磁盘加密(如果启用)来保护核心上的静态数据。您负责确保文件系统和设备的安全性。
但是,AWS IoT Greengrass 会对从 AWS Secrets Manager 检索到的密钥的本地副本进行加密。有关更多信息,请参阅 [Secret Manager](secret-manager-component.md) 组件。
# Greengrass 核心设备的密钥管理
客户有责任保证在 Greengrass 核心设备上安全存储加密(公共和私有)密钥。在以下情况下,AWS IoT Greengrass 使用公钥和私钥:
+ IoT 客户端密钥与 IoT 证书一起使用,以便在 Greengrass 核心连接 AWS IoT Core 时对传输层安全性 (TLS) 握手进行身份验证。有关更多信息,请参阅 [设备身份验证和授权 AWS IoT Greengrass](device-auth.md)。
**注意**
密钥和证书也称为核心私钥和核心设备证书。
Greengrass 核心设备支持使用文件系统权限或[硬件安全模块](hardware-security.md)进行的私钥存储。如果您使用基于文件系统的私钥,您需要负责在核心设备上安全存储这些私钥。
# 硬件安全性集成
**注意**
[此功能可用于 Greengrass nucleus 组件的 v2.5.3 及更高版本。](greengrass-nucleus-component.md) AWS IoT Greengrass 目前不支持在 Windows 核心设备上使用此功能。
您可以通过 [PKCS \$111](https://en.wikipedia.org/wiki/PKCS_11) 接口将 AWS IoT Greengrass 核心软件配置为使用硬件安全模块 (HSM)。此功能使您能够安全地存储设备的私有密钥和证书,避免其在软件中暴露或重复。您可以将私有密钥和证书存储在 HSM 或可信平台模块(TPM)等硬件模块上。
AWS IoT Greengrass Core 软件使用私钥和 X.509 证书来验证与和服务的连接。 AWS IoT AWS IoT Greengrass [密钥管理器组件](secret-manager-component.md)使用此私有密钥来安全加密和解密您部署到 Greengrass 核心设备的密钥。将核心设备配置为使用 HSM 时,这些组件将使用您存储在 HSM 中的私有密钥和证书。
[Moquette MQTT 代理组件](mqtt-broker-moquette-component.md)还会存储其本地 MQTT 服务器证书的私有密钥。此组件将设备文件系统上的私有密钥存储在组件的工作文件夹中。目前, AWS IoT Greengrass 不支持将此私钥或证书存储在 HSM 中。
**提示**
在 [AWS 合作伙伴设备目录](https://devices.amazonaws.com/search?kw=%22HSI%22&page=1)中搜索支持此功能的设备。
**Topics**
+ [要求](#hardware-security-requirements)
+ [硬件安全最佳实践](#hardware-security-best-practices)
+ [安装具有硬件安全性的 AWS IoT Greengrass Core 软件](#install-with-hardware-security)
+ [在现有核心设备上配置硬件安全性](#enable-hardware-security)
+ [使用不支持 PKCS\$111 的硬件](#hardware-without-pkcs11)
+ [另请参阅](#hardware-security-see-also)
## 要求
您必须满足以下要求才能在 Greengrass 核心设备上使用 HSM:
+ 核心设备上安装了 [Greengrass Nucleus](greengrass-nucleus-component.md) v2.5.3 或更高版本。在 AWS IoT Greengrass 核心设备上安装酷睿软件时,可以选择兼容版本。
+ 核心设备上安装了 [PKCS\$111 提供程序组件](pkcs11-provider-component.md)。在 AWS IoT Greengrass 核心设备上安装 Core 软件时,可以下载并安装此组件。
+ 支持 [PKCS\$11 v1.5](https://tools.ietf.org/html/rfc2313) 签名方案和 RSA-2048 密钥大小(或更大)的 RSA 密钥或 ECC 密钥的硬件安全模块。
**注意**
要使用带 ECC 密钥的硬件安全模块,必须使用 [Greengrass Nucleus](greengrass-nucleus-component.md) v2.5.6 或更高版本。
要使用硬件安全模块和[密钥管理器](secret-manager-component.md),必须使用带 RSA 密钥的硬件安全模块。
+ 一个 PKCS \$111 提供程序库, AWS IoT Greengrass 核心软件可以在运行时加载该库(使用 libdl)来调用 PKCS \$111 函数。PKCS\$111 提供程序库必须实施以下 PKCS\$111 API 操作:
+ `C_Initialize`
+ `C_Finalize`
+ `C_GetSlotList`
+ `C_GetSlotInfo`
+ `C_GetTokenInfo`
+ `C_OpenSession`
+ `C_GetSessionInfo`
+ `C_CloseSession`
+ `C_Login`
+ `C_Logout`
+ `C_GetAttributeValue`
+ `C_FindObjectsInit`
+ `C_FindObjects`
+ `C_FindObjectsFinal`
+ `C_DecryptInit`
+ `C_Decrypt`
+ `C_DecryptUpdate`
+ `C_DecryptFinal`
+ `C_SignInit`
+ `C_Sign`
+ `C_SignUpdate`
+ `C_SignFinal`
+ `C_GetMechanismList`
+ `C_GetMechanismInfo`
+ `C_GetInfo`
+ `C_GetFunctionList`
+ 硬件模块必须可按槽标签解析,如 PKCS\$111 规范所定义。
+ 如果 HSM 支持对象,则必须将私钥和证书存储在 HSM 中的同一个插槽中,并且它们必须使用相同的对象标签和对象 ID。 IDs
+ 证书和私有密钥必须由对象标签来解析。
+ 私有密钥必须具有以下权限:
+ `sign`
+ `decrypt`
+ (可选)要使用[密钥管理器组件](secret-manager-component.md),必须使用 2.1.0 或更高版本,并且私有密钥必须具有以下权限:
+ `unwrap`
+ `wrap`
## 硬件安全最佳实践
配置 Greengrass 核心设备硬件安全时,请考虑以下最佳实践。
+ 使用内部硬件随机数字生成器直接在 HSM 上生成私有密钥。这种方法比导入您在其他地方生成的私有密钥更加安全,因为私有密钥保留在 HSM 中。
+ 将私有密钥配置为不可变并禁止导出。
+ 使用 HSM 硬件供应商推荐的配置工具,使用受硬件保护的私钥生成证书签名请求 (CSR),然后使用 AWS IoT 控制台或 API 生成客户端证书。
**注意**
在 HSM 上生成私有密钥时,轮换密钥的安全最佳实践并不适用。
## 安装具有硬件安全性的 AWS IoT Greengrass Core 软件
安装 AWS IoT Greengrass Core 软件时,可以将其配置为使用在 HSM 中生成的私钥。这种方法遵循[安全最佳实践](#hardware-security-best-practices),在 HSM 中生成私钥,使私钥保留在 HSM 中。
要安装具有硬件安全性的 AWS IoT Greengrass Core 软件,请执行以下操作:
1. 在 HSM 中生成私有密钥。
1. 通过私有密钥创建证书签名请求(CSR)。
1. 通过 CSR 创建证书。您可以创建由其他根证书颁发机构 (CA) 签名 AWS IoT 或由其他根证书颁发机构 (CA) 签名的证书。有关如何使用其他根 CA 的更多信息,请参阅《AWS IoT Core 开发人员指南》**中的[创建您自己的客户端证书](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html)。
1. 下载 AWS IoT 证书并将其导入 HSM。
1. 从指定使用 PKCS \$111 提供程序组件以及 HSM 中的私钥和证书的配置文件中安装 C AWS IoT Greengrass ore 软件。
您可以选择以下安装选项之一来安装具有硬件安全性的 AWS IoT Greengrass Core 软件:
+ **手动安装**
选择此选项可手动创建所需的 AWS 资源并配置硬件安全。有关更多信息,请参阅 [使用手动资源配置来安装 AWS IoT Greengrass Core 软件](manual-installation.md)。
+ **使用自定义预置进行安装**
选择此选项可开发自定义 Java 应用程序,该应用程序可自动创建所需 AWS 资源并配置硬件安全。有关更多信息,请参阅 [安装具有自定义资源配置功能的 C AWS IoT Greengrass ore 软件](custom-provisioning.md)。
当前,在使用[自动资源配置或[AWS IoT 队列配置](fleet-provisioning.md)进行安装时, AWS IoT Greengrass 不支持安装具有](quick-installation.md)硬件安全性的 AWS IoT Greengrass 核心软件。
## 在现有核心设备上配置硬件安全性
您可以将核心设备的私有密钥和证书导入 HSM 以配置硬件安全性。
**注意事项**
您必须拥有对核心设备文件系统的根访问权限。
在此过程中,您将关闭 AWS IoT Greengrass Core 软件,因此在配置硬件安全时,核心设备处于离线状态且不可用。
要在现有核心设备上配置硬件安全性,您需要执行以下操作:
1. 初始化 HSM。
1. 将 [PKCS\$111 提供程序组件](pkcs11-provider-component.md)部署到该核心设备。
1. 停止 AWS IoT Greengrass 核心软件。
1. 将核心设备的私有密钥和证书导入到 HSM。
1. 更新 AWS IoT Greengrass Core 软件的配置文件以使用 HSM 中的私钥和证书。
1. 启动 AWS IoT Greengrass 核心软件。
### 第 1 步:初始化硬件安全模块
完成以下步骤,初始化核心设备上的 HSM。
**初始化硬件安全模块**
+ 在 HSM 中初始化 PKCS\$111 令牌,然后保存该令牌的槽 ID 和用户 PIN。查看 HSM 的文档,了解如何初始化令牌。稍后在部署和配置 PKCS\$111 提供程序组件时,您将用到槽 ID 和用户 PIN。
### 第 2 步:部署 PKCS\$111 提供程序组件
完成以下步骤,部署和配置 [PKCS\$111 提供程序组件](pkcs11-provider-component.md)。您可以将组件部署到一台或多台核心设备。
#### 部署 PKCS\$111 提供程序组件(控制台)
1. 在 [AWS IoT Greengrass 控制台](https://console.aws.amazon.com/greengrass)导航菜单中,选择**组件**。
1. 在**组件**页面上,选择**公有组件**选项卡,然后选择 **aws.greengrass.crypto.Pkcs11Provider**。
1. 在 **aws.greengrass.crypto.Pkcs11Provider** 页面上,选择**部署**。
1. 从**添加到部署**中,选择要修改的现有部署,或者选择创建新部署,然后选择**下一步**。
1. 如果您选择创建新部署,请为部署选择目标核心设备或事物组。在**指定目标**页面的**部署目标**下面,选择核心设备或事物组,然后选择**下一步**。
1. 在**选择组件**页面上的**公有组件**下,选择 **aws.greengrass.crypto.Pkcs11Provider**,然后选择**下一步**。
1. 在**配置组件**页面上,选择 **aws.greengrass.crypto.Pkcs11Provider**,然后执行以下操作:
1. 选择**配置组件**。
1. 在**配置 aws.greengrass.crypto.Pkcs11Provider** 模式的**配置更新**下**要合并的配置**中,输入以下配置更新。使用目标核心设备的值更新以下配置参数。指定之前初始化 PKCS\$111 令牌的槽 ID 和用户 PIN。稍后您会将私有密钥和证书导入 HSM 的此槽。
`name`
PKCS\$111 配置的名称。
`library`
AWS IoT Greengrass 核心软件可以使用 libdl 加载的 PKCS \$111 实现库的绝对文件路径。
`slot`
包含私有密钥和设备证书的槽的 ID。此值不同于槽索引或槽标签。
`userPin`
用于访问该槽的用户 PIN。
```
{
"name": "softhsm_pkcs11",
"library": "/usr/lib/softhsm/libsofthsm2.so",
"slot": 1,
"userPin": "1234"
}
```
1. 选择**确认**以关闭模式,然后选择**下一步**。
1. 在**配置高级设置**页面上,保留默认配置设置,然后选择**下一步**。
1. 在 **检查** 页上,选择 **部署**。
完成部署可能最多需要 1 分钟。
#### 部署 PKCS\$111 提供程序组件(AWS CLI)
要部署 PKCS\$111 提供程序组件,请创建 `components` 对象中包含 `aws.greengrass.crypto.Pkcs11Provider` 的部署文档,并指定该组件的配置更新。按照 [创建部署](create-deployments.md) 中的说明创建新部署或修改现有部署。
以下示例部分部署文档指定部署并配置 PKCS\$111 提供程序组件。使用目标核心设备的值更新以下配置参数。保存槽 ID 和用户 PIN,以便稍后在将私有密钥和证书导入 HSM 时使用。
`name`
PKCS\$111 配置的名称。
`library`
AWS IoT Greengrass 核心软件可以使用 libdl 加载的 PKCS \$111 实现库的绝对文件路径。
`slot`
包含私有密钥和设备证书的槽的 ID。此值不同于槽索引或槽标签。
`userPin`
用于访问该槽的用户 PIN。
```
{
"name": "softhsm_pkcs11",
"library": "/usr/lib/softhsm/libsofthsm2.so",
"slot": 1,
"userPin": "1234"
}
```
```
{
...,
"components": {
...,
"aws.greengrass.crypto.Pkcs11Provider": {
"componentVersion": "2.0.0",
"configurationUpdate": {
"merge": "{\"name\":\"softhsm_pkcs11\",\"library\":\"/usr/lib/softhsm/libsofthsm2.so\",\"slot\":1,\"userPin\":\"1234\"}"
}
}
}
}
```
完成部署可能需要数分钟。您可以使用该 AWS IoT Greengrass 服务来检查部署状态。您可以查看 AWS IoT Greengrass 核心软件日志,以验证 PKCS \$111 提供程序组件是否成功部署。有关更多信息,请参阅下列内容:
+ [检查部署状态](check-deployment-status.md)
+ [监控 AWS IoT Greengrass 日志](monitor-logs.md)
如果部署失败,可以对每台核心设备上的部署进行问题排查。有关更多信息,请参阅 [故障排除 AWS IoT Greengrass V2](troubleshooting.md)。
### 第 3 步:更新核心设备上的配置
C AWS IoT Greengrass ore 软件使用指定设备运行方式的配置文件。此配置文件包含可以在哪里找到设备用于连接 AWS 云的私有密钥和证书。完成以下步骤,将核心设备的私有密钥和证书导入 HSM,并更新配置文件以使用 HSM。
**更新核心设备上的配置以采用硬件安全性**
1. 停止 AWS IoT Greengrass 核心软件。如果您[使用 systemd 将 AWS IoT Greengrass 核心软件配置为系统服务](configure-greengrass-core-v2.md#configure-system-service),则可以运行以下命令来停止该软件。
```
sudo systemctl stop greengrass.service
```
1. 找到核心设备的私有密钥和证书文件。
+ 如果您安装了具有[自动配置或[队列配置](fleet-provisioning.md)功能](quick-installation.md)的 C AWS IoT Greengrass ore 软件,则私钥存在于`/greengrass/v2/privKey.key`,证书存在于`/greengrass/v2/thingCert.crt`。
+ 如果您安装了[手动配置](manual-installation.md)的 AWS IoT Greengrass Core 软件,则`/greengrass/v2/private.pem.key`默认情况下私钥存在,证书`/greengrass/v2/device.pem.crt`默认存在。
您也可以在 `/greengrass/v2/config/effectiveConfig.yaml` 中查看 `system.privateKeyPath` 和 `system.certificateFilePath` 属性以查找这些文件的位置。
1. 将私有密钥和证书导入 HSM。查看 HSM 文档,了解如何导入私有密钥和证书。使用之前初始化 PKCS\$111 令牌的槽 ID 和用户 PIN 导入私有密钥和证书。私有密钥和证书必须使用相同的对象标签和对象 ID。保存您在导入每个文件时指定的对象标签。稍后在更新 AWS IoT Greengrass Core 软件配置以使用 HSM 中的私钥和证书时,您将使用此标签。
1. 更新 AWS IoT Greengrass 核心配置以使用 HSM 中的私钥和证书。要更新配置,您可以修改 AWS IoT Greengrass 核心配置文件,然后使用更新的配置文件运行 AWS IoT Greengrass 核心软件以应用新的配置。
执行以下操作:
1. 创建 AWS IoT Greengrass 核心配置文件的备份。如果您在配置硬件安全性时遇到问题,可以使用此备份来恢复核心设备。
```
sudo cp /greengrass/v2/config/effectiveConfig.yaml ~/ggc-config-backup.yaml
```
1. 在文本编辑器中打开 AWS IoT Greengrass 核心配置文件。例如,您可以运行以下命令来使用 GNU nano 编辑文件。将 `/greengrass/v2` 替换为 Greengrass 根文件夹的路径。
```
sudo nano /greengrass/v2/config/effectiveConfig.yaml
```
1. 将 `system.privateKeyPath` 的值替换为 HSM 中私有密钥的 PKCS\$111 URI。*iotdevicekey*替换为之前导入私钥和证书的对象标签。
```
pkcs11:object=iotdevicekey;type=private
```
1. 将 `system.certificateFilePath` 的值替换为 HSM 中证书的 PKCS\$111 URI。*iotdevicekey*替换为之前导入私钥和证书的对象标签。
```
pkcs11:object=iotdevicekey;type=cert
```
完成这些步骤后, AWS IoT Greengrass Core 配置文件中的`system`属性应与以下示例类似。
```
system:
certificateFilePath: "pkcs11:object=iotdevicekey;type=cert"
privateKeyPath: "pkcs11:object=iotdevicekey;type=private"
rootCaPath: "/greengrass/v2/rootCA.pem"
rootpath: "/greengrass/v2"
thingName: "MyGreengrassCore"
```
1. 在更新的 `effectiveConfig.yaml` 文件中应用配置。使用 `--init-config` 参数运行 `Greengrass.jar` 以在 `effectiveConfig.yaml` 中应用配置。将 `/greengrass/v2` 替换为 Greengrass 根文件夹的路径。
```
sudo java -Droot="/greengrass/v2" \
-jar /greengrass/v2/alts/current/distro/lib/Greengrass.jar \
--start false \
--init-config /greengrass/v2/config/effectiveConfig.yaml
```
1. 启动 AWS IoT Greengrass 核心软件。如果您[使用 systemd 将 AWS IoT Greengrass 核心软件配置为系统服务](configure-greengrass-core-v2.md#configure-system-service),则可以运行以下命令来启动该软件。
```
sudo systemctl start greengrass.service
```
有关更多信息,请参阅 [运行 AWS IoT Greengrass 核心软件](run-greengrass-core-v2.md)。
1. 查看 AWS IoT Greengrass Core 软件日志,验证软件是否启动并连接到 AWS 云。C AWS IoT Greengrass ore 软件使用私钥和证书连接到 AWS IoT 和 AWS IoT Greengrass 服务。
```
sudo tail -f /greengrass/v2/logs/greengrass.log
```
以下信息级别的日志消息表明 AWS IoT Greengrass Core 软件已成功连接到 AWS IoT 和 AWS IoT Greengrass 服务。
```
2021-12-06T22:47:53.702Z [INFO] (Thread-3) com.aws.greengrass.mqttclient.AwsIotMqttClient: Successfully connected to AWS IoT Core. {clientId=MyGreengrassCore5, sessionPresent=false}
```
1. (可选)在验证 AWS IoT Greengrass 核心软件是否可以使用 HSM 中的私钥和证书后,从设备的文件系统中删除私钥和证书文件。运行以下命令,并将文件路径替换为该私有密钥和证书文件的路径。
```
sudo rm /greengrass/v2/privKey.key
sudo rm /greengrass/v2/thingCert.crt
```
## 使用不支持 PKCS\$111 的硬件
PKCS\$111 库通常由硬件供应商提供或是开源软件。例如,使用符合标准的硬件(例如 TPM1 .2),可能可以使用现有的开源软件。但是,如果您的硬件没有相应的 PKCS\$111 库实施,或如果您想要编写自定义 PKCS\$111 提供程序,请联系您的 Amazon Web Services 企业支持代表,咨询与集成相关的问题。
## 另请参阅
+ [PKCS \$111 加密令牌接口使用指南 2.4.0 版本](http://docs.oasis-open.org/pkcs11/pkcs11-ug/v2.40/pkcs11-ug-v2.40.html)
+ [RFC 7512](https://tools.ietf.org/html/rfc7512)
+ [PKCS \$11:RSA 加密版本 1.5](https://tools.ietf.org/html/rfc2313)
# 设备身份验证和授权 AWS IoT Greengrass
AWS IoT Greengrass 环境中的设备使用 X.509 证书进行身份验证,使用 AWS IoT 策略进行授权。证书和策略可让设备在彼此之间以及与 AWS IoT Core和 AWS IoT Greengrass之间安全地相互连接。
X.509 证书属于数字证书,它按照 X.509 公有密钥基础设施标准将公有密钥与证书所含的身份相关联。X.509 证书由一家名为证书颁发机构 (CA) 的可信实体颁发。CA 持有一个或多个名为 CA 证书的特殊证书,它使用这种证书来颁发 X.509 证书。只有证书颁发机构才有权访问 CA 证书。
AWS IoT 策略定义了允许 AWS IoT 设备执行的一组操作。具体而言,它们允许和拒绝访问 AWS IoT Core 和 AWS IoT Greengrass 数据平面操作,例如发布 MQTT 消息和检索设备影子。
所有设备都需要在 AWS IoT Core 注册表中输入一个条目,并附有已激活的 X.509 证书,并附有策略。 AWS IoT 设备分为两类:
+ **Greengrass 核心设备**
Greengrass 核心设备使用证书 AWS IoT 和策略来连接和。 AWS IoT Core AWS IoT Greengrass证书和策略还允许 AWS IoT Greengrass 将组件和配置部署到核心设备。
+ **客户端设备**
MQTT 客户端设备使用证书和策略来连接 AWS IoT Core 和 AWS IoT Greengrass 服务。这使客户端设备能够使用 AWS IoT Greengrass 云发现来查找并连接到 Greengrass 核心设备。客户端设备使用相同的证书连接 AWS IoT Core 云服务和核心设备。客户端设备还使用发现信息与核心设备进行双向身份验证。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
## X.509 证书
核心设备与客户端设备之间以及设备和/或之间的通信 AWS IoT Greengrass 必须经过身份验证。 AWS IoT Core 此双向身份验证基于注册的 X.509 设备证书和加密密钥。
在 AWS IoT Greengrass 环境中,设备使用带有公钥和私钥的证书来实现以下传输层安全 (TLS) 连接:
+ Greengrass 核心设备上的 AWS IoT 客户端组件,用于连接和通过互联网进行连接 AWS IoT Core 。 AWS IoT Greengrass
+ 通过互联网连接以 AWS IoT Greengrass 发现核心设备的客户端设备。
+ 通过本地网络连接到组中的 Greengrass 设备的 Greengrass Nucleus 上的 MQTT 代理组件。
AWS IoT Greengrass 核心设备将证书存储在 Greengrass 根文件夹中。
### 证书颁发机构 (CA) 证书
Greengrass 核心设备和客户端设备会下载用于对和服务进行身份验证的根 CA 证书。 AWS IoT Core AWS IoT Greengrass 我们建议您使用 Amazon Trust Services (ATS) 根 CA 证书,如 [Amazon Root CA 1](https://www.amazontrust.com/repository/AmazonRootCA1.pem)。有关更多信息,请参阅 *AWS IoT Core 开发人员指南*中的[服务器身份验证的 CA 证书](https://docs.aws.amazon.com/iot/latest/developerguide/server-authentication.html#server-authentication-certs)。
客户端设备还将下载 Greengrass 核心设备 CA 证书。他们使用该证书在双向身份验证期间验证核心设备上的 MQTT 服务器证书。
### 本地 MQTT 代理的证书轮换
[启用客户端设备支持](interact-with-local-iot-devices.md)后,Greengrass 核心设备会生成本地 MQTT 服务器证书,用于让客户端设备进行双向身份验证。此证书由核心设备 CA 证书签名,核心设备将其存储在 AWS IoT Greengrass 云中。客户端设备在发现核心设备时会检索核心设备 CA 证书。连接到核心设备后,它们会使用核心设备 CA 证书来验证核心设备的 MQTT 服务器证书。核心设备 CA 证书将在 5 年后过期。
MQTT 服务器证书默认每 7 天到期,您可以将此有效期配置为 2 到 10 天之间。此时间期限基于安全最佳实践。这种轮换有助于降低攻击者窃取 MQTT 服务器证书和私钥并冒充 Greengrass 核心设备的风险。
Greengrass 核心设备会在 MQTT 服务器证书到期前 24 小时对其进行轮换。Greengrass 核心设备生成新证书并重新启动本地 MQTT 代理。发生这种情况时,连接到 Greengrass 核心设备的所有客户端设备都将断开连接。客户端设备可以在短时间后重新连接到 Greengrass 核心设备。
## AWS IoT 数据平面操作策略
使用 AWS IoT 策略来授权访问 AWS IoT Core 和 AWS IoT Greengrass 数据平面。 AWS IoT Core 数据面板为设备、用户和应用程序提供操作。这些操作包括连接 AWS IoT Core 和订阅主题的能力。 AWS IoT Greengrass 数据平面为 Greengrass 设备提供操作。有关更多信息,请参阅 [AWS IoT Greengrass V2 政策行动](#greengrass-policy-actions)。这些操作包括解析组件依赖关系和下载公有组件构件的能力。
AWS IoT 策略是类似于 [IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html#policies-grammar-json)的 JSON 文档。它包含一个或多个策略语句,用于指定以下属性:
+ `Effect`。访问模式,可以是 `Allow` 或 `Deny`。
+ `Action`. 策略允许或拒绝的操作的列表。
+ `Resource`. 允许或拒绝对其执行操作的资源的列表。
AWS IoT 策略支持`*`作为通配符,并将 MQTT 通配符(`+`和`#`)视为文字字符串。有关`*`通配符的更多信息,请参阅《*AWS Identity and Access Management 用户*指南》[中的在资源 ARNs中使用通配符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html#reference_policies_elements_resource_wildcards)。
有关更多信息,请参阅 *AWS IoT Core 开发人员指南*中的 [AWS IoT 策略](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html)和 [AWS IoT 策略操作](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policy-actions.html)。
**重要**
核心设备或 Greengrass 数据面板操作的 AWS IoT 策略不支持[事物策略变量](https://docs.aws.amazon.com/iot/latest/developerguide/thing-policy-variables.html) (`iot:Connection.Thing.*`)。相反,您可以使用通配符来匹配多个名称相似的设备。例如,您可以指定 `MyGreengrassDevice*` 以匹配 `MyGreengrassDevice1`、`MyGreengrassDevice2` 等。
**注意**
AWS IoT Core 允许您将 AWS IoT 策略附加到事物组以定义设备组的权限。事物组策略不允许访问 AWS IoT Greengrass 数据平面操作。要允许事物访问 AWS IoT Greengrass 数据平面操作,请将权限添加到附加到事物证书的 AWS IoT 策略中。
### AWS IoT Greengrass V2 政策行动
AWS IoT Greengrass V2 定义了 Greengrass 核心设备和客户端设备可以在策略中使用的以下策略操作。 AWS IoT 要为策略操作指定资源,必须使用资源的 Amazon 资源名称(ARN)。核心设备操作
`greengrass:GetComponentVersionArtifact`
授予获取预签名 URL 的权限,以下载公有组件构件或 Lambda 组件构件。
当核心设备收到指定公有组件的部署或包含构件的 Lambda 时,将评估此权限。如果核心设备已有构件,则不会再次下载该构件。
资源类型:`componentVersion`
资源 ARN 格式:`arn:aws:greengrass:region:account-id:components:component-name:versions:component-version`
`greengrass:ResolveComponentCandidates`
授予权限以识别符合部署的组件、版本和平台要求的组件列表。如果需求冲突,或者不存在符合要求的组件,则此操作将返回错误且设备部署失败。
当核心设备收到指定组件的部署时,将评估此权限。
资源类型:无
资源 ARN 格式:`*`
`greengrass:GetDeploymentConfiguration`
授予获取预签名 URL 的权限,以下载大型部署文档。
当核心设备收到指定大于 7 KB(如果部署以事物为目标)或 31 KB(如果部署以事物组为目标)部署文档的部署时,将评估此权限。部署文档包括组件配置、部署策略和部署元数据。有关更多信息,请参阅 [将 AWS IoT Greengrass 组件部署到设备](manage-deployments.md)。
此功能适用于 [Greengrass Nucleus 组件](greengrass-nucleus-component.md)的 v2.3.0 及更高版本。
资源类型:无
资源 ARN 格式:`*`
`greengrass:ListThingGroupsForCoreDevice`
授予获取核心设备的事物组层次结构的权限。
当核心设备收到来自的部署时,将检查此权限 AWS IoT Greengrass。核心设备使用此操作来确定自上次部署以来是否已将其从事物组中移除。如果核心设备已从事物组中移除,且该事物组是部署至核心设备的目标,则该核心设备将移除该部署安装的组件。
此功能适用于 [Greengrass Nucleus 组件](greengrass-nucleus-component.md)的 v2.5.0 及更高版本。
资源类型:`thing`(核心设备)
资源 ARN 格式:`arn:aws:iot:region:account-id:thing/core-device-thing-name`
`greengrass:VerifyClientDeviceIdentity`
授予验证连接到核心设备的客户端设备身份的权限。
当核心设备运行[客户端设备身份验证组件](client-device-auth-component.md)并收到来自客户端设备的 MQTT 连接时,将评估此权限。客户端设备出示其 AWS IoT 设备证书。然后,核心设备将设备证书发送至 AWS IoT Greengrass 云服务以验证客户端设备的身份。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
资源类型:无
资源 ARN 格式:`*`
`greengrass:VerifyClientDeviceIoTCertificateAssociation`
授予验证客户端设备是否与 AWS IoT 证书关联的权限。
当核心设备运行[客户端设备身份验证组件](client-device-auth-component.md)并授权客户端设备通过 MQTT 进行连接时,将评估此权限。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
要使核心设备使用此操作,[Greengrass 服务](greengrass-service-role.md)角色必须与您的关联并允许 AWS 账户 该权限。`iot:DescribeCertificate`
资源类型:`thing`(客户端设备)
资源 ARN 格式:`arn:aws:iot:region:account-id:thing/client-device-thing-name`
`greengrass:PutCertificateAuthorities`
授予上传证书颁发机构(CA)证书的权限,客户端设备可下载这些证书来验证核心设备。
当核心设备安装并运行[客户端设备身份验证组件](client-device-auth-component.md)时,将评估此权限。此组件创建本地证书颁发机构,并使用此操作上传其 CA 证书。客户端设备使用 [Discover](#greengrass-discover-action) 操作查找可以连接的核心设备时会下载这些 CA 证书。客户端设备连接至核心设备的 MQTT 代理后会使用这些 CA 证书来验证核心设备的身份。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
资源类型:无
ARN 格式:`*`
`greengrass:GetConnectivityInfo`
授予权限以获取核心设备连接信息。此信息描述了客户端设备连接至核心设备的方式。
当核心设备安装并运行[客户端设备身份验证组件](client-device-auth-component.md)时,将评估此权限。此组件使用连接信息生成有效的 CA 证书,以便通过[PutCertificateAuthories](#greengrass-put-certificate-authorities-action)操作上传到 AWS IoT Greengrass 云服务。客户端设备使用这些 CA 证书来验证核心设备的身份。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
您也可以在 AWS IoT Greengrass 控制平面上使用此操作来查看核心设备的连接信息。有关更多信息,请参阅《AWS IoT Greengrass V1 API Reference》**中的 [GetConnectivityInfo](https://docs.aws.amazon.com/greengrass/v1/apireference/getconnectivityinfo-get.html)。
资源类型:`thing`(核心设备)
资源 ARN 格式:`arn:aws:iot:region:account-id:thing/core-device-thing-name`
`greengrass:UpdateConnectivityInfo`
授予权限以更新核心设备连接信息。此信息描述了客户端设备连接至核心设备的方式。
核心设备运行 [IP 检测器组件](ip-detector-component.md)时将评估此权限。此组件确定客户端设备连接至本地网络上的核心设备所需的信息。然后,此组件使用此操作将连接信息上传到 AWS IoT Greengrass 云服务,这样客户端设备就可以通过 D [iscover](#greengrass-discover-action) 操作检索此信息。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
您也可以在 AWS IoT Greengrass 控制平面上使用此操作来手动更新核心设备的连接信息。有关更多信息,请参阅《AWS IoT Greengrass V1 API Reference》**中的 [UpdateConnectivityInfo](https://docs.aws.amazon.com/greengrass/v1/apireference/updateconnectivityinfo-put.html)。
资源类型:`thing`(核心设备)
资源 ARN 格式:`arn:aws:iot:region:account-id:thing/core-device-thing-name`客户端设备操作
`greengrass:Discover`
授予发现客户端设备可连接的核心设备的连接信息的权限。此信息描述了客户端设备连接至核心设备的方式。通过使用该[BatchAssociateClientDeviceWithCoreDevice](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_BatchAssociateClientDeviceWithCoreDevice.html)操作,客户端设备只能发现与其关联的核心设备。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
资源类型:`thing`(客户端设备)
资源 ARN 格式:`arn:aws:iot:region:account-id:thing/client-device-thing-name`
## 更新核心设备的 AWS IoT 政策
您可以使用 AWS IoT Greengrass 和 AWS IoT 控制台或 AWS IoT API 来查看和更新核心设备的 AWS IoT 政策。
**注意**
如果您使用[AWS IoT Greengrass 核心软件安装程序来配置资源](quick-installation.md),则您的核心设备具有允许访问所有 AWS IoT Greengrass 操作的 AWS IoT 策略(`greengrass:*`)。您可以按照以下步骤,限制只对核心设备使用的操作进行访问。
### 查看和更新核心设备的 AWS IoT 政策(控制台)
1. 在 [AWS IoT Greengrass 控制台](https://console.aws.amazon.com/greengrass)导航菜单中,选择**核心设备**。
1. 在**核心设备**页面上,选择要更新的核心设备。
1. 在核心设备详细信息页面上,选择指向核心设备的**事物**的链接。此链接可打开 AWS IoT 控制台中的事物详细信息页面。
1. 在“事物详细信息”页面上,选择**证书**。
1. 在**证书**选项卡中,选择事物的有效证书。
1. 在证书详细信息页面上,选择**策略**。
1. 在 “**策略**” 选项卡中,选择要查看和更新的 AWS IoT 策略。您可以为附加到核心设备有效证书的任何策略添加所需权限。
**注意**
如果您使用[AWS IoT Greengrass 核心软件安装程序来配置资源](quick-installation.md),则有两个 AWS IoT 策略。我们建议您选择名为 **GreengrassV2IoTThingPolicy** 的策略(如果存在)。默认情况下,使用快速安装程序创建的核心设备将使用此策略名称。如果您为此策略添加权限,则也会将这些权限授予使用此策略的其他核心设备。
1. 在策略概述中,选择**编辑活动版本**。
1. 查看策略,并根据需要添加、删除或编辑权限。
1. 要将新的策略版本设置为活动版本,请在**策略版本状态**下,选择**将编辑后的版本设置为该策略的活动版本**。
1. 选择**另存为新版本**。
### 查看并更新核心设备的 AWS IoT 政策 (AWS CLI)
1. 列出核心设备的原理 AWS IoT 。事物主体可以是 X.509 设备证书或其他标识。运行以下命令,并*MyGreengrassCore*替换为核心设备的名称。
```
aws iot list-thing-principals --thing-name MyGreengrassCore
```
该操作将返回一个响应,列出核心设备的事物主体。
```
{
"principals": [
"arn:aws:iot:us-west-2:123456789012:cert/certificateId"
]
}
```
1. 识别核心设备的有效证书。运行以下命令,并*certificateId*替换为上一步中每个证书的 ID,直到找到活动证书。证书 ID 是证书 ARN 末尾的十六进制字符串。`--query` 参数用于指定仅输出证书的状态。
```
aws iot describe-certificate --certificate-id certificateId --query 'certificateDescription.status'
```
该操作以字符串形式返回证书状态。例如,如果证书有效,则此操作会输出 `"ACTIVE"`。
1. 列出附加到证书的 AWS IoT 策略。运行以下命令,并将证书 ARN 替换为实际的证书 ARN。
```
aws iot list-principal-policies --principal arn:aws:iot:us-west-2:123456789012:cert/certificateId
```
该操作返回一个响应,其中列出了附加到证书的 AWS IoT 策略。
```
{
"policies": [
{
"policyName": "GreengrassTESCertificatePolicyMyGreengrassCoreTokenExchangeRoleAlias",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassTESCertificatePolicyMyGreengrassCoreTokenExchangeRoleAlias"
},
{
"policyName": "GreengrassV2IoTThingPolicy",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy"
}
]
}
```
1. 选择要查看和更新的策略。
**注意**
如果您使用[AWS IoT Greengrass 核心软件安装程序来配置资源](quick-installation.md),则有两个 AWS IoT 策略。我们建议您选择名为 **GreengrassV2IoTThingPolicy** 的策略(如果存在)。默认情况下,使用快速安装程序创建的核心设备将使用此策略名称。如果您为此策略添加权限,则也会将这些权限授予使用此策略的其他核心设备。
1. 获取策略的文档。运行以下命令,并*GreengrassV2IoTThingPolicy*替换为策略的名称。
```
aws iot get-policy --policy-name GreengrassV2IoTThingPolicy
```
该操作会返回一个响应,其中包含策略的文档和有关该策略的其他信息。策略文档是一个序列化为字符串的 JSON 对象。
```
{
"policyName": "GreengrassV2IoTThingPolicy",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy",
"policyDocument": "{\
\\"Version\\": \\"2012-10-17 \\",\
\\"Statement\\": [\
{\
\\"Effect\\": \\"Allow\\",\
\\"Action\\": [\
\\"iot:Connect\\",\
\\"iot:Publish\\",\
\\"iot:Subscribe\\",\
\\"iot:Receive\\",\
\\"greengrass:*\\"\
],\
\\"Resource\\": \\"*\\"\
}\
]\
}",
"defaultVersionId": "1",
"creationDate": "2021-02-05T16:03:14.098000-08:00",
"lastModifiedDate": "2021-02-05T16:03:14.098000-08:00",
"generationId": "f19144b798534f52c619d44f771a354f1b957dfa2b850625d9f1d0fde530e75f"
}
```
1. 使用在线转换器或其他工具将策略文档字符串转换为 JSON 对象,然后将其保存到名为 `iot-policy.json` 的文件中。
例如,如果您安装了 [jq](https://stedolan.github.io/jq/) 工具,则可以运行以下命令来获取策略文档,将其转换为 JSON 对象,然后将策略文档另存为 JSON 对象。
```
aws iot get-policy --policy-name GreengrassV2IoTThingPolicy --query 'policyDocument' | jq fromjson >> iot-policy.json
```
1. 查看策略文档,并根据需要添加、删除或编辑权限。
例如,在 Linux 系统上,您可以运行以下命令来使用 GNU nano 打开文件。
```
nano iot-policy.json
```
完成后,策略文档可能与[核心设备的最低 AWS IoT 策略类](#greengrass-core-minimal-iot-policy)似。
1. 将更改保存为策略的新版本。运行以下命令,并*GreengrassV2IoTThingPolicy*替换为策略的名称。
```
aws iot create-policy-version --policy-name GreengrassV2IoTThingPolicy --policy-document file://iot-policy.json --set-as-default
```
如果操作成功,它会返回与以下示例类似的响应。
```
{
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy",
"policyDocument": "{\
\\"Version\\": \\"2012-10-17 \\",\
\\"Statement\\": [\
{\
\\"Effect\\": \\"Allow\\",\
\\"Action\\": [\
\\t\\t\\"iot:Connect\\",\
\\t\\t\\"iot:Publish\\",\
\\t\\t\\"iot:Subscribe\\",\
\\t\\t\\"iot:Receive\\",\
\\t\\t\\"greengrass:*\\"\
],\
\\"Resource\\": \\"*\\"\
}\
]\
}",
"policyVersionId": "2",
"isDefaultVersion": true
}
```
## AWS IoT Greengrass V2 核心设备的最低 AWS IoT 政策
**重要**
[Greengrass nucleus](greengrass-nucleus-component.md) 组件的更高版本需要对最低策略的额外权限。 AWS IoT 您可能需要[更新核心设备的 AWS IoT 策略](#update-core-device-iot-policy)才能授予其他权限。
从事物组中移除核心设备时,运行 Greengrass Nucleus v2.5.0 及更高版本的核心设备使用 `greengrass:ListThingGroupsForCoreDevice` 权限卸载组件。
运行 Greengrass Nucleus v2.3.0 及更高版本的核心设备使用 `greengrass:GetDeploymentConfiguration` 权限来支持大型部署配置文档。
以下示例策略包含为支持核心设备的基本 Greengrass 功能所需的一组最少操作。
+ `Connect` 策略在核心设备事物名称后面包含 `*` 通配符(例如,`core-device-thing-name*`)。核心设备使用相同的设备证书进行多个并行订阅 AWS IoT Core,但是连接中的客户端 ID 可能与核心设备的事物名称不完全匹配。在前 50 个订阅之后,核心设备使用 `core-device-thing-name#number` 作为客户端 ID,每增加 50 个订阅,`number` 将递增。例如,当名为的核心设备`MyCoreDevice`创建 150 个并发订阅时,它将使用以下客户端 IDs:
+ 1 到 50 个订阅:`MyCoreDevice`
+ 51 到 100 个订阅:`MyCoreDevice#2`
+ 101 到 150 个订阅:`MyCoreDevice#3`
通配符允许核心设备在使用这些带有后缀 IDs 的客户端时进行连接。
+ 该策略列出了核心设备可将消息发布到、订阅和从中接收消息的 MQTT 主题和主题筛选条件(包括用于影子状态的主题)。要支持 Greengrass 组件和客户端设备之间的 AWS IoT Core消息交换,请指定要允许的主题和主题过滤器。有关更多信息,请参阅《AWS IoT Core 开发人员指南》**中的[发布/订阅策略示例](https://docs.aws.amazon.com/iot/latest/developerguide/pub-sub-policy.html)。
+ 该策略允许向以下主题发布遥测数据。
```
$aws/things/core-device-thing-name/greengrass/health/json
```
对于禁用遥测功能的核心设备,可移除此权限。有关更多信息,请参阅 [从 AWS IoT Greengrass 核心设备收集系统运行状况遥测数据](telemetry.md)。
+ 该策略授予通过角色别名担任 IAM AWS IoT 角色的权限。核心设备使用此角色(称为令牌交换角色)来获取可用于对 AWS 请求进行身份验证的 AWS 凭证。有关更多信息,请参阅 [授权核心设备与 AWS 服务交互](device-service-role.md)。
安装 AWS IoT Greengrass Core 软件时,您可以创建并附加仅包含此权限的第二个 AWS IoT 策略。如果您在核心设备的主 AWS IoT 策略中包含此权限,则可以分离和删除其他 AWS IoT 策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect"
],
"Resource": "arn:aws:iot:us-east-1:123456789012:client/core-device-thing-name*"
},
{
"Effect": "Allow",
"Action": [
"iot:Receive",
"iot:Publish"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name/greengrass/health/json",
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name/greengrassv2/health/json",
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name/jobs/*",
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name/shadow/*"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Subscribe"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/things/core-device-thing-name/jobs/*",
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/things/core-device-thing-name/shadow/*"
]
},
{
"Effect": "Allow",
"Action": "iot:AssumeRoleWithCertificate",
"Resource": "arn:aws:iot:us-east-1:123456789012:rolealias/token-exchange-role-alias-name"
},
{
"Effect": "Allow",
"Action": [
"greengrass:GetComponentVersionArtifact",
"greengrass:ResolveComponentCandidates",
"greengrass:GetDeploymentConfiguration",
"greengrass:ListThingGroupsForCoreDevice"
],
"Resource": "*"
}
]
}
```
------
## 支持客户端设备的最低 AWS IoT 政策
以下示例策略包括支持在核心设备上与客户端设备交互所需的最低操作集。要支持客户端设备,除了[基本操作的最低 AWS IoT 策略外,核心设备还必须具有此 AWS IoT 策略](#greengrass-core-minimal-iot-policy)中的权限。
+ 该策略允许核心设备更新自己的连接信息。仅当将 [IP 检测器组件](ip-detector-component.md)部署到核心设备时,才需要此权限(`greengrass:UpdateConnectivityInfo`)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Publish"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name-gci/shadow/get"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Subscribe"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/things/core-device-thing-name-gci/shadow/update/delta",
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/things/core-device-thing-name-gci/shadow/get/accepted"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Receive"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name-gci/shadow/update/delta",
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name-gci/shadow/get/accepted"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:PutCertificateAuthorities",
"greengrass:VerifyClientDeviceIdentity"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"greengrass:VerifyClientDeviceIoTCertificateAssociation"
],
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/*"
},
{
"Effect": "Allow",
"Action": [
"greengrass:GetConnectivityInfo",
"greengrass:UpdateConnectivityInfo"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/core-device-thing-name"
]
}
]
}
```
------
## 客户端设备的最低 AWS IoT 政策
以下示例策略包括客户端设备发现其通过 MQTT 进行连接和通信的核心设备所需的最低操作集。客户端设备的 AWS IoT 策略必须包括允许设备发现其关联的 Greengrass 核心设备的连接信息的`greengrass:Discover`操作。在 `Resource` 部分,指定客户端设备的 Amazon 资源名称(ARN),而不是 Greengrass 核心设备的 ARN。
+ 该策略允许就所有 MQTT 主题进行通信。要遵循最佳安全实践,请将 `iot:Publish`、`iot:Subscribe` 和 `iot:Receive` 权限限制为客户端设备在用例中所需的最小主题集。
+ 该政策允许事物发现所有 AWS IoT 事物的核心设备。要遵循最佳安全实践,请将`greengrass:Discover`权限限制为客户端设备的 AWS IoT 东西或与一组 AWS IoT 内容匹配的通配符。
**重要**
核心设备或 Greengrass 数据面板操作的 AWS IoT 策略不支持[事物策略变量](https://docs.aws.amazon.com/iot/latest/developerguide/thing-policy-variables.html) (`iot:Connection.Thing.*`)。相反,您可以使用通配符来匹配多个名称相似的设备。例如,您可以指定 `MyGreengrassDevice*` 以匹配 `MyGreengrassDevice1`、`MyGreengrassDevice2` 等。
+ 客户端设备的 AWS IoT 策略通常不需要、或`iot:DeleteThingShadow`操作的权限 `iot:GetThingShadow``iot:UpdateThingShadow`,因为 Greengrass 核心设备负责处理客户端设备的影子同步操作。要使核心设备能够处理客户端设备影子,请检查核心设备的 AWS IoT 策略是否允许这些操作,以及该`Resource`部分是否包含客户端设备的影子。 ARNs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iot:Publish"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/*"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Subscribe"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topicfilter/*"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Receive"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:Discover"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/*"
]
}
]
}
```
------
# 的身份和访问管理 AWS IoT Greengrass
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权*(拥有权限)使用 AWS IoT Greengrass 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**注意**
本主题介绍 IAM 的概念和功能。有关所支持的 IAM 功能的信息 AWS IoT Greengrass,请参阅[如何 AWS IoT Greengrass 与 IAM 配合使用](security_iam_service-with-iam.md)。
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对的身份和访问问题进行故障排除 AWS IoT Greengrass](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[如何 AWS IoT Greengrass 与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[基于身份的策略示例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 访问控制列表 (ACLs)
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
Amazon S3 和 Amazon VPC 就是支持的服务示例 ACLs。 AWS WAF要了解更多信息 ACLs,请参阅《*亚马逊简单存储服务开发者指南*》中的[访问控制列表 (ACL) 概述](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
## 另请参阅
+ [如何 AWS IoT Greengrass 与 IAM 配合使用](security_iam_service-with-iam.md)
+ [基于身份的策略示例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
+ [对的身份和访问问题进行故障排除 AWS IoT Greengrass](security_iam_troubleshoot.md)
# 如何 AWS IoT Greengrass 与 IAM 配合使用
在使用 IAM 管理访问权限之前 AWS IoT Greengrass,您应该了解可与之配合使用的 IAM 功能 AWS IoT Greengrass。
| IAM 功能 | Greengrass 支持吗? |
| --- | --- |
| [具有资源级权限的基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [访问控制列表 (ACLs)](#security_iam_service-with-iam-acls) | 否 |
| [基于标签的授权](#security_iam_service-with-iam-tags) | 是 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 否 |
| [服务角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
有关其他 AWS 服务如何与 IAM 配合使用的高级视图,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 基于身份的策略 AWS IoT Greengrass
借助 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及允许或拒绝操作的条件。 AWS IoT Greengrass 支持特定的操作、资源和条件键。要了解您在策略中使用的所有元素,请参阅 *IAM 用户指南*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
策略操作在操作前 AWS IoT Greengrass 使用`greengrass:`前缀。例如,要允许某人使用 `ListCoreDevices` API 操作列出其中的核心设备 AWS 账户,您可以将该`greengrass:ListCoreDevices`操作包含在他们的策略中。策略声明必须包含`Action`或`NotAction`元素。 AWS IoT Greengrass 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项操作,请在方括号 (`[` `]`) 中列出这些操作,并用逗号将它们分隔开,如下所示:
```
"Action": [
"greengrass:action1",
"greengrass:action2",
"greengrass:action3"
]
```
您可以使用通配符 (`*`) 指定多个操作。例如,要指定以单词 `List` 开头的所有操作,包括以下操作:
```
"Action": "greengrass:List*"
```
**注意**
我们建议您避免使用通配符来指定服务的所有可用操作。最佳做法是,您应在策略中授予最低特权和范围狭窄的权限。有关更多信息,请参阅 [授予可能的最低权限](security-best-practices.md#least-privilege)。
有关 AWS IoT Greengrass 操作的完整列表,请参阅 *IAM 用户指南 AWS IoT Greengrass*中的[定义操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
下表 ARNs 包含可在策略声明`Resource`元素中使用的 AWS IoT Greengrass 资源。有关 AWS IoT Greengrass 操作支持的资源级权限的映射,请参阅 *IAM 用户*指南 AWS IoT Greengrass中[定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)。
某些 AWS IoT Greengrass 操作(例如,某些列表操作)无法对特定资源执行。在这种情况下,您必须单独使用通配符。
```
"Resource": "*"
```
要在语句 ARNs 中指定多个资源,请将它们列在方括号 (`[``]`) 之间,并用逗号分隔,如下所示:
```
"Resource": [
"resource-arn1",
"resource-arn2",
"resource-arn3"
]
```
有关 ARN 格式的更多信息,请参阅中的 A [mazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。*Amazon Web Services 一般参考*
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看 AWS IoT Greengrass 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
## 基于资源的政策 AWS IoT Greengrass
AWS IoT Greengrass 不支持[基于资源的策略](security-iam.md#security_iam_access-manage-resource-based-policies)。
## 访问控制列表 (ACLs)
AWS IoT Greengrass 不支持[ACLs](security-iam.md#security_iam_access-manage-acl)。
## 基于 AWS IoT Greengrass 标签的授权
您可以将标签附加到支持的 AWS IoT Greengrass 资源,也可以在请求中传递标签 AWS IoT Greengrass。要基于标签控制访问,您需要使用 `aws:ResourceTag/${TagKey}`、`aws:RequestTag/${TagKey}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关更多信息,请参阅 [标记您的 AWS IoT Greengrass Version 2 资源](tag-resources.md)。
## 的 IAM 角色适用于 AWS IoT Greengrass
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 AWS 账户 中具有特定权限的实体。
### 将临时证书与 AWS IoT Greengrass
临时凭证可用于进行联合身份登录,代入 IAM 角色或代入跨账户角色。您可以调用 AWS STS API 操作(如[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) )以获取临时安全凭证。
在 Greengrass 核心上,[设备角色](device-service-role.md)的临时凭证可供 Greengrass 组件使用。如果您的组件使用 AWS SDK,则无需添加逻辑即可获取凭证,因为 AWS SDK 会为您执行此操作。
### 服务关联角色
AWS IoT Greengrass 不支持[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
AWS IoT Greengrass 核心设备使用服务角色允许 Greengrass 组件和 Lambda 函数代表您访问您的部分资源。 AWS 有关更多信息,请参阅 [授权核心设备与 AWS 服务交互](device-service-role.md)。
AWS IoT Greengrass 使用服务角色代表您访问您的部分 AWS 资源。有关更多信息,请参阅 [Greengrass 服务角色](greengrass-service-role.md)。
# 基于身份的策略示例 AWS IoT Greengrass
默认情况下,IAM 用户和角色没有创建或修改 AWS IoT Greengrass 资源的权限。他们也无法使用 AWS 管理控制台 AWS CLI、或 AWS API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
## 策略最佳实践
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 AWS IoT Greengrass 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定 AWS 服务的(例如)使用的,则也可以使用条件来授予对服务操作的访问权限 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 策略示例
以下客户定义的策略示例可为常见方案授予权限。
**Topics**
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅《*IAM 用户指南*》中的[在 JSON 选项卡上创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
### 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 授权核心设备与 AWS 服务交互
AWS IoT Greengrass 核心设备使用 AWS IoT Core 凭证提供程序来授权对 AWS 服务的调用。 AWS IoT Core 凭据提供程序允许设备使用其 X.509 证书作为对请求进行身份验证的唯一设备身份。 AWS 这样就无需在 AWS IoT Greengrass 核心设备上存储 AWS 访问密钥 ID 和私有访问密钥。有关更多信息,请参阅《*AWS IoT Core 开发人员指南》*中的[授权直接调用 AWS 服务](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)。
在运行 AWS IoT Greengrass Core 软件时,您可以选择配置核心设备所需的 AWS 资源。这包括您的核心设备通过 AWS IoT Core 证书提供商承担的 AWS Identity and Access Management (IAM) 角色。使用`--provision true`参数配置允许核心设备获取临时 AWS 证书的角色和策略。此参数还配置指向此 IAM AWS IoT 角色的角色别名。您可以指定要使用的 IAM 角色的名称和 AWS IoT 角色别名。如果您不使用这些其他名称参数指定 `--provision true`,Greengrass 核心设备将创建并使用以下默认资源:
+ IAM 角色:`GreengrassV2TokenExchangeRole`
此角色具有名为 `GreengrassV2TokenExchangeRoleAccess` 的策略,以及允许 `credentials.iot.amazonaws.com` 代入角色的信任关系。该策略包括核心设备的最低权限。
**重要**
该策略不包括对 S3 存储桶中文件的访问权限。您必须向该角色添加权限,才能允许核心设备从 S3 存储桶中检索组件构件。有关更多信息,请参阅 [允许访问 S3 存储桶中的组件构件](#device-service-role-access-s3-bucket)。
+ AWS IoT 角色别名:`GreengrassV2TokenExchangeRoleAlias`
此角色别名指的是 IAM 角色。
有关更多信息,请参阅 [步骤 3:安装 AWS IoT Greengrass 核心软件](install-greengrass-v2.md)。
您也可以为现有核心设备设置角色别名。为此,请配置 [Greengrass Nucleus 组件](greengrass-nucleus-component.md)的 `iotRoleAlias` 配置参数。
您可以为此 IAM 角色获取临时 AWS 证书,以便在自定义组件中执行 AWS 操作。有关更多信息,请参阅 [与 AWS 服务交互](interact-with-aws-services.md)。
**Topics**
+ [核心设备的服务角色权限](#device-service-role-permissions)
+ [允许访问 S3 存储桶中的组件构件](#device-service-role-access-s3-bucket)
## 核心设备的服务角色权限
该角色允许以下服务代入角色:
+ `credentials.iot.amazonaws.com`
如果您使用 AWS IoT Greengrass Core 软件创建此角色,它将使用以下权限策略来允许核心设备连接并向其发送日志 AWS。策略的名称默认为以 `Access` 结尾的 IAM 角色的名称。例如,如果您使用默认 IAM 角色名称,则此策略的名称为 `GreengrassV2TokenExchangeRoleAccess`。
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ v2.4.x ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.4.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"iot:Connect",
"iot:Publish",
"iot:Subscribe",
"iot:Receive",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
## 允许访问 S3 存储桶中的组件构件
默认核心设备角色不允许核心设备访问 S3 存储桶。要部署在 S3 存储桶中有构件的组件,必须添加 `s3:GetObject` 权限,以允许核心设备下载组件构件。您可以向核心设备角色添加新策略以授予此权限。
**添加允许访问 Amazon S3 中组件构件的策略**
1. 创建一个名为 `component-artifact-policy.json` 的文件,并将以下 JSON 复制到该文件中。此策略允许访问 S3 存储桶中的所有文件。将 amzn-s3-demo-bucket 替换为 S3 存储桶的名称,以允许核心设备访问。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. 运行以下命令,从 `component-artifact-policy.json` 中的策略文档创建策略。
------
#### [ Linux or Unix ]
```
aws iam create-policy \
--policy-name MyGreengrassV2ComponentArtifactPolicy \
--policy-document file://component-artifact-policy.json
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-policy ^
--policy-name MyGreengrassV2ComponentArtifactPolicy ^
--policy-document file://component-artifact-policy.json
```
------
#### [ PowerShell ]
```
aws iam create-policy `
--policy-name MyGreengrassV2ComponentArtifactPolicy `
--policy-document file://component-artifact-policy.json
```
------
从输出中的策略元数据复制策略 Amazon 资源名称(ARN)。您将在下一步中使用此 ARN 来将此策略附加到核心设备角色。
1. 运行以下命令以将策略附加到核心设备角色。*GreengrassV2TokenExchangeRole*替换为您在运行 C AWS IoT Greengrass ore 软件时指定的角色名称。然后,将 policy ARN 替换为上一步中的 ARN。
------
#### [ Linux or Unix ]
```
aws iam attach-role-policy \
--role-name GreengrassV2TokenExchangeRole \
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam attach-role-policy ^
--role-name GreengrassV2TokenExchangeRole ^
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ PowerShell ]
```
aws iam attach-role-policy `
--role-name GreengrassV2TokenExchangeRole `
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
如果命令没有输出,则表示命令成功,且您的核心设备可以访问您上传到此 S3 存储桶的构件。
# 安装程序配置资源的最低 IAM 策略
安装 AWS IoT Greengrass Core 软件时,您可以为设备预置所需的 AWS 资源, AWS IoT 例如设备和 IAM 角色。您也可以将本地开发工具部署到设备。安装程序需要 AWS 凭据才能在中执行这些操作 AWS 账户。有关更多信息,请参阅 [安装 AWS IoT Greengrass Core 软件](install-greengrass-core-v2.md)。
以下示例策略包括安装程序配置这些资源所需的最低操作集。如果您为安装程序指定 `--provision` 参数,则需要这些权限。*account-id*替换为您的 AWS 账户 ID,并*GreengrassV2TokenExchangeRole*替换为您在`--tes-role-name`[安装程序参数](configure-installer.md)中指定的令牌交换角色的名称。
**注意**
只有在为安装程序指定 `--deploy-dev-tools` 参数时,才需要 `DeployDevTools` 策略声明。
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.5.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
# Greengrass 服务角色
Greengrass 服务角色 AWS Identity and Access Management 是一个 (IAM) 服务角色,它 AWS IoT Greengrass 授权代表您访问服务中的资源。 AWS 此角色 AWS IoT Greengrass 使验证客户端设备的身份和管理核心设备的连接信息成为可能。
**注意**
AWS IoT Greengrass V1 还使用此角色来执行基本任务。有关更多信息,请参阅《AWS IoT Greengrass V1 开发人员指南》**中的 [Greengrass 服务角色](https://docs.aws.amazon.com/greengrass/v1/developerguide/service-role.html)。
AWS IoT Greengrass 要允许访问您的资源,Greengrass 服务角色必须与 AWS 账户 您的关联并 AWS IoT Greengrass 指定为可信实体。该角色必须包含[AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)托管策略或自定义策略,该策略定义了您使用的 AWS IoT Greengrass 功能的等效权限。 AWS 维护此策略,该策略定义了 AWS IoT Greengrass 用于访问您的 AWS 资源的权限集。有关更多信息,请参阅 [AWS 托管策略: AWSGreengrassResourceAccessRolePolicy](security-iam-aws-managed-policies.md#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)。
你可以重复使用相同的 Greengrass 服务角色 AWS 区域,但你必须在每个使用的地方将其与你的账户关联。 AWS 区域 AWS IoT Greengrass如果当前未配置服务角色 AWS 区域,则核心设备将无法验证客户端设备,也无法更新连接信息。
以下各节介绍如何使用或创建和管理 Greengrass 服务角色。 AWS 管理控制台 AWS CLI
**Topics**
+ [管理 Greengrass 服务角色(控制台)](#manage-greengrass-service-role-console)
+ [管理 Greengrass 服务角色(CLI)](#manage-service-role-cli)
+ [另请参阅](#service-role-see-also)
**注意**
除了授权服务级别访问权限的服务角色外,您还可以为 Greengrass 核心设备分配一个*令牌交换角色*。令牌交换角色是一个单独的 IAM 角色,用于控制核心设备上的 Greengrass 组件和 Lambda 函数如何访问服务。 AWS 有关更多信息,请参阅 [授权核心设备与 AWS 服务交互](device-service-role.md)。
## 管理 Greengrass 服务角色(控制台)
通过 AWS IoT 控制台,您可以轻松管理您的 Greengrass 服务角色。例如,当您为核心设备配置客户端设备发现时,控制台会检查您的 AWS 账户 是否附加到您当前 AWS 区域中的 Greengrass 服务角色。如果没有,则控制台可以为您创建和配置服务角色。有关更多信息,请参阅 [创建 Greengrass 服务角色(控制台)](#create-greengrass-service-role-console)。
您可以使用 控制台执行以下角色管理任务:
**Topics**
+ [查找您的 Greengrass 服务角色(控制台)](#get-greengrass-service-role-console)
+ [创建 Greengrass 服务角色(控制台)](#create-greengrass-service-role-console)
+ [更改 Greengrass 服务角色(控制台)](#update-greengrass-service-role-console)
+ [移除 Greengrass 服务角色(控制台)](#remove-greengrass-service-role-console)
**注意**
登录到控制台的用户必须有权查看、创建或更改服务角色。
### 查找您的 Greengrass 服务角色(控制台)
使用以下步骤查找当前中 AWS IoT Greengrass 使用的服务角色 AWS 区域。
1. 导航至 [AWS IoT 控制台](https://console.aws.amazon.com/iot)。
1. 在导航窗格中,选择**设置**。
1. 滚动到 **Greengrass 服务角色**部分以查看您的服务角色及其策略。
如果没有看到服务角色,控制台可以为您创建或配置一个。有关更多信息,请参阅 [创建 Greengrass 服务角色](#create-greengrass-service-role-console)。
### 创建 Greengrass 服务角色(控制台)
控制台可以为您创建和配置默认 Greengrass 服务角色。此角色具有以下属性:
| 属性 | 值 |
| --- | --- |
| Name | Greengrass\$1ServiceRole |
| 可信任的实体 | AWS service: greengrass |
| Policy | [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) |
**注意**
如果您使用 [AWS IoT Greengrass V1 设备设置脚本](https://docs.aws.amazon.com/greengrass/v1/developerguide/quick-start.html)创建此角色,则角色名称为 `GreengrassServiceRole_random-string`。
当你为核心设备配置客户端设备发现时,控制台会检查当前的 Greengrass 服务角色是否与你的关联。 AWS 账户 AWS 区域否则,控制台会提示您 AWS IoT Greengrass 允许代表您读取和写入 AWS 服务。
如果您授予权限,控制台会检查您的 AWS 账户中是否存在名为 `Greengrass_ServiceRole` 的角色。
+ 如果该角色存在,则控制台会在当前版本 AWS 账户 中将服务角色附加到您 AWS 区域。
+ 如果该角色不存在,则控制台会创建一个默认 Greengrass 服务角色,并在当前版本中将其附加到你的。 AWS 账户 AWS 区域
**注意**
如果要使用自定义角色策略创建服务角色,请使用 IAM 控制台创建或修改角色。有关更多信息,请参阅 *IAM 用户指南*中的[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)或[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。确保该角色针对您使用的功能和资源授予和 `AWSGreengrassResourceAccessRolePolicy` 托管策略同等的权限。我们建议您在信任策略中加入 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键,以帮助防止出现*混淆代理人*安全问题。条件上下文键可限制访问权限,仅允许来自指定账户和 Greengrass 工作空间的请求。有关混淆代理人问题的更多信息,请参阅 [防止跨服务混淆代理](cross-service-confused-deputy-prevention.md)。
如果您创建了服务角色,请返回 AWS IoT 控制台并将该角色附加到您的 AWS 账户。可以在**设置**页面上的 **Greengrass 服务角色**下执行此操作。
### 更改 Greengrass 服务角色(控制台)
使用以下步骤选择其他 Greengrass 服务角色以附加到控制台中 AWS 账户 当前选 AWS 区域 定的角色。
1. 导航至 [AWS IoT 控制台](https://console.aws.amazon.com/iot)。
1. 在导航窗格中,选择**设置**。
1. 在 **Greengrass 服务角色**下,选择 **更改角色**。
“**更新 Greengrass 服务**角色” 对话框打开,其中显示了 AWS 账户 您中定义为可信实体的 IAM 角色。 AWS IoT Greengrass
1. 选择要附加的 Greengrass 服务角色。
1. 选择**附加角色**。
### 移除 Greengrass 服务角色(控制台)
使用以下步骤将当前的 Greengrass 服务角色与您的账户分离。 AWS AWS 区域这会撤消 AWS IoT Greengrass 访问当前 AWS AWS 区域服务的权限。
**重要**
移除服务角色可能会中断有效操作。
1. 导航至 [AWS IoT 控制台](https://console.aws.amazon.com/iot)。
1. 在导航窗格中,选择**设置**。
1. 在 **Greengrass 服务角色** 下,选择 **移除角色**。
1. 在确认对话框中,选择 **Detach (分离)**。
**注意**
如果您不再需要该角色,则可在 IAM 控制台中将其删除。有关更多信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
其他角色可能 AWS IoT Greengrass 允许访问您的资源。要查找允许 AWS IoT Greengrass 代表您使用权限的所有角色,请在 IAM 控制台的**角色**页面上的**可信实体**列中查找包含 **AWS 服务: greengrass** 的角色。
## 管理 Greengrass 服务角色(CLI)
在以下步骤中,我们假设 AWS Command Line Interface 已安装并配置为使用您的 AWS 账户。有关更多信息,请参阅《AWS Command Line Interface 用户指南》中的[安装、更新和卸载 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) 以及[配置 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。**
您可以将 AWS CLI 用于以下角色管理任务:
**Topics**
+ [获取 Greengrass 服务角色 (CLI)](#get-service-role)
+ [创建 Greengrass 服务角色 (CLI)](#create-service-role)
+ [删除 Greengrass 服务角色 (CLI)](#remove-service-role)
### 获取 Greengrass 服务角色 (CLI)
使用以下过程了解 Greengrass 服务角色是否已与您在 AWS 区域中的 AWS 账户 关联。
+ 获取服务角色。*region*替换为你的 AWS 区域 (例如,`us-west-2`)。
```
aws greengrassv2 get-service-role-for-account --region region
```
如果 Greengrass 服务角色已与您的账户关联,则请求将返回以下角色元数据。
```
{
"associatedAt": "timestamp",
"roleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
如果请求未返回角色元数据,则您必须创建服务角色(如果该角色不存在)并将其与您在 AWS 区域中的账户关联。
### 创建 Greengrass 服务角色 (CLI)
使用以下步骤创建角色,并将其与您的 AWS 账户关联。
**使用 IAM 创建服务角色**
1. 使用允许代入该角色 AWS IoT Greengrass 的信任策略创建角色。此示例将创建一个名为 `Greengrass_ServiceRole` 的角色,但您也可以使用其他名称。我们建议您在信任策略中加入 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键,以帮助防止出现*混淆代理人*安全问题。条件上下文键可限制访问权限,仅允许来自指定账户和 Greengrass 工作空间的请求。有关混淆代理人问题的更多信息,请参阅 [防止跨服务混淆代理](cross-service-confused-deputy-prevention.md)。
------
#### [ Linux or Unix ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
#### [ PowerShell ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
1. 从输出中的角色元数据复制角色 ARN。使用该 ARN 将角色与您的账户关联。
1. 将 `AWSGreengrassResourceAccessRolePolicy` 策略附加到该角色。
```
aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
```
**将服务角色与您的关联 AWS 账户**
+ 将角色与您的账户关联。*role-arn*替换为服务角色 ARN 和您*region*的 AWS 区域 (例如)。`us-west-2`
```
aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region
```
如果成功,请求将返回类似于以下内容的响应。
```
{
"associatedAt": "timestamp"
}
```
### 删除 Greengrass 服务角色 (CLI)
使用以下步骤解除 Greengrass 服务角色与您的 AWS 账户的关联。
+ 取消服务角色与您的账户的关联。*region*替换为你的 AWS 区域 (例如,`us-west-2`)。
```
aws greengrassv2 disassociate-service-role-from-account --region region
```
如果成功,将返回以下响应。
```
{
"disassociatedAt": "timestamp"
}
```
**注意**
如果您未在任何服务角色中使用该角色,则应将其删除 AWS 区域。先使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) 从角色中移除 `AWSGreengrassResourceAccessRolePolicy` 托管策略,然后使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) 删除角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
## 另请参阅
+ 在 *IAM 用户指南*中@@ [创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ *《IAM 用户指南》*中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)
+ *IAM 用户指南*中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
+ AWS IoT Greengrass 命令*参考中的AWS CLI 命令*
+ [associate-service-role-to-账户](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/associate-service-role-to-account.html)
+ [disassociate-service-role-from-账户](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/disassociate-service-role-from-account.html)
+ [get-service-role-for-账户](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/get-service-role-for-account.html)
+ *AWS CLI 命令参考*中的 IAM 命令
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)
# AWS 的托管策略 AWS IoT Greengrass
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 托管策略: AWSGreengrassFullAccess](#aws-managed-policies-AWSGreengrassFullAccess)
+ [AWS 托管策略: AWSGreengrassReadOnlyAccess](#aws-managed-policies-AWSGreengrassReadOnlyAccess)
+ [AWS 托管策略: AWSGreengrassResourceAccessRolePolicy](#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)
+ [AWS IoT Greengrass AWS 托管策略的更新](#aws-managed-policy-updates)
## AWS 托管策略: AWSGreengrassFullAccess
您可以将 `AWSGreengrassFullAccess` 策略附加到 IAM 身份。
此策略授予管理权限,允许主体完全访问所有 AWS IoT Greengrass 操作。
**权限详细信息**
该策略包含以下权限:
+ `greengrass`:允许主体完全访问所有 AWS IoT Greengrass 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSGreengrassReadOnlyAccess
您可以将 `AWSGreengrassReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予只读权限,允许主体查看 AWS IoT Greengrass中的信息,但无法修改。例如,拥有这些权限的主体可以查看部署到 Greengrass 核心设备的组件列表,但无法创建部署以更改在该设备上运行的组件。
**权限详细信息**
该策略包含以下权限:
+ `greengrass` - 允许主体执行返回项目列表或项目详细信息的操作。这包括以 `List` 或 `Get` 开头的 API 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSGreengrassResourceAccessRolePolicy
您可以将该`AWSGreengrassResourceAccessRolePolicy`策略附加到您的 IAM 实体。 AWS IoT Greengrass 还将此策略附加 AWS IoT Greengrass 到允许代表您执行操作的服务角色。有关更多信息,请参阅 [Greengrass 服务角色](greengrass-service-role.md)。
此策略授予管理权限, AWS IoT Greengrass 允许执行基本任务,例如检索您的 Lambda 函数、 AWS IoT 管理设备影子和验证 Greengrass 客户端设备。
**权限详细信息**
该策略包含以下权限。
+ `greengrass` – 管理 Greengrass 资源。
+ `iot`(`*Shadow`)-管理名称中包含以下特殊标识符的 AWS IoT 阴影。 AWS IoT Greengrass 需要这些权限才能与核心设备通信。
+ `*-gci`— AWS IoT Greengrass 使用此影子存储核心设备连接信息,以便客户端设备可以发现并连接到核心设备。
+ `*-gcm`— AWS IoT Greengrass V1 使用此影子通知核心设备 Greengrass 组的证书颁发机构 (CA) 证书已轮换。
+ `*-gda`— AWS IoT Greengrass V1 使用此影子将部署通知核心设备。
+ `GG_*` – 未使用。
+ `iot`(`DescribeThing`和`DescribeCertificate`)-检索有关 AWS IoT 事物和证书的信息。这些权限是必需的,这样 AWS IoT Greengrass 才能验证连接到核心设备的客户端设备。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
+ `lambda`— 检索有关 AWS Lambda 函数的信息。需要此权限才能让 AWS IoT Greengrass V1 能够将 Lambda 函数部署到 Greengrass 内核。有关更多信息,请参阅 *AWS IoT Greengrass V1* 开发人员指南中的在[AWS IoT Greengrass 核心上运行 Lambda 函数](https://docs.aws.amazon.com/greengrass/v1/developerguide/lambda-functions.html)。
+ `secretsmanager`— 检索名称以开头的 AWS Secrets Manager 机密的值`greengrass-`。 AWS IoT Greengrass V1 需要此权限才能将 Secrets Manager 机密部署到 Greengrass 内核。有关更多信息,请参阅 *AWS IoT Greengrass V1 开发人员指南*[中的将密钥部署到内 AWS IoT Greengrass 核](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html)。
+ `s3` – 从名称包含 `greengrass` 或 `sagemaker` 的 S3 存储桶中检索文件对象。这些权限是必需的,这样 AWS IoT Greengrass V1 才能部署您存储在 S3 存储桶中的机器学习资源。有关更多信息,请参阅《*AWS IoT Greengrass V1 开发者指南*》中的[机器学习资源](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html#ml-resources)。
+ `sagemaker`— 检索有关 Amazon SageMaker AI 机器学习推理模型的信息。 AWS IoT Greengrass V1 需要此权限才能将机器学习模型部署到 Greengrass 内核。有关更多信息,请参阅《*AWS IoT Greengrass V1 开发者*指南》中的[执行机器学习推理](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}
```
------
## AWS IoT Greengrass AWS 托管策略的更新
您可以查看自该服务开始跟踪这些更改之时 AWS IoT Greengrass 起的 AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提醒,请在 [AWS IoT Greengrass V2 文档历史记录页面](document-history.md)上订阅 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| AWS IoT Greengrass 已开始跟踪更改 | AWS IoT Greengrass 开始跟踪其 AWS 托管策略的更改。 | 2021 年 7 月 2 日 |
# 防止跨服务混淆代理
混淆代理问题是一个安全性问题,即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务,使用其权限以在其他情况下该服务不应有访问权限的方式对另一个客户的资源进行操作。为防止这种情况, AWS 提供可帮助您保护所有服务的数据的工具,而这些服务中的服务主体有权限访问账户中的资源。
我们建议在资源策略中使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全局条件上下文密钥来限制为资源 AWS IoT Greengrass 提供其他服务的权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,`aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户必须使用相同的账户 ID。
`aws:SourceArn` 的值必须是与 `sts:AssumeRole` 请求关联的 Greengrass 客户资源。
防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果不知道资源的完整 ARN,或者正在指定多个资源,请针对 ARN 未知部分使用带有通配符(`*`)的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws:greengrass::account-id:*`。
有关使用 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文密钥的策略示例,请参阅[创建 Greengrass 服务角色](greengrass-service-role.md#create-service-role)。
# 对的身份和访问问题进行故障排除 AWS IoT Greengrass
使用以下信息来帮助您诊断和修复在使用 AWS IoT Greengrass 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在以下位置执行操作 AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我是一名管理员,想允许其他人访问 AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [我想允许我以外的人 AWS 账户 访问我的 AWS IoT Greengrass 资源](#security_iam_troubleshoot-cross-account-access)
有关一般故障排除帮助,请参阅[故障排除 AWS IoT Greengrass V2](troubleshooting.md)。
## 我无权在以下位置执行操作 AWS IoT Greengrass
如果您收到错误消息,提示您无权执行操作,必须联系您的管理员寻求帮助。您的管理员是指为您提供用户名和密码的那个人。
当 `mateojackson` IAM 用户尝试查看有关核心设备的详细信息,但不具备 `greengrass:GetCoreDevice` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDevice on resource: arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `greengrass:GetCoreDevice` 操作访问 `arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore` 资源。
以下是您在使用 AWS IoT Greengrass时可能会遇到的一般 IAM 问题。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给。 AWS IoT Greengrass
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 AWS IoT Greengrass中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我是一名管理员,想允许其他人访问 AWS IoT Greengrass
要允许其他人访问 AWS IoT Greengrass,您必须向需要访问的人员或应用程序授予权限。如果使用 AWS IAM Identity Center 管理人员和应用程序,则可以向用户或组分配权限集来定义其访问权限级别。权限集会自动创建 IAM 策略并将其分配给与人员或应用程序关联的 IAM 角色。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
如果未使用 IAM Identity Center,则必须为需要访问的人员或应用程序创建 IAM 实体(用户或角色)。然后,您必须将策略附加到实体,以便在 AWS IoT Greengrass中向其授予正确的权限。授予权限后,向用户或应用程序开发人员提供凭证。他们将使用这些凭证访问 AWS。要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 我想允许我以外的人 AWS 账户 访问我的 AWS IoT Greengrass 资源
您可以创建一个 IAM 角色,其他账户中的用户或组织以外的人员可以使用该角色来访问您的 AWS 资源。您可以指定谁值得信赖,可以带入角色。有关更多信息,请参阅 [IAM 用户指南中的向您拥有的另一 AWS 账户 个](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM 用户[提供访问权限和向第三方拥有的](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) IAM 用户*提供访问权限。 AWS 账户
AWS IoT Greengrass 不支持基于资源的策略或访问控制列表 () ACLs 的跨账户访问。
# 允许设备流量通过代理或防火墙
Greengrass 核心设备和 Greengrass 组件执行对服务和其他网站的出站请求。 AWS 作为安全措施,您可以将出站流量限制在小范围的端点和端口内。您可以使用以下有关端点和端口的信息,限制通过代理、防火墙或 [Amazon VPC 安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)的设备流量。有关如何将核心设备配置为使用代理的更多信息,请参阅[通过端口 443 或网络代理进行连接](configure-greengrass-core-v2.md#configure-alpn-network-proxy)。
**Topics**
+ [用于基本操作的端点](#core-endpoints)
+ [用于自动预置安装的端点](#automatic-provisioning-endpoints)
+ [AWS提供的组件的端点](#public-component-endpoints)
## 用于基本操作的端点
Greengrass 核心设备使用以下端点和端口进行基本操作。
### 检索 AWS IoT 端点
获取您的终 AWS IoT 端节点 AWS 账户,然后将其保存以备后用。您的设备使用这些端点来连接 AWS IoT。执行以下操作:
1. 获取您的 AWS IoT 数据端点 AWS 账户。
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
如果请求成功,响应类似如下示例。
```
{
"endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
1. 获取您的 AWS IoT 凭证终端节点 AWS 账户。
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
如果请求成功,响应类似如下示例。
```
{
"endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
| 端点 | 端口: | 必需 | 说明 |
| --- | --- | --- | --- |
| `greengrass-ats.iot.region.amazonaws.com` | 8443 或 443 | 是 | 用于数据面板操作,例如安装部署和使用客户端设备。 |
| `device-data-prefix-ats.iot.region.amazonaws.com` | MQTT:8883 或 443 HTTPS:8443 或 443 | 是 | 用于设备管理的数据面板操作,例如与 AWS IoT Core的 MQTT 通信和影子同步。 |
| `device-credentials-prefix.credentials.iot.region.amazonaws.com` | 443 | 是 | 用于获取 AWS 证书,核心设备使用这些证书从 Amazon S3 下载组件工件并执行其他操作。有关更多信息,请参阅 [授权核心设备与 AWS 服务交互](device-service-role.md)。 |
| `*.s3.amazonaws.com` `*.s3.region.amazonaws.com` | 443 | 是 | 用于部署。该格式包括 `*` 字符,因为端点前缀由内部控制,并且可能随时更改。 |
| `data.iot.region.amazonaws.com` | 443 | 否 | 如果核心设备运行 v2.4.0 之前版本的 [Greengrass Nucleus](greengrass-nucleus-component.md),并且配置为使用网络代理,则必需。在代理服务器后面,核心设备使用此端点与 AWS IoT Core MQTT 通信。有关更多信息,请参阅 [配置网络代理](configure-greengrass-core-v2.md#configure-network-proxy)。 |
## 用于自动预置安装的端点
当您[安装 AWS IoT Greengrass](quick-installation.md)具有自动资源配置功能的核心软件时,Greengrass 核心设备使用以下端点和端口。
| 端点 | 端口: | 必需 | 说明 |
| --- | --- | --- | --- |
| `iot.region.amazonaws.com` | 443 | 是 | 用于创建 AWS IoT 资源和检索有关现有 AWS IoT 资源的信息。 |
| `iam.amazonaws.com` | 443 | 是 | 用于创建 IAM 资源和检索有关现有 IAM 资源的信息。 |
| `sts.region.amazonaws.com` | 443 | 是 | 用于获取您的身份证 AWS 账户。 |
| `greengrass.region.amazonaws.com` | 443 | 否 | 如果您使用 `--deploy-dev-tools` 参数将 Greengrass CLI 组件部署到核心设备,则为必需。 |
## AWS提供的组件的端点
Greengrass 核心设备使用其他端点,具体取决于它们运行的软件组件。您可以在本开发者指南中每个组件页面的 “**需求**” 部分中找到每个 AWS提供的组件所需的端点。有关更多信息,请参阅 [AWS 提供的组件](public-components.md)。
# 的合规性验证 AWS IoT Greengrass
要了解某个 AWS 服务 是否在特定合规性计划范围内,请参阅[合规性计划范围内的 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/),然后选择您感兴趣的合规性计划。有关常规信息,请参阅 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)、、。
您可以使用 AWS Artifact 下载第三方审计报告。有关更多信息,请参阅[在 AWS Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)、。
您在使用 AWS 服务 时的合规性责任由您的数据的敏感性、您公司的合规性目标以及适用的法律法规决定。有关您在使用 AWS 服务时的合规责任的更多信息,请参阅 [AWS 安全性文档](https://docs.aws.amazon.com/security/)。
# FIPS 端点
AWS IoT Greengrass 支持使用 FIPS([联邦信息处理标准 (FIPS) 140-2)端](https://aws.amazon.com/compliance/fips/)点。启用 FIPS 模式后,向 AWS 云 服务传输的所有数据(包括 HTTP 和 MQTT 协议)都应调用相应的符合 FIPS 标准的端点 [[FIPS – Amazon Web Services(AWS)](https://aws.amazon.com/compliance/fips/)],并与之建立连接。
MQTT 通信 AWS IoT 利用物联网数据平面 FIPS 端点([连接到 FIPS 端点- AWS IoT Core)和 AWS开发的 AWS IoT 符合 FIPS](https://docs.aws.amazon.com/iot/latest/developerguide/iot-connect-fips.html#iot-connect-fips-data) 的加密库 aws-lc。
对于 Greengrass 中的 HTTP 通信:
+ 对于 nucleus 和插件组件,通过将系统属性 AWS\$1USE\$1FIPS\$1ENDPOINT 设置为 true,所有 SDK HTTP 客户端都配置有 FIPS 端点;
+ 对于通用组件,所有组件的开头都将系统属性 AWS\$1USE\$1FIPS\$1ENDPOINT 设置为 true。此过程可确保这些通用组件使用的 SDK HTTP 客户端向符合 FIPS 标准的端点发送请求。
**注意**
对于直播管理器,Nucleus 会传递环境变量 AWS\$1GG \$1FIPS\$1MODE。此环境变量允许流管理器中使用的 HTTP 客户端识别并连接到相应的符合 FIPS 标准的端点。
AWS IoT Greengrass 提供了两种启用 FIPS 模式的方法:配置和部署。要激活 FIPS 模式,必须将配置参数`fipsMode`设置为 true,然后 Nucleus 将系统属性 AWS\$1USE\$1FIPS\$1ENDPOINT 设置为 true,并将其作为环境变量传播到所有其他组件。此外, AWS IoT Greengrass 还将下载根 CA 证书 (CA3) 并将其附加到现有的 rootca.pem(或.pem)文件中。 AmazonRoot CA1如果您通过新的部署启用 FIPS,Nucleus 将重新启动,确保系统属性在启用 FIPS 模式后生效。
除了配置 `fipsMode` 参数外,还必须配置 `iotDataEndpoint`、`iotCredEndpoint` 和 `greengrassDataEndpoint` 参数。有关更多信息,请参阅以下相关文档。
## 通过部署启用 FIPS 端点
获取您的终 AWS IoT 端节点 AWS 账户,然后将其保存以备后用。您的设备使用这些端点来连接 AWS IoT。需要两个端点,`iotDataEndpoint` 和 `iotCredEndpoint`。执行以下操作:
1. 在 [AWS IoT Core FIPS 数据面板端点](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)中获取您所在区域的 FIPS 数据端点。您的 FIPS 数据端点 AWS 账户 应如下所示:*data.iot-fips.us-west-2.amazonaws.com*
1. 在 [AWS IoT Core FIPS 数据面板端点](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)中获取您所在区域的 FIPS 凭证。您的 FIPS 凭证端点 AWS 账户 应如下所示:*data.credentials.iot-fips.us-west-2.amazonaws.com*
然后,要通过部署启用 FIPS,您需要将以下配置应用于 Nucleus。部署时要合并的配置如下。
------
#### [ Console ]
**要合并的配置**
```
{
"fipsMode": "true",
"iotDataEndpoint": "data.iot-fips.us-west-2.amazonaws.com",
"greengrassDataPlaneEndpoint": "iotData",
"iotCredEndpoint": "data.credentials.iot-fips.us-west-2.amazonaws.com"
}
```
------
#### [ AWS CLI ]
以下命令会创建对核心设备的部署。
```
aws greengrassv2 create-deployment --cli-input-json file://dashboard-deployment.json
```
`dashboard-deployment.json` 文件包含以下 JSON 文档。
```
{
"targetArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
"deploymentName": "Deployment for MyGreengrassCore",
"components": {
"aws.greengrass.Nucleus": {
"componentVersion": "2.13.0",
"configurationUpdate": {
"merge":{\"fipsMode\":\"true\",\"iotDataEndpoint\":\"data.iot-fips.us-west-2.amazonaws.com\",\"greengrassDataPlaneEndpoint\":\"iotData\",\"iotCredEndpoint\":\"data.credentials.iot-fips.us-west-2.amazonaws.com\"}"
}
}
}
}
```
------
#### [ Greengrass CLI ]
以下 [Greengrass CLI](greengrass-cli-component.md) 命令会在核心设备上创建本地部署。
```
sudo greengrass-cli deployment create \
--recipeDir recipes \
--artifactDir artifacts \
--merge "aws.greengrass.Nucleus=2.13.0" \
--update-config dashboard-configuration.json
```
`dashboard-configuration.json` 文件包含以下 JSON 文档。
```
{
"aws.greengrass.Nucleus": {
"MERGE": {
"fipsMode": "true",
"iotDataEndpoint": "data.iot-fips.us-west-2.amazonaws.com",
"greengrassDataPlaneEndpoint": "iotData",
"iotCredEndpoint": "data.credentials.iot-fips.us-west-2.amazonaws.com"
}
}
}
```
------
## 通过手动资源预置来安装带 FIPS 端点的 Nucleus
为具有 FIPS 端点的 AWS IoT Greengrass V2 核心设备手动配置 AWS 资源
**重要**
在下载 AWS IoT Greengrass 酷睿软件之前,请检查您的核心设备是否满足安装和运行 AWS IoT Greengrass 酷睿软件 v2.0 的[要求](greengrass-nucleus-component.md#greengrass-v2-requirements)。
**Topics**
+ [检索 AWS IoT 端点](#w2ab1c58c44c23b9)
+ [创建 AWS IoT 事物](#create-iot-thing)
+ [创建事物证书](#create-thing-certificate-fips)
+ [创建令牌交换角色](#create-token-exchange-role)
+ [将证书下载到设备](#download-thing-certificates)
+ [设置设备环境](#set-up-device-environment)
+ [下载 AWS IoT Greengrass 核心软件](#download-greengrass-core-v2)
+ [安装 AWS IoT Greengrass 核心软件](#run-greengrass-core-v2-installer-manual-fips)
### 检索 AWS IoT 端点
获取您的终 AWS IoT 端节点 AWS 账户,然后将其保存以备后用。您的设备使用这些端点来连接 AWS IoT。需要两个端点,`iotDataEndpoint` 和 `iotCredEndpoint`。执行以下操作:
1. 在 [AWS IoT Core FIPS 数据面板端点](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)中获取您所在区域的 FIPS 数据端点。您的 FIPS 数据端点 AWS 账户 应如下所示:*data.iot-fips.us-west-2.amazonaws.com*
1. 在 [AWS IoT Core FIPS 数据面板端点](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)中获取您所在区域的 FIPS 凭证。您的 FIPS 凭证端点 AWS 账户 应如下所示:*data.credentials.iot-fips.us-west-2.amazonaws.com*
### 创建 AWS IoT 事物
AWS IoT *事物*代表连接到的设备和逻辑实体 AWS IoT。Greengrass 的核心设备就是东西。 AWS IoT 当您将设备注册为 AWS IoT 事物时,该设备可以使用数字证书进行身份验证 AWS。
在本节中,您将创建一个代表您的设备的 AWS IoT 东西。
**创建 AWS IoT 事物**
1. 为你的设备创建 AWS IoT 一件东西。在开发计算机上运行以下命令。
+ *MyGreengrassCore*替换为要使用的事物名称。此名称也是您 Greengrass 核心设备的名称。
**注意**
事物名称不得包含英文冒号 (`:`) 字符。
```
aws iot create-thing --thing-name MyGreengrassCore
```
如果请求成功,响应类似如下示例。
```
{
"thingName": "MyGreengrassCore",
"thingArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
"thingId": "8cb4b6cd-268e-495d-b5b9-1713d71dbf42"
}
```
1. (可选)将 AWS IoT 事物添加到新的或现有的事物组。您可以使用事物组来管理 Greengrass 核心设备实例集。将软件组件部署到设备时,可以以单个设备或设备组为目标。您可以将设备添加到有活动 Greengrass 部署的事物组,以将该事物组的软件组件部署到该设备。执行以下操作:
1. (可选)创建 AWS IoT 事物组。
+ *MyGreengrassCoreGroup*替换为要创建的事物组的名称。
**注意**
事物组名称不得包含英文冒号 (`:`) 字符。
```
aws iot create-thing-group --thing-group-name MyGreengrassCoreGroup
```
如果请求成功,响应类似如下示例。
```
{
"thingGroupName": "MyGreengrassCoreGroup",
"thingGroupArn": "arn:aws:iot:us-west-2:123456789012:thinggroup/MyGreengrassCoreGroup",
"thingGroupId": "4df721e1-ff9f-4f97-92dd-02db4e3f03aa"
}
```
1. 将 AWS IoT 事物添加到事物组。
+ *MyGreengrassCore*用你的 AWS IoT 东西的名字替换。
+ *MyGreengrassCoreGroup*替换为事物组的名称。
```
aws iot add-thing-to-thing-group --thing-name MyGreengrassCore --thing-group-name MyGreengrassCoreGroup
```
如果请求成功,则该命令没有任何输出。
### 创建事物证书
当您将设备注册为 AWS IoT 事物时,该设备可以使用数字证书进行身份验证 AWS。此证书允许设备与 AWS IoT 和通信 AWS IoT Greengrass。
在本节中,您将创建和下载可供您的设备连接 AWS的证书。
如果要将 AWS IoT Greengrass Core 软件配置为使用硬件安全模块 (HSM) 来安全存储私钥和证书,请按照步骤在 HSM 中使用私钥创建证书。否则,请按照步骤在 AWS IoT 服务中创建证书和私钥。硬件安全功能仅在 Linux 设备上可用。有关硬件安全性及其使用要求的更多信息,请参阅 [硬件安全性集成](hardware-security.md)。
#### 在 AWS IoT 服务中创建证书和私钥
**创建事物证书**
1. 创建一个文件夹,用于下载 AWS IoT 事物的证书。
```
mkdir greengrass-v2-certs
```
1. 为该 AWS IoT 事物创建并下载证书。
```
aws iot create-keys-and-certificate --set-as-active --certificate-pem-outfile greengrass-v2-certs/device.pem.crt --public-key-outfile greengrass-v2-certs/public.pem.key --private-key-outfile greengrass-v2-certs/private.pem.key
```
如果请求成功,响应类似如下示例。
```
{
"certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
"certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
"certificatePem": "-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w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-----END CERTIFICATE-----",
"keyPair": {
"PublicKey": "-----BEGIN PUBLIC KEY-----\
MIIBIjANBgkqhkEXAMPLEQEFAAOCAQ8AMIIBCgKCAQEAEXAMPLE1nnyJwKSMHw4h\
MMEXAMPLEuuN/dMAS3fyce8DW/4+EXAMPLEyjmoF/YVF/gHr99VEEXAMPLE5VF13\
59VK7cEXAMPLE67GK+y+jikqXOgHh/xJTwo+sGpWEXAMPLEDz18xOd2ka4tCzuWEXAMPLEahJbYkCPUBSU8opVkR7qkEXAMPLE1DR6sx2HocliOOLtu6Fkw91swQWEXAMPLE\\GB3ZPrNh0PzQYvjUStZeccyNCx2EXAMPLEvp9mQOUXP6plfgxwKRX2fEXAMPLEDa\
hJLXkX3rHU2xbxJSq7D+XEXAMPLEcw+LyFhI5mgFRl88eGdsAEXAMPLElnI9EesG\
FQIDAQAB\
-----END PUBLIC KEY-----\
",
"PrivateKey": "-----BEGIN RSA PRIVATE KEY-----\
key omitted for security reasons\
-----END RSA PRIVATE KEY-----\
"
}
}
```
保存证书的 Amazon 资源名称(ARN),以便稍后用于配置证书。
#### 使用 HSM 中的私有密钥创建证书
**注意**
[此功能适用于 Greengrass nucleus 组件的 2.5.3 及更高版本。](greengrass-nucleus-component.md) AWS IoT Greengrass 目前不支持在 Windows 核心设备上使用此功能。
**创建事物证书**
1. 在核心设备上,在 HSM 中初始化 PKCS\$111 令牌,然后生成私有密钥。私有密钥必须是密钥大小为 RSA-2048(或更大)的 RSA 密钥,或 ECC 密钥。
**注意**
要使用带 ECC 密钥的硬件安全模块,必须使用 [Greengrass Nucleus](greengrass-nucleus-component.md) v2.5.6 或更高版本。
要使用硬件安全模块和[密钥管理器](secret-manager-component.md),必须使用带 RSA 密钥的硬件安全模块。
查看 HSM 的文档,了解如何初始化令牌并生成私有密钥。如果您的 HSM 支持对象 IDs,请在生成私钥时指定对象 ID。保存您在初始化令牌并生成私有密钥时指定的槽位 ID、用户 PIN、对象标签、对象 ID(如果您的 HSM 使用对象)。稍后将事物证书导入 HSM 并配置 C AWS IoT Greengrass ore 软件时,您将使用这些值。
1. 通过私有密钥创建证书签名请求(CSR)。 AWS IoT 会使用此 CSR 为您在 HSM 中生成的私有密钥创建事物证书。有关如何通过私有密钥创建 CSR 的信息,请参阅适用于您 HSM 的文档。CSR 是一个文件,例如 `iotdevicekey.csr`。
1. 将 CSR 从设备复制到您的开发计算机。如果在开发计算机和设备上启用了 SSH 和 SCP,则可以在开发计算机上使用 `scp` 命令传输 CSR。*device-ip-address*替换为设备的 IP 地址,然后*\$1/iotdevicekey.csr*替换为设备上 CSR 文件的路径。
```
scp device-ip-address:~/iotdevicekey.csr iotdevicekey.csr
```
1. 在开发计算机上,创建一个文件夹,用于下载该 AWS IoT 事物的证书。
```
mkdir greengrass-v2-certs
```
1. 使用 CSR 文件创建 AWS IoT 事物证书并将其下载到您的开发计算机上。
```
aws iot create-certificate-from-csr --set-as-active --certificate-signing-request=file://iotdevicekey.csr --certificate-pem-outfile greengrass-v2-certs/device.pem.crt
```
如果请求成功,响应类似如下示例。
```
{
"certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
"certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
"certificatePem": "-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w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-----END CERTIFICATE-----"
}
```
保存证书的 ARN,以便稍后用于配置证书。
接下来,配置事物证书。有关更多信息,请参阅 [配置事物证书](manual-installation.md#configure-thing-certificate)。
### 创建令牌交换角色
Greengrass 核心设备使用 IAM 服务角色(称为*令牌交换角色)来授权对*服务的调用。 AWS 设备使用 AWS IoT 证书提供程序来获取此角色的临时 AWS 证书,从而允许设备与 Amazon Logs 进行交互 AWS IoT、向 Amazon Logs 发送 CloudWatch 日志以及从 Amazon S3 下载自定义组件项目。有关更多信息,请参阅 [授权核心设备与 AWS 服务交互](device-service-role.md)。
您可以使用 AWS IoT *角色别名*为 Greengrass 核心设备配置令牌交换角色。角色别名允许您更改设备的令牌交换角色,但设备配置保持不变。有关更多信息,请参阅《AWS IoT Core 开发人员指南》**中的[授权直接调用 AWS 服务](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)。
在本节中,您将创建一个令牌交换 IAM 角色和一个指向该 AWS IoT 角色的角色别名。如果您已经设置了 Greengrass 核心设备,则可以使用其令牌交换角色和角色别名,而不必新建。然后,您将设备的 AWS IoT 事物配置为使用该角色和别名。
**创建令牌交换 IAM 角色**
1. 创建设备可将其用作令牌交换角色的 IAM 角色。执行以下操作:
1. 创建包含令牌交换角色所需的信任策略文档的文件。
例如,在基于 Linux 的系统上,您可以运行以下命令来使用 GNU nano 创建该文件。
```
nano device-role-trust-policy.json
```
将以下 JSON 复制到该文件中。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "credentials.iot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. 通过信任策略文档创建令牌交换角色。
+ *GreengrassV2TokenExchangeRole*替换为要创建的 IAM 角色的名称。
```
aws iam create-role --role-name GreengrassV2TokenExchangeRole --assume-role-policy-document file://device-role-trust-policy.json
```
如果请求成功,响应类似如下示例。
```
{
"Role": {
"Path": "/",
"RoleName": "GreengrassV2TokenExchangeRole",
"RoleId": "AROAZ2YMUHYHK5OKM77FB",
"Arn": "arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"CreateDate": "2021-02-06T00:13:29+00:00",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "credentials.iot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
}
```
1. 创建一个包含令牌交换角色所需的访问策略文档的文件。
例如,在基于 Linux 的系统上,您可以运行以下命令来使用 GNU nano 创建该文件。
```
nano device-role-access-policy.json
```
将以下 JSON 复制到该文件中。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
**注意**
此访问策略不允许访问 S3 存储桶中的组件构件。要在 Amazon S3 中部署可定义构件的自定义组件,您必须为该角色添加权限以允许核心设备检索组件构件。有关更多信息,请参阅 [允许访问 S3 存储桶中的组件构件](device-service-role.md#device-service-role-access-s3-bucket)。
如果您还没有适用于组件构件的 S3 存储桶,则可以在创建存储桶后添加这些权限。
1. 通过策略文档创建 IAM 策略
+ *GreengrassV2TokenExchangeRoleAccess*替换为要创建的 IAM 策略的名称。
```
aws iam create-policy --policy-name GreengrassV2TokenExchangeRoleAccess --policy-document file://device-role-access-policy.json
```
如果请求成功,响应类似如下示例。
```
{
"Policy": {
"PolicyName": "GreengrassV2TokenExchangeRoleAccess",
"PolicyId": "ANPAZ2YMUHYHACI7C5Z66",
"Arn": "arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2021-02-06T00:37:17+00:00",
"UpdateDate": "2021-02-06T00:37:17+00:00"
}
}
```
1. 将 IAM 策略附加到令牌交换角色。
+ 将 *GreengrassV2TokenExchangeRole* 替换为 IAM 角色的名称。
+ 将策略 ARN 替换为您在上一步中创建的 IAM 策略的 ARN。
```
aws iam attach-role-policy --role-name GreengrassV2TokenExchangeRole --policy-arn arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess
```
如果请求成功,则该命令没有任何输出。
1. 创建 AWS IoT 指向代币交换角色的角色别名。
+ *GreengrassCoreTokenExchangeRoleAlias*替换为要创建的角色别名的名称。
+ 将角色 ARN 替换为您在上一步中创建的 IAM 角色的 ARN。
```
aws iot create-role-alias --role-alias GreengrassCoreTokenExchangeRoleAlias --role-arn arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole
```
如果请求成功,响应类似如下示例。
```
{
"roleAlias": "GreengrassCoreTokenExchangeRoleAlias",
"roleAliasArn": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
}
```
**注意**
要创建角色别名,您必须有权将令牌交换 IAM 角色传递到 AWS IoT。如果您在尝试创建角色别名时收到错误消息,请检查您的 AWS 用户是否具有此权限。有关更多信息,请参阅[《用户*指南》中的授予AWS Identity and Access Management 用户*向 AWS 服务传递角色的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
1. 创建并附加 AWS IoT 允许您的 Greengrass 核心设备使用角色别名担任令牌交换角色的策略。如果您之前设置过 Greengrass 核心设备,则可以附加其角色 AWS IoT 别名策略,而不必创建新的角色别名策略。执行以下操作:
1. (可选)创建一个包含角色别名所需的 AWS IoT 策略文档的文件。
例如,在基于 Linux 的系统上,您可以运行以下命令来使用 GNU nano 创建该文件。
```
nano greengrass-v2-iot-role-alias-policy.json
```
将以下 JSON 复制到该文件中。
+ 将资源 ARN 替换为您角色别名的 ARN。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iot:AssumeRoleWithCertificate",
"Resource": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
}
]
}
```
1. 根据 AWS IoT 策略文档创建策略。
+ *GreengrassCoreTokenExchangeRoleAliasPolicy*替换为要创建的 AWS IoT 策略的名称。
```
aws iot create-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --policy-document file://greengrass-v2-iot-role-alias-policy.json
```
如果请求成功,响应类似如下示例。
```
{
"policyName": "GreengrassCoreTokenExchangeRoleAliasPolicy",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassCoreTokenExchangeRoleAliasPolicy",
"policyDocument": "{
\\"Version\\":\\"2012-10-17 \\",
\\"Statement\\": [
{
\\"Effect\\": \\"Allow\\",
\\"Action\\": \\"iot:AssumeRoleWithCertificate\\",
\\"Resource\\": \\"arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias\\"
}
]
}",
"policyVersionId": "1"
}
```
1. 将 AWS IoT 策略附加到 AWS IoT 事物的证书上。
+ *GreengrassCoreTokenExchangeRoleAliasPolicy*替换为角色别名 AWS IoT 策略的名称。
+ 将目标 ARN 替换为您的 AWS IoT 事物证书的 ARN。
```
aws iot attach-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4
```
如果请求成功,则该命令没有任何输出。
### 将证书下载到设备
之前,您已将设备的证书下载到开发计算机上。在本节中,您需将证书复制到核心设备,以便为设备设置用于连接 AWS IoT的证书。您还需下载 Amazon 根证书颁发机构(CA)证书。如果您使用 HSM,在本节中,您还需将证书文件导入 HSM。
+ 如果您之前在 AWS IoT 服务中创建了事物证书和私钥,请按照步骤下载带有私钥和证书文件的证书。
+ 如果您之前在硬件安全模块(HSM)中通过私有密钥创建了事物证书,请按照步骤下载带私有密钥的证书和 HSM 中的证书。
#### 下载带私有密钥的证书和证书文件
**将证书下载到设备**
1. 将 AWS IoT 事物证书从开发计算机复制到设备。如果在开发计算机和设备上启用了 SSH 和 SCP,则可以在开发计算机上使用 `scp` 命令传输证书。*device-ip-address*替换为设备的 IP 地址。
```
scp -r greengrass-v2-certs/ device-ip-address:~
```
1. 在设备上创建 Greengrass 根文件夹。稍后,您将将 AWS IoT Greengrass Core 软件安装到此文件夹。
**注意**
Windows 的路径长度限制为 260 个字符。如果您使用的是 Windows,请使用 `C:\greengrass\v2` 或 `D:\greengrass\v2` 等根文件夹,将 Greengrass 组件的路径保持在 260 个字符的限制以下。
------
#### [ Linux or Unix ]
+ 将 `/greengrass/v2` 替换为要使用的文件夹。
```
sudo mkdir -p /greengrass/v2
```
------
#### [ Windows Command Prompt ]
+ 将 *C:\$1greengrass\$1v2* 替换为要使用的文件夹。
```
mkdir C:\greengrass\v2
```
------
#### [ PowerShell ]
+ 将 *C:\$1greengrass\$1v2* 替换为要使用的文件夹。
```
mkdir C:\greengrass\v2
```
------
1. (仅限 Linux)设置 Greengrass 根文件夹的父文件夹的权限。
+ */greengrass*替换为根文件夹的父文件夹。
```
sudo chmod 755 /greengrass
```
1. 将 AWS IoT 事物证书复制到 Greengrass 根文件夹。
------
#### [ Linux or Unix ]
+ 将 `/greengrass/v2` 替换为 Greengrass 根文件夹。
```
sudo cp -R ~/greengrass-v2-certs/* /greengrass/v2
```
------
#### [ Windows Command Prompt ]
+ 将 *C:\$1greengrass\$1v2* 替换为要使用的文件夹。
```
robocopy %USERPROFILE%\greengrass-v2-certs C:\greengrass\v2 /E
```
------
#### [ PowerShell ]
+ 将 *C:\$1greengrass\$1v2* 替换为要使用的文件夹。
```
cp -Path ~\greengrass-v2-certs\* -Destination C:\greengrass\v2
```
------
1. 下载 Amazon 根证书颁发机构(CA)证书。默认情况下, AWS IoT 证书与 Amazon 的根 CA 证书关联。下载 CA1 证书和[CA3证书](https://www.amazontrust.com/repository/)。
------
#### [ Linux or Unix ]
+ 用 Greengrass 根文件夹替换`/greengrass/v2`或*C:\$1greengrass\$1v2*。
```
sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
------
#### [ PowerShell ]
```
iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
```
------
#### 下载带私有密钥的证书和 HSM 中的证书
**注意**
[此功能适用于 Greengrass nucleus 组件的 2.5.3 及更高版本。](greengrass-nucleus-component.md) AWS IoT Greengrass 目前不支持在 Windows 核心设备上使用此功能。
**将证书下载到设备**
1. 将 AWS IoT 事物证书从开发计算机复制到设备。如果在开发计算机和设备上启用了 SSH 和 SCP,则可以在开发计算机上使用 `scp` 命令传输证书。*device-ip-address*替换为设备的 IP 地址。
```
scp -r greengrass-v2-certs/ device-ip-address:~
```
1. 在设备上创建 Greengrass 根文件夹。稍后,您将将 AWS IoT Greengrass Core 软件安装到此文件夹。
**注意**
Windows 的路径长度限制为 260 个字符。如果您使用的是 Windows,请使用 `C:\greengrass\v2` 或 `D:\greengrass\v2` 等根文件夹,将 Greengrass 组件的路径保持在 260 个字符的限制以下。
------
#### [ Linux or Unix ]
+ 将 `/greengrass/v2` 替换为要使用的文件夹。
```
sudo mkdir -p /greengrass/v2
```
------
#### [ Windows Command Prompt ]
+ 将 *C:\$1greengrass\$1v2* 替换为要使用的文件夹。
```
mkdir C:\greengrass\v2
```
------
#### [ PowerShell ]
+ 将 *C:\$1greengrass\$1v2* 替换为要使用的文件夹。
```
mkdir C:\greengrass\v2
```
------
1. (仅限 Linux)设置 Greengrass 根文件夹的父文件夹的权限。
+ */greengrass*替换为根文件夹的父文件夹。
```
sudo chmod 755 /greengrass
```
1. 将事物证书文件 `~/greengrass-v2-certs/device.pem.crt` 导入 HSM。查看 HSM 文档,了解如何将证书导入其中。使用之前在 HSM 中生成私有密钥时使用的令牌、槽位 ID、用户 PIN、对象标签和对象 ID(如果您的 HSM 使用)导入证书。
**注意**
如果您之前未使用对象 ID 生成私有密钥,并且证书具有对象 ID,请将私有密钥的对象 ID 设置为与证书相同的值。查看 HSM 文档,了解如何为私有密钥对象设置对象 ID。
1. (可选)删除事物证书文件,使其仅在 HSM 中存在。
```
rm ~/greengrass-v2-certs/device.pem.crt
```
1. 下载 Amazon 根证书颁发机构(CA)证书。默认情况下, AWS IoT 证书与 Amazon 的根 CA 证书关联。同时下载 CA1 和[CA3证书](https://www.amazontrust.com/repository/)。
------
#### [ Linux or Unix ]
+ 用 Greengrass 根文件夹替换`/greengrass/v2`或*C:\$1greengrass\$1v2*。
```
sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
------
#### [ PowerShell ]
```
iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
```
------
### 设置设备环境
按照本节中的步骤,将 Linux 或 Windows 设备设置为您的 AWS IoT Greengrass 核心设备。
#### 设置 Linux 设备
**设置 Linux 设备用于 AWS IoT Greengrass V2**
1. 安装 Java 运行时, AWS IoT Greengrass 核心软件需要运行该运行时。我们建议您使用 [Amazon Corretto](https://aws.amazon.com/corretto/) 或 [OpenJDK](https://openjdk.java.net/) 长期支持版本。需要版本 8 或更高版本。以下命令向您展示如何在您的设备上安装 OpenJDK。
+ 对于基于 Debian 或基于 Ubuntua 的发行版:
```
sudo apt install default-jdk
```
+ 对于基于 Red Hat 的发行版:
```
sudo yum install java-11-openjdk-devel
```
+ 对于 Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
+ 对于 Amazon Linux 2023:
```
sudo dnf install java-11-amazon-corretto -y
```
安装完成后,运行以下命令以验证 Java 是否在您的 Linux 设备上运行。
```
java -version
```
此命令会打印设备上运行的 Java 版本。例如,在基于 Debian 的发行版上,输出可能与以下示例类似。
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
1. (可选)创建在设备上运行组件的默认系统用户和组。您也可以选择让 AWS IoT Greengrass 核心软件安装程序在安装过程中使用安装程序参数创建此用户和组。`--component-default-user`有关更多信息,请参阅 [安装程序参数](configure-installer.md)。
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
1. 验证运行 AWS IoT Greengrass Core 软件的用户(通常`root`)是否有权`sudo`与任何用户和任何组一起运行。
1. 运行以下命令以打开 `/etc/sudoers` 文件。
```
sudo visudo
```
1. 验证用户的权限是否如以下示例所示。
```
root ALL=(ALL:ALL) ALL
```
1. (可选)要[运行容器化 Lambda 函数](run-lambda-functions.md),必须启用 [cgroups](https://en.wikipedia.org/wiki/Cgroups) v1,且必须启用并装载*内存*和*设备* cgroups。如果您不打算运行容器化 Lambda 函数,则可跳过此步骤。
要启用这些 cgroups 选项,请使用以下 Linux 内核参数启动设备。
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
有关查看和设置设备内核参数的信息,请参阅适用于您操作系统和启动加载程序的文档。按照说明永久设置内核参数。
1. 按照 [设备要求](greengrass-nucleus-component.md#greengrass-v2-requirements) 中的要求列表所示,在您的设备上安装所有其他必需的依赖关系。
#### 设置 Windows 设备
**注意**
此功能适用于 [Greengrass Nucleus 组件](greengrass-nucleus-component.md) v2.5.0 及更高版本。
**要将 Windows 设备设置为 AWS IoT Greengrass V2**
1. 安装 Java 运行时, AWS IoT Greengrass 核心软件需要运行该运行时。我们建议您使用 [Amazon Corretto](https://aws.amazon.com/corretto/) 或 [OpenJDK](https://openjdk.java.net/) 长期支持版本。需要版本 8 或更高版本。
1. 检查在 [PATH](https://en.wikipedia.org/wiki/PATH_(variable)) 系统变量上是否有 Java 可用,如果没有,请进行添加。该 LocalSystem 帐户运行 AWS IoT Greengrass Core 软件,因此您必须将 Java 添加到 PATH 系统变量中,而不是用户的 PATH 用户变量。执行以下操作:
1. 按下 Windows 键打开开始菜单。
1. 键入 **environment variables** 以从开始菜单中搜索系统选项。
1. 在开始菜单搜索结果中,选择**编辑系统环境变量**,以打开**系统属性**窗口。
1. 选择**环境变量...**,打开**环境变量**窗口。
1. 在**系统变量**下,选择**路径**,然后选择**编辑**。在**编辑环境变量**窗口中,您可以分行查看每个路径。
1. 检查 Java 安装的 `bin` 文件夹的路径是否存在。路径可能与以下示例类似。
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
1. 如果**路径**中缺少 Java 安装的 `bin` 文件夹,请选择**新建**,添加该文件夹,然后选择**确定**。
1. 以管理员身份打开 Windows 命令提示符 (`cmd.exe`)。
1. 在 Windows 设备上的 LocalSystem 帐户中创建默认用户。*password*替换为安全密码。
```
net user /add ggc_user password
```
**提示**
根据您的 Windows 配置,用户密码可能会设置为在将来某个日期过期。为确保您的 Greengrass 应用程序继续运行,请跟踪密码过期时间,并在密码过期之前对其进行更新。您还可以将用户的密码设置为永不过期。
要检查用户及其密码的过期时间,请运行以下命令。
```
net user ggc_user | findstr /C:expires
```
要将用户密码设置为永不过期,请运行以下命令。
```
wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
```
如果你使用的是[已弃用该`wmic`命令的](https://learn.microsoft.com/en-us/windows/win32/wmisdk/wmic) Windows 10 或更高版本,请运行以下 PowerShell 命令。
```
Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
```
1. 从微软下载该[PsExec实用程序](https://docs.microsoft.com/en-us/sysinternals/downloads/psexec)并将其安装到设备上。
1. 使用该 PsExec 实用程序将默认用户的用户名和密码存储在 LocalSystem 账户的凭据管理器实例中。*password*替换为您之前设置的用户密码。
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
如果系统打开 **PsExec License Agreement**,请选择 **Accept** 以同意许可并运行命令。
**注意**
在 Windows 设备上,该 LocalSystem 帐户运行 Greengrass 核心,您必须使用 PsExec 该实用程序在帐户中存储默认用户信息。 LocalSystem 使用凭据管理器应用程序将此信息存储在当前登录用户的 Windows 帐户中,而不是 LocalSystem 帐户中。
### 下载 AWS IoT Greengrass 核心软件
您可以从以下位置下载最新版本的 AWS IoT Greengrass Core 软件:
+ [https://d2s8p88vqu9w66.cloudfront。 net/releases/greengrass](https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip)-nucleus-latest.zip
**注意**
您可以从以下位置下载特定版本的 AWS IoT Greengrass Core 软件。*version*替换为要下载的版本。
```
https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
```
**下载 AWS IoT Greengrass 核心软件**
1. 在您的核心设备上,将 AWS IoT Greengrass Core 软件下载到名为的文件中`greengrass-nucleus-latest.zip`。
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
```
------
下载此软件即表示您同意[Greengrass Core 软件许可协议](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)。
1. (可选)验证 Greengrass Nucleus 软件签名
**注意**
此功能适用于 Greengrass Nucleus 版本 2.9.5 及更高版本。
1. 使用以下命令验证您 Greengrass Nucleus 构件的签名:
------
#### [ Linux or Unix ]
```
jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
根据您安装的 JDK 版本,文件名可能有所不同。将 *`jdk17.0.6_10`* 替换为您安装的 JDK 版本。
```
"C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
根据您安装的 JDK 版本,文件名可能有所不同。将 *`jdk17.0.6_10`* 替换为您安装的 JDK 版本。
```
'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
1. `jarsigner` 调用会生成输出,指示验证结果。
1. 如果 Greengrass Nucleus ZIP 文件已签署,则输出将包含以下语句:
```
jar verified.
```
1. 如果 Greengrass Nucleus ZIP 文件未签署,则输出将包含以下语句:
```
jar is unsigned.
```
1. 如果您提供了 Jarsigner `-certs` 选项以及 `-verify` 和 `-verbose` 选项,则输出还将包含详细的签名者证书信息。
1. 将 AWS IoT Greengrass Core 软件解压缩到设备上的某个文件夹。*GreengrassInstaller*替换为要使用的文件夹。
------
#### [ Linux or Unix ]
```
unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
```
------
1. (可选)运行以下命令以查看 AWS IoT Greengrass Core 软件的版本。
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
**重要**
如果您安装了 v2.4.0 之前的 Greengrass nucleus 版本,则在安装 Core 软件后请勿删除此文件夹。 AWS IoT Greengrass C AWS IoT Greengrass ore 软件使用此文件夹中的文件来运行。
如果您下载的是最新版本的软件,则需要安装 v2.4.0 或更高版本,并且可以在安装 C AWS IoT Greengrass ore 软件后删除此文件夹。
### 安装 AWS IoT Greengrass 核心软件
使用可指定以下操作的参数运行安装程序:
+ 从指定使用您之前创建的 AWS 资源和证书的部分配置文件进行安装。 AWS IoT Greengrass Core 软件使用配置文件来指定设备上每个 Greengrass 组件的配置。安装程序会根据您提供的部分配置文件创建完整的配置文件。
+ 指定使用 `ggc_user` 系统用户在核心设备上运行软件组件。在 Linux 设备上,此命令还指定使用 `ggc_group` 系统组,安装程序会为您创建系统用户和组。
+ 将 AWS IoT Greengrass Core 软件设置为启动时运行的系统服务。在 Linux 设备上,这需要 [Systemd](https://en.wikipedia.org/wiki/Systemd) 初始化系统。
**重要**
在 Windows 核心设备上,必须将 AWS IoT Greengrass 核心软件设置为系统服务。
有关您可以指定的参数的更多信息,请参阅[安装程序参数](configure-installer.md)。
**注意**
如果您在内存有限的设备 AWS IoT Greengrass 上运行,则可以控制 AWS IoT Greengrass 酷睿软件使用的内存量。要控制内存分配,您可以在 Nucleus 组件的 `jvmOptions` 配置参数中设置 JVM 堆大小选项。有关更多信息,请参阅 [使用 JVM 选项控制内存分配](configure-greengrass-core-v2.md#jvm-tuning)。
+ 如果您之前在 AWS IoT 服务中创建了事物证书和私钥,请按照步骤安装带有私钥和证书文件的 AWS IoT Greengrass 核心软件。
+ 如果您之前使用硬件安全模块 (HSM) 中的私钥创建了事物证书,请按照步骤在 HSM 中安装带有私钥和证书的 AWS IoT Greengrass Core 软件。
#### 使用私钥和证书文件安装 C AWS IoT Greengrass ore 软件
**安装 AWS IoT Greengrass 核心软件**
1. 检查 AWS IoT Greengrass 核心软件的版本。
+ *GreengrassInstaller*替换为包含该软件的文件夹的路径。
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
1. 使用文本编辑器创建名为 `config.yaml` 的配置文件,以提供给安装程序。
例如,在基于 Linux 的系统上,您可以运行以下命令来使用 GNU nano 创建该文件。
```
nano GreengrassInstaller/config.yaml
```
将以下 YAML 内容复制到该文件中。此部分配置文件会指定系统参数和 Greengrass Nucleus 参数。
```
---
system:
certificateFilePath: "/greengrass/v2/device.pem.crt"
privateKeyPath: "/greengrass/v2/private.pem.key"
rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
rootpath: "/greengrass/v2"
thingName: "MyGreengrassCore"
services:
aws.greengrass.Nucleus:
componentType: "NUCLEUS"
version: "2.16.1"
configuration:
awsRegion: "us-west-2"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
fipsMode: "true"
iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
greengrassDataPlaneEndpoint: "iotData"
iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
```
然后执行以下操作:
+ 将每个 `/greengrass/v2` 实例替换为 Greengrass 根文件夹。
+ *MyGreengrassCore*替换为 AWS IoT 事物的名称。
+ *2.16.1*替换为 AWS IoT Greengrass 核心软件的版本。
+ *us-west-2*替换为您创建资源 AWS 区域 的位置。
+ *GreengrassCoreTokenExchangeRoleAlias*替换为令牌交换角色别名的名称。
+ *iotDataEndpoint*用您的 AWS IoT 数据端点替换。
+ 用您的*iotCredEndpoint* AWS IoT 凭证终端节点替换。
1. 运行安装程序,并指定 `--init-config` 来提供配置文件。
+ 用 Greengrass 根文件夹替换`/greengrass/v2`或*C:\$1greengrass\$1v2*。
+ 将的*GreengrassInstaller*每个实例替换为解压安装程序所在的文件夹。
------
#### [ Linux or Unix ]
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
-jar ./GreengrassInstaller/lib/Greengrass.jar \
--init-config ./GreengrassInstaller/config.yaml \
--component-default-user ggc_user:ggc_group \
--setup-system-service true
```
------
#### [ Windows Command Prompt (CMD) ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
-jar ./GreengrassInstaller/lib/Greengrass.jar ^
--init-config ./GreengrassInstaller/config.yaml ^
--component-default-user ggc_user ^
--setup-system-service true
```
------
#### [ PowerShell ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
-jar ./GreengrassInstaller/lib/Greengrass.jar `
--init-config ./GreengrassInstaller/config.yaml `
--component-default-user ggc_user `
--setup-system-service true
```
------
**重要**
在 Windows 核心设备上,`--setup-system-service true`必须指定将 AWS IoT Greengrass 核心软件设置为系统服务。
如果指定 `--setup-system-service true`,则安装程序会在将软件设置为系统服务并运行后打印 `Successfully set up Nucleus as a system service`。否则,如果安装程序成功安装软件,则不会输出任何消息。
**注意**
在没有 `deploy-dev-tools` 参数的情况下运行安装程序时,您不能使用 `--provision true` 参数来部署本地开发工具。有关直接在您的设备上部署 Greengrass CLI 的信息,请参阅 [Greengrass 命令行界面](gg-cli.md)。
1. 通过查看根文件夹中的文件来验证安装情况。
------
#### [ Linux or Unix ]
```
ls /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
dir C:\greengrass\v2
```
------
#### [ PowerShell ]
```
ls C:\greengrass\v2
```
------
如果安装成功,则根文件夹中包含多个文件夹,例如 `config`、`packages` 和 `logs`。
#### 在 HSM 中安装带有私钥和证书的 C AWS IoT Greengrass ore 软件
**注意**
[此功能适用于 Greengrass nucleus 组件的 2.5.3 及更高版本。](greengrass-nucleus-component.md) AWS IoT Greengrass 目前不支持在 Windows 核心设备上使用此功能。
**安装 AWS IoT Greengrass 核心软件**
1. 检查 AWS IoT Greengrass 核心软件的版本。
+ *GreengrassInstaller*替换为包含该软件的文件夹的路径。
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
1. 要使 AWS IoT Greengrass 核心软件能够在 HSM 中使用私钥和证书,请在安装 C AWS IoT Greengrass ore 软件时安装 [PKCS \$111 提供程序组件](pkcs11-provider-component.md)。PKCS\$111 提供程序组件是一个可以在安装过程中配置的插件。您可以从以下位置下载最新版本的 PKCS\$111 提供程序组件:
+ [https://d2s8p88vqu9w66.cloudfront。 net/releases/Pkcs11Provider/aws.greengrass.crypto.pkcs11Provider-latest.jar](https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar)
将 PKCS\$111 提供程序插件下载到名为 `aws.greengrass.crypto.Pkcs11Provider.jar` 的文件中。*GreengrassInstaller*替换为要使用的文件夹。
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar > GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar
```
下载此软件即表示您同意[Greengrass Core 软件许可协议](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)。
1. 使用文本编辑器创建名为 `config.yaml` 的配置文件,以提供给安装程序。
例如,在基于 Linux 的系统上,您可以运行以下命令来使用 GNU nano 创建该文件。
```
nano GreengrassInstaller/config.yaml
```
将以下 YAML 内容复制到该文件中。此部分配置文件会指定系统参数、Greengrass Nucleus 参数和 PKCS\$111 提供程序参数。
```
---
system:
certificateFilePath: "/greengrass/v2/device.pem.crt"
privateKeyPath: "/greengrass/v2/private.pem.key"
rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
rootpath: "/greengrass/v2"
thingName: "MyGreengrassCore"
services:
aws.greengrass.Nucleus:
componentType: "NUCLEUS"
version: "2.16.1"
configuration:
awsRegion: "us-west-2"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
fipsMode: "true"
iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
greengrassDataPlaneEndpoint: "iotData"
iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
```
然后执行以下操作:
+ 将 PKCS \$111 *iotdevicekey* URIs 中的每个实例替换为创建私钥并导入证书的对象标签。
+ 将每个 `/greengrass/v2` 实例替换为 Greengrass 根文件夹。
+ *MyGreengrassCore*替换为 AWS IoT 事物的名称。
+ *2.16.1*替换为 AWS IoT Greengrass 核心软件的版本。
+ *us-west-2*替换为您创建资源 AWS 区域 的位置。
+ *GreengrassCoreTokenExchangeRoleAlias*替换为令牌交换角色别名的名称。
+ `iotDataEndpoint`用您的 AWS IoT 数据端点替换。
+ 将 `iotCredEndpoint` 替换为您的 AWS IoT 凭证端点。
+ 将 `aws.greengrass.crypto.Pkcs11Provider` 组件的配置参数替换为核心设备上 HSM 配置的值。
1. 运行安装程序,并指定 `--init-config` 来提供配置文件。
+ 将 `/greengrass/v2` 替换为 Greengrass 根文件夹。
+ 将的*GreengrassInstaller*每个实例替换为解压安装程序所在的文件夹。
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
-jar ./GreengrassInstaller/lib/Greengrass.jar \
--trusted-plugin ./GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar \
--init-config ./GreengrassInstaller/config.yaml \
--component-default-user ggc_user:ggc_group \
--setup-system-service true
```
**重要**
在 Windows 核心设备上,`--setup-system-service true`必须指定将 AWS IoT Greengrass 核心软件设置为系统服务。
如果指定 `--setup-system-service true`,则安装程序会在将软件设置为系统服务并运行后打印 `Successfully set up Nucleus as a system service`。否则,如果安装程序成功安装软件,则不会输出任何消息。
**注意**
在没有 `deploy-dev-tools` 参数的情况下运行安装程序时,您不能使用 `--provision true` 参数来部署本地开发工具。有关直接在您的设备上部署 Greengrass CLI 的信息,请参阅 [Greengrass 命令行界面](gg-cli.md)。
1. 通过查看根文件夹中的文件来验证安装情况。
------
#### [ Linux or Unix ]
```
ls /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
dir C:\greengrass\v2
```
------
#### [ PowerShell ]
```
ls C:\greengrass\v2
```
------
如果安装成功,则根文件夹中包含多个文件夹,例如 `config`、`packages` 和 `logs`。
如果您将 AWS IoT Greengrass Core 软件作为系统服务安装,则安装程序会为您运行该软件。否则,您必须手动运行该软件。有关更多信息,请参阅 [运行 AWS IoT Greengrass 核心软件](run-greengrass-core-v2.md)。
有关如何配置和使用软件的更多信息 AWS IoT Greengrass,请参阅以下内容:
+ [配置 AWS IoT Greengrass 核心软件](configure-greengrass-core-v2.md)
+ [开发 AWS IoT Greengrass 组件](develop-greengrass-components.md)
+ [将 AWS IoT Greengrass 组件部署到设备](manage-deployments.md)
+ [Greengrass 命令行界面](gg-cli.md)
## 使用实例集预置安装 FIPS 端点
此功能适用于 [Greengrass Nucleus 组件](greengrass-nucleus-component.md)的 v2.4.0 及更高版本。
在 AWS IoT Greengrass 核心软件上安装 FIPS 端点,为核心设备配置 AWS IoT 队列。
**注意**
实例集预置插件目前不支持在硬件安全模块(HSM)中存储私钥和证书文件。要使用 HSM,[请使用手动配置来安装 AWS IoT Greengrass Core 软件](#FIPS-fleet-provisioning)。
要安装具有 AWS IoT 队列配置功能的 AWS IoT Greengrass Core 软件,您必须在中设置用于配置 Gre AWS IoT engrass 核心设备的资源。 AWS 账户 这些资源包括预置模板、声明证书和[令牌交换 IAM 角色](device-service-role.md)。创建这些资源后,您可以重复使用资源来预置实例集中的多个核心设备。有关更多信息,请参阅 [为 Greengrass 核心 AWS IoT 设备设置队列配置](fleet-provisioning-setup.md)。
**重要**
在下载 AWS IoT Greengrass 酷睿软件之前,请检查您的核心设备是否满足安装和运行 AWS IoT Greengrass 酷睿软件 v2.0 的[要求](greengrass-nucleus-component.md#greengrass-v2-requirements)。
**Topics**
+ [先决条件](#fleet-provisioning-prerequisites)
+ [检索 AWS IoT 端点](#retrieve-iot-endpoints)
+ [将证书下载到设备](#download-claim-certificates)
+ [设置设备环境](#set-up-device-environment-fleet-provisioning)
+ [下载 AWS IoT Greengrass 核心软件](#download-greengrass-core-v2-fleet)
+ [下载 AWS IoT 舰队配置插件](#download-fleet-provisioning-plugin)
+ [安装 AWS IoT Greengrass 核心软件](#run-greengrass-core-v2-installer-fleet-provisioning)
### 先决条件
要安装具有 AWS IoT 队列配置功能的 AWS IoT Greengrass Core 软件,必须先[为 Greengrass 核心 AWS IoT 设备设置队列配置](fleet-provisioning-setup.md)。完成这些步骤后,您可以使用队列配置在任意数量的设备上安装 AWS IoT Greengrass 核心软件。
### 检索 AWS IoT 端点
为您获取 FIPS 终端节点 AWS 账户,然后将其保存以备后用。您的设备使用这些端点来连接 AWS IoT。执行以下操作:
1. 在 [AWS IoT Core FIPS 数据面板端点](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)中获取您所在区域的 FIPS 数据端点。您的 FIPS 数据端点 AWS 账户 应如下所示:*data.iot-fips.us-west-2.amazonaws.com*
1. 在 [AWS IoT Core FIPS 数据面板端点](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)中获取您所在区域的 FIPS 凭证。您的 FIPS 凭证端点 AWS 账户 应如下所示:*data.credentials.iot-fips.us-west-2.amazonaws.com*
### 将证书下载到设备
设备使用索赔证书和私钥来验证其 AWS 调配资源和获取 X.509 设备证书的请求。您可以在制造过程中将声明证书和私钥嵌入设备中,也可以在安装过程中将证书和密钥复制到设备。在本节中,您需将声明证书和私有密钥复制到设备。您还需将 Amazon 根证书颁发机构(CA)证书下载到设备。
**重要**
预置声明私钥应始终得到保护,包括在 Greengrass 核心设备上时。我们建议您使用 Amazon CloudWatch 指标和日志来监控是否存在滥用迹象,例如未经授权使用索赔证书来配置设备。如果您检测到滥用,请禁用预置声明证书,以使其不能用于设备预置。有关更多信息,请参阅 *AWS IoT Core 开发人员指南* 中的 [监控 AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html)。
为了帮助您更好地管理自己在您的设备中注册的设备数量和设备 AWS 账户,您可以在创建队列配置模板时指定预配置挂钩。预配置挂钩是一种验证设备在注册期间提供的模板参数的 AWS Lambda 功能。例如,您可以创建一个预置前钩子,根据数据库检查设备 ID,以验证设备是否有权进行预置。有关更多信息,请参阅《AWS IoT Core 开发人员指南》中的[预置前钩子](https://docs.aws.amazon.com/iot/latest/developerguide/pre-provisioning-hook.html)。**
**将声明证书下载到设备**
1. 将声明证书和私钥复制到设备。如果在开发计算机和设备上启用了 SSH 和 SCP,则可以在开发计算机上使用 `scp` 命令传输声明证书和私钥。以下示例命令会将开发计算机上名为 `claim-certs` 的文件夹中的这些文件传输到设备。*device-ip-address*替换为设备的 IP 地址。
```
scp -r claim-certs/ device-ip-address:~
```
1. 在设备上创建 Greengrass 根文件夹。稍后,您将将 AWS IoT Greengrass Core 软件安装到此文件夹。
**注意**
Windows 的路径长度限制为 260 个字符。如果您使用的是 Windows,请使用 `C:\greengrass\v2` 或 `D:\greengrass\v2` 等根文件夹,将 Greengrass 组件的路径保持在 260 个字符的限制以下。
------
#### [ Linux or Unix ]
+ 将 `/greengrass/v2` 替换为要使用的文件夹。
```
sudo mkdir -p /greengrass/v2
```
------
#### [ Windows Command Prompt ]
+ 将 *C:\$1greengrass\$1v2* 替换为要使用的文件夹。
```
mkdir C:\greengrass\v2
```
------
#### [ PowerShell ]
+ 将 *C:\$1greengrass\$1v2* 替换为要使用的文件夹。
```
mkdir C:\greengrass\v2
```
------
1. (仅限 Linux)设置 Greengrass 根文件夹的父文件夹的权限。
+ */greengrass*替换为根文件夹的父文件夹。
```
sudo chmod 755 /greengrass
```
1. 将声明证书移动到 Greengrass 根文件夹。
+ 用 Greengrass 根文件夹替换`/greengrass/v2`或*C:\$1greengrass\$1v2*。
------
#### [ Linux or Unix ]
```
sudo mv ~/claim-certs /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
move %USERPROFILE%\claim-certs C:\greengrass\v2
```
------
#### [ PowerShell ]
```
mv -Path ~\claim-certs -Destination C:\greengrass\v2
```
------
1. 下载 CA1 证书和[CA3证书](https://www.amazontrust.com/repository/)。
------
#### [ Linux or Unix ]
```
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
------
#### [ PowerShell ]
```
iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
```
------
### 设置设备环境
按照本节中的步骤设置要用作 AWS IoT Greengrass 核心设备的 Linux 或 Windows 设备。
#### 设置 Linux 设备
**设置 Linux 设备用于 AWS IoT Greengrass V2**
1. 安装 Java 运行时, AWS IoT Greengrass 核心软件需要运行该运行时。我们建议您使用 [Amazon Corretto](https://aws.amazon.com/corretto/) 或 [OpenJDK](https://openjdk.java.net/) 长期支持版本。需要版本 8 或更高版本。以下命令向您展示如何在您的设备上安装 OpenJDK。
+ 对于基于 Debian 或基于 Ubuntua 的发行版:
```
sudo apt install default-jdk
```
+ 对于基于 Red Hat 的发行版:
```
sudo yum install java-11-openjdk-devel
```
+ 对于 Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
+ 对于 Amazon Linux 2023:
```
sudo dnf install java-11-amazon-corretto -y
```
安装完成后,运行以下命令以验证 Java 是否在您的 Linux 设备上运行。
```
java -version
```
此命令会打印设备上运行的 Java 版本。例如,在基于 Debian 的发行版上,输出可能与以下示例类似。
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
1. (可选)创建在设备上运行组件的默认系统用户和组。您也可以选择让 AWS IoT Greengrass 核心软件安装程序在安装过程中使用安装程序参数创建此用户和组。`--component-default-user`有关更多信息,请参阅 [安装程序参数](configure-installer.md)。
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
1. 验证运行 AWS IoT Greengrass Core 软件的用户(通常`root`)是否有权`sudo`与任何用户和任何组一起运行。
1. 运行以下命令以打开 `/etc/sudoers` 文件。
```
sudo visudo
```
1. 验证用户的权限是否如以下示例所示。
```
root ALL=(ALL:ALL) ALL
```
1. (可选)要[运行容器化 Lambda 函数](run-lambda-functions.md),必须启用 [cgroups](https://en.wikipedia.org/wiki/Cgroups) v1,且必须启用并装载*内存*和*设备* cgroups。如果您不打算运行容器化 Lambda 函数,则可跳过此步骤。
要启用这些 cgroups 选项,请使用以下 Linux 内核参数启动设备。
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
有关查看和设置设备内核参数的信息,请参阅适用于您操作系统和启动加载程序的文档。按照说明永久设置内核参数。
1. 按照 [设备要求](greengrass-nucleus-component.md#greengrass-v2-requirements) 中的要求列表所示,在您的设备上安装所有其他必需的依赖关系。
#### 设置 Windows 设备
**注意**
此功能适用于 [Greengrass Nucleus 组件](greengrass-nucleus-component.md) v2.5.0 及更高版本。
**要将 Windows 设备设置为 AWS IoT Greengrass V2**
1. 安装 Java 运行时, AWS IoT Greengrass 核心软件需要运行该运行时。我们建议您使用 [Amazon Corretto](https://aws.amazon.com/corretto/) 或 [OpenJDK](https://openjdk.java.net/) 长期支持版本。需要版本 8 或更高版本。
1. 检查在 [PATH](https://en.wikipedia.org/wiki/PATH_(variable)) 系统变量上是否有 Java 可用,如果没有,请进行添加。该 LocalSystem 帐户运行 AWS IoT Greengrass Core 软件,因此您必须将 Java 添加到 PATH 系统变量中,而不是用户的 PATH 用户变量。执行以下操作:
1. 按下 Windows 键打开开始菜单。
1. 键入 **environment variables** 以从开始菜单中搜索系统选项。
1. 在开始菜单搜索结果中,选择**编辑系统环境变量**,以打开**系统属性**窗口。
1. 选择**环境变量...**,打开**环境变量**窗口。
1. 在**系统变量**下,选择**路径**,然后选择**编辑**。在**编辑环境变量**窗口中,您可以分行查看每个路径。
1. 检查 Java 安装的 `bin` 文件夹的路径是否存在。路径可能与以下示例类似。
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
1. 如果**路径**中缺少 Java 安装的 `bin` 文件夹,请选择**新建**,添加该文件夹,然后选择**确定**。
1. 以管理员身份打开 Windows 命令提示符 (`cmd.exe`)。
1. 在 Windows 设备上的 LocalSystem 帐户中创建默认用户。*password*替换为安全密码。
```
net user /add ggc_user password
```
**提示**
根据您的 Windows 配置,用户密码可能会设置为在将来某个日期过期。为确保您的 Greengrass 应用程序继续运行,请跟踪密码过期时间,并在密码过期之前对其进行更新。您还可以将用户的密码设置为永不过期。
要检查用户及其密码的过期时间,请运行以下命令。
```
net user ggc_user | findstr /C:expires
```
要将用户密码设置为永不过期,请运行以下命令。
```
wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
```
如果你使用的是[已弃用该`wmic`命令的](https://learn.microsoft.com/en-us/windows/win32/wmisdk/wmic) Windows 10 或更高版本,请运行以下 PowerShell 命令。
```
Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
```
1. 从微软下载该[PsExec实用程序](https://docs.microsoft.com/en-us/sysinternals/downloads/psexec)并将其安装到设备上。
1. 使用该 PsExec 实用程序将默认用户的用户名和密码存储在 LocalSystem 账户的凭据管理器实例中。*password*替换为您之前设置的用户密码。
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
如果系统打开 **PsExec License Agreement**,请选择 **Accept** 以同意许可并运行命令。
**注意**
在 Windows 设备上,该 LocalSystem 帐户运行 Greengrass 核心,您必须使用 PsExec 该实用程序在帐户中存储默认用户信息。 LocalSystem 使用凭据管理器应用程序将此信息存储在当前登录用户的 Windows 帐户中,而不是 LocalSystem 帐户中。
### 下载 AWS IoT Greengrass 核心软件
您可以从以下位置下载最新版本的 AWS IoT Greengrass Core 软件:
+ [https://d2s8p88vqu9w66.cloudfront。 net/releases/greengrass](https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip)-nucleus-latest.zip
**注意**
您可以从以下位置下载特定版本的 AWS IoT Greengrass Core 软件。*version*替换为要下载的版本。
```
https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
```
**下载 AWS IoT Greengrass 核心软件**
1. 在您的核心设备上,将 AWS IoT Greengrass Core 软件下载到名为的文件中`greengrass-nucleus-latest.zip`。
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
```
------
下载此软件即表示您同意[Greengrass Core 软件许可协议](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)。
1. (可选)验证 Greengrass Nucleus 软件签名
**注意**
此功能适用于 Greengrass Nucleus 版本 2.9.5 及更高版本。
1. 使用以下命令验证您 Greengrass Nucleus 构件的签名:
------
#### [ Linux or Unix ]
```
jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
根据您安装的 JDK 版本,文件名可能有所不同。将 *`jdk17.0.6_10`* 替换为您安装的 JDK 版本。
```
"C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
根据您安装的 JDK 版本,文件名可能有所不同。将 *`jdk17.0.6_10`* 替换为您安装的 JDK 版本。
```
'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
1. `jarsigner` 调用会生成输出,指示验证结果。
1. 如果 Greengrass Nucleus ZIP 文件已签署,则输出将包含以下语句:
```
jar verified.
```
1. 如果 Greengrass Nucleus ZIP 文件未签署,则输出将包含以下语句:
```
jar is unsigned.
```
1. 如果您提供了 Jarsigner `-certs` 选项以及 `-verify` 和 `-verbose` 选项,则输出还将包含详细的签名者证书信息。
1. 将 AWS IoT Greengrass Core 软件解压缩到设备上的某个文件夹。*GreengrassInstaller*替换为要使用的文件夹。
------
#### [ Linux or Unix ]
```
unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
```
------
1. (可选)运行以下命令以查看 AWS IoT Greengrass Core 软件的版本。
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
**重要**
如果您安装了 v2.4.0 之前的 Greengrass nucleus 版本,则在安装 Core 软件后请勿删除此文件夹。 AWS IoT Greengrass C AWS IoT Greengrass ore 软件使用此文件夹中的文件来运行。
如果您下载的是最新版本的软件,则需要安装 v2.4.0 或更高版本,并且可以在安装 C AWS IoT Greengrass ore 软件后删除此文件夹。
### 下载 AWS IoT 舰队配置插件
您可以从以下位置下载最新版本的 AWS IoT 舰队配置插件:
+ [https://d2s8p88vqu9w66.cloudfront。 net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim](https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar)-latest.jar
**注意**
您可以从以下位置下载特定版本的 AWS IoT 舰队配置插件。*version*替换为要下载的版本。有关各版本实例集预置插件的更多信息,请参阅 [AWS IoT 实例集预置插件更改日志](fleet-provisioning-changelog.md)。
```
https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-version.jar
```
实例集预置插件是开源插件。要查看其源代码,请参阅上的[AWS IoT 舰队配置插件](https://github.com/aws-greengrass/aws-greengrass-fleet-provisioning-by-claim) GitHub。
**下载 AWS IoT 舰队配置插件**
+ 在您的设备上,将 AWS IoT 队列配置插件下载到名为的文件中`aws.greengrass.FleetProvisioningByClaim.jar`。*GreengrassInstaller*替换为要使用的文件夹。
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar > GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar > GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar -OutFile GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
```
------
下载此软件即表示您同意[Greengrass Core 软件许可协议](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)。
### 安装 AWS IoT Greengrass 核心软件
使用可指定以下操作的参数运行安装程序:
+ 从指定使用队列配置插件配置 AWS 资源的部分配置文件进行安装。 AWS IoT Greengrass Core 软件使用配置文件来指定设备上每个 Greengrass 组件的配置。安装程序根据您提供的部分配置文件和舰队配置插件创建的 AWS 资源创建完整的配置文件。
+ 指定使用 `ggc_user` 系统用户在核心设备上运行软件组件。在 Linux 设备上,此命令还指定使用 `ggc_group` 系统组,安装程序会为您创建系统用户和组。
+ 将 AWS IoT Greengrass Core 软件设置为启动时运行的系统服务。在 Linux 设备上,这需要 [Systemd](https://en.wikipedia.org/wiki/Systemd) 初始化系统。
**重要**
在 Windows 核心设备上,必须将 AWS IoT Greengrass 核心软件设置为系统服务。
有关您可以指定的参数的更多信息,请参阅[安装程序参数](configure-installer.md)。
**注意**
如果您在内存有限的设备 AWS IoT Greengrass 上运行,则可以控制 AWS IoT Greengrass 酷睿软件使用的内存量。要控制内存分配,您可以在 Nucleus 组件的 `jvmOptions` 配置参数中设置 JVM 堆大小选项。有关更多信息,请参阅 [使用 JVM 选项控制内存分配](configure-greengrass-core-v2.md#jvm-tuning)。
**安装 AWS IoT Greengrass 核心软件**
1. 检查 AWS IoT Greengrass 核心软件的版本。
+ *GreengrassInstaller*替换为包含该软件的文件夹的路径。
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
1. 使用文本编辑器创建名为 `config.yaml` 的配置文件,以提供给安装程序。
例如,在基于 Linux 的系统上,您可以运行以下命令来使用 GNU nano 创建该文件。
```
nano GreengrassInstaller/config.yaml
```
将以下 YAML 内容复制到该文件中。此部分配置文件会指定实例集预置插件的参数。有关可以指定的选项的更多信息,请参阅[配置 AWS IoT 舰队配置插件](fleet-provisioning-configuration.md)。
------
#### [ Linux or Unix ]
```
---
services:
aws.greengrass.Nucleus:
version: "2.16.1"
configuration:
fipsMode: "true"
greengrassDataPlaneEndpoint: "iotData"
aws.greengrass.FleetProvisioningByClaim:
configuration:
rootPath: "/greengrass/v2"
awsRegion: "us-west-2"
iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
provisioningTemplate: "GreengrassFleetProvisioningTemplate"
claimCertificatePath: "/greengrass/v2/claim-certs/claim.pem.crt"
claimCertificatePrivateKeyPath: "/greengrass/v2/claim-certs/claim.private.pem.key"
rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
templateParameters:
ThingName: "MyGreengrassCore"
ThingGroupName: "MyGreengrassCoreGroup"
```
------
#### [ Windows ]
```
---
services:
aws.greengrass.Nucleus:
version: "2.16.1"
aws.greengrass.FleetProvisioningByClaim:
configuration:
rootPath: "C:\\greengrass\\v2"
awsRegion: "us-west-2"
iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
iotCredentialEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
provisioningTemplate: "GreengrassFleetProvisioningTemplate"
claimCertificatePath: "C:\\greengrass\\v2\\claim-certs\\claim.pem.crt"
claimCertificatePrivateKeyPath: "C:\\greengrass\\v2\\claim-certs\\claim.private.pem.key"
rootCaPath: "C:\\greengrass\\v2\\AmazonRootCA1.pem"
templateParameters:
ThingName: "MyGreengrassCore"
ThingGroupName: "MyGreengrassCoreGroup"
```
------
然后执行以下操作:
+ *2.16.1*替换为 AWS IoT Greengrass 核心软件的版本。
+ 用 Greengrass 根*C:\$1greengrass\$1v2*文件夹替换`/greengrass/v2`或的每个实例。
**注意**
在 Windows 设备上,您必须将路径分隔符指定为双反斜杠 (`\\`),例如 `C:\\greengrass\\v2`。
+ *us-west-2*替换为您创建配置模板和其他资源的 AWS 区域。
+ `iotDataEndpoint`用您的 AWS IoT 数据端点替换。
+ 将 `iotCredentialEndpoint` 替换为您的 AWS IoT 凭证端点。
+ *GreengrassCoreTokenExchangeRoleAlias*替换为令牌交换角色别名的名称。
+ *GreengrassFleetProvisioningTemplate*替换为队列配置模板的名称。
+ 将 `claimCertificatePath` 替换为设备上声明证书的路径。
+ 将 `claimCertificatePrivateKeyPath` 替换为设备上声明证书私钥的路径。
+ 将模板参数(`templateParameters`)替换为用于预置设备的值。此示例参考用于定义 `ThingName` 和 `ThingGroupName` 参数的[示例模板](fleet-provisioning-setup.md#example-fleet-provisioning-template)。
1. 运行安装程序。指定 `--trusted-plugin` 来提供实例集预置插件,并指定 `--init-config` 来提供配置文件。
+ 将 `/greengrass/v2` 替换为 Greengrass 根文件夹。
+ 将的*GreengrassInstaller*每个实例替换为解压安装程序所在的文件夹。
------
#### [ Linux or Unix ]
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
-jar ./GreengrassInstaller/lib/Greengrass.jar \
--trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar \
--init-config ./GreengrassInstaller/config.yaml \
--component-default-user ggc_user:ggc_group \
--setup-system-service true
```
------
#### [ Windows Command Prompt (CMD) ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
-jar ./GreengrassInstaller/lib/Greengrass.jar ^
--trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar ^
--init-config ./GreengrassInstaller/config.yaml ^
--component-default-user ggc_user ^
--setup-system-service true
```
------
#### [ PowerShell ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
-jar ./GreengrassInstaller/lib/Greengrass.jar `
--trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar `
--init-config ./GreengrassInstaller/config.yaml `
--component-default-user ggc_user `
--setup-system-service true
```
------
**重要**
在 Windows 核心设备上,`--setup-system-service true`必须指定将 AWS IoT Greengrass 核心软件设置为系统服务。
如果指定 `--setup-system-service true`,则安装程序会在将软件设置为系统服务并运行后打印 `Successfully set up Nucleus as a system service`。否则,如果安装程序成功安装软件,则不会输出任何消息。
**注意**
在没有 `deploy-dev-tools` 参数的情况下运行安装程序时,您不能使用 `--provision true` 参数来部署本地开发工具。有关直接在您的设备上部署 Greengrass CLI 的信息,请参阅 [Greengrass 命令行界面](gg-cli.md)。
1. 通过查看根文件夹中的文件来验证安装情况。
------
#### [ Linux or Unix ]
```
ls /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
dir C:\greengrass\v2
```
------
#### [ PowerShell ]
```
ls C:\greengrass\v2
```
------
如果安装成功,则根文件夹中包含多个文件夹,例如 `config`、`packages` 和 `logs`。
如果您将 AWS IoT Greengrass Core 软件作为系统服务安装,则安装程序会为您运行该软件。否则,您必须手动运行该软件。有关更多信息,请参阅 [运行 AWS IoT Greengrass 核心软件](run-greengrass-core-v2.md)。
有关如何配置和使用软件的更多信息 AWS IoT Greengrass,请参阅以下内容:
+ [配置 AWS IoT Greengrass 核心软件](configure-greengrass-core-v2.md)
+ [开发 AWS IoT Greengrass 组件](develop-greengrass-components.md)
+ [将 AWS IoT Greengrass 组件部署到设备](manage-deployments.md)
+ [Greengrass 命令行界面](gg-cli.md)
## 使用自动资源预置安装 FIPS 端点
AWS IoT Greengrass 核心软件包括一个安装程序,可将您的设备设置为 Greengrass 核心设备。要快速设置设备,安装程序可以预配置核心设备运行所需 AWS IoT 的事物、事物组、IAM AWS IoT 角色和角色别名。 AWS IoT 安装程序还可以将本地开发工具部署到核心设备,因此您可以使用该设备开发和测试自定义软件组件。安装程序需要 AWS 凭证才能预置这些资源和创建部署。
如果您无法向设备提供 AWS 凭据,则可以配置核心设备运行所需的 AWS 资源。您还可以将开发工具部署到核心设备上,用作开发设备。这使您能够在运行安装程序时向设备提供较少的权限。有关更多信息,请参阅 [使用手动资源配置来安装 AWS IoT Greengrass Core 软件](manual-installation.md)。
**重要**
在下载 AWS IoT Greengrass 酷睿软件之前,请检查您的核心设备是否满足安装和运行 AWS IoT Greengrass 酷睿软件 v2.0 的[要求](greengrass-nucleus-component.md#greengrass-v2-requirements)。
**Topics**
+ [设置设备环境](#set-up-device-environment)
+ [为设备提供 AWS 凭证](#provide-installer-aws-credentials-auto)
+ [下载 AWS IoT Greengrass 核心软件](#download-greengrass-core-v2-auto)
+ [安装 AWS IoT Greengrass 核心软件](#run-greengrass-core-v2-installer-auto)
### 设置设备环境
按照本节中的步骤,将 Linux 或 Windows 设备设置为您的 AWS IoT Greengrass 核心设备。
#### 设置 Linux 设备
**设置 Linux 设备用于 AWS IoT Greengrass V2**
1. 安装 Java 运行时, AWS IoT Greengrass 核心软件需要运行该运行时。我们建议您使用 [Amazon Corretto](https://aws.amazon.com/corretto/) 或 [OpenJDK](https://openjdk.java.net/) 长期支持版本。需要版本 8 或更高版本。以下命令向您展示如何在您的设备上安装 OpenJDK。
+ 对于基于 Debian 或基于 Ubuntua 的发行版:
```
sudo apt install default-jdk
```
+ 对于基于 Red Hat 的发行版:
```
sudo yum install java-11-openjdk-devel
```
+ 对于 Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
+ 对于 Amazon Linux 2023:
```
sudo dnf install java-11-amazon-corretto -y
```
安装完成后,运行以下命令以验证 Java 是否在您的 Linux 设备上运行。
```
java -version
```
此命令会打印设备上运行的 Java 版本。例如,在基于 Debian 的发行版上,输出可能与以下示例类似。
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
1. (可选)创建在设备上运行组件的默认系统用户和组。您也可以选择让 AWS IoT Greengrass 核心软件安装程序在安装过程中使用安装程序参数创建此用户和组。`--component-default-user`有关更多信息,请参阅 [安装程序参数](configure-installer.md)。
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
1. 验证运行 AWS IoT Greengrass Core 软件的用户(通常`root`)是否有权`sudo`与任何用户和任何组一起运行。
1. 运行以下命令以打开 `/etc/sudoers` 文件。
```
sudo visudo
```
1. 验证用户的权限是否如以下示例所示。
```
root ALL=(ALL:ALL) ALL
```
1. (可选)要[运行容器化 Lambda 函数](run-lambda-functions.md),必须启用 [cgroups](https://en.wikipedia.org/wiki/Cgroups) v1,且必须启用并装载*内存*和*设备* cgroups。如果您不打算运行容器化 Lambda 函数,则可跳过此步骤。
要启用这些 cgroups 选项,请使用以下 Linux 内核参数启动设备。
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
有关查看和设置设备内核参数的信息,请参阅适用于您操作系统和启动加载程序的文档。按照说明永久设置内核参数。
1. 按照 [设备要求](greengrass-nucleus-component.md#greengrass-v2-requirements) 中的要求列表所示,在您的设备上安装所有其他必需的依赖关系。
#### 设置 Windows 设备
**注意**
此功能适用于 [Greengrass Nucleus 组件](greengrass-nucleus-component.md) v2.5.0 及更高版本。
**要将 Windows 设备设置为 AWS IoT Greengrass V2**
1. 安装 Java 运行时, AWS IoT Greengrass 核心软件需要运行该运行时。我们建议您使用 [Amazon Corretto](https://aws.amazon.com/corretto/) 或 [OpenJDK](https://openjdk.java.net/) 长期支持版本。需要版本 8 或更高版本。
1. 检查在 [PATH](https://en.wikipedia.org/wiki/PATH_(variable)) 系统变量上是否有 Java 可用,如果没有,请进行添加。该 LocalSystem 帐户运行 AWS IoT Greengrass Core 软件,因此您必须将 Java 添加到 PATH 系统变量中,而不是用户的 PATH 用户变量。执行以下操作:
1. 按下 Windows 键打开开始菜单。
1. 键入 **environment variables** 以从开始菜单中搜索系统选项。
1. 在开始菜单搜索结果中,选择**编辑系统环境变量**,以打开**系统属性**窗口。
1. 选择**环境变量...**,打开**环境变量**窗口。
1. 在**系统变量**下,选择**路径**,然后选择**编辑**。在**编辑环境变量**窗口中,您可以分行查看每个路径。
1. 检查 Java 安装的 `bin` 文件夹的路径是否存在。路径可能与以下示例类似。
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
1. 如果**路径**中缺少 Java 安装的 `bin` 文件夹,请选择**新建**,添加该文件夹,然后选择**确定**。
1. 以管理员身份打开 Windows 命令提示符 (`cmd.exe`)。
1. 在 Windows 设备上的 LocalSystem 帐户中创建默认用户。*password*替换为安全密码。
```
net user /add ggc_user password
```
**提示**
根据您的 Windows 配置,用户密码可能会设置为在将来某个日期过期。为确保您的 Greengrass 应用程序继续运行,请跟踪密码过期时间,并在密码过期之前对其进行更新。您还可以将用户的密码设置为永不过期。
要检查用户及其密码的过期时间,请运行以下命令。
```
net user ggc_user | findstr /C:expires
```
要将用户密码设置为永不过期,请运行以下命令。
```
wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
```
如果你使用的是[已弃用该`wmic`命令的](https://learn.microsoft.com/en-us/windows/win32/wmisdk/wmic) Windows 10 或更高版本,请运行以下 PowerShell 命令。
```
Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
```
1. 从微软下载该[PsExec实用程序](https://docs.microsoft.com/en-us/sysinternals/downloads/psexec)并将其安装到设备上。
1. 使用该 PsExec 实用程序将默认用户的用户名和密码存储在 LocalSystem 账户的凭据管理器实例中。*password*替换为您之前设置的用户密码。
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
如果系统打开 **PsExec License Agreement**,请选择 **Accept** 以同意许可并运行命令。
**注意**
在 Windows 设备上,该 LocalSystem 帐户运行 Greengrass 核心,您必须使用 PsExec 该实用程序在帐户中存储默认用户信息。 LocalSystem 使用凭据管理器应用程序将此信息存储在当前登录用户的 Windows 帐户中,而不是 LocalSystem 帐户中。
### 为设备提供 AWS 凭证
向设备提供您的 AWS 凭据,以便安装程序可以配置所需的 AWS 资源。有关所需权限的更多信息,请参阅 [安装程序配置资源的最低 IAM 策略](provision-minimal-iam-policy.md)。
**为设备提供 AWS 凭证**
+ 向设备提供您的 AWS 证书,以便安装程序可以为您的核心设备配置 AWS IoT 和 IAM 资源。为了提高安全性,我们建议您为 IAM 角色获取临时凭证,该凭证仅允许预置所需的最低权限。有关更多信息,请参阅 [安装程序配置资源的最低 IAM 策略](provision-minimal-iam-policy.md)。
**注意**
安装程序不会保存或存储您的凭证。
在您的设备上,执行以下任一操作以检索凭证并将其提供给 AWS IoT Greengrass Core 软件安装程序:
+ (推荐)使用来自的临时证书 AWS IAM Identity Center
1. 提供来自 IAM Identity Center 的访问密钥 ID、秘密访问密钥和会话令牌。有关更多信息,请参阅《IAM Identity Center 用户指南》**的[获取和刷新临时凭证](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html#how-to-get-temp-credentials)中的**手动凭证刷新**。
1. 运行以下命令为 AWS IoT Greengrass 核心软件提供凭据。
------
#### [ Linux or Unix ]
```
export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
```
------
#### [ Windows Command Prompt (CMD) ]
```
set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
```
------
#### [ PowerShell ]
```
$env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
$env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
```
------
+ 使用来自 IAM 角色的临时安全凭证:
1. 提供来自您担任的 IAM 角色的访问密钥 ID、秘密访问密钥和会话令牌。有关如何检索这些凭证的更多信息,请参阅《IAM 用户指南》**中的[请求临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)。
1. 运行以下命令为 AWS IoT Greengrass 核心软件提供凭据。
------
#### [ Linux or Unix ]
```
export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
```
------
#### [ Windows Command Prompt (CMD) ]
```
set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
```
------
#### [ PowerShell ]
```
$env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
$env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
```
------
+ 使用 IAM 用户的长期凭证:
1. 为 IAM 用户提供访问密钥 ID 和秘密访问密钥。您可以创建 IAM 用户用于预置,稍后再将其删除。有关向用户提供的 IAM 策略,请参阅 [安装程序配置资源的最低 IAM 策略](provision-minimal-iam-policy.md)。有关如何检索长期凭证的更多信息,请参阅《IAM 用户指南》**中的[管理 IAM 用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
1. 运行以下命令为 AWS IoT Greengrass 核心软件提供凭据。
------
#### [ Linux or Unix ]
```
export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
```
------
#### [ Windows Command Prompt (CMD) ]
```
set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
```
------
#### [ PowerShell ]
```
$env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
```
------
1. (可选)如果您创建了 IAM 用户来预置 Greengrass 设备,请删除该用户。
1. (可选)如果您使用了现有 IAM 用户的访问密钥 ID 和秘密访问密钥,请更新该用户的密钥,使其失效。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》中的[更新访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)**。
### 下载 AWS IoT Greengrass 核心软件
您可以从以下位置下载最新版本的 AWS IoT Greengrass Core 软件:
+ [https://d2s8p88vqu9w66.cloudfront。 net/releases/greengrass](https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip)-nucleus-latest.zip
**注意**
您可以从以下位置下载特定版本的 AWS IoT Greengrass Core 软件。*version*替换为要下载的版本。
```
https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
```
**下载 AWS IoT Greengrass 核心软件**
1. 在您的核心设备上,将 AWS IoT Greengrass Core 软件下载到名为的文件中`greengrass-nucleus-latest.zip`。
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
```
------
下载此软件即表示您同意[Greengrass Core 软件许可协议](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)。
1. (可选)验证 Greengrass Nucleus 软件签名
**注意**
此功能适用于 Greengrass Nucleus 版本 2.9.5 及更高版本。
1. 使用以下命令验证您 Greengrass Nucleus 构件的签名:
------
#### [ Linux or Unix ]
```
jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
根据您安装的 JDK 版本,文件名可能有所不同。将 *`jdk17.0.6_10`* 替换为您安装的 JDK 版本。
```
"C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
根据您安装的 JDK 版本,文件名可能有所不同。将 *`jdk17.0.6_10`* 替换为您安装的 JDK 版本。
```
'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
1. `jarsigner` 调用会生成输出,指示验证结果。
1. 如果 Greengrass Nucleus ZIP 文件已签署,则输出将包含以下语句:
```
jar verified.
```
1. 如果 Greengrass Nucleus ZIP 文件未签署,则输出将包含以下语句:
```
jar is unsigned.
```
1. 如果您提供了 Jarsigner `-certs` 选项以及 `-verify` 和 `-verbose` 选项,则输出还将包含详细的签名者证书信息。
1. 将 AWS IoT Greengrass Core 软件解压缩到设备上的某个文件夹。*GreengrassInstaller*替换为要使用的文件夹。
------
#### [ Linux or Unix ]
```
unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
```
------
1. (可选)运行以下命令以查看 AWS IoT Greengrass Core 软件的版本。
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
**重要**
如果您安装了 v2.4.0 之前的 Greengrass nucleus 版本,则在安装 Core 软件后请勿删除此文件夹。 AWS IoT Greengrass C AWS IoT Greengrass ore 软件使用此文件夹中的文件来运行。
如果您下载的是最新版本的软件,则需要安装 v2.4.0 或更高版本,并且可以在安装 C AWS IoT Greengrass ore 软件后删除此文件夹。
### 安装 AWS IoT Greengrass 核心软件
使用可指定以下操作的参数运行安装程序:
+ 创建核心设备运行所需的 AWS 资源。
+ 指定使用 `ggc_user` 系统用户在核心设备上运行软件组件。在 Linux 设备上,此命令还指定使用 `ggc_group` 系统组,安装程序会为您创建系统用户和组。
+ 将 AWS IoT Greengrass Core 软件设置为启动时运行的系统服务。在 Linux 设备上,这需要 [Systemd](https://en.wikipedia.org/wiki/Systemd) 初始化系统。
**重要**
在 Windows 核心设备上,必须将 AWS IoT Greengrass 核心软件设置为系统服务。
要使用本地开发工具设置开发设备,请指定 `--deploy-dev-tools true` 参数。安装完成后,部署本地开发工具可能需要一分钟时间。
有关您可以指定的参数的更多信息,请参阅[安装程序参数](configure-installer.md)。
**注意**
如果您在内存有限的设备 AWS IoT Greengrass 上运行,则可以控制 AWS IoT Greengrass 酷睿软件使用的内存量。要控制内存分配,您可以在 Nucleus 组件的 `jvmOptions` 配置参数中设置 JVM 堆大小选项。有关更多信息,请参阅 [使用 JVM 选项控制内存分配](configure-greengrass-core-v2.md#jvm-tuning)。
**安装 AWS IoT Greengrass 核心软件**
1. 使用文本编辑器创建名为 `config.yaml` 的配置文件,以提供给安装程序。
例如,在基于 Linux 的系统上,您可以运行以下命令来使用 GNU nano 创建该文件。
```
nano GreengrassInstaller/config.yaml
```
将以下 YAML 内容复制到该文件中。此部分配置文件会指定系统参数和 Greengrass Nucleus 参数。
```
---
services:
aws.greengrass.Nucleus:
configuration:
fipsMode: "true"
iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
greengrassDataPlaneEndpoint: "iotData"
```
+ *us-west-2*替换为您创建资源 AWS 区域 的位置。
+ 将 *iotDataEndpoint* 替换为您的 AWS IoT 数据端点。
+ 将 *iotCredEndpoint* 替换为您的 AWS IoT 凭证端点。
1. 运行 AWS IoT Greengrass 核心安装程序。如下所示替换命令中的参数值。
**注意**
Windows 的路径长度限制为 260 个字符。如果您使用的是 Windows,请使用 `C:\greengrass\v2` 或 `D:\greengrass\v2` 等根文件夹,将 Greengrass 组件的路径保持在 260 个字符的限制以下。
1. `/greengrass/v2`或*C:\$1greengrass\$1v2*:用于安装 C AWS IoT Greengrass ore 软件的根文件夹的路径。
1. *GreengrassInstaller*。 您解压缩 AWS IoT Greengrass 核心软件安装程序的文件夹的路径。
1. *region*。 AWS 区域 在其中查找或创建资源。
1. *MyGreengrassCore*。 你的 Green AWS IoT grass 核心设备的名称。如果该事物不存在,安装程序会进行创建。安装程序下载证书以进行身份 AWS IoT 验证。有关更多信息,请参阅 [设备身份验证和授权 AWS IoT Greengrass](device-auth.md)。
**注意**
事物名称不得包含英文冒号 (`:`) 字符。
1. *MyGreengrassCoreGroup*。 你的 Greengrass 核心设备 AWS IoT 的事物组名称。如果该事物组不存在,安装程序会进行创建并向其中添加事物。如果事物组存在且有活动的部署,则核心设备将下载并运行部署指定的软件。
**注意**
事物组名称不得包含英文冒号 (`:`) 字符。
1. *GreengrassV2IoTThingPolicy*。 允许 Greengrass 核心设备与和通信的 AWS IoT 策略名称。 AWS IoT AWS IoT Greengrass如果该 AWS IoT 策略不存在,则安装程序会使用此名称创建允许 AWS IoT 策略。您可以根据自己的使用案例限制此策略的权限。有关更多信息,请参阅 [AWS IoT Greengrass V2 核心设备的最低 AWS IoT 政策](device-auth.md#greengrass-core-minimal-iot-policy)。
1. *GreengrassV2TokenExchangeRole*。 允许 Greengrass 核心设备获得临时证书的 IAM 角色的名称。 AWS 如果该角色不存在,则安装程序会创建该角色并附加名为 `GreengrassV2TokenExchangeRoleAccess` 的策略。有关更多信息,请参阅 [授权核心设备与 AWS 服务交互](device-service-role.md)。
1. *GreengrassCoreTokenExchangeRoleAlias*。 IAM 角色的别名,允许 Greengrass 核心设备稍后获得临时证书。如果该角色别名不存在,则安装程序会自行创建,并将其指向您指定的 IAM 角色。有关更多信息,请参阅 [授权核心设备与 AWS 服务交互](device-service-role.md)。
------
#### [ Linux or Unix ]
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
-jar ./GreengrassInstaller/lib/Greengrass.jar \
--aws-region region \
--thing-name MyGreengrassCore \
--thing-group-name MyGreengrassCoreGroup \
--thing-policy-name GreengrassV2IoTThingPolicy \
--tes-role-name GreengrassV2TokenExchangeRole \
--tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
--component-default-user ggc_user:ggc_group \
--provision true \
--init-config ./GreengrassInstaller/config.yaml \
--setup-system-service true
```
------
#### [ Windows Command Prompt (CMD) ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
-jar ./GreengrassInstaller/lib/Greengrass.jar ^
--aws-region region ^
--thing-name MyGreengrassCore ^
--thing-group-name MyGreengrassCoreGroup ^
--thing-policy-name GreengrassV2IoTThingPolicy ^
--tes-role-name GreengrassV2TokenExchangeRole ^
--tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias ^
--component-default-user ggc_user ^
--provision true ^
--setup-system-service true
```
------
#### [ PowerShell ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
-jar ./GreengrassInstaller/lib/Greengrass.jar `
--aws-region region `
--thing-name MyGreengrassCore `
--thing-group-name MyGreengrassCoreGroup `
--thing-policy-name GreengrassV2IoTThingPolicy `
--tes-role-name GreengrassV2TokenExchangeRole `
--tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias `
--component-default-user ggc_user `
--provision true `
--setup-system-service true
```
------
**重要**
在 Windows 核心设备上,`--setup-system-service true`必须指定将 AWS IoT Greengrass 核心软件设置为系统服务。
如果成功,安装程序会打印以下消息:
+ 如果您指定 `--provision`,则安装程序将在成功配置资源后打印 `Successfully configured Nucleus with provisioned resource details`。
+ 如果您指定 `--deploy-dev-tools`,则安装程序将在成功创建部署后打印 `Configured Nucleus to deploy aws.greengrass.Cli component`。
+ 如果您指定 `--setup-system-service true`,则安装程序会在将软件设置为服务并运行后打印 `Successfully set up Nucleus as a system service`。
+ 如果您未指定 `--setup-system-service true`,则安装程序会在成功安装并运行软件后打印 `Launched Nucleus successfully`。
1. 如果您安装了 [Greengrass Nucleus](greengrass-nucleus-component.md) v2.0.4 或更高版本,请跳过此步骤。如果您下载的是最新版本的软件,则说明您安装了 v2.0.4 或更高版本。
运行以下命令,为您的 AWS IoT Greengrass Core 软件根文件夹设置所需的文件权限。`/greengrass/v2`替换为您在安装命令中指定的根文件夹,并*/greengrass*替换为根文件夹的父文件夹。
```
sudo chmod 755 /greengrass/v2 && sudo chmod 755 /greengrass
```
如果您将 AWS IoT Greengrass Core 软件作为系统服务安装,则安装程序会为您运行该软件。否则,您必须手动运行该软件。有关更多信息,请参阅 [运行 AWS IoT Greengrass 核心软件](run-greengrass-core-v2.md)。
**注意**
默认情况下,安装程序创建的 IAM 角色不允许访问 S3 存储桶中的组件构件。要在 Amazon S3 中部署可定义构件的自定义组件,您必须为该角色添加权限以允许核心设备检索组件构件。有关更多信息,请参阅 [允许访问 S3 存储桶中的组件构件](device-service-role.md#device-service-role-access-s3-bucket)。
如果您还没有适用于组件构件的 S3 存储桶,则可以在创建存储桶后添加这些权限。
有关如何配置和使用软件的更多信息 AWS IoT Greengrass,请参阅以下内容:
+ [配置 AWS IoT Greengrass 核心软件](configure-greengrass-core-v2.md)
+ [开发 AWS IoT Greengrass 组件](develop-greengrass-components.md)
+ [将 AWS IoT Greengrass 组件部署到设备](manage-deployments.md)
+ [Greengrass 命令行界面](gg-cli.md)
## FIPS 合规性第一方组件
| | |
| --- | --- |
| aws.greengrass.Nucleus | data.iot-fips.us-east-1.amazonaws.com |
| | greengrass-fips.us-east-1.amazonaws.com |
| | data.credentials.iot-fips.us-east-1.amazonaws.com |
| aws.greengrass.TokenExchangeService | data.credentials.iot-fips.us-east-1.amazonaws.com |
| aws.greengrass.Cli | |
| aws.greengrass.StreamManager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/greengrass/v2/developerguide/FIPS.html) 直播管理器不支持 AWS IoT Analytics FIPS 端点 |
| aws.greengrass.LogManager | logs-fips。 us-east-1.amazonaws.co |
| aws.greengrass.crypto.Pkcs11Provider | |
| aws.greengrass.ShadowManager | |
| aws.greengrass.DockerApplicationManager | ecr-fips。 us-east-1.amazonaws.co |
| aws.greengrass.SecretManager | secretsmanager-fips。 us-east-1.amazonaws.co |
| aws.greengrass.telemetry.NucleusEmitter | |
| aws.greengrass.clientdevices.IPDetector | |
| aws.greengrass.DiskSpooler | |
# AWS IoT Greengrass 中的故障恢复能力
AWS 全球基础设施是围绕 Amazon Web Services 区域和可用区而构建的。每个AWS 区域 提供多个在物理上独立且隔离的可用区,这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错能力和可扩展性。
如需更多信息,请参阅 [AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
除了 AWS 全球基础设施之外,AWS IoT Greengrass 还提供了多种功能,以帮助支持您的数据弹性和备份需求。
+ 您可以将 Greengrass 核心设备配置为将日志写入本地文件系统和 CloudWatch Logs。如果核心设备连接中断,其可在文件系统上继续记录日志消息。重新连接后,其会将日志消息写入 CloudWatch Logs。有关更多信息,请参阅 [监控 AWS IoT Greengrass 日志](monitor-logs.md)。
+ 如果核心设备在部署期间断电,其将在 AWS IoT Greengrass Core 软件重新启动后恢复部署。
+ 如果核心设备互联网连接断开,Greengrass 客户端设备可以继续通过本地网络进行通信。
+ 您可以编写 Greengrass 组件来读取[流管理器](manage-data-streams.md)流,并将数据发送到本地存储目标。
# 中的基础设施安全 AWS IoT Greengrass
作为一项托管服务, AWS IoT Greengrass 受到《[Amazon Web Services:安全流程概述》白皮书中描述的 AWS 全球网络安全](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)程序的保护。
您可以使用 AWS 已发布的 API 调用 AWS IoT Greengrass 通过网络进行访问。客户端必须支持传输层安全性(TLS)1.2 或更高版本。我们建议使用 TLS 1.3 或更高版本。客户端还必须支持具有完全向前保密(PFS)的密码套件,例如 Ephemeral Diffie-Hellman(DHE)或 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
必须使用访问密钥 ID 以及与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 生成临时安全凭证来对请求进行签名。
在 AWS IoT Greengrass 环境中,设备使用 X.509 证书和加密密钥进行连接和身份验证。 AWS 云有关更多信息,请参阅 [设备身份验证和授权 AWS IoT Greengrass](device-auth.md)。
# 中的配置和漏洞分析 AWS IoT Greengrass
IoT 环境可能由大量具有不同功能、长期存在且地理位置分散的设备组成。这些特性导致设备设置复杂且容易出错。由于设备的计算能力、内存和存储功能通常有限,因而限制了在设备本身上对加密和其它形式的安全功能的使用。此外,设备经常使用具有已知漏洞的软件。这些因素不仅令 IoT 设备成为吸引黑客的目标,而且导致难以持续保护设备安全。
AWS IoT Device Defender 通过提供工具来识别安全问题和与最佳实践的偏差,从而应对这些挑战。您可以使用 AWS IoT Device Defender 分析、审计和监控连接的设备,以检测异常行为并降低安全风险。 AWS IoT Device Defender 可以对设备进行审计,以确保它们遵守安全最佳实践并检测设备上的异常行为。这使得在您的设备上实施一致的安全策略成为可能,并在设备遭到入侵时快速做出响应。 IFor更多信息,请参阅以下主题:
+ [Device Defender 组件](device-defender-component.md)
+ 《AWS IoT Core 开发人员指南》**中的 [AWS IoT Device Defender](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender.html)。
在 AWS IoT Greengrass 环境中,您应该注意以下注意事项:
+ 您有责任保护物理设备、设备上的文件系统和本地网络的安全。
+ AWS IoT Greengrass 不对用户定义的 Greengrass 组件强制网络隔离,无论它们是否在 Greengrass 容器中运行。因此,Greengrass 组件可以通过网络与系统内外运行的任何其它进程进行通信。
# AWS IoT Greengrass V2 中的代码完整性
AWS IoT Greengrass 将软件组件从 AWS 云 部署到运行 AWS IoT Greengrass Core 软件的设备。这些软件组件包括 [AWS 提供的组件](public-components.md)和您上传到您的 AWS 账户 的[自定义组件](create-components.md)。每个组件都包含一个配方。该配方定义组件的元数据和任意数量的构件,即组件二进制文件,例如编译后的代码和静态资源。组件构件存储在 Amazon S3 中。
在开发和部署 Greengrass 组件时,您需要遵循适用于您的 AWS 账户 和设备上的组件构件的以下基本步骤:
1. 创建项目并将其上传到 S3 桶。
1. 根据 AWS IoT Greengrass 服务中的配方和构件创建组件,由其计算每个构件的[加密哈希值](https://en.wikipedia.org/wiki/Cryptographic_hash_function)。
1. 将组件部署到 Greengrass 核心设备,由其下载并验证每个构件的完整性。
AWS 负责在您将构件上传到 S3 桶后(包括将组件部署到 Greengrass 核心设备时)保持构件的完整性。您负责在将软件构件上传到 S3 桶之前保护构件。您还负责保护对您 AWS 账户 中资源的访问权限,包括您上传组件构件的 S3 桶。
**注意**
Amazon S3 提供了一项名为 S3 对象锁定的功能,您可以使用该功能来防止您 AWS 账户 的 S3 桶中的组件构件发生更改。您可以使用 S3 对象锁定来防止删除或覆盖组件构件。有关更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用 S3 对象锁定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)。
在 AWS 发布公有组件以及在您上传自定义组件时,AWS IoT Greengrass 会计算每个组件构件的加密摘要。AWS IoT Greengrass 会更新组件配方以包括每个构件的摘要和用于计算该摘要的哈希算法。此摘要可以保证构件的完整性,因为如果构件在 AWS 云 中或下载期间发生更改,其文件摘要将与 AWS IoT Greengrass 存储在组件配方中的摘要不匹配。有关更多信息,请参阅[组件配方参考中的构件](component-recipe-reference.md#manifest-artifacts-definition)。
当您将组件部署到核心设备时,AWS IoT Greengrass Core 软件会下载组件配方和配方定义的每个组件构件。AWS IoT Greengrass Core 软件计算每个下载的构件文件的摘要,并将其与配方中该构件的摘要进行比较。如果摘要不匹配,则部署将失败,AWS IoT Greengrass Core 软件会从设备的文件系统中删除下载的构件。有关如何保护核心设备与 AWS IoT Greengrass 之间的连接的更多信息,请参阅 [传输中加密](encryption-in-transit.md)。
您负责保护核心设备文件系统中的组件构件文件。AWS IoT Greengrass Core 软件会将构件保存到 Greengrass 根文件夹中的 `packages` 文件夹。您可以使用 AWS IoT Device Defender 分析、审计和监控核心设备。有关更多信息,请参阅 [中的配置和漏洞分析 AWS IoT Greengrass](vulnerability-analysis-and-management.md)。
# AWS IoT Greengrass 和接口 VPC 终端节点 (AWS PrivateLink)
您可以通过创建接*口 VPC 终端节点在您的 VPC 和 AWS IoT Greengrass 控制平面之间建立私有*连接。您可以使用此端点来管理 AWS IoT Greengrass 服务中的组件、部署和核心设备。接口端点由一种技术提供支持 [AWS PrivateLink](https://aws.amazon.com/privatelink),该技术使您无需互联网网关、NAT 设备、VPN 连接或 Di AWS rect Connect 连接即可进行 AWS IoT Greengrass APIs 私密访问。您的 VPC 中的实例不需要公有 IP 地址即可与之通信 AWS IoT Greengrass APIs。您的 VPC 和 VPC 之间的流量 AWS IoT Greengrass 不会离开 Amazon 网络。
每个接口端点均由子网中的一个或多个[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。
**Topics**
+ [AWS IoT Greengrass VPC 终端节点的注意事项](#vpc-endpoint-considerations)
+ [为 AWS IoT Greengrass 控制平面操作创建接口 VPC 终端节点](#create-vpc-endpoint-control-plane)
+ [为创建 VPC 终端节点策略 AWS IoT Greengrass](#vpc-endpoint-policy)
+ [在 VPC 中操作 AWS IoT Greengrass 核心设备](#vpc-operate-device-vpce)
## AWS IoT Greengrass VPC 终端节点的注意事项
在为设置接口 VPC 终端节点之前 AWS IoT Greengrass,请查看 *Amazon VPC 用户指南*中的[接口终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。此外,请了解以下注意事项:
+ AWS IoT Greengrass 支持从您的 VPC 调用其所有控制平面 API 操作。控制平面包括诸如[CreateDeployment](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_CreateDeployment.html)和之类的操作[ListEffectiveDeployments](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_ListEffectiveDeployments.html)。控制平面*不*包括诸如[ResolveComponentCandidates](device-auth.md#iot-policies)和 D [iscover](greengrass-discover-api.md) 之类的操作,它们是数据平面操作。
+ AWS 中国区域目前不支持 AWS IoT Greengrass 的 VPC 终端节点。
## 为 AWS IoT Greengrass 控制平面操作创建接口 VPC 终端节点
您可以使用 Amazon VPC AWS IoT Greengrass 控制台或 AWS Command Line Interface (AWS CLI) 为控制平面创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC User Guide》**中的 [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
AWS IoT Greengrass 使用以下服务名称创建 VPC 终端节点:
+ com.amazonaws。 *region*.greengrass
例如,如果您为终端节点启用私有 DNS,则可以使用该终端节点的默认 DNS 名称向 AWS IoT Greengrass 发出 API 请求`greengrass.us-east-1.amazonaws.com`。默认情况下将启用私有 DNS。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
## 为创建 VPC 终端节点策略 AWS IoT Greengrass
您可以为 VPC 端点附加控制对 AWS IoT Greengrass 控制面板操作的访问的端点策略。该策略指定以下信息:
+ 可执行操作的主体。
+ 主体可以执行的操作。
+ 主体可以对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC User Guide》**中的 [Controlling access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**Example 示例:用于 AWS IoT Greengrass 操作的 VPC 终端节点策略**
以下是的终端节点策略示例 AWS IoT Greengrass。当连接到终端节点时,此策略授予所有委托人对所有资源 AWS IoT Greengrass 执行所列操作的访问权限。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"greengrass:ListEffectiveDeployments"
],
"Resource": "*"
}
]
}
```
## 在 VPC 中操作 AWS IoT Greengrass 核心设备
您可以在没有公共互联网访问的情况下,在 VPC 中操作 Greengrass 核心设备并执行部署。您必须至少使用相应的 DNS 别名设置以下 VPC 端点。有关如何创建和使用 VPC 端点的更多信息,请参阅《Amazon VPC 用户指南》**中的[创建 VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。
**注意**
对于和 AWS IoT 凭证,用于自动创建 DNS 记录的 VPC 功能已禁用。 AWS IoT data 要连接这些端点,您必须手动创建私有 DNS 记录。有关更多信息,请参阅[接口端点的私有 DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-private-dns)。有关 AWS IoT Core VPC 限制的更多信息,请参阅 V [PC 终端节点的限制](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations)。
### 先决条件
+ 您必须使用手动配置步骤安装 C AWS IoT Greengrass ore 软件。有关更多信息,请参阅 [使用手动资源配置来安装 AWS IoT Greengrass Core 软件](manual-installation.md)。
### 限制
+ 中国区域和 AWS GovCloud (US) Regions不支持在 VPC 中运行 Greengrass 核心设备。
+ 有关限制 AWS IoT data 和 AWS IoT 凭证提供者 VPC 终端节点的更多信息,请参阅[限制](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations)。
### 将您的 Greengrass 核心设备设置为在 VPC 中运行
****
1. 获取您的终 AWS IoT 端节点 AWS 账户,然后将其保存以备后用。您的设备使用这些端点来连接 AWS IoT。执行以下操作:
1. 获取您的 AWS IoT 数据端点 AWS 账户。
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
如果请求成功,响应类似如下示例。
```
{
"endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
1. 获取您的 AWS IoT 凭证终端节点 AWS 账户。
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
如果请求成功,响应类似如下示例。
```
{
"endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
1. 为 AWS IoT data 和 AWS IoT 证书终端节点创建 Amazon VPC 接口:
1. 导航到 [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) **端点**控制台,在左侧菜单的**虚拟私有云**下,选择**端点**,然后选择**创建端点**。
1. 在**创建端点**页面上,指定以下信息。
+ 为**服务类别**选择 **AWS 服务**。
+ 对于 **Service Name**(服务名称),通过输入关键字 `iot` 进行搜索。在显示的 `iot` 服务列表中,请选择端点。
如果您为 AWS IoT Core 数据平面创建 VPC 终端节点,请为您的区域选择 AWS IoT Core 数据平面 API 终端节点。终端节点的格式为 `com.amazonaws.region.iot.data`。
如果您为 AWS IoT Core 凭证提供者创建 VPC 终端节点,请选择您所在地区的 AWS IoT Core 凭证提供商终端节点。终端节点的格式为 `com.amazonaws.region.iot.credentials`。
**注意**
中国地区 AWS IoT Core 数据平面的服务名称将`cn.com.amazonaws.region.iot.data`采用以下格式。中国地区不支持为 AWS IoT Core 凭证提供者创建 VPC 终端节点。
+ 对于 **VPC** 和**子网**,选择要在其中创建终端节点的 VPC,以及要在其中创建终端节点网络的可用区 (AZs)。
+ 对于 **Enable DNS name**(启用 DNS 名称),请确保未选择 **Enable for this endpoint**(为此端点启用)。 AWS IoT Core 数据平面和 AWS IoT Core 凭据提供商都不支持私有 DNS 名称。
+ 对于 **Security group**(安全组),选择要与端点网络接口关联的安全组。
+ 您可以选择添加或删除标签。标签是用于与端点关联的名称-值对。
1. 要创建 VPC 端点,请选择**创建端点**。
1. 创建 AWS PrivateLink 终端节点后,在终端节点的**详细信息**选项卡中,您将看到 DNS 名称列表。您可以使用在本部分中创建的这些 DNS 名称中的一个来[配置私有托管区域](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#connect-iot-core-create-phz-lns)。
1. 创建 Amazon S3 端点。有关更多信息,请参阅[为 Amazon S3 创建 VPC 端点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#s3-creating-vpc)。
1. 如果您使用的是 [AWS提供的 Greengrass 组件](https://docs.aws.amazon.com/greengrass/v2/developerguide/public-components.html),则可能需要其他端点和配置。要查看端点要求,请从 AWS提供的组件列表中选择组件,然后查看“要求”部分。例如,[日志管理器组件要求](log-manager-component.md#log-manager-component-requirements)规定,该组件必须能够向端点 `logs.region.amazonaws.com` 执行出站请求。
如果您使用的是自己的组件,则可能需要查看依赖关系并进行其他测试,以确定是否需要任何其它端点。
1. 在 Greengrass Nucleus 配置中,必须将 `greengrassDataPlaneEndpoint` 设置为 **iotdata**。有关更多信息,请参阅 [Greengrass Nucleus 配置](greengrass-nucleus-component.md#greengrass-nucleus-component-configuration)。
1. 如果您在 `us-east-1` 区域,请在 Greengrass Nucleus 配置中将配置参数 `s3EndpointType` 设置为 **REGIONAL**。此功能适用于 Greengrass Nucleus 2.11.3 或更高版本。
**Example 示例:组件配置**
```
{
"aws.greengrass.Nucleus": {
"configuration": {
"awsRegion": "us-east-1",
"iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
"iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
"greengrassDataPlaneEndpoint": "iotdata",
"s3EndpointType": "REGIONAL"
...
}
}
}
```
下表提供了有关相应的自定义私有 DNS 别名的信息。
| 服务 | VPC 端点服务名称 | VPC 端点类型 | 自定义私有 DNS 别名 | 注意 |
| --- | --- | --- | --- | --- |
| AWS IoT data | `com.amazonaws.region.iot.data` | 接口 | `prefix-ats.iot.region.amazonaws.com` | 私有 DNS 记录应与您账户的 AWS IoT data 终端节点相匹配:`aws iot describe–endpoint ––endpoint–type iot:Data-ATS`。 |
| AWS IoT 凭证 | `com.amazonaws.region.iot.credentials` | 接口 | `prefix.credentials.iot.region.amazonaws.com` | 私有 DNS 记录应与您的账户 AWS IoT 凭证端点匹配:`aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`。 |
| Amazon S3 | `com.amazonaws.region.s3` | 接口 | | DNS 记录是自动创建的。 |
# 以下方面的安全最佳实践 AWS IoT Greengrass
本主题包含的安全最佳实践 AWS IoT Greengrass。
## 授予可能的最低权限
以非特权用户身份运行组件,遵循最低权限原则。除非绝对必要,否则组件不应以根用户身份运行。
使用 IAM 角色中的最小权限集。在 IAM 策略中限制对 `Action` 和 `Resource` 属性使用 `*` 通配符。而是在可能的情况下声明一组有限的操作和资源。有关最低权限和其他策略最佳实践的更多信息,请参阅 [策略最佳实践](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)。
最低权限最佳实践也适用于您附加到 Greengrass 核心的 AWS IoT 策略。
## 不要在 Greengrass 组件中对凭证进行硬编码
不要在用户定义的 Greengrass 组件中对凭证进行硬编码。为了更好地保护您的凭证:
+ 要与 AWS 服务交互,请在 [Greengrass](device-service-role.md) 核心设备服务角色中定义特定操作和资源的权限。
+ 使用[密钥管理器组件](secret-manager-component.md)存储凭证。或者,如果该函数使用 AWS SDK,则使用来自默认凭证提供程序链的凭证。
## 不要记录敏感信息
您应该禁止记录凭证和其他个人身份信息 (PII)。尽管访问核心设备上的本地日志需要根权限,而访问 CloudWatch 日志需要 IAM 权限,但我们仍建议您实施以下保护措施。
+ 不要在 MQTT 主题路径中使用敏感信息。
+ 不要在 AWS IoT Core 注册表中的设备(事物)名称、类型和属性中使用敏感信息。
+ 不要在用户定义的 Greengrass 组件或 Lambda 函数中记录敏感信息。
+ 不要在 Greengrass 资源的名称和 Greengrass IDs 资源中使用敏感信息:
+ 核心设备
+ 组件
+ 部署
+ 日志记录程序
## 使设备时钟保持同步
请务必确保您的设备上有准确的时间。X.509 证书具有到期日期和时间。设备上的时钟用于验证服务器证书是否仍有效。设备时钟可能会在一段时间后出现偏差,或者电池可能会放电。
有关更多信息,请参阅《AWS IoT Core 开发人员指南**》中的[保持设备时钟同步](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html#device-clock)最佳实践。
## 密码套件推荐
Greengrass 默认选择设备上提供的最新 TLS 密码套件。考虑在设备上禁用传统密码套件。例如,CBC 密码套件。
有关更多信息,请参阅 [Java 加密配置](https://www.java.com/configure_crypto.html)。
## 另请参阅
+ 《*AWS IoT 开发人员指南》*中的 [AWS IoT Core中的安全最佳实践](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html)
+ * AWS 官方博客上物联网工业物联网解决方案的*[十大安全黄金法则](https://aws.amazon.com/blogs/iot/ten-security-golden-rules-for-industrial-iot-solutions/)