選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

FIPS 端點

PDF
RSS
焦點模式
FIPS 端點 - AWS IoT Greengrass
使用部署啟用 FIPS 端點使用手動資源佈建搭配 FIPS 端點安裝 Nucleus使用機群佈建安裝 FIPS 端點使用自動資源佈建安裝 FIPS 端點FIPS 合規第一方元件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS IoT Greengrass 支援使用 FIPS (聯邦資訊處理標準 (FIPS) 140-2) 端點。啟用 FIPS 模式時,所有資料傳輸,包括 HTTP 和 MQTT 通訊協定,都 AWS 雲端 應該叫用服務,並與對應的 FIPS 相容端點建立連線 (FIPS - Amazon Web Services (AWS))。

MQTT 通訊 AWS IoT 會使用 IoT 資料平面 FIPS 端點 (連線至 AWS IoT FIPS 端點 - AWS IoT Core) 和 AWS開發的 FIPS 相容密碼編譯程式庫 aws-lc。

針對 Greengrass 中的 HTTP 通訊:

  • 對於 核和外掛程式元件,所有 SDK HTTP 用戶端都會透過將系統屬性 AWS_USE_FIPS_ENDPOINT 設為 true 來設定 FIPS 端點;

  • 對於一般元件,所有元件都從系統屬性 AWS_USE_FIPS_ENDPOINT 設定為 true 開始。此程序可確保這些一般元件所使用的 SDK HTTP 用戶端會將請求傳送至符合 FIPS 標準的端點。

注意

如果是串流管理員,Nucleus 會傳遞環境變數 AWS_GG_FIPS_MODE。此環境變數允許在 Stream Manager 中使用的 HTTP 用戶端識別並連接到對應的 FIPS 相容端點。

AWS IoT Greengrass 提供兩種啟用 FIPS 模式的方法:佈建和部署。若要啟用 FIPS 模式,您必須將組態參數設定為 fipsMode true,Nucleus 然後將系統屬性 AWS_USE_FIPS_ENDPOINT 設定為 true,並將其作為環境變數傳播至所有其他元件。此外, AWS IoT Greengrass 將下載根 CA 憑證 (CA3),並將其附加至現有的 rootCA.pem (或 AmazonRootCA1.pem) 如果您透過新部署啟用 FIPS,Nucleus 會重新啟動,以確保系統屬性在啟用 FIPS 模式後生效。

除了設定 fipsMode 參數之外,您還必須設定 iotDataEndpointiotCredEndpointgreengrassDataEndpoint 參數。如需詳細資訊,請參閱下列相關文件。

使用部署啟用 FIPS 端點

取得 的 AWS IoT 端點 AWS 帳戶,並儲存它們以供稍後使用。您的裝置使用這些端點來連線 AWS IoT。需要兩個端點: iotDataEndpointiotCredEndpoint。請執行下列操作:

  1. 在 FIPS 資料AWS IoT Core 平面端點中取得您區域的 FIPS 資料端點。您 的 FIPS 資料端點看起來 AWS 帳戶 應該如下所示:https://data.iot-fips.us-west-2.amazonaws.com

  2. 在 FIPS AWS IoT Core 資料平面端點中取得您區域的 FIPS 登入資料端點。您 的 FIPS 登入資料端點看起來 AWS 帳戶 應該如下所示:https://data.credentials.iot-fips.us-west-2.amazonaws.com

然後,若要啟用具有部署的 FIPS,您需要將下列組態套用至 Nucleus。部署上要合併的組態如下所示。

Console
要合併的組態
{
  "fipsMode": "true",
  "iotDataEndpoint": "data.iot-fips.us-west-2.amazonaws.com",
  "greengrassDataPlaneEndpoint": "iotData",
  "iotCredEndpoint": "data.credentials.iot-fips.us-west-2.amazonaws.com"
}
AWS CLI

下列命令會建立核心裝置的部署。

aws greengrassv2 create-deployment --cli-input-json file://dashboard-deployment.json

dashboard-deployment.json 檔案包含下列 JSON 文件。

{
  "targetArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
  "deploymentName": "Deployment for MyGreengrassCore",
  "components": {
    "aws.greengrass.Nucleus": {
      "componentVersion": "2.13.0",
      "configurationUpdate": {
        "merge":{\"fipsMode\":\"true\",\"iotDataEndpoint\":\"data.iot-fips.us-west-2.amazonaws.com\",\"greengrassDataPlaneEndpoint\":\"iotData\",\"iotCredEndpoint\":\"data.credentials.iot-fips.us-west-2.amazonaws.com\"}"
      }
    }
  }
}
Greengrass CLI

下列 Greengrass CLI 命令會在核心裝置上建立本機部署。

sudo greengrass-cli deployment create \
  --recipeDir recipes \
  --artifactDir artifacts \
  --merge "aws.greengrass.Nucleus=2.13.0" \
  --update-config dashboard-configuration.json

dashboard-configuration.json 檔案包含下列 JSON 文件。

{
  "aws.greengrass.Nucleus": {
    "MERGE": {
       "fipsMode": "true",
       "iotDataEndpoint": "data.iot-fips.us-west-2.amazonaws.com",
       "greengrassDataPlaneEndpoint": "iotData",
       "iotCredEndpoint": "data.credentials.iot-fips.us-west-2.amazonaws.com"

    }
  }
}
anchoranchoranchor
要合併的組態
{
  "fipsMode": "true",
  "iotDataEndpoint": "data.iot-fips.us-west-2.amazonaws.com",
  "greengrassDataPlaneEndpoint": "iotData",
  "iotCredEndpoint": "data.credentials.iot-fips.us-west-2.amazonaws.com"
}

使用手動資源佈建搭配 FIPS 端點安裝 Nucleus

使用 FIPS 端點手動佈建 AWS IoT Greengrass V2 核心裝置 AWS 的資源

重要

下載 AWS IoT Greengrass Core 軟體之前,請檢查您的核心裝置是否符合安裝和執行 AWS IoT Greengrass Core 軟體 v2.0 的需求

擷取 AWS IoT 端點

取得 的 AWS IoT 端點 AWS 帳戶,並儲存它們以供稍後使用。您的裝置使用這些端點來連線 AWS IoT。需要兩個端點: iotDataEndpointiotCredEndpoint。請執行下列操作:

  1. 在 FIPS 資料AWS IoT Core 平面端點中取得您區域的 FIPS 資料端點。您 的 FIPS 資料端點看起來 AWS 帳戶 應該如下所示:https://data.iot-fips.us-west-2.amazonaws.com

  2. 在 FIPS AWS IoT Core 資料平面端點中取得您區域的 FIPS 登入資料端點。您 的 FIPS 登入資料端點看起來 AWS 帳戶 應該如下所示:https://data.credentials.iot-fips.us-west-2.amazonaws.com

建立 AWS IoT 物件

AWS IoT 物件代表連線至 的裝置和邏輯實體 AWS IoT。Greengrass 核心裝置是 AWS IoT 實物。當您將裝置註冊為 AWS IoT 物件時,該裝置可以使用數位憑證進行身分驗證 AWS。

在本節中,您會建立代表您裝置的 AWS IoT 物件。

建立 AWS IoT 物件

  1. 為您的裝置建立 AWS IoT 物件。在您的開發電腦上,執行下列命令。

    • MyGreengrassCore 取代為要使用的物件名稱。此名稱也是 Greengrass 核心裝置的名稱。

      注意

      物件名稱不能包含冒號 (:) 字元。

    aws iot create-thing --thing-name MyGreengrassCore

    如果請求成功,回應看起來與下列範例類似。

    {
  "thingName": "MyGreengrassCore",
  "thingArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
  "thingId": "8cb4b6cd-268e-495d-b5b9-1713d71dbf42"
}

  2. (選用) 將 AWS IoT 物件新增至新的或現有的物件群組。您可以使用物件群組來管理 Greengrass 核心裝置的機群。當您將軟體元件部署到裝置時,您可以鎖定個別裝置或裝置群組。您可以將裝置新增至具有作用中 Greengrass 部署的物件群組,以將該物件群組的軟體元件部署到裝置。請執行下列操作:

    1. (選用) 建立 AWS IoT 物件群組。

      • MyGreengrassCoreGroup 取代為要建立的物件群組名稱。

        注意

        物件群組名稱不能包含冒號 (:) 字元。

      aws iot create-thing-group --thing-group-name MyGreengrassCoreGroup

      如果請求成功,回應看起來與下列範例類似。

      {
  "thingGroupName": "MyGreengrassCoreGroup",
  "thingGroupArn": "arn:aws:iot:us-west-2:123456789012:thinggroup/MyGreengrassCoreGroup",
  "thingGroupId": "4df721e1-ff9f-4f97-92dd-02db4e3f03aa"
}

    2. 將 AWS IoT 物件新增至物件群組。

      • MyGreengrassCore 取代為您 AWS IoT 物件的名稱。

      • MyGreengrassCoreGroup 取代為物件群組的名稱。

      aws iot add-thing-to-thing-group --thing-name MyGreengrassCore --thing-group-name MyGreengrassCoreGroup

      如果請求成功,命令不會有任何輸出。

建立物件憑證

當您將裝置註冊為 AWS IoT 物件時,該裝置可以使用數位憑證進行身分驗證 AWS。此憑證可讓裝置與 AWS IoT 和 通訊 AWS IoT Greengrass。

在本節中,您可以建立和下載憑證,供裝置用來連線 AWS。

如果您想要將 AWS IoT Greengrass Core 軟體設定為使用硬體安全模組 (HSM) 來安全地存放私有金鑰和憑證,請依照以下步驟,從 HSM 中的私有金鑰建立憑證。否則,請依照步驟在 AWS IoT 服務中建立憑證和私有金鑰。硬體安全功能僅適用於 Linux 裝置。如需硬體安全性和使用需求的詳細資訊,請參閱硬體安全整合

在 AWS IoT 服務中建立憑證和私有金鑰

建立物件憑證

  1. 建立資料夾,以下載 AWS IoT 物件的憑證。

    mkdir greengrass-v2-certs

  2. 建立和下載 AWS IoT 物件的憑證。

    aws iot create-keys-and-certificate --set-as-active --certificate-pem-outfile greengrass-v2-certs/device.pem.crt --public-key-outfile greengrass-v2-certs/public.pem.key --private-key-outfile greengrass-v2-certs/private.pem.key

    如果請求成功,回應看起來與下列範例類似。

    {
  "certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
  "certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
  "certificatePem": "-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
 WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
 EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
 MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
 WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
 HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
 BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
 k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
 ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
 AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
 KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
 EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
 3rrszlaEXAMPLE=
-----END CERTIFICATE-----",
  "keyPair": {
    "PublicKey": "-----BEGIN PUBLIC KEY-----\
MIIBIjANBgkqhkEXAMPLEQEFAAOCAQ8AMIIBCgKCAQEAEXAMPLE1nnyJwKSMHw4h\
MMEXAMPLEuuN/dMAS3fyce8DW/4+EXAMPLEyjmoF/YVF/gHr99VEEXAMPLE5VF13\
59VK7cEXAMPLE67GK+y+jikqXOgHh/xJTwo+sGpWEXAMPLEDz18xOd2ka4tCzuWEXAMPLEahJbYkCPUBSU8opVkR7qkEXAMPLE1DR6sx2HocliOOLtu6Fkw91swQWEXAMPLE\\GB3ZPrNh0PzQYvjUStZeccyNCx2EXAMPLEvp9mQOUXP6plfgxwKRX2fEXAMPLEDa\
hJLXkX3rHU2xbxJSq7D+XEXAMPLEcw+LyFhI5mgFRl88eGdsAEXAMPLElnI9EesG\
FQIDAQAB\
-----END PUBLIC KEY-----\
",
    "PrivateKey": "-----BEGIN RSA PRIVATE KEY-----\
key omitted for security reasons\
-----END RSA PRIVATE KEY-----\
"
  }
}

    儲存憑證的 Amazon Resource Name (ARN),以便稍後用於設定憑證。

從 HSM 中的私有金鑰建立憑證

注意

此功能適用於 2.5.3 版及更新版本的 Greengrass 核元件。目前 AWS IoT Greengrass 不支援 Windows 核心裝置上的此功能。

建立物件憑證

  1. 在核心裝置上,初始化 HSM 中的 PKCS#11 權杖,並產生私有金鑰。私有金鑰必須是 RSA-2048 金鑰大小 (或更新版本) 或 ECC 金鑰的 RSA 金鑰。

    注意

    若要搭配 ECC 金鑰使用硬體安全模組,您必須使用 Greengrass nucleus v2.5.6 或更新版本。

    若要使用硬體安全模組和秘密管理員,您必須使用具有 RSA 金鑰的硬體安全模組。

    檢查您的 HSM 文件,了解如何初始化字符並產生私有金鑰。如果您的 HSM 支援物件 IDs,請在產生私有金鑰時指定物件 ID。儲存您初始化權杖和產生私有金鑰時指定的槽 ID、使用者 PIN、物件標籤、物件 ID (如果您的 HSM 使用)。稍後當您將物件憑證匯入 HSM 並設定 AWS IoT Greengrass Core 軟體時,您會使用這些值。

  2. 從私有金鑰建立憑證簽署請求 (CSR)。 AWS IoT 使用此 CSR 為您在 HSM 中產生的私有金鑰建立物件憑證。如需有關如何從私有金鑰建立 CSR 的資訊,請參閱 HSM 的文件。CSR 是 檔案,例如 iotdevicekey.csr

  3. 將 CSR 從裝置複製到您的開發電腦。如果在開發電腦和裝置上啟用 SSH 和 SCP,您可以使用開發電腦上的 scp命令來傳輸 CSR。將 device-ip-address 取代為裝置的 IP 地址,並將 ~/iotdevicekey.csr 取代為裝置上的 CSR 檔案路徑。

    scp device-ip-address:~/iotdevicekey.csr iotdevicekey.csr

  4. 在開發電腦上,建立資料夾,供您下載 AWS IoT 物件的憑證。

    mkdir greengrass-v2-certs

  5. 使用 CSR 檔案來建立物件 AWS IoT 的憑證,並將其下載到您的開發電腦。

    aws iot create-certificate-from-csr --set-as-active --certificate-signing-request=file://iotdevicekey.csr --certificate-pem-outfile greengrass-v2-certs/device.pem.crt

    如果請求成功,回應看起來與下列範例類似。

    {
  "certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
  "certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
  "certificatePem": "-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
 WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
 EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
 MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
 WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
 HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
 BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
 k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
 ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
 AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
 KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
 EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
 3rrszlaEXAMPLE=
-----END CERTIFICATE-----"
}

    儲存憑證的 ARN,以便稍後用來設定憑證。

設定物件憑證

將物件憑證連接至您先前建立的 AWS IoT 物件,並將政策 AWS IoT 新增至憑證,以定義核心裝置的 AWS IoT 許可。

設定物件的憑證

  1. 將憑證連接到 AWS IoT 物件。

    • MyGreengrassCore 取代為您物件的名稱 AWS IoT 。

    • 將憑證 Amazon Resource Name (ARN) 取代為您在上一個步驟中建立之憑證的 ARN。

    aws iot attach-thing-principal --thing-name MyGreengrassCore --principal arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

    如果請求成功,命令不會有任何輸出。

  2. 建立並連接 AWS IoT 政策,以定義 Greengrass 核心裝置的 AWS IoT 許可。下列政策允許存取所有 MQTT 主題和 Greengrass 操作,因此您的裝置可以使用需要新的 Greengrass 操作的自訂應用程式和未來變更。您可以根據使用案例來限制此政策。如需詳細資訊,請參閱AWS IoT Greengrass V2 核心裝置的最低 AWS IoT 政策

    如果您之前已設定 Greengrass 核心裝置,您可以連接其 AWS IoT 政策,而不是建立新的政策。

    請執行下列操作:

    1. 建立檔案,其中包含 Greengrass 核心裝置所需的 AWS IoT 政策文件。

      例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。

      nano greengrass-v2-iot-policy.json

      將下列 JSON 複製到 檔案。

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iot:Publish",
        "iot:Subscribe",
        "iot:Receive",
        "iot:Connect",
        "greengrass:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

    2. 從 AWS IoT 政策文件建立政策。

      • GreengrassV2IoTThingPolicy 取代為要建立的政策名稱。

      aws iot create-policy --policy-name GreengrassV2IoTThingPolicy --policy-document file://greengrass-v2-iot-policy.json

      如果請求成功,回應看起來與下列範例類似。

      {
  "policyName": "GreengrassV2IoTThingPolicy",
  "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy",
  "policyDocument": "{
    \\"Version\\": \\"2012-10-17\\",
    \\"Statement\\": [
      {
        \\"Effect\\": \\"Allow\\",
        \\"Action\\": [
          \\"iot:Publish\\",
          \\"iot:Subscribe\\",
          \\"iot:Receive\\",
          \\"iot:Connect\\",
          \\"greengrass:*\\"
        ],
        \\"Resource\\": [
          \\"*\\"
        ]
      }
    ]
  }",
  "policyVersionId": "1"
}

    3. 將 AWS IoT 政策連接至 AWS IoT 物件的憑證。

      • GreengrassV2IoTThingPolicy 取代為要連接的政策名稱。

      • 將目標 ARN 取代為物件 AWS IoT 憑證的 ARN。

      aws iot attach-policy --policy-name GreengrassV2IoTThingPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

      如果請求成功,命令不會有任何輸出。

建立權杖交換角色

Greengrass 核心裝置使用稱為字符交換角色的 IAM 服務角色來授權對 AWS 服務的呼叫。裝置使用 AWS IoT 登入資料提供者來取得此角色的臨時 AWS 登入資料,這可讓裝置與 互動 AWS IoT、將日誌傳送至 Amazon CloudWatch Logs,以及從 Amazon S3 下載自訂元件成品。如需詳細資訊,請參閱授權核心裝置與服務 AWS 互動

您可以使用 AWS IoT 角色別名來設定 Greengrass 核心裝置的字符交換角色。角色別名可讓您變更裝置的字符交換角色,但保持裝置組態相同。如需詳細資訊,請參閱《 AWS IoT Core 開發人員指南》中的授權對 AWS 服務的直接呼叫

在本節中,您會建立權杖交換 IAM 角色和指向角色 AWS IoT 的角色別名。如果您已經設定 Greengrass 核心裝置,您可以使用其字符交換角色和角色別名,而不是建立新的角色。然後,您將裝置的 AWS IoT 物件設定為使用該角色和別名。

建立權杖交換 IAM 角色

  1. 建立 IAM 角色,您的裝置可以用作字符交換角色。請執行下列操作:

    1. 建立包含權杖交換角色所需信任政策文件的檔案。

      例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。

      nano device-role-trust-policy.json

      將下列 JSON 複製到 檔案。

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "credentials.iot.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    2. 使用信任政策文件建立權杖交換角色。

      • GreengrassV2TokenExchangeRole 取代為要建立的 IAM 角色名稱。

      aws iam create-role --role-name GreengrassV2TokenExchangeRole --assume-role-policy-document file://device-role-trust-policy.json

      如果請求成功,回應看起來與下列範例類似。

      {
  "Role": {
    "Path": "/",
    "RoleName": "GreengrassV2TokenExchangeRole",
    "RoleId": "AROAZ2YMUHYHK5OKM77FB",
    "Arn": "arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
    "CreateDate": "2021-02-06T00:13:29+00:00",
    "AssumeRolePolicyDocument": {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Service": "credentials.iot.amazonaws.com"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
  }

    3. 建立檔案,其中包含權杖交換角色所需的存取政策文件。

      例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。

      nano device-role-access-policy.json

      將下列 JSON 複製到 檔案。

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams",
        "s3:GetBucketLocation"
      ],
      "Resource": "*"
    }
  ]
}
      注意

      此存取政策不允許存取 S3 儲存貯體中的元件成品。若要部署自訂元件來定義 Amazon S3 中的成品,您必須將許可新增至角色,以允許核心裝置擷取元件成品。如需詳細資訊,請參閱允許存取元件成品的 S3 儲存貯體

      如果您還沒有元件成品的 S3 儲存貯體,您可以在建立儲存貯體之後新增這些許可。

    4. 從政策文件中建立 IAM 政策。

      • GreengrassV2TokenExchangeRoleAccess 取代為要建立的 IAM 政策名稱。

      aws iam create-policy --policy-name GreengrassV2TokenExchangeRoleAccess --policy-document file://device-role-access-policy.json

      如果請求成功,回應看起來與下列範例類似。

      {
  "Policy": {
    "PolicyName": "GreengrassV2TokenExchangeRoleAccess",
    "PolicyId": "ANPAZ2YMUHYHACI7C5Z66",
    "Arn": "arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
    "Path": "/",
    "DefaultVersionId": "v1",
    "AttachmentCount": 0,
    "PermissionsBoundaryUsageCount": 0,
    "IsAttachable": true,
    "CreateDate": "2021-02-06T00:37:17+00:00",
    "UpdateDate": "2021-02-06T00:37:17+00:00"
  }
}

    5. 將 IAM 政策連接至權杖交換角色。

      • GreengrassV2TokenExchangeRole 取代為 IAM 角色的名稱。

      • 將政策 ARN 取代為您在上一個步驟中建立的 IAM 政策 ARN。

      aws iam attach-role-policy --role-name GreengrassV2TokenExchangeRole --policy-arn arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess

      如果請求成功,命令不會有任何輸出。

  2. 建立指向字符交換 AWS IoT 角色的角色別名。

    • 以要建立的角色別名名稱取代 GreengrassCoreTokenExchangeRoleAlias

    • 將角色 ARN 取代為您在上一個步驟中建立的 IAM 角色 ARN。

    aws iot create-role-alias --role-alias GreengrassCoreTokenExchangeRoleAlias --role-arn arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole

    如果請求成功,回應看起來與下列範例類似。

    {
  "roleAlias": "GreengrassCoreTokenExchangeRoleAlias",
  "roleAliasArn": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
}
    注意

    若要建立角色別名,您必須具有將字符交換 IAM 角色傳遞至 的許可 AWS IoT。如果您在嘗試建立角色別名時收到錯誤訊息,請檢查您的 AWS 使用者是否具有此許可。如需詳細資訊,請參閱《 AWS Identity and Access Management 使用者指南》中的授予使用者將角色傳遞至 AWS 服務的許可

  3. 建立並連接 AWS IoT 政策,讓您的 Greengrass 核心裝置使用角色別名來擔任字符交換角色。如果您之前已設定 Greengrass 核心裝置,您可以連接其角色別名 AWS IoT 政策,而不是建立新的角色別名政策。請執行下列操作:

    1. (選用) 建立檔案,其中包含角色別名所需的 AWS IoT 政策文件。

      例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。

      nano greengrass-v2-iot-role-alias-policy.json

      將下列 JSON 複製到 檔案。

      • 使用角色別名的 ARN 取代資源 ARN。

      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iot:AssumeRoleWithCertificate",
      "Resource": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
    }
  ]
}

    2. 從 AWS IoT 政策文件建立政策。

      • GreengrassCoreTokenExchangeRoleAliasPolicy 取代為要建立 AWS IoT 的政策名稱。

      aws iot create-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --policy-document file://greengrass-v2-iot-role-alias-policy.json

      如果請求成功,回應看起來與下列範例類似。

      {
  "policyName": "GreengrassCoreTokenExchangeRoleAliasPolicy",
  "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassCoreTokenExchangeRoleAliasPolicy",
  "policyDocument": "{
    \\"Version\\":\\"2012-10-17\\",
    \\"Statement\\": [
      {
        \\"Effect\\": \\"Allow\\",
        \\"Action\\": \\"iot:AssumeRoleWithCertificate\\",
        \\"Resource\\": \\"arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias\\"
      }
    ]
  }",
  "policyVersionId": "1"
}

    3. 將 AWS IoT 政策連接至 AWS IoT 物件的憑證。

      • GreengrassCoreTokenExchangeRoleAliasPolicy 取代為角色別名 AWS IoT 政策的名稱。

      • 將目標 ARN 取代為物件 AWS IoT 憑證的 ARN。

      aws iot attach-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

      如果請求成功,命令不會有任何輸出。

下載憑證至裝置

稍早,您已將裝置的憑證下載到開發電腦。在本節中,您將憑證複製到您的核心裝置,以使用用於連線的憑證來設定裝置 AWS IoT。您也可以下載 Amazon 根憑證授權機構 (CA) 憑證。如果您使用 HSM,您也可以將憑證檔案匯入本節中的 HSM。

  • 如果您先前已在 AWS IoT 服務中建立物件憑證和私有金鑰,請依照步驟下載具有私有金鑰和憑證檔案的憑證。

  • 如果您先前從硬體安全模組 (HSM) 中的私有金鑰建立物件憑證,請依照步驟下載 HSM 中具有私有金鑰和憑證的憑證。

使用私有金鑰和憑證檔案下載憑證

將憑證下載至裝置

  1. 將 AWS IoT 物件憑證從開發電腦複製到裝置。如果在開發電腦和裝置上啟用 SSH 和 SCP,您可以使用開發電腦上的 scp命令來傳輸憑證。將 device-ip-address 取代為您裝置的 IP 地址。

    scp -r greengrass-v2-certs/ device-ip-address:~

  2. 在裝置上建立 Greengrass 根資料夾。您稍後將安裝 AWS IoT Greengrass Core 軟體到此資料夾。

    注意

    Windows 的路徑長度限制為 260 個字元。如果您使用的是 Windows,請使用根資料夾,例如 C:\greengrass\v2D:\greengrass\v2 ,將 Greengrass 元件路徑保持在 260 個字元限制以下。

    Linux or Unix

    • /greengrass/v2 將 取代為要使用的資料夾。

    sudo mkdir -p /greengrass/v2
    Windows Command Prompt

    • C:\greengrass\v2 取代為要使用的資料夾。

    mkdir C:\greengrass\v2
    PowerShell

    • C:\greengrass\v2 取代為要使用的資料夾。

    mkdir C:\greengrass\v2
    anchoranchoranchor

    • /greengrass/v2 將 取代為要使用的資料夾。

    sudo mkdir -p /greengrass/v2

  3. (僅限 Linux) 設定 Greengrass 根資料夾父項的許可。

    • /greengrass 取代為根資料夾的父系。

    sudo chmod 755 /greengrass

  4. 將 AWS IoT 物件憑證複製到 Greengrass 根資料夾。

    Linux or Unix

    • /greengrass/v2 將 取代為 Greengrass 根資料夾。

    sudo cp -R ~/greengrass-v2-certs/* /greengrass/v2
    Windows Command Prompt

    • C:\greengrass\v2 取代為要使用的資料夾。

    robocopy %USERPROFILE%\greengrass-v2-certs C:\greengrass\v2 /E
    PowerShell

    • C:\greengrass\v2 取代為要使用的資料夾。

    cp -Path ~\greengrass-v2-certs\* -Destination C:\greengrass\v2
    anchoranchoranchor

    • /greengrass/v2 將 取代為 Greengrass 根資料夾。

    sudo cp -R ~/greengrass-v2-certs/* /greengrass/v2

  5. 下載 Amazon 根憑證授權機構 (CA) 憑證。 AWS IoT 憑證預設會與 Amazon 根 CA 憑證相關聯。下載 CA1 憑證和 CA3 憑證

    Linux or Unix

    • /greengrass/v2C:\greengrass\v2 取代為 Greengrass 根資料夾。

    sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem
    Windows Command Prompt (CMD)
    curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
    PowerShell
    iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
    anchoranchoranchor

    • /greengrass/v2C:\greengrass\v2 取代為 Greengrass 根資料夾。

    sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem

下載 HSM 中具有私有金鑰和憑證的憑證

注意

此功能適用於 2.5.3 版及更新版本的 Greengrass 核元件。目前 AWS IoT Greengrass 不支援 Windows 核心裝置上的此功能。

將憑證下載至裝置

  1. 將 AWS IoT 物件憑證從開發電腦複製到裝置。如果在開發電腦和裝置上啟用 SSH 和 SCP,您可以使用開發電腦上的 scp命令來傳輸憑證。將 device-ip-address 取代為您裝置的 IP 地址。

    scp -r greengrass-v2-certs/ device-ip-address:~

  2. 在裝置上建立 Greengrass 根資料夾。您稍後將安裝 AWS IoT Greengrass Core 軟體到此資料夾。

    注意

    Windows 的路徑長度限制為 260 個字元。如果您使用的是 Windows,請使用根資料夾,例如 C:\greengrass\v2D:\greengrass\v2 ,將 Greengrass 元件路徑保持在 260 個字元限制以下。

    Linux or Unix

    • /greengrass/v2 將 取代為要使用的資料夾。

    sudo mkdir -p /greengrass/v2
    Windows Command Prompt

    • C:\greengrass\v2 取代為要使用的資料夾。

    mkdir C:\greengrass\v2
    PowerShell

    • C:\greengrass\v2 取代為要使用的資料夾。

    mkdir C:\greengrass\v2
    anchoranchoranchor

    • /greengrass/v2 將 取代為要使用的資料夾。

    sudo mkdir -p /greengrass/v2

  3. (僅限 Linux) 設定 Greengrass 根資料夾父系的許可。

    • /greengrass 取代為根資料夾的父系。

    sudo chmod 755 /greengrass

  4. 將物件憑證檔案 匯入 ~/greengrass-v2-certs/device.pem.crtHSM。檢查 HSM 的文件,了解如何將憑證匯入其中。使用您先前在 HSM 中產生私有金鑰的相同字符、槽 ID、使用者 PIN、物件標籤和物件 ID (如果您的 HSM 使用) 匯入憑證。

    注意

    如果您先前在沒有物件 ID 的情況下產生私有金鑰,且憑證具有物件 ID,請將私有金鑰的物件 ID 設定為與憑證相同的值。檢查 HSM 的文件,了解如何設定私有金鑰物件的物件 ID。

  5. (選用) 刪除物件憑證檔案,使其僅存在於 HSM 中。

    rm ~/greengrass-v2-certs/device.pem.crt

  6. 下載 Amazon 根憑證授權機構 (CA) 憑證。 AWS IoT 憑證預設會與 Amazon 根 CA 憑證相關聯。同時下載 CA1 和 CA3 憑證

    Linux or Unix

    • /greengrass/v2C:\greengrass\v2 取代為 Greengrass 根資料夾。

    sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem
    Windows Command Prompt (CMD)
    curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
    PowerShell
    iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
    anchoranchoranchor

    • /greengrass/v2C:\greengrass\v2 取代為 Greengrass 根資料夾。

    sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem

設定裝置環境

請依照本節中的步驟設定 Linux 或 Windows 裝置,以用作您的 AWS IoT Greengrass 核心裝置。

設定 Linux 裝置

為 設定 Linux 裝置 AWS IoT Greengrass V2

  1. 安裝 AWS IoT Greengrass 核心軟體執行所需的 Java 執行期。建議您使用 Amazon CorrettoOpenJDK 長期支援版本。第 8 版或更新版本為必要項目。下列命令說明如何在裝置上安裝 OpenJDK。

    • 針對 Debian 為基礎或 Ubuntu 為基礎的發行版本:

      sudo apt install default-jdk

    • 針對 Red Hat 為基礎的發行版本:

      sudo yum install java-11-openjdk-devel

    • 針對 Amazon Linux 2:

      sudo amazon-linux-extras install java-openjdk11

    • 針對 Amazon Linux 2023:

      sudo dnf install java-11-amazon-corretto -y

    安裝完成時,請執行下列命令,以確認 Java 在您的 Linux 裝置上執行。

    java -version

    命令會列印在裝置上執行的 Java 版本。例如,在 Debian 型分佈上,輸出看起來可能會類似下列範例。

    openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)

  2. (選用) 建立在裝置上執行元件的預設系統使用者和群組。您也可以選擇讓 AWS IoT Greengrass Core 軟體安裝程式在安裝期間使用--component-default-user安裝程式引數建立此使用者和群組。如需詳細資訊,請參閱安裝程式引數

    sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group

  3. 確認執行 AWS IoT Greengrass Core 軟體的使用者 (通常為 root) 具有許可,可sudo搭配任何使用者和任何群組執行 。

    1. 執行下列命令以開啟 /etc/sudoers 檔案。

      sudo visudo

    2. 確認使用者的許可如下所示。

      root    ALL=(ALL:ALL) ALL

  4. (選用) 若要執行容器化 Lambda 函數,您必須啟用 cgroups v1,而且必須啟用和掛載記憶體裝置 cgroups。如果您不打算執行容器化 Lambda 函數,您可以略過此步驟。

    若要啟用這些 cgroups 選項,請使用下列 Linux 核心參數啟動裝置。

    cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0

    如需有關檢視和設定裝置核心參數的資訊,請參閱作業系統和開機載入器的文件。依照指示永久設定核心參數。

  5. 在裝置上安裝所有其他必要的相依性,如 中的需求清單所示裝置要求

設定 Windows 裝置

注意

此功能適用於 Greengrass 核元件的 v2.5.0 和更新版本。

為 設定 Windows 裝置 AWS IoT Greengrass V2

  1. 安裝 AWS IoT Greengrass 核心軟體執行所需的 Java 執行期。我們建議您使用 Amazon CorrettoOpenJDK 長期支援版本。第 8 版或更新版本為必要項目。

  2. 檢查 PATH 系統變數上是否提供 Java,如果沒有,請新增 Java。LocalSystem 帳戶會執行 AWS IoT Greengrass Core 軟體,因此您必須將 Java 新增至 PATH 系統變數,而不是使用者的 PATH 使用者變數。請執行下列操作:

    1. 按 Windows 鍵開啟開始選單。

    2. 輸入 environment variables 以從開始功能表搜尋系統選項。

    3. 在開始功能表搜尋結果中,選擇編輯系統環境變數以開啟系統屬性視窗。

    4. 選擇環境變數...以開啟環境變數視窗。

    5. 系統變數下,選取路徑,然後選擇編輯。在編輯環境變數視窗中,您可以檢視個別行上的每個路徑。

    6. 檢查 Java 安裝bin資料夾的路徑是否存在。路徑看起來可能會類似下列範例。

      C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin

    7. 如果路徑中缺少 Java 安裝的bin資料夾,請選擇新增以新增,然後選擇確定

  3. 以管理員身分開啟 Windows 命令提示字元 (cmd.exe)。

  4. 在 Windows 裝置上的 LocalSystem 帳戶中建立預設使用者。將密碼取代為安全密碼。

    net user /add ggc_user password
    提示

    根據您的 Windows 組態,使用者的密碼可能會設定為在未來的日期過期。為了確保您的 Greengrass 應用程式持續運作,請追蹤密碼過期的時間,並在過期之前更新它。您也可以將使用者的密碼設定為永不過期。

    • 若要檢查使用者及其密碼何時過期,請執行下列命令。

      net user ggc_user | findstr /C:expires

    • 若要將使用者的密碼設定為永不過期,請執行下列命令。

      wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False

    • 如果您使用的是已wmic棄用命令的 Windows 10 或更新版本,請執行下列 PowerShell 命令。

      Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}

  5. 在裝置上從 Microsoft 下載並安裝 PsExec 公用程式

  6. 使用 PsExec 公用程式,將預設使用者的使用者名稱和密碼存放在 LocalSystem 帳戶的 Credential Manager 執行個體中。將密碼取代為您先前設定的使用者密碼。

    psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password

    如果 PsExec License Agreement開啟,請選擇 以Accept同意授權並執行 命令。

    注意

    在 Windows 裝置上,LocalSystem 帳戶會執行 Greengrass 核,而且您必須使用 PsExec 公用程式將預設使用者資訊存放在 LocalSystem 帳戶中。使用 Credential Manager 應用程式會將此資訊存放在目前登入使用者的 Windows 帳戶中,而不是 LocalSystem 帳戶。

下載 AWS IoT Greengrass 核心軟體

您可以從下列位置下載最新版本 AWS IoT Greengrass 的核心軟體:

注意

您可以從下列位置下載特定版本的 AWS IoT Greengrass Core 軟體。將版本取代為要下載的版本。

https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
下載 AWS IoT Greengrass Core 軟體

  1. 在您的核心裝置上,將 AWS IoT Greengrass Core 軟體下載至名為 的檔案greengrass-nucleus-latest.zip

    Linux or Unix
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
    Windows Command Prompt (CMD)
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
    PowerShell
    iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
    anchoranchoranchor
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

    下載此軟體,即表示您同意 Greengrass 核心軟體授權合約之規定。

  2. (選用) 驗證 Greengrass 核軟體簽章

    注意

    此功能適用於 Greengrass nucleus 2.9.5 版及更新版本。

    1. 使用下列命令來驗證 Greengrass 核子成品的簽章:

      Linux or Unix
      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
      Windows Command Prompt (CMD)

      檔案名稱看起來可能會有所不同,視您安裝的 JDK 版本而定。jdk17.0.6_10 將 取代為您安裝的 JDK 版本。

      "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
      PowerShell

      檔案名稱看起來可能會有所不同,視您安裝的 JDK 版本而定。jdk17.0.6_10 將 取代為您安裝的 JDK 版本。

      'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
      anchoranchoranchor
      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

    2. jarsigner 調用會產生輸出,指出驗證結果。

      1. 如果已簽署 Greengrass 核 zip 檔案,輸出會包含下列陳述式:

        jar verified.

      2. 如果未簽署 Greengrass 核 zip 檔案,輸出會包含下列陳述式:

        jar is unsigned.

    3. 如果您提供 Jarsigner -certs選項以及 -verify-verbose選項,輸出也會包含詳細的簽署者憑證資訊。

  3. 將 AWS IoT Greengrass Core 軟體解壓縮至裝置上的資料夾。將 GreengrassInstaller 取代為您要使用的資料夾。

    Linux or Unix
    unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
    Windows Command Prompt (CMD)
    mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
    PowerShell
    Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
    anchoranchoranchor
    unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

  4. (選用) 執行下列命令以查看 AWS IoT Greengrass Core 軟體的版本。

    java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
重要

如果您安裝比 v2.4.0 更早的 Greengrass 核版本,安裝 AWS IoT Greengrass Core 軟體後請勿移除此資料夾。Core AWS IoT Greengrass 軟體會使用此資料夾中的檔案來執行。

如果您下載最新版本的軟體,請安裝 v2.4.0 或更新版本,並在安裝 AWS IoT Greengrass Core 軟體後移除此資料夾。

安裝 AWS IoT Greengrass Core 軟體

使用指定下列動作的引數執行安裝程式:

  • 從指定 的部分組態檔案安裝 ,以使用 AWS 您先前建立的資源和憑證。Core AWS IoT Greengrass 軟體使用組態檔案,指定裝置上每個 Greengrass 元件的組態。安裝程式會從您提供的部分組態檔案建立完整的組態檔案。

  • 指定 使用ggc_user系統使用者在核心裝置上執行軟體元件。在 Linux 裝置上,此命令也會指定 使用ggc_group系統群組,而安裝程式會為您建立系統使用者和群組。

  • 將 AWS IoT Greengrass Core 軟體設定為開機時執行的系統服務。在 Linux 裝置上,這需要 Systemd init 系統。

    重要

    在 Windows 核心裝置上,您必須將 AWS IoT Greengrass Core 軟體設定為系統服務。

如需可指定引數的詳細資訊,請參閱 安裝程式引數

注意

如果您在記憶體有限的 AWS IoT Greengrass 裝置上執行,您可以控制 AWS IoT Greengrass Core 軟體使用的記憶體量。若要控制記憶體配置,您可以在 核子元件的jvmOptions組態參數中設定 JVM 堆積大小選項。如需詳細資訊,請參閱使用 JVM 選項控制記憶體配置

  • 如果您先前已在 AWS IoT 服務中建立物件憑證和私有金鑰,請依照步驟安裝具有私有金鑰和憑證檔案 AWS IoT Greengrass 的核心軟體。

  • 如果您先前從硬體安全模組 (HSM) 中的私有金鑰建立物件憑證,請依照以下步驟,在 HSM 中安裝具有私有金鑰和憑證 AWS IoT Greengrass 的核心軟體。

使用私有金鑰和憑證檔案安裝 AWS IoT Greengrass 核心軟體

安裝 AWS IoT Greengrass Core 軟體

  1. 檢查 AWS IoT Greengrass Core 軟體的版本。

    • GreengrassInstaller 取代為包含 軟體之資料夾的路徑。

    java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

  2. 使用文字編輯器來建立名為 的組態檔案config.yaml,以提供給安裝程式。

    例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。

    nano GreengrassInstaller/config.yaml

    將下列 YAML 內容複製到 檔案。此部分組態檔案會指定系統參數和 Greengrass 核參數。

    ---
system:
  certificateFilePath: "/greengrass/v2/device.pem.crt"
  privateKeyPath: "/greengrass/v2/private.pem.key"
  rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
  rootpath: "/greengrass/v2"
  thingName: "MyGreengrassCore"
services:
  aws.greengrass.Nucleus:
    componentType: "NUCLEUS"
    version: "2.14.0"
    configuration:
      awsRegion: "us-west-2"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      fipsMode: "true"
      iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
      greengrassDataPlaneEndpoint: "iotData"
      iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"

    然後,執行下列動作:

    • 將 的每個執行個體取代/greengrass/v2為 Greengrass 根資料夾。

    • MyGreengrassCore 取代為 AWS IoT 物件的名稱。

    • 2.14.0 取代為 AWS IoT Greengrass 核心軟體版本。

    • us-west-2 取代 AWS 區域 為您建立資源的 。

    • 以字符交換角色別名的名稱取代 GreengrassCoreTokenExchangeRoleAlias

    • iotDataEndpoint 取代為您的 AWS IoT 資料端點。

    • iotCredEndpoint 取代為您的 AWS IoT 登入資料端點。

  3. 執行安裝程式,並指定 --init-config以提供組態檔案。

    • /greengrass/v2C:\greengrass\v2 取代為 Greengrass 根資料夾。

    • GreengrassInstaller 的每個執行個體取代為您解壓縮安裝程式的資料夾。

    Linux or Unix
    sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --init-config ./GreengrassInstaller/config.yaml \
  --component-default-user ggc_user:ggc_group \
  --setup-system-service true
    Windows Command Prompt (CMD)
    java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
  -jar ./GreengrassInstaller/lib/Greengrass.jar ^
  --init-config ./GreengrassInstaller/config.yaml ^
  --component-default-user ggc_user ^
  --setup-system-service true
    PowerShell
    java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
  -jar ./GreengrassInstaller/lib/Greengrass.jar `
  --init-config ./GreengrassInstaller/config.yaml `
  --component-default-user ggc_user `
  --setup-system-service true
    anchoranchoranchor
    sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --init-config ./GreengrassInstaller/config.yaml \
  --component-default-user ggc_user:ggc_group \
  --setup-system-service true
    重要

    在 Windows 核心裝置上,您必須指定 將 AWS IoT Greengrass 核心軟體--setup-system-service true設定為系統服務。

    如果您指定 --setup-system-service trueSuccessfully set up Nucleus as a system service安裝程式會在設定和執行軟體時列印為系統服務。否則,如果安裝程式成功安裝軟體,就不會輸出任何訊息。

    注意

    當您在沒有 deploy-dev-tools 引數的情況下執行安裝程式時,無法使用 --provision true引數來部署本機開發工具。如需直接在您的裝置上部署 Greengrass CLI 的相關資訊,請參閱Greengrass 命令列界面

  4. 檢視根資料夾中的檔案來驗證安裝。

    Linux or Unix
    ls /greengrass/v2
    Windows Command Prompt (CMD)
    dir C:\greengrass\v2
    PowerShell
    ls C:\greengrass\v2
    anchoranchoranchor
    ls /greengrass/v2

    如果安裝成功,根資料夾包含數個資料夾,例如 configpackageslogs

在 HSM 中安裝具有私有金鑰和憑證 AWS IoT Greengrass 的核心軟體

注意

此功能適用於 2.5.3 版及更新版本的 Greengrass 核元件。目前 AWS IoT Greengrass 不支援 Windows 核心裝置上的此功能。

安裝 AWS IoT Greengrass Core 軟體

  1. 檢查 AWS IoT Greengrass Core 軟體的版本。

    • GreengrassInstaller 取代為包含 軟體之資料夾的路徑。

    java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

  2. 若要讓 AWS IoT Greengrass Core 軟體在 HSM 中使用私有金鑰和憑證,請在安裝 AWS IoT Greengrass Core 軟體時安裝 PKCS#11 提供者元件。PKCS#11 提供者元件是一種外掛程式,您可以在安裝期間設定。您可以從下列位置下載最新版本的 PKCS#11 提供者元件:

    將 PKCS#11 供應商外掛程式下載至名為 的檔案aws.greengrass.crypto.Pkcs11Provider.jar。將 GreengrassInstaller 取代為您要使用的資料夾。

    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar > GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar

    下載此軟體,即表示您同意 Greengrass 核心軟體授權合約之規定。

  3. 使用文字編輯器來建立名為 的組態檔案config.yaml,以提供給安裝程式。

    例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。

    nano GreengrassInstaller/config.yaml

    將下列 YAML 內容複製到 檔案。此部分組態檔案會指定系統參數、Greengrass 核參數和 PKCS#11 提供者參數。

    ---
system:
  certificateFilePath: "/greengrass/v2/device.pem.crt"
  privateKeyPath: "/greengrass/v2/private.pem.key"
  rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
  rootpath: "/greengrass/v2"
  thingName: "MyGreengrassCore"
services:
  aws.greengrass.Nucleus:
    componentType: "NUCLEUS"
    version: "2.14.0"
    configuration:
      awsRegion: "us-west-2"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      fipsMode: "true"
      iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
      greengrassDataPlaneEndpoint: "iotData"
      iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"

    然後,執行下列動作:

    • 將 PKCS#11 URIs 中的每個 iotdevicekey 執行個體取代為您建立私有金鑰並匯入憑證的物件標籤。

    • 將 的每個執行個體取代/greengrass/v2為 Greengrass 根資料夾。

    • MyGreengrassCore 取代為 AWS IoT 物件的名稱。

    • 2.14.0 取代為 AWS IoT Greengrass 核心軟體版本。

    • us-west-2 取代 AWS 區域 為您建立資源的 。

    • 以字符交換角色別名的名稱取代 GreengrassCoreTokenExchangeRoleAlias

    • 將 取代iotDataEndpoint為您的 AWS IoT 資料端點。

    • 將 AWS IoT 取代iotCredEndpoint為您的登入資料端點。

    • aws.greengrass.crypto.Pkcs11Provider元件的組態參數取代為核心裝置上的 HSM 組態值。

  4. 執行安裝程式,並指定 --init-config以提供組態檔案。

    • /greengrass/v2 將 取代為 Greengrass 根資料夾。

    • GreengrassInstaller 的每個執行個體取代為您解壓縮安裝程式的資料夾。

    sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --trusted-plugin ./GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar \
  --init-config ./GreengrassInstaller/config.yaml \
  --component-default-user ggc_user:ggc_group \
  --setup-system-service true
    重要

    在 Windows 核心裝置上,您必須指定 將 AWS IoT Greengrass 核心軟體--setup-system-service true設定為系統服務。

    如果您指定 --setup-system-service trueSuccessfully set up Nucleus as a system service安裝程式會在設定和執行軟體時列印為系統服務。否則,如果安裝程式成功安裝軟體,就不會輸出任何訊息。

    注意

    當您在沒有 deploy-dev-tools 引數的情況下執行安裝程式時,無法使用 --provision true引數來部署本機開發工具。如需直接在您的裝置上部署 Greengrass CLI 的相關資訊,請參閱Greengrass 命令列界面

  5. 檢視根資料夾中的檔案來驗證安裝。

    Linux or Unix
    ls /greengrass/v2
    Windows Command Prompt (CMD)
    dir C:\greengrass\v2
    PowerShell
    ls C:\greengrass\v2
    anchoranchoranchor
    ls /greengrass/v2

    如果安裝成功,根資料夾包含數個資料夾,例如 configpackageslogs

如果您將 AWS IoT Greengrass Core 軟體安裝為系統服務,安裝程式會為您執行軟體。否則,您必須手動執行軟體。如需詳細資訊,請參閱執行 AWS IoT Greengrass Core 軟體

如需如何設定和使用 軟體的詳細資訊 AWS IoT Greengrass,請參閱下列內容:

使用機群佈建安裝 FIPS 端點

此功能適用於 Greengrass 核元件的 v2.4.0 和更新版本。

在 AWS IoT Greengrass Core 軟體上安裝 FIPS 端點,並為您的核心裝置佈建 AWS IoT 機群。

注意

機群佈建外掛程式目前不支援在硬體安全模組 (HSM) 中儲存私有金鑰和憑證檔案。若要使用 HSM,請使用手動佈建安裝 AWS IoT Greengrass Core 軟體。

若要使用機 AWS IoT 群佈建安裝 AWS IoT Greengrass 核心軟體,您必須在 中設定 資源 AWS 帳戶 ,以 AWS IoT 使用 來佈建 Greengrass 核心裝置。這些資源包括佈建範本、宣告憑證和權杖交換 IAM 角色。建立這些資源之後,您可以重複使用這些資源,在機群中佈建多個核心裝置。如需詳細資訊,請參閱設定 Greengrass 核心裝置的 AWS IoT 機群佈建

重要

下載 AWS IoT Greengrass Core 軟體之前,請檢查您的核心裝置是否符合安裝和執行 AWS IoT Greengrass Core 軟體 v2.0 的需求

先決條件

若要使用機 AWS IoT 群佈建安裝 AWS IoT Greengrass 核心軟體,您必須先為 Greengrass 核心裝置設定 AWS IoT 機群佈建。完成這些步驟一次後,您可以使用機群佈建,在任何數量的裝置上安裝 AWS IoT Greengrass Core 軟體。

擷取 AWS IoT 端點

取得您 的 FIPS 端點 AWS 帳戶,並將其儲存以供稍後使用。您的裝置使用這些端點來連線 AWS IoT。請執行下列操作:

  1. 在 FIPS 資料AWS IoT Core 平面端點中取得您區域的 FIPS 資料端點。您 的 FIPS 資料端點看起來 AWS 帳戶 應該如下所示:https://data.iot-fips.us-west-2.amazonaws.com

  2. 在 FIPS AWS IoT Core 資料平面端點中取得您區域的 FIPS 登入資料端點。您 的 FIPS 登入資料端點看起來 AWS 帳戶 應該如下所示:https://data.credentials.iot-fips.us-west-2.amazonaws.com

下載憑證至裝置

裝置使用宣告憑證和私有金鑰來驗證其佈建 AWS 資源和取得 X.509 裝置憑證的請求。您可以在製造期間將宣告憑證和私有金鑰嵌入裝置,或在安裝期間將憑證和金鑰複製到裝置。在本節中,您將宣告憑證和私有金鑰複製到裝置。您也可以下載 Amazon 根憑證授權機構 (CA) 憑證到裝置。

重要

佈建宣告私有金鑰應隨時受到保護,包括在 Greengrass 核心裝置上。我們建議您使用 Amazon CloudWatch 指標和日誌來監控是否有濫用跡象,例如未經授權使用宣告憑證佈建裝置。如果您偵測到誤用,請停用佈建宣告憑證,使其無法用於裝置佈建。如需詳細資訊,請參閱《 AWS IoT Core 開發人員指南》中的監控 AWS IoT

為了協助您更妥善地管理在 中自行註冊的裝置數量, AWS 帳戶您可以在建立機群佈建範本時指定預先佈建掛鉤。預先佈建勾點是驗證裝置在註冊期間提供的範本參數的 AWS Lambda 函數。例如,您可以建立預先佈建掛鉤,檢查資料庫的裝置 ID,以確認裝置具有佈建的許可。如需詳細資訊,請參閱《 AWS IoT Core 開發人員指南》中的預先佈建掛鉤。

將宣告憑證下載至裝置

  1. 將宣告憑證和私有金鑰複製到裝置。如果在開發電腦和裝置上啟用 SSH 和 SCP,您可以使用開發電腦上的 scp命令來傳輸宣告憑證和私有金鑰。下列範例命令claim-certs會將開發電腦上名為 的資料夾傳輸至裝置。將 device-ip-address 取代為您裝置的 IP 地址。

    scp -r claim-certs/ device-ip-address:~

  2. 在裝置上建立 Greengrass 根資料夾。您稍後將安裝 AWS IoT Greengrass Core 軟體到此資料夾。

    注意

    Windows 的路徑長度限制為 260 個字元。如果您使用的是 Windows,請使用根資料夾,例如 C:\greengrass\v2D:\greengrass\v2 ,將 Greengrass 元件路徑保持在 260 個字元限制以下。

    Linux or Unix

    • /greengrass/v2 將 取代為要使用的資料夾。

    sudo mkdir -p /greengrass/v2
    Windows Command Prompt

    • C:\greengrass\v2 取代為要使用的資料夾。

    mkdir C:\greengrass\v2
    PowerShell

    • C:\greengrass\v2 取代為要使用的資料夾。

    mkdir C:\greengrass\v2
    anchoranchoranchor

    • /greengrass/v2 將 取代為要使用的資料夾。

    sudo mkdir -p /greengrass/v2

  3. (僅限 Linux) 設定 Greengrass 根資料夾父項的許可。

    • /greengrass 取代為根資料夾的父系。

    sudo chmod 755 /greengrass

  4. 將宣告憑證移至 Greengrass 根資料夾。

    • /greengrass/v2C:\greengrass\v2 取代為 Greengrass 根資料夾。

    Linux or Unix
    sudo mv ~/claim-certs /greengrass/v2
    Windows Command Prompt (CMD)
    move %USERPROFILE%\claim-certs C:\greengrass\v2
    PowerShell
    mv -Path ~\claim-certs -Destination C:\greengrass\v2
    anchoranchoranchor
    sudo mv ~/claim-certs /greengrass/v2

  5. 同時下載 CA1 憑證和 CA3 憑證

    Linux or Unix
    sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem
    Windows Command Prompt (CMD)
    curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
    PowerShell
    iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
    anchoranchoranchor
    sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem

設定裝置環境

請依照本節中的步驟設定 Linux 或 Windows 裝置,以用作您的 AWS IoT Greengrass 核心裝置。

設定 Linux 裝置

為 設定 Linux 裝置 AWS IoT Greengrass V2

  1. 安裝 AWS IoT Greengrass 執行核心軟體所需的 Java 執行期。我們建議您使用 Amazon CorrettoOpenJDK 長期支援版本。第 8 版或更新版本為必要項目。下列命令說明如何在裝置上安裝 OpenJDK。

    • 針對 Debian 為基礎或 Ubuntu 為基礎的發行版本:

      sudo apt install default-jdk

    • 針對 Red Hat 為基礎的發行版本:

      sudo yum install java-11-openjdk-devel

    • 針對 Amazon Linux 2:

      sudo amazon-linux-extras install java-openjdk11

    • 針對 Amazon Linux 2023:

      sudo dnf install java-11-amazon-corretto -y

    安裝完成時,請執行下列命令,以確認 Java 在您的 Linux 裝置上執行。

    java -version

    命令會列印在裝置上執行的 Java 版本。例如,在 Debian 型分佈上,輸出看起來可能會類似下列範例。

    openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)

  2. (選用) 建立在裝置上執行元件的預設系統使用者和群組。您也可以選擇讓 AWS IoT Greengrass Core 軟體安裝程式在安裝期間使用--component-default-user安裝程式引數建立此使用者和群組。如需詳細資訊,請參閱安裝程式引數

    sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group

  3. 確認執行 AWS IoT Greengrass Core 軟體的使用者 (通常為 root) 具有許可,可sudo搭配任何使用者和任何群組執行 。

    1. 執行下列命令以開啟 /etc/sudoers 檔案。

      sudo visudo

    2. 確認使用者的許可如下所示。

      root    ALL=(ALL:ALL) ALL

  4. (選用) 若要執行容器化 Lambda 函數,您必須啟用 cgroups v1,而且必須啟用和掛載記憶體裝置 cgroups。如果您不打算執行容器化 Lambda 函數,您可以略過此步驟。

    若要啟用這些 cgroups 選項,請使用下列 Linux 核心參數啟動裝置。

    cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0

    如需有關檢視和設定裝置核心參數的資訊,請參閱您作業系統和開機載入器的文件。依照指示永久設定核心參數。

  5. 在裝置上安裝所有其他必要的相依性,如 中的需求清單所示裝置要求

設定 Windows 裝置

注意

此功能適用於 2.5.0 版和更新版本的 Greengrass 核元件

為 設定 Windows 裝置 AWS IoT Greengrass V2

  1. 安裝 AWS IoT Greengrass 執行核心軟體所需的 Java 執行期。我們建議您使用 Amazon CorrettoOpenJDK 長期支援版本。第 8 版或更新版本為必要項目。

  2. 檢查 PATH 系統變數上是否提供 Java,如果沒有,請新增 Java。LocalSystem 帳戶會執行 AWS IoT Greengrass Core 軟體,因此您必須將 Java 新增至 PATH 系統變數,而不是使用者的 PATH 使用者變數。請執行下列操作:

    1. 按 Windows 鍵開啟開始選單。

    2. 輸入 environment variables 以從開始功能表搜尋系統選項。

    3. 在開始功能表搜尋結果中,選擇編輯系統環境變數以開啟系統屬性視窗。

    4. 選擇環境變數...以開啟環境變數視窗。

    5. 系統變數下,選取路徑,然後選擇編輯。在編輯環境變數視窗中,您可以檢視個別行上的每個路徑。

    6. 檢查 Java 安裝bin資料夾的路徑是否存在。路徑看起來可能會類似下列範例。

      C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin

    7. 如果路徑中缺少 Java 安裝的bin資料夾,請選擇新增以新增,然後選擇確定

  3. 以管理員身分開啟 Windows 命令提示字元 (cmd.exe)。

  4. 在 Windows 裝置上的 LocalSystem 帳戶中建立預設使用者。將密碼取代為安全密碼。

    net user /add ggc_user password
    提示

    根據您的 Windows 組態,使用者的密碼可能會設定為在未來的日期過期。為了確保您的 Greengrass 應用程式持續運作,請追蹤密碼過期的時間,並在過期前更新它。您也可以將使用者的密碼設定為永不過期。

    • 若要檢查使用者及其密碼何時過期,請執行下列命令。

      net user ggc_user | findstr /C:expires

    • 若要將使用者的密碼設定為永不過期,請執行下列命令。

      wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False

    • 如果您使用的是已wmic棄用命令的 Windows 10 或更新版本,請執行下列 PowerShell 命令。

      Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}

  5. 在裝置上從 Microsoft 下載並安裝 PsExec 公用程式

  6. 使用 PsExec 公用程式,將預設使用者的使用者名稱和密碼存放在 LocalSystem 帳戶的 Credential Manager 執行個體中。將密碼取代為您先前設定的使用者密碼。

    psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password

    如果 PsExec License Agreement開啟,選擇 Accept 同意授權並執行 命令。

    注意

    在 Windows 裝置上,LocalSystem 帳戶會執行 Greengrass 核,而且您必須使用 PsExec 公用程式將預設使用者資訊存放在 LocalSystem 帳戶中。使用 Credential Manager 應用程式會將此資訊存放在目前登入使用者的 Windows 帳戶中,而不是 LocalSystem 帳戶。

下載 AWS IoT Greengrass 核心軟體

您可以從下列位置下載最新版本 AWS IoT Greengrass 的核心軟體:

注意

您可以從下列位置下載特定版本的 AWS IoT Greengrass Core 軟體。將版本取代為要下載的版本。

https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
下載 AWS IoT Greengrass Core 軟體

  1. 在您的核心裝置上,將 AWS IoT Greengrass Core 軟體下載至名為 的檔案greengrass-nucleus-latest.zip

    Linux or Unix
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
    Windows Command Prompt (CMD)
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
    PowerShell
    iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
    anchoranchoranchor
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

    下載此軟體,即表示您同意 Greengrass 核心軟體授權合約之規定。

  2. (選用) 驗證 Greengrass 核軟體簽章

    注意

    此功能適用於 Greengrass nucleus 2.9.5 版及更新版本。

    1. 使用下列命令來驗證 Greengrass 核子成品的簽章:

      Linux or Unix
      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
      Windows Command Prompt (CMD)

      檔案名稱看起來可能會有所不同,視您安裝的 JDK 版本而定。jdk17.0.6_10 將 取代為您安裝的 JDK 版本。

      "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
      PowerShell

      檔案名稱看起來可能會有所不同,視您安裝的 JDK 版本而定。jdk17.0.6_10 將 取代為您安裝的 JDK 版本。

      'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
      anchoranchoranchor
      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

    2. jarsigner 調用會產生輸出,指出驗證結果。

      1. 如果已簽署 Greengrass 核 zip 檔案,輸出會包含下列陳述式:

        jar verified.

      2. 如果未簽署 Greengrass 核 zip 檔案,輸出會包含下列陳述式:

        jar is unsigned.

    3. 如果您提供 Jarsigner -certs選項以及 -verify-verbose選項,輸出也會包含詳細的簽署者憑證資訊。

  3. 將 AWS IoT Greengrass Core 軟體解壓縮至裝置上的資料夾。將 GreengrassInstaller 取代為您要使用的資料夾。

    Linux or Unix
    unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
    Windows Command Prompt (CMD)
    mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
    PowerShell
    Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
    anchoranchoranchor
    unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

  4. (選用) 執行下列命令以查看 AWS IoT Greengrass Core 軟體的版本。

    java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
重要

如果您安裝比 v2.4.0 更早的 Greengrass 核版本,安裝 AWS IoT Greengrass 核心軟體後請勿移除此資料夾。Core AWS IoT Greengrass 軟體會使用此資料夾中的檔案來執行。

如果您下載了最新版本的軟體,則可以安裝 v2.4.0 或更新版本,並在安裝 AWS IoT Greengrass Core 軟體之後移除此資料夾。

下載 AWS IoT 機群佈建外掛程式

您可以從下列位置下載最新版本的 AWS IoT 機群佈建外掛程式:

注意

您可以從下列位置下載特定版本的 AWS IoT 機群佈建外掛程式。將版本取代為要下載的版本。如需每個機群佈建外掛程式版本的詳細資訊,請參閱 AWS IoT 機群佈建外掛程式 changelog

https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-version.jar

機群佈建外掛程式是開放原始碼。若要檢視其原始程式碼,請參閱 GitHub 上的AWS IoT 機群佈建外掛程式

下載 AWS IoT 機群佈建外掛程式

  • 在您的裝置上,將 AWS IoT 機群佈建外掛程式下載至名為 的檔案aws.greengrass.FleetProvisioningByClaim.jar。將 GreengrassInstaller 取代為您要使用的資料夾。

    Linux or Unix
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar > GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
    Windows Command Prompt (CMD)
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar > GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
    PowerShell
    iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar -OutFile GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
    anchoranchoranchor
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar > GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar

    下載此軟體,即表示您同意 Greengrass 核心軟體授權合約之規定。

安裝 AWS IoT Greengrass 核心軟體

使用指定下列動作的引數執行安裝程式:

  • 從指定使用機群佈建外掛程式佈建 AWS 資源的部分組態檔案安裝 。Core AWS IoT Greengrass 軟體使用組態檔案,指定裝置上每個 Greengrass 元件的組態。安裝程式會從您提供的部分組態檔案,以及機群佈建外掛程式建立 AWS 的資源,建立完整的組態檔案。

  • 指定 使用ggc_user系統使用者在核心裝置上執行軟體元件。在 Linux 裝置上,此命令也會指定 使用ggc_group系統群組,而安裝程式會為您建立系統使用者和群組。

  • 將 AWS IoT Greengrass Core 軟體設定為開機時執行的系統服務。在 Linux 裝置上,這需要系統化初始化系統。

    重要

    在 Windows 核心裝置上,您必須將 AWS IoT Greengrass Core 軟體設定為系統服務。

如需可指定引數的詳細資訊,請參閱 安裝程式引數

注意

如果您在記憶體有限的 AWS IoT Greengrass 裝置上執行 ,您可以控制 AWS IoT Greengrass Core 軟體使用的記憶體量。若要控制記憶體配置,您可以在 核子元件的jvmOptions組態參數中設定 JVM 堆積大小選項。如需詳細資訊,請參閱使用 JVM 選項控制記憶體配置

安裝 AWS IoT Greengrass Core 軟體

  1. 檢查 AWS IoT Greengrass Core 軟體的版本。

    • GreengrassInstaller 取代為包含 軟體之資料夾的路徑。

    java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

  2. 使用文字編輯器來建立名為 的組態檔案config.yaml,以提供給安裝程式。

    例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。

    nano GreengrassInstaller/config.yaml

    將下列 YAML 內容複製到 檔案。此部分組態檔案會指定機群佈建外掛程式的參數。如需您可以指定之選項的詳細資訊,請參閱設定 AWS IoT 機群佈建外掛程式

    Linux or Unix
    
---
services:
  aws.greengrass.Nucleus:
    version: "2.14.0"
    configuration:
      fipsMode: "true"
      greengrassDataPlaneEndpoint: "iotData"
  aws.greengrass.FleetProvisioningByClaim:
    configuration:
      rootPath: "/greengrass/v2"
      awsRegion: "us-west-2"
      iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
      iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      provisioningTemplate: "GreengrassFleetProvisioningTemplate"
      claimCertificatePath: "/greengrass/v2/claim-certs/claim.pem.crt"
      claimCertificatePrivateKeyPath: "/greengrass/v2/claim-certs/claim.private.pem.key"
      rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
      templateParameters:
        ThingName: "MyGreengrassCore"
        ThingGroupName: "MyGreengrassCoreGroup"
    Windows
    ---
services:
  aws.greengrass.Nucleus:
    version: "2.14.0"
  aws.greengrass.FleetProvisioningByClaim:
    configuration:
      rootPath: "C:\\greengrass\\v2"
      awsRegion: "us-west-2"
      iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
      iotCredentialEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      provisioningTemplate: "GreengrassFleetProvisioningTemplate"
      claimCertificatePath: "C:\\greengrass\\v2\\claim-certs\\claim.pem.crt"
      claimCertificatePrivateKeyPath: "C:\\greengrass\\v2\\claim-certs\\claim.private.pem.key"
      rootCaPath: "C:\\greengrass\\v2\\AmazonRootCA1.pem"
      templateParameters:
        ThingName: "MyGreengrassCore"
        ThingGroupName: "MyGreengrassCoreGroup"
    anchoranchor
    
---
services:
  aws.greengrass.Nucleus:
    version: "2.14.0"
    configuration:
      fipsMode: "true"
      greengrassDataPlaneEndpoint: "iotData"
  aws.greengrass.FleetProvisioningByClaim:
    configuration:
      rootPath: "/greengrass/v2"
      awsRegion: "us-west-2"
      iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
      iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
      iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
      provisioningTemplate: "GreengrassFleetProvisioningTemplate"
      claimCertificatePath: "/greengrass/v2/claim-certs/claim.pem.crt"
      claimCertificatePrivateKeyPath: "/greengrass/v2/claim-certs/claim.private.pem.key"
      rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
      templateParameters:
        ThingName: "MyGreengrassCore"
        ThingGroupName: "MyGreengrassCoreGroup"

    然後,執行下列動作:

    • 2.14.0 取代為 AWS IoT Greengrass Core 軟體版本。

    • /greengrass/v2C:\greengrass\v2 的每個執行個體取代為 Greengrass 根資料夾。

      注意

      在 Windows 裝置上,您必須將路徑分隔符號指定為雙反斜線 (\\),例如 C:\\greengrass\\v2

    • us-west-2 取代為您建立佈建範本和其他資源 AWS 的區域。

    • 將 取代iotDataEndpoint為您的 AWS IoT 資料端點。

    • 將 AWS IoT 取代iotCredentialEndpoint為您的登入資料端點。

    • 以字符交換角色別名的名稱取代 GreengrassCoreTokenExchangeRoleAlias

    • GreengrassFleetProvisioningTemplate 取代為機群佈建範本的名稱。

    • 將 取代claimCertificatePath為裝置上的宣告憑證路徑。

    • 將 取代claimCertificatePrivateKeyPath為裝置上的宣告憑證私有金鑰路徑。

    • 將範本參數 (templateParameters) 取代為用來佈建裝置的值。此範例是指定義 ThingNameThingGroupName 參數的範例範本

  3. 執行安裝程式。指定 --trusted-plugin以提供機群佈建外掛程式,並指定 --init-config 提供組態檔案。

    • /greengrass/v2 將 取代為 Greengrass 根資料夾。

    • GreengrassInstaller 的每個執行個體取代為您解壓縮安裝程式的資料夾。

    Linux or Unix
    sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar \
  --init-config ./GreengrassInstaller/config.yaml \
  --component-default-user ggc_user:ggc_group \
  --setup-system-service true
    Windows Command Prompt (CMD)
    java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
  -jar ./GreengrassInstaller/lib/Greengrass.jar ^
  --trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar ^
  --init-config ./GreengrassInstaller/config.yaml ^
  --component-default-user ggc_user ^
  --setup-system-service true
    PowerShell
    java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
  -jar ./GreengrassInstaller/lib/Greengrass.jar `
  --trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar `
  --init-config ./GreengrassInstaller/config.yaml `
  --component-default-user ggc_user `
  --setup-system-service true
    anchoranchoranchor
    sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar \
  --init-config ./GreengrassInstaller/config.yaml \
  --component-default-user ggc_user:ggc_group \
  --setup-system-service true
    重要

    在 Windows 核心裝置上,您必須指定 將 AWS IoT Greengrass Core 軟體--setup-system-service true設定為系統服務。

    如果您指定 --setup-system-service trueSuccessfully set up Nucleus as a system service安裝程式會在設定和執行軟體時列印為系統服務。否則,如果安裝程式成功安裝軟體,就不會輸出任何訊息。

    注意

    當您在沒有 deploy-dev-tools 引數的情況下執行安裝程式時,無法使用 --provision true引數來部署本機開發工具。如需直接在您的裝置上部署 Greengrass CLI 的相關資訊,請參閱Greengrass 命令列界面

  4. 檢視根資料夾中的檔案來驗證安裝。

    Linux or Unix
    ls /greengrass/v2
    Windows Command Prompt (CMD)
    dir C:\greengrass\v2
    PowerShell
    ls C:\greengrass\v2
    anchoranchoranchor
    ls /greengrass/v2

    如果安裝成功,根資料夾包含數個資料夾,例如 configpackageslogs

如果您將 AWS IoT Greengrass Core 軟體安裝為系統服務,安裝程式會為您執行軟體。否則,您必須手動執行軟體。如需詳細資訊,請參閱執行 AWS IoT Greengrass Core 軟體

如需如何設定和使用 軟體的詳細資訊 AWS IoT Greengrass,請參閱以下內容:

使用自動資源佈建安裝 FIPS 端點

Core AWS IoT Greengrass 軟體包含安裝程式,可將您的裝置設定為 Greengrass 核心裝置。若要快速設定裝置,安裝程式可以佈建核心裝置操作所需的 AWS IoT 物件、 AWS IoT 物件群組、IAM 角色和 AWS IoT 角色別名。安裝程式也可以將本機開發工具部署到核心裝置,因此您可以使用裝置來開發和測試自訂軟體元件。安裝程式需要 AWS 登入資料才能佈建這些資源並建立部署。

如果您無法提供 AWS 登入資料給裝置,您可以佈建 AWS 核心裝置操作所需的資源。您也可以將開發工具部署到核心裝置,以用作開發裝置。這可讓您在執行安裝程式時為裝置提供較少的許可。如需詳細資訊,請參閱使用手動資源佈建安裝 AWS IoT Greengrass 核心軟體

重要

下載 AWS IoT Greengrass Core 軟體之前,請檢查您的核心裝置是否符合安裝和執行 AWS IoT Greengrass Core 軟體 2.0 版的要求

設定裝置環境

請依照本節中的步驟設定 Linux 或 Windows 裝置,以用作您的 AWS IoT Greengrass 核心裝置。

設定 Linux 裝置

為 設定 Linux 裝置 AWS IoT Greengrass V2

  1. 安裝 AWS IoT Greengrass 核心軟體執行所需的 Java 執行期。我們建議您使用 Amazon CorrettoOpenJDK 長期支援版本。第 8 版或更新版本為必要項目。下列命令說明如何在裝置上安裝 OpenJDK。

    • 針對 Debian 為基礎或 Ubuntu 為基礎的發行版本:

      sudo apt install default-jdk

    • 針對 Red Hat 為基礎的發行版本:

      sudo yum install java-11-openjdk-devel

    • 針對 Amazon Linux 2:

      sudo amazon-linux-extras install java-openjdk11

    • 針對 Amazon Linux 2023:

      sudo dnf install java-11-amazon-corretto -y

    安裝完成時,請執行下列命令,以確認 Java 在您的 Linux 裝置上執行。

    java -version

    命令會列印在裝置上執行的 Java 版本。例如,在 Debian 型分佈上,輸出看起來可能會類似下列範例。

    openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)

  2. (選用) 建立在裝置上執行元件的預設系統使用者和群組。您也可以選擇讓 AWS IoT Greengrass Core 軟體安裝程式在安裝期間使用--component-default-user安裝程式引數建立此使用者和群組。如需詳細資訊,請參閱安裝程式引數

    sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group

  3. 確認執行 AWS IoT Greengrass Core 軟體的使用者 (通常為 root) 具有許可,可sudo搭配任何使用者和任何群組執行 。

    1. 執行下列命令以開啟 /etc/sudoers 檔案。

      sudo visudo

    2. 確認使用者的許可如下所示。

      root    ALL=(ALL:ALL) ALL

  4. (選用) 若要執行容器化 Lambda 函數,您必須啟用 cgroups v1,而且必須啟用並掛載記憶體裝置 cgroups。如果您不打算執行容器化 Lambda 函數,您可以略過此步驟。

    若要啟用這些 cgroups 選項,請使用下列 Linux 核心參數啟動裝置。

    cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0

    如需有關檢視和設定裝置核心參數的資訊,請參閱作業系統和開機載入器的文件。依照指示永久設定核心參數。

  5. 在裝置上安裝所有其他必要的相依性,如 中的需求清單所示裝置要求

設定 Windows 裝置

注意

此功能適用於 Greengrass 核元件的 v2.5.0 和更新版本。

為 設定 Windows 裝置 AWS IoT Greengrass V2

  1. 安裝 AWS IoT Greengrass 執行核心軟體所需的 Java 執行期。建議您使用 Amazon CorrettoOpenJDK 長期支援版本。第 8 版或更新版本為必要項目。

  2. 檢查 PATH 系統變數上是否提供 Java,如果沒有,請新增 Java。LocalSystem 帳戶會執行 AWS IoT Greengrass Core 軟體,因此您必須將 Java 新增至 PATH 系統變數,而不是使用者的 PATH 使用者變數。請執行下列操作:

    1. 按 Windows 鍵開啟開始選單。

    2. 輸入 environment variables 以從開始功能表搜尋系統選項。

    3. 在開始功能表搜尋結果中,選擇編輯系統環境變數以開啟系統屬性視窗。

    4. 選擇環境變數...以開啟環境變數視窗。

    5. 系統變數下,選取路徑,然後選擇編輯。在編輯環境變數視窗中,您可以檢視個別行上的每個路徑。

    6. 檢查 Java 安裝bin資料夾的路徑是否存在。路徑看起來可能會類似下列範例。

      C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin

    7. 如果路徑中缺少 Java 安裝的bin資料夾,請選擇新增以新增,然後選擇確定

  3. 以管理員身分開啟 Windows 命令提示字元 (cmd.exe)。

  4. 在 Windows 裝置上的 LocalSystem 帳戶中建立預設使用者。將密碼取代為安全密碼。

    net user /add ggc_user password
    提示

    根據您的 Windows 組態,使用者的密碼可能會設定為在未來的日期過期。為了確保您的 Greengrass 應用程式持續運作,請追蹤密碼過期的時間,並在過期前更新它。您也可以將使用者的密碼設定為永不過期。

    • 若要檢查使用者及其密碼何時過期,請執行下列命令。

      net user ggc_user | findstr /C:expires

    • 若要將使用者的密碼設定為永不過期,請執行下列命令。

      wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False

    • 如果您使用的是wmic已棄用命令的 Windows 10 或更新版本,請執行下列 PowerShell 命令。

      Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}

  5. 在裝置上從 Microsoft 下載並安裝 PsExec 公用程式

  6. 使用 PsExec 公用程式,將預設使用者的使用者名稱和密碼存放在 LocalSystem 帳戶的 Credential Manager 執行個體中。將密碼取代為您先前設定的使用者密碼。

    psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password

    如果 PsExec License Agreement開啟,選擇 Accept 同意授權並執行 命令。

    注意

    在 Windows 裝置上,LocalSystem 帳戶會執行 Greengrass 核,而且您必須使用 PsExec 公用程式將預設使用者資訊存放在 LocalSystem 帳戶中。使用 Credential Manager 應用程式會將此資訊存放在目前登入使用者的 Windows 帳戶中,而不是 LocalSystem 帳戶。

提供 AWS 登入資料給裝置

將 AWS 登入資料提供給您的裝置,讓安裝程式可以佈建所需的 AWS 資源。如需所需許可的詳細資訊,請參閱安裝程式佈建資源的最低 IAM 政策

提供 AWS 登入資料給裝置

  • 將 AWS 登入資料提供給裝置,讓安裝程式可以為您的核心裝置佈建 AWS IoT 和 IAM 資源。為了提高安全性,我們建議您取得 IAM 角色的臨時憑證,該角色僅允許佈建所需的最低許可。如需詳細資訊,請參閱安裝程式佈建資源的最低 IAM 政策

    注意

    安裝程式不會儲存或存放您的登入資料。

    在您的裝置上,執行下列其中一項作業來擷取憑證,並將其提供給 AWS IoT Greengrass Core 軟體安裝程式:

    • (建議) 使用來自 的臨時登入資料 AWS IAM Identity Center

      1. 從 IAM Identity Center 提供存取金鑰 ID、私密存取金鑰和工作階段權杖。如需詳細資訊,請參閱《IAM Identity Center 使用者指南》中的取得和重新整理臨時憑證》中的手動憑證重新整理

      2. 執行下列命令,將登入資料提供給 AWS IoT Greengrass Core 軟體。

        Linux or Unix
        export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
        Windows Command Prompt (CMD)
        set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
        PowerShell
        $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
$env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
        anchoranchoranchor
        export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

    • 使用來自 IAM 角色的臨時安全登入資料:

      1. 提供您擔任之 IAM 角色的存取金鑰 ID、私密存取金鑰和工作階段權杖。如需如何擷取這些登入資料的詳細資訊,請參閱《IAM 使用者指南》中的請求臨時安全登入資料。

      2. 執行下列命令,將登入資料提供給 AWS IoT Greengrass Core 軟體。

        Linux or Unix
        export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
        Windows Command Prompt (CMD)
        set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
        PowerShell
        $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
$env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
        anchoranchoranchor
        export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

    • 使用來自 IAM 使用者的長期登入資料:

      1. 為您的 IAM 使用者提供存取金鑰 ID 和私密存取金鑰。您可以建立 IAM 使用者來佈建您稍後刪除的項目。如需提供使用者的 IAM 政策,請參閱 安裝程式佈建資源的最低 IAM 政策。如需如何擷取長期憑證的詳細資訊,請參閱《IAM 使用者指南》中的管理 IAM 使用者的存取金鑰

      2. 執行下列命令,將登入資料提供給 AWS IoT Greengrass Core 軟體。

        Linux or Unix
        export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
        Windows Command Prompt (CMD)
        set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
        PowerShell
        $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
        anchoranchoranchor
        export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

      3. (選用) 如果您建立 IAM 使用者來佈建 Greengrass 裝置,請刪除該使用者。

      4. (選用) 如果您使用現有 IAM 使用者的存取金鑰 ID 和私密存取金鑰,請更新使用者的金鑰,使其不再有效。如需詳細資訊,請參閱 AWS Identity and Access Management 使用者指南中的更新存取金鑰

下載 AWS IoT Greengrass 核心軟體

您可以從下列位置下載最新版本 AWS IoT Greengrass 的核心軟體:

注意

您可以從下列位置下載特定版本的 AWS IoT Greengrass Core 軟體。將版本取代為要下載的版本。

https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
下載 AWS IoT Greengrass Core 軟體

  1. 在您的核心裝置上,將 AWS IoT Greengrass Core 軟體下載至名為 的檔案greengrass-nucleus-latest.zip

    Linux or Unix
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
    Windows Command Prompt (CMD)
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
    PowerShell
    iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
    anchoranchoranchor
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

    下載此軟體,即表示您同意 Greengrass 核心軟體授權合約之規定。

  2. (選用) 驗證 Greengrass 核軟體簽章

    注意

    此功能適用於 Greengrass nucleus 2.9.5 版及更新版本。

    1. 使用下列命令來驗證 Greengrass 核子成品的簽章:

      Linux or Unix
      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
      Windows Command Prompt (CMD)

      檔案名稱看起來可能會有所不同,視您安裝的 JDK 版本而定。jdk17.0.6_10 將 取代為您安裝的 JDK 版本。

      "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
      PowerShell

      檔案名稱看起來可能會有所不同,視您安裝的 JDK 版本而定。jdk17.0.6_10 將 取代為您安裝的 JDK 版本。

      'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
      anchoranchoranchor
      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

    2. jarsigner 調用會產生輸出,指出驗證結果。

      1. 如果已簽署 Greengrass 核 zip 檔案,輸出會包含下列陳述式:

        jar verified.

      2. 如果未簽署 Greengrass 核 zip 檔案,輸出會包含下列陳述式:

        jar is unsigned.

    3. 如果您提供 Jarsigner -certs選項以及 -verify-verbose選項,輸出也會包含詳細的簽署者憑證資訊。

  3. 將 AWS IoT Greengrass Core 軟體解壓縮至裝置上的資料夾。將 GreengrassInstaller 取代為您要使用的資料夾。

    Linux or Unix
    unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
    Windows Command Prompt (CMD)
    mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
    PowerShell
    Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
    anchoranchoranchor
    unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

  4. (選用) 執行下列命令以查看 AWS IoT Greengrass Core 軟體的版本。

    java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
重要

如果您安裝比 v2.4.0 更早的 Greengrass 核版本,安裝 AWS IoT Greengrass Core 軟體後請勿移除此資料夾。Core AWS IoT Greengrass 軟體會使用此資料夾中的檔案來執行。

如果您下載最新版本的軟體,請安裝 v2.4.0 或更新版本,並在安裝 AWS IoT Greengrass Core 軟體後移除此資料夾。

安裝 AWS IoT Greengrass Core 軟體

使用指定執行下列動作的引數執行安裝程式:

  • 建立核心裝置操作所需的 AWS 資源。

  • 指定 使用ggc_user系統使用者在核心裝置上執行軟體元件。在 Linux 裝置上,此命令也會指定 使用ggc_group系統群組,而安裝程式會為您建立系統使用者和群組。

  • 將 AWS IoT Greengrass Core 軟體設定為開機時執行的系統服務。在 Linux 裝置上,這需要 Systemd init 系統。

    重要

    在 Windows 核心裝置上,您必須將 AWS IoT Greengrass Core 軟體設定為系統服務。

若要使用本機開發工具設定開發裝置,請指定 --deploy-dev-tools true引數。安裝完成後,本機開發工具最多可能需要一分鐘的時間才能部署。

如需可指定引數的詳細資訊,請參閱 安裝程式引數

注意

如果您在記憶體有限的 AWS IoT Greengrass 裝置上執行,您可以控制 AWS IoT Greengrass Core 軟體使用的記憶體量。若要控制記憶體配置,您可以在 核子元件的jvmOptions組態參數中設定 JVM 堆積大小選項。如需詳細資訊,請參閱使用 JVM 選項控制記憶體配置

安裝 AWS IoT Greengrass Core 軟體

  1. 使用文字編輯器來建立名為 的組態檔案config.yaml,以提供給安裝程式。

    例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。

    nano GreengrassInstaller/config.yaml

    將下列 YAML 內容複製到 檔案。此部分組態檔案會指定系統參數和 Greengrass 核參數。

    
---
services:
  aws.greengrass.Nucleus:
    configuration:
      fipsMode: "true"
      iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
      iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
      greengrassDataPlaneEndpoint: "iotData"

    • us-west-2 取代為您建立資源的 AWS 區域 。

    • iotDataEndpoint 取代為您的 AWS IoT 資料端點。

    • iotCredEndpoint 取代為您的 AWS IoT 登入資料端點。

  2. 執行 AWS IoT Greengrass Core 安裝程式。取代命令中的引數值,如下所示。

    注意

    Windows 的路徑長度限制為 260 個字元。如果您使用的是 Windows,請使用根資料夾,例如 C:\greengrass\v2D:\greengrass\v2 ,將 Greengrass 元件路徑保持在 260 個字元限制以下。

    1. /greengrass/v2C:\greengrass\v2:用來安裝 AWS IoT Greengrass Core 軟體的根資料夾路徑。

    2. GreengrassInstaller。解壓縮 AWS IoT Greengrass Core 軟體安裝程式的資料夾路徑。

    3. 區域。尋找或建立資源 AWS 區域 的 。

    4. MyGreengrassCore。Greengrass 核心裝置的 AWS IoT 物件名稱。如果物件不存在,安裝程式會建立它。安裝程式會下載憑證以驗證 做為 AWS IoT 物件。如需詳細資訊,請參閱的裝置身分驗證和授權 AWS IoT Greengrass

      注意

      物件名稱不能包含冒號 (:) 字元。

    5. MyGreengrassCoreGroup。Greengrass 核心裝置的 AWS IoT 物件群組名稱。如果物件群組不存在,安裝程式會建立該物件並將其新增至該物件。如果物件群組存在且具有作用中部署,核心裝置會下載並執行部署指定的軟體。

      注意

      物件群組名稱不能包含冒號 (:) 字元。

    6. GreengrassV2IoTThingPolicy。允許 Greengrass 核心裝置與 AWS IoT 和 通訊 AWS IoT 的政策名稱 AWS IoT Greengrass。如果 AWS IoT 政策不存在,安裝程式會使用此名稱建立寬鬆 AWS IoT 政策。您可以限制此政策的使用案例許可。如需詳細資訊,請參閱AWS IoT Greengrass V2 核心裝置的最低 AWS IoT 政策

    7. GreengrassV2TokenExchangeRole。允許 Greengrass 核心裝置取得臨時 AWS 憑證的 IAM 角色名稱。如果角色不存在,安裝程式會建立該角色,並建立和連接名為 的政策GreengrassV2TokenExchangeRoleAccess。如需詳細資訊,請參閱授權核心裝置與服務 AWS 互動

    8. GreengrassCoreTokenExchangeRoleAlias。IAM 角色的別名,允許 Greengrass 核心裝置稍後取得臨時憑證。如果角色別名不存在,安裝程式會建立它,並將其指向您指定的 IAM 角色。如需詳細資訊,請參閱授權核心裝置與服務 AWS 互動

    Linux or Unix
    sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --aws-region region \
  --thing-name MyGreengrassCore \
  --thing-group-name MyGreengrassCoreGroup \
  --thing-policy-name GreengrassV2IoTThingPolicy \
  --tes-role-name GreengrassV2TokenExchangeRole \
  --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
  --component-default-user ggc_user:ggc_group \
  --provision true \
  --init-config ./GreengrassInstaller/config.yaml \
  --setup-system-service true
    Windows Command Prompt (CMD)
    java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
  -jar ./GreengrassInstaller/lib/Greengrass.jar ^
  --aws-region region ^
  --thing-name MyGreengrassCore ^
  --thing-group-name MyGreengrassCoreGroup ^
  --thing-policy-name GreengrassV2IoTThingPolicy ^
  --tes-role-name GreengrassV2TokenExchangeRole ^
  --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias ^
  --component-default-user ggc_user ^
  --provision true ^
  --setup-system-service true
    PowerShell
    java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
  -jar ./GreengrassInstaller/lib/Greengrass.jar `
  --aws-region region `
  --thing-name MyGreengrassCore `
  --thing-group-name MyGreengrassCoreGroup `
  --thing-policy-name GreengrassV2IoTThingPolicy `
  --tes-role-name GreengrassV2TokenExchangeRole `
  --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias `
  --component-default-user ggc_user `
  --provision true `
  --setup-system-service true
    anchoranchoranchor
    sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
  -jar ./GreengrassInstaller/lib/Greengrass.jar \
  --aws-region region \
  --thing-name MyGreengrassCore \
  --thing-group-name MyGreengrassCoreGroup \
  --thing-policy-name GreengrassV2IoTThingPolicy \
  --tes-role-name GreengrassV2TokenExchangeRole \
  --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
  --component-default-user ggc_user:ggc_group \
  --provision true \
  --init-config ./GreengrassInstaller/config.yaml \
  --setup-system-service true
    重要

    在 Windows 核心裝置上,您必須指定 將 AWS IoT Greengrass Core 軟體--setup-system-service true設定為系統服務。

    如果成功,安裝程式會列印下列訊息:

    • 如果您指定 --provision,安裝程式會在成功設定資源Successfully configured Nucleus with provisioned resource details時列印。

    • 如果您指定 --deploy-dev-toolsConfigured Nucleus to deploy aws.greengrass.Cli component安裝程式會在成功建立部署時列印。

    • 如果您指定 --setup-system-service true,安裝程式會在設定並執行軟體做為服務Successfully set up Nucleus as a system service時列印。

    • 如果您未指定 --setup-system-service true,安裝程式Launched Nucleus successfully會列印是否成功並執行軟體。

  3. 如果您已安裝 v2Greengrass 核.0.4 或更新版本,請略過此步驟。如果您下載了最新版本的軟體,則已安裝 v2.0.4 或更新版本。

    執行下列命令,為您的 AWS IoT Greengrass Core 軟體根資料夾設定所需的檔案許可。/greengrass/v2 將 取代為您在安裝命令中指定的根資料夾,並將 /greengrass 取代為您根資料夾的父資料夾。

    sudo chmod 755 /greengrass/v2 && sudo chmod 755 /greengrass

如果您將 AWS IoT Greengrass Core 軟體安裝為系統服務,安裝程式會為您執行軟體。否則,您必須手動執行軟體。如需詳細資訊,請參閱執行 AWS IoT Greengrass Core 軟體

注意

根據預設,安裝程式建立的 IAM 角色不允許存取 S3 儲存貯體中的元件成品。若要部署自訂元件來定義 Amazon S3 中的成品,您必須將許可新增至角色,以允許核心裝置擷取元件成品。如需詳細資訊,請參閱允許存取元件成品的 S3 儲存貯體

如果您還沒有元件成品的 S3 儲存貯體,您可以在建立儲存貯體之後新增這些許可。

如需如何設定和使用 軟體的詳細資訊 AWS IoT Greengrass,請參閱以下內容:

FIPS 合規第一方元件
aws.greengrass.Nucleus data.iot-fips.us-east-1.amazonaws.com
greengrass-fips.us-east-1.amazonaws.com
data.credentials.iot-fips.us-east-1.amazonaws.com
aws.greengrass.TokenExchangeService data.credentials.iot-fips.us-east-1.amazonaws.com
aws.greengrass.Cli
aws.greengrass.StreamManager

  • kinesis-fips.us-east-1.amazonaws.com

  • data.iotsitewise-fips.us-east-1.amazonaws.com

  • s3-fips.us-east-1.amazonaws.com

注意

串流管理員不支援 AWS IoT Analytics FIPS 端點
aws.greengrass.LogManager log-fips.us-east-1.amazonaws.com
aws.greengrass.crypto.Pkcs11Provider
aws.greengrass.ShadowManager
aws.greengrass.DockerApplicationManager ecr-fips.us-east-1.amazonaws.com
aws.greengrass.SecretManager secretsmanager-fips.us-east-1.amazonaws.com
aws.greengrass.telemetry.NucleusEmitter
aws.greengrass.clientdevices.IPDetector
aws.greengrass.DiskSpooler

在本頁面

下一個主題:

恢復能力

上一個主題:

法規遵循驗證

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。