透過手動佈建資源安裝 AWS IoT Greengrass 核心軟體

1. 取得適 AWS IoT 用於您的 AWS 帳戶.

   aws iot describe-endpoint --endpoint-type iot:Data-ATS

   如果要求成功，回應看起來類似下列範例。

   {
     "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
   }

2. 取 AWS IoT 得您的 AWS 帳戶.

   aws iot describe-endpoint --endpoint-type iot:CredentialProvider

   如果要求成功，回應看起來類似下列範例。

   {
     "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
   }

若要建立 AWS IoT 物件

1. 為您的裝置建立項 AWS IoT 目。在您的開發電腦上，執行下列命令。

   • Replace (取代) MyGreengrassCore 帶有要使用的物件名稱。這個名字也是 Greengrass 核心裝置的名稱。

     注意

     物件名稱不能包含冒號 (:) 字元。

   aws iot create-thing --thing-name MyGreengrassCore

   如果要求成功，回應看起來類似下列範例。

   {
     "thingName": "MyGreengrassCore",
     "thingArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
     "thingId": "8cb4b6cd-268e-495d-b5b9-1713d71dbf42"
   }

2. (選擇性) 將 AWS IoT 物件新增至新的或現有的物件群組。您可以使用物件群組來管理 Greengrass 核心裝置的叢集。將軟體元件部署到裝置時，您可以鎖定個別裝置或裝置群組。您可以將裝置新增至具有作用中 Greengrass 部署的物群組，以將該物件群組的軟體元件部署到裝置。請執行下列操作：

   1. (選擇性) 建立 AWS IoT 物件群組。

      • Replace (取代) MyGreengrassCoreGroup 以要建立的物件群組的名稱。

        注意

        物件群組名稱不能包含冒號 (:) 字元。

      aws iot create-thing-group --thing-group-name MyGreengrassCoreGroup

      如果要求成功，回應看起來類似下列範例。

      {
        "thingGroupName": "MyGreengrassCoreGroup",
        "thingGroupArn": "arn:aws:iot:us-west-2:123456789012:thinggroup/MyGreengrassCoreGroup",
        "thingGroupId": "4df721e1-ff9f-4f97-92dd-02db4e3f03aa"
      }

   2. 將 AWS IoT 物件新增至物件群組。

      • Replace (取代) MyGreengrassCore 用你的 AWS IoT 東西的名字。

      • Replace (取代) MyGreengrassCoreGroup 以物件群組的名稱。

      aws iot add-thing-to-thing-group --thing-name MyGreengrassCore --thing-group-name MyGreengrassCoreGroup

      如果請求成功，命令沒有任何輸出。

若要建立物憑證

1. 建立您下載物件憑證 AWS IoT 的資料夾。

   mkdir greengrass-v2-certs

2. 建立並下載 AWS IoT 物件的憑證。

   aws iot create-keys-and-certificate --set-as-active --certificate-pem-outfile greengrass-v2-certs/device.pem.crt --public-key-outfile greengrass-v2-certs/public.pem.key --private-key-outfile greengrass-v2-certs/private.pem.key

   如果要求成功，回應看起來類似下列範例。

   {
     "certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
     "certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
     "certificatePem": "-----BEGIN CERTIFICATE-----
   MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
    0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
    WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
    EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
    jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
    MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
    WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
    HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
    BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
    k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
    ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
    AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
    KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
    EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
    3rrszlaEXAMPLE=
   -----END CERTIFICATE-----",
     "keyPair": {
       "PublicKey": "-----BEGIN PUBLIC KEY-----\
   MIIBIjANBgkqhkEXAMPLEQEFAAOCAQ8AMIIBCgKCAQEAEXAMPLE1nnyJwKSMHw4h\
   MMEXAMPLEuuN/dMAS3fyce8DW/4+EXAMPLEyjmoF/YVF/gHr99VEEXAMPLE5VF13\
   59VK7cEXAMPLE67GK+y+jikqXOgHh/xJTwo+sGpWEXAMPLEDz18xOd2ka4tCzuWEXAMPLEahJbYkCPUBSU8opVkR7qkEXAMPLE1DR6sx2HocliOOLtu6Fkw91swQWEXAMPLE\\GB3ZPrNh0PzQYvjUStZeccyNCx2EXAMPLEvp9mQOUXP6plfgxwKRX2fEXAMPLEDa\
   hJLXkX3rHU2xbxJSq7D+XEXAMPLEcw+LyFhI5mgFRl88eGdsAEXAMPLElnI9EesG\
   FQIDAQAB\
   -----END PUBLIC KEY-----\
   ",
       "PrivateKey": "-----BEGIN RSA PRIVATE KEY-----\
   key omitted for security reasons\
   -----END RSA PRIVATE KEY-----\
   "
     }
   }

   儲存憑證的 Amazon 資源名稱 (ARN) 以便稍後用來設定憑證。

若要建立物憑證

1. 在核心裝置上，初始化中的 PKCS #11 權杖HSM，然後產生私密金鑰。私密金鑰必須是RSA金鑰大小為 RSA -2048 (或更大) 或金鑰的金鑰。ECC

   注意

   若要搭配金ECC鑰使用硬體安全性模組，您必須使用 Greengrass 核心 v2.5.6 或更新版本。

   要使用硬件安全模塊和密鑰管理器，您必須使用帶有密RSA鑰的硬件安全模塊。

   查看您的文檔HSM以了解如何初始化令牌並生成私鑰。如果您HSM支援物件IDs，請在產生私密金鑰時指定物件 ID。保存初始化令牌並生成私鑰時指定的插槽 ID，HSM用戶PIN，對象標籤，對象 ID（如果您使用的話）。稍後當您將物憑證匯入HSM並配置 AWS IoT Greengrass Core 軟體時，您可以使用這些值。

2. 從私密金鑰建立憑證簽署要求 (CSR)。 AWS IoT 使用此項目CSR為您在中產生的私密金鑰建立物件憑證HSM。如需如何CSR從私密金鑰建立的詳細資訊，請參閱HSM. CSR是一個文件，例如iotdevicekey.csr。

3. CSR從設備複製到您的開發計算機。如果SSH已SCP在開發電腦和裝置上啟用和，您可以使用開發電腦上的scp指令來傳輸CSR. Replace (取代) device-ip-address 使用設備的 IP 地址，並替換 ~/iotdevicekey.csr 與設備上文CSR件的路徑。

   scp device-ip-address:~/iotdevicekey.csr iotdevicekey.csr

4. 在開發電腦上，建立下載物件憑證 AWS IoT 的資料夾。

   mkdir greengrass-v2-certs

5. 使用CSR檔案建立 AWS IoT 物件的憑證，並將其下載到您的開發電腦。

   aws iot create-certificate-from-csr --set-as-active --certificate-signing-request=file://iotdevicekey.csr --certificate-pem-outfile greengrass-v2-certs/device.pem.crt

   如果要求成功，回應看起來類似下列範例。

   {
     "certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
     "certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
     "certificatePem": "-----BEGIN CERTIFICATE-----
   MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
    0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
    WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
    EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
    jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
    MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
    WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
    HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
    BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
    k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
    ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
    AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
    KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
    EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
    3rrszlaEXAMPLE=
   -----END CERTIFICATE-----"
   }

   儲存憑證ARN以便稍後用來設定憑證。

若要設定物件的憑證

1. 將憑證附加至物 AWS IoT 件。

   • Replace (取代) MyGreengrassCore 用你的 AWS IoT 東西的名字。

   • 將 Amazon 資源名稱 (ARN) 取代為您在上一步中建立ARN的憑證的憑證。

   aws iot attach-thing-principal --thing-name MyGreengrassCore --principal arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

   如果請求成功，命令沒有任何輸出。

2. 建立並附加 AWS IoT 定義 Greengrass 核心裝置 AWS IoT 權限的原則。下列原則允許存取所有MQTT主題和 Greengrass 作業，因此您的裝置可以處理需要新 Greengrass 作業的自訂應用程式和 future 變更。您可以根據您的使用案例限制此政策。如需詳細資訊，請參閱AWS IoT Greengrass V2核心裝置的最低AWS IoT原則。

   如果您之前已設定過 Greengrass 核心裝置，則可以附加其 AWS IoT 原則，而不是建立新的原則。

   請執行下列操作：

   1. 建立包含 Greengrass 核心裝置所需之 AWS IoT 原則文件的檔案。

      例如，在 Linux 系統上，您可以執行下列命令來使用 GNU nano 來建立檔案。

      nano greengrass-v2-iot-policy.json

      JSON將以下內容複製到檔案中。

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "iot:Publish",
              "iot:Subscribe",
              "iot:Receive",
              "iot:Connect",
              "greengrass:*"
            ],
            "Resource": [
              "*"
            ]
          }
        ]
      }

   2. 從 AWS IoT 策略文件建立策略。

      • Replace (取代) GreengrassV2IoTThingPolicy 使用要建立的策略名稱。

      aws iot create-policy --policy-name GreengrassV2IoTThingPolicy --policy-document file://greengrass-v2-iot-policy.json

      如果要求成功，回應看起來類似下列範例。

      {
        "policyName": "GreengrassV2IoTThingPolicy",
        "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy",
        "policyDocument": "{
          \\"Version\\": \\"2012-10-17\\",
          \\"Statement\\": [
            {
              \\"Effect\\": \\"Allow\\",
              \\"Action\\": [
                \\"iot:Publish\\",
                \\"iot:Subscribe\\",
                \\"iot:Receive\\",
                \\"iot:Connect\\",
                \\"greengrass:*\\"
              ],
              \\"Resource\\": [
                \\"*\\"
              ]
            }
          ]
        }",
        "policyVersionId": "1"
      }

   3. 將 AWS IoT 原則附加至物 AWS IoT 件的憑證。

      • Replace (取代) GreengrassV2IoTThingPolicy 具有要附加之策略的名稱。

      • 將目標ARN取代為您 AWS IoT 物件的憑證。ARN

      aws iot attach-policy --policy-name GreengrassV2IoTThingPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

      如果請求成功，命令沒有任何輸出。

若要建立權杖交換IAM角色

1. 創建一個IAM角色，您的設備可以用作令牌交換角色。請執行下列操作：

   1. 建立包含 Token 交換角色所需之信任原則文件的檔案。

      例如，在 Linux 系統上，您可以執行下列命令來使用 GNU nano 來建立檔案。

      nano device-role-trust-policy.json

      JSON將以下內容複製到檔案中。

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "Service": "credentials.iot.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      }

   2. 使用信任原則文件建立權杖交換角色。

      • Replace (取代) GreengrassV2TokenExchangeRole 與要創建的IAM角色的名稱。

      aws iam create-role --role-name GreengrassV2TokenExchangeRole --assume-role-policy-document file://device-role-trust-policy.json

      如果要求成功，回應看起來類似下列範例。

      {
        "Role": {
          "Path": "/",
          "RoleName": "GreengrassV2TokenExchangeRole",
          "RoleId": "AROAZ2YMUHYHK5OKM77FB",
          "Arn": "arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
          "CreateDate": "2021-02-06T00:13:29+00:00",
          "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
              {
                "Effect": "Allow",
                "Principal": {
                  "Service": "credentials.iot.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
              }
            ]
          }
        }

   3. 建立包含權杖交換角色所需之存取原則文件的檔案。

      例如，在 Linux 系統上，您可以執行下列命令來使用 GNU nano 來建立檔案。

      nano device-role-access-policy.json

      JSON將以下內容複製到檔案中。

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "logs:CreateLogGroup",
              "logs:CreateLogStream",
              "logs:PutLogEvents",
              "logs:DescribeLogStreams",
              "s3:GetBucketLocation"
            ],
            "Resource": "*"
          }
        ]
      }

      注意

      此存取政策不允許存取 S3 儲存貯體中的元件成品。若要在 Amazon S3 中部署定義成品的自訂元件，您必須向角色新增許可，以允許核心裝置擷取元件成品。如需詳細資訊，請參閱允許存取元件成品的 S3 儲存貯體。

      如果您還沒有適用於元件成品的 S3 儲存貯體，您可以在稍後建立儲存貯體後新增這些許可。

   4. 從IAM策略文件建立策略。

      • Replace (取代) GreengrassV2TokenExchangeRoleAccess 使用要建立的IAM策略名稱。

      aws iam create-policy --policy-name GreengrassV2TokenExchangeRoleAccess --policy-document file://device-role-access-policy.json

      如果要求成功，回應看起來類似下列範例。

      {
        "Policy": {
          "PolicyName": "GreengrassV2TokenExchangeRoleAccess",
          "PolicyId": "ANPAZ2YMUHYHACI7C5Z66",
          "Arn": "arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
          "Path": "/",
          "DefaultVersionId": "v1",
          "AttachmentCount": 0,
          "PermissionsBoundaryUsageCount": 0,
          "IsAttachable": true,
          "CreateDate": "2021-02-06T00:37:17+00:00",
          "UpdateDate": "2021-02-06T00:37:17+00:00"
        }
      }

   5. 將IAM原則附加至權杖交換角色。

      • Replace (取代) GreengrassV2TokenExchangeRole 與IAM角色的名稱。

      • 將原則ARN取代為您在上一個步驟中建立ARN的IAM原則。

      aws iam attach-role-policy --role-name GreengrassV2TokenExchangeRole --policy-arn arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess

      如果請求成功，命令沒有任何輸出。

2. 建立指向權杖交換 AWS IoT 角色的角色別名。

   • Replace (取代) GreengrassCoreTokenExchangeRoleAlias 與要創建的角色別名的名稱。

   • 將角ARN色取代為您在上一個步驟中建立ARN的IAM角色。

   aws iot create-role-alias --role-alias GreengrassCoreTokenExchangeRoleAlias --role-arn arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole

   如果要求成功，回應看起來類似下列範例。

   {
     "roleAlias": "GreengrassCoreTokenExchangeRoleAlias",
     "roleAliasArn": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
   }

   注意

   若要建立角色別名，您必須擁有權限才能將權杖交換IAM角色傳遞給 AWS IoT。如果您在嘗試建立角色別名時收到錯誤訊息，請檢查您的 AWS 使用者是否具有此權限。如需詳細資訊，請參閱《使用指南》中的授與使用AWS Identity and Access Management 者將角色傳遞給 AWS 服務的權限。

3. 建立並附加 AWS IoT 原則，讓您的 Greengrass 核心裝置使用角色別名來承擔權杖交換角色。如果您之前已經設定過 Greengrass 核心裝置，則可以附加其角色別名 AWS IoT 原則，而不是建立新的別名原則。請執行下列操作：

   1. (選擇性) 建立包含角色別名所需之 AWS IoT 原則文件的檔案。

      例如，在 Linux 系統上，您可以執行下列命令來使用 GNU nano 來建立檔案。

      nano greengrass-v2-iot-role-alias-policy.json

      JSON將以下內容複製到檔案中。

      • 將資源ARN取代為您ARN的角色別名。

      {
        "Version":"2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "iot:AssumeRoleWithCertificate",
            "Resource": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
          }
        ]
      }

   2. 從 AWS IoT 策略文件建立策略。

      • Replace (取代) GreengrassCoreTokenExchangeRoleAliasPolicy 使用要建立的 AWS IoT 策略名稱。

      aws iot create-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --policy-document file://greengrass-v2-iot-role-alias-policy.json

      如果要求成功，回應看起來類似下列範例。

      {
        "policyName": "GreengrassCoreTokenExchangeRoleAliasPolicy",
        "policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassCoreTokenExchangeRoleAliasPolicy",
        "policyDocument": "{
          \\"Version\\":\\"2012-10-17\\",
          \\"Statement\\": [
            {
              \\"Effect\\": \\"Allow\\",
              \\"Action\\": \\"iot:AssumeRoleWithCertificate\\",
              \\"Resource\\": \\"arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias\\"
            }
          ]
        }",
        "policyVersionId": "1"
      }

   3. 將 AWS IoT 原則附加至物 AWS IoT 件的憑證。

      • Replace (取代) GreengrassCoreTokenExchangeRoleAliasPolicy 與角色別名 AWS IoT 策略的名稱。

      • 將目標ARN取代為您 AWS IoT 物件的憑證。ARN

      aws iot attach-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4

      如果請求成功，命令沒有任何輸出。

將憑證下載到裝置

1. 將 AWS IoT 物件憑證從開發電腦複製到裝置。如果SSHSCP在開發電腦和裝置上啟用和，您可以使用開發電腦上的scp指令來傳輸憑證。Replace (取代) device-ip-address 使用您設備的 IP 地址。

   scp -r greengrass-v2-certs/ device-ip-address:~

2. 在設備上創建綠色根文件夾。您稍後將 AWS IoT Greengrass 核心軟體安裝到此資料夾中。

   注意

   Windows 的路徑長度限制為 260 個字元。如果您使用的是 Windows，請使用類似的根文件夾C:\greengrass\v2或D:\greengrass\v2將 Greengrass 組件路徑保持在 260 個字符限制以下。

   Linux or Unix

   • 以要使/greengrass/v2用的資料夾取代。

   sudo mkdir -p /greengrass/v2

   Windows Command Prompt

   • Replace (取代) C:\greengrass\v2 與要使用的文件夾。

   mkdir C:\greengrass\v2

   PowerShell

   • Replace (取代) C:\greengrass\v2 與要使用的文件夾。

   mkdir C:\greengrass\v2

3. (僅限 Linux) 設定 Greengrass 根資料夾的父系權限。

   • Replace (取代) /greengrass 與根文件夾的父文件夾。

   sudo chmod 755 /greengrass

4. 將 AWS IoT 物件憑證複製到 Greengrass 根資料夾。

   Linux or Unix

   • /greengrass/v2以 Greengrass 色根資料夾取代。

   sudo cp -R ~/greengrass-v2-certs/* /greengrass/v2

   Windows Command Prompt

   • Replace (取代) C:\greengrass\v2 與要使用的文件夾。

   robocopy %USERPROFILE%\greengrass-v2-certs C:\greengrass\v2 /E

   PowerShell

   • Replace (取代) C:\greengrass\v2 與要使用的文件夾。

   cp -Path ~\greengrass-v2-certs\* -Destination C:\greengrass\v2

5. 下載 Amazon 根憑證授權單位 (CA) 憑證。 AWS IoT 憑證預設會與 Amazon 的根 CA 憑證相關聯。

   Linux or Unix

   sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem

   Windows Command Prompt (CMD)

   curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem

   PowerShell

   iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem

將憑證下載到裝置

1. 將 AWS IoT 物件憑證從開發電腦複製到裝置。如果SSHSCP在開發電腦和裝置上啟用和，您可以使用開發電腦上的scp指令來傳輸憑證。Replace (取代) device-ip-address 使用您設備的 IP 地址。

   scp -r greengrass-v2-certs/ device-ip-address:~

2. 在設備上創建綠色根文件夾。您稍後將 AWS IoT Greengrass 核心軟體安裝到此資料夾中。

   注意

   Windows 的路徑長度限制為 260 個字元。如果您使用的是 Windows，請使用類似的根文件夾C:\greengrass\v2或D:\greengrass\v2將 Greengrass 組件路徑保持在 260 個字符限制以下。

   Linux or Unix

   • 以要使/greengrass/v2用的資料夾取代。

   sudo mkdir -p /greengrass/v2

   Windows Command Prompt

   • Replace (取代) C:\greengrass\v2 與要使用的文件夾。

   mkdir C:\greengrass\v2

   PowerShell

   • Replace (取代) C:\greengrass\v2 與要使用的文件夾。

   mkdir C:\greengrass\v2

3. (僅限 Linux) 設定 Greengrass 根資料夾的父系權限。

   • Replace (取代) /greengrass 與根文件夾的父文件夾。

   sudo chmod 755 /greengrass

4. 將物憑證檔案、~/greengrass-v2-certs/device.pem.crt、匯入HSM。請查看您的文件，HSM以了解如何將憑證匯入其中。使用HSM先前產生私密金鑰的相同權杖PIN、插槽 ID、使用者、物件標籤和物件 ID (如果您HSM使用的話) 匯入憑證。

   注意

   如果您先前產生的私密金鑰不含物件 ID，且憑證具有物件 ID，請將私密金鑰的物件 ID 設定為與憑證相同的值。請查看您的說明文件，HSM以瞭解如何設定私密金鑰物件的物件 ID。

5. (選擇性) 刪除物憑證檔案，使其僅存在於HSM.

   rm ~/greengrass-v2-certs/device.pem.crt

6. 下載 Amazon 根憑證授權單位 (CA) 憑證。 AWS IoT 憑證預設會與 Amazon 的根 CA 憑證相關聯。

   Linux or Unix

   sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem

   Windows Command Prompt (CMD)

   curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem

   PowerShell

   iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem

若要設定下列項目的 Linux 設備 AWS IoT Greengrass V2

1. 安裝 Java 執行階段， AWS IoT Greengrass 核心軟體需要執行。我們建議您使用 Amazon Corretto 或開放JDK長期支援版本。需要版本 8 或更高版本。下列指令會示範如何在裝置JDK上安裝 Open。

   • 針對 Debian 為基礎或 Ubuntu 為基礎的發行版本：

     sudo apt install default-jdk

   • 針對 Red Hat 為基礎的發行版本：

     sudo yum install java-11-openjdk-devel

   • 針對 Amazon Linux 2：

     sudo amazon-linux-extras install java-openjdk11

   • 對於 Amazon

     sudo dnf install java-11-amazon-corretto -y

   安裝完成時，請執行下列命令以確認 Java 是否在 Linux 裝置上執行。

   java -version

   此指令會列印在裝置上執行的 Java 版本。例如，在基於 Debian 的發行版上，輸出可能類似於以下示例。

   openjdk version "11.0.9.1" 2020-11-04
   OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
   OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)

2. (選擇性) 建立在裝置上執行元件的預設系統使用者和群組。您也可以選擇讓 AWS IoT Greengrass Core 軟體安裝程式在安裝期間使用安裝程式引數建立此使用者和群組。--component-default-user如需詳細資訊，請參閱安裝器引數。

   sudo useradd --system --create-home ggc_user
   sudo groupadd --system ggc_group

3. 確認執行 AWS IoT Greengrass Core 軟體的使用者 (通常root) 具有sudo與任何使用者和任何群組一起執行的權限。

   1. 執行下列命令以開啟/etc/sudoers檔案。

      sudo visudo

   2. 確認使用者的權限看起來像下列範例。

      root    ALL=(ALL:ALL) ALL

4. (選擇性) 若要執行容器化 Lambda 函數，您必須啟用 cgroup v1，並且必須啟用並掛接記憶體和裝置 cgroup。如果您不打算執行容器化 Lambda 函數，則可以略過此步驟。

   若要啟用這些 cgroups 選項，請使用下列 Linux 核心參數來啟動裝置。

   cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0

   如需有關檢視和設定裝置核心參數的資訊，請參閱作業系統和開機載入程式的說明文件。依照指示永久設定核心參數。

5. 依照中的需求清單所指示，在您的裝置上安裝所有其他必要的相依性裝置要求。

若要設定下列項目的視窗裝置 AWS IoT Greengrass V2

1. 安裝 Java 執行階段， AWS IoT Greengrass 核心軟體需要執行。我們建議您使用 Amazon Corretto 或開放JDK長期支援版本。需要版本 8 或更高版本。

2. 檢查 Java 是否可用於PATH系統變數，如果沒有，則加入它。此 LocalSystem 帳戶會執行 AWS IoT Greengrass Core 軟體，因此您必須將 Java 新增至PATH系統變數，而非PATH使用者的使用者變數。請執行下列操作：

   1. 按視窗鍵開啟開始功能表。

   2. 鍵入environment variables以從開始功能表搜尋系統選項。

   3. 在開始功能表搜尋結果中，選擇 [編輯系統環境變數] 以開啟 [系統屬性] 視窗。

   4. 選擇環境變數... 以開啟 [環境變數] 視窗。

   5. 在 [系統變數] 下，選取 [路徑]，然後選擇 [編輯]。在 「編輯」環境變數視窗中，您可以在不同的行上檢視每個路徑。

   6. 檢查 Java 安裝bin資料夾的路徑是否存在。路徑看起來可能類似下列範例。

      C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin

   7. 如果路徑中缺少 Java 安裝的bin資料夾，請選擇 [新增] 加入，然後選擇 [確定]。

3. 以系統管理員身分開啟 Windows 命令提示字元 (cmd.exe)。

4. 在 Windows 裝置上的 LocalSystem 帳戶中建立預設使用者。Replace (取代) password 使用安全密碼。

   net user /add ggc_user password

   提示

   視您的 Windows 組態而定，使用者的密碼可能會設定為在 future 的某個日期到期。為確保您的 Greengrass 應用程式繼續運作，請追蹤密碼何時到期，並在密碼到期之前進行更新。您也可以將使用者的密碼設定為永不過期。

   • 若要檢查使用者及其密碼何時到期，請執行下列命令。

     net user ggc_user | findstr /C:expires

   • 若要將使用者的密碼設定為永不過期，請執行下列命令。

     wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False

   • 如果您使用的是 Windows 10 或更新版本，而該wmic命令已被取代，請執行下列 PowerShell 命令。

     Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}

5. 在設備上從 Microsoft 下載並安裝該PsExec實用程序。

6. 使用此 PsExec 公用程式將預設使用者的使用者名稱和密碼儲存在 LocalSystem 帳戶的認證管理員執行個體中。Replace (取代) password 使用您之前設置的用戶密碼。

   psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password

   如果打PsExec License Agreement開，請選Accept擇同意許可證並運行命令。

   注意

   在 Windows 裝置上， LocalSystem 帳戶會執行 Greengrass 核心，而且您必須使用公用 PsExec 程式將預設使用者資訊儲存在帳戶中。 LocalSystem 使用認證管理員應用程式會將此資訊儲存在目前登入使用者的 Windows 帳戶中，而非 LocalSystem 帳戶中。

若要下載 AWS IoT Greengrass 核心軟體

1. 在您的核心裝置上，將 AWS IoT Greengrass Core 軟體下載至名為greengrass-nucleus-latest.zip.

   Linux or Unix

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   PowerShell

   iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip

   下載此軟體，即表示您同意 Greengrass 核心軟體授權合約之規定。

2. (選擇性) 驗證 Greengrass 核軟體簽章

   注意

   此功能適用於 Greengrass 核 2.9.5 及更高版本。

   1. 使用以下命令來驗證 Greengrass 核工件的簽名：

      Linux or Unix

      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

      Windows Command Prompt (CMD)

      根據您安裝的JDK版本，檔案名稱可能會有所不同。Replace (取代) JDK17.0.6_10 與您安裝的JDK版本。

      "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip

      PowerShell

      根據您安裝的JDK版本，檔案名稱可能會有所不同。Replace (取代) JDK17.0.6_10 與您安裝的JDK版本。

      'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip

   2. jarsigner調用產生指示驗證結果的輸出。

      1. 如果 Greengrass 核 zip 文件簽名，則輸出包含以下語句：

         jar verified.

      2. 如果 Greengrass 核壓縮檔未簽署，則輸出會包含下列陳述式：

         jar is unsigned.

   3. 如果您提供了 Jarsigner -certs -verbose 選項-verify和選項，則輸出也會包含詳細的簽署者憑證資訊。

3. 將 AWS IoT Greengrass Core 軟件解壓縮到設備上的文件夾。Replace (取代) GreengrassInstaller 與您要使用的文件夾。

   Linux or Unix

   unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip

   PowerShell

   Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
   rm greengrass-nucleus-latest.zip

4. (選擇性) 執行下列命令以查看 AWS IoT Greengrass Core 軟體的版本。

   java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

若要安裝 AWS IoT Greengrass 核心軟體

1. 檢查 AWS IoT Greengrass 核心軟體的版本。

   • Replace (取代) GreengrassInstaller 包含軟件的文件夾的路徑。

   java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

2. 使用文字編輯器建立名為提供config.yaml給安裝程式的組態檔案。

   例如，在 Linux 系統上，您可以執行下列命令來使用 GNU nano 來建立檔案。

   nano GreengrassInstaller/config.yaml

   將下列YAML內容複製到檔案中。此部分配置文件指定系統參數和 Greengrass 核參數。

   ---
   system:
     certificateFilePath: "/greengrass/v2/device.pem.crt"
     privateKeyPath: "/greengrass/v2/private.pem.key"
     rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
     rootpath: "/greengrass/v2"
     thingName: "MyGreengrassCore"
   services:
     aws.greengrass.Nucleus:
       componentType: "NUCLEUS"
       version: "2.13.0"
       configuration:
         awsRegion: "us-west-2"
         iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
         iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
         iotCredEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"

   然後，執行下列動作：

   • /greengrass/v2以 Greengrass 根資料夾取代的每個執行個體。

   • Replace (取代) MyGreengrassCore 與 AWS IoT 事物的名稱。

   • Replace (取代) 2.13.0 與 AWS IoT Greengrass 核心軟件的版本。

   • Replace (取代) us-west-2 與您創建資源的 AWS 區域 位置。

   • Replace (取代) GreengrassCoreTokenExchangeRoleAlias 與令牌交換角色別名的名稱。

   • iotDataEndpoint以您的 AWS IoT 資料端點取代。

   • iotCredEndpoint以您的 AWS IoT 認證端點取代。

   注意

   在此組態檔案中，您可以自訂其他核心組態選項，例如要使用的連接埠和網路 Proxy，如下列範例所示。如需詳細資訊，請參閱 Greengrass 核組態。

   ---
   system:
     certificateFilePath: "/greengrass/v2/device.pem.crt"
     privateKeyPath: "/greengrass/v2/private.pem.key"
     rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
     rootpath: "/greengrass/v2"
     thingName: "MyGreengrassCore"
   services:
     aws.greengrass.Nucleus:
       componentType: "NUCLEUS"
       version: "2.13.0"
       configuration:
         awsRegion: "us-west-2"
         iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
         iotCredEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
         iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
         mqtt:
           port: 443
         greengrassDataPlanePort: 443
         networkProxy:
           noProxyAddresses: "http://192.168.0.1,www.example.com"
           proxy:
             url: "https://my-proxy-server:1100"
             username: "Mary_Major"
             password: "pass@word1357"

3. 執行安裝程式，並指--init-config定提供組態檔案。

   • 更換/greengrass/v2或 C:\greengrass\v2 與 Greengrass 文件夾。

   • 取代的每個執行個體 GreengrassInstaller 與您解壓縮安裝程序的文件夾。

   Linux or Unix

   sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
     -jar ./GreengrassInstaller/lib/Greengrass.jar \
     --init-config ./GreengrassInstaller/config.yaml \
     --component-default-user ggc_user:ggc_group \
     --setup-system-service true

   Windows Command Prompt (CMD)

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
     -jar ./GreengrassInstaller/lib/Greengrass.jar ^
     --init-config ./GreengrassInstaller/config.yaml ^
     --component-default-user ggc_user ^
     --setup-system-service true

   PowerShell

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
     -jar ./GreengrassInstaller/lib/Greengrass.jar `
     --init-config ./GreengrassInstaller/config.yaml `
     --component-default-user ggc_user `
     --setup-system-service true

   重要

   在 Windows 核心裝置上，您必須指--setup-system-service true定將 AWS IoT Greengrass 核心軟體設定為系統服務。

   如果您指定--setup-system-service true，安裝程式會列印是Successfully set up Nucleus as a system service否將軟體設定為系統服務並執行。否則，如果安裝程式成功安裝軟體，則不會輸出任何訊息。

   注意

   當您執行沒有deploy-dev-tools引數的安裝程式時，您無法使用--provision true引數來部署本機開發工具。如需CLI直接在裝置上部署 Greengrass 的相關資訊，請參閱。綠色命令行界面

4. 檢視根資料夾中的檔案來確認安裝。

   Linux or Unix

   ls /greengrass/v2

   Windows Command Prompt (CMD)

   dir C:\greengrass\v2

   PowerShell

   ls C:\greengrass\v2

   如果安裝成功，則根資料夾會包含數個資料夾config，例如packages、和logs。

若要安裝 AWS IoT Greengrass 核心軟體

1. 檢查 AWS IoT Greengrass 核心軟體的版本。

   • Replace (取代) GreengrassInstaller 包含軟件的文件夾的路徑。

   java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

2. 若要讓 AWS IoT Greengrass 核心軟體使用中的私密金鑰和憑證HSM，請在安裝 AWS IoT Greengrass Core 軟體時安裝 PKCS#11 提供者元件。PKCS#11 提供者元件是您可以在安裝期間設定的外掛程式。您可以從下列位置下載最新版本的 PKCS #11 提供者元件：

   • https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar

   將 PKCS #11 提供者外掛程式下載至名為的檔案aws.greengrass.crypto.Pkcs11Provider.jar。Replace (取代) GreengrassInstaller 與您要使用的文件夾。

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar > GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar

   下載此軟體，即表示您同意 Greengrass 核心軟體授權合約之規定。

3. 使用文字編輯器建立名為提供config.yaml給安裝程式的組態檔案。

   例如，在 Linux 系統上，您可以執行下列命令來使用 GNU nano 來建立檔案。

   nano GreengrassInstaller/config.yaml

   將下列YAML內容複製到檔案中。此部分配置文件指定系統參數，Greengrass 核參數和 PKCS #11 提供者參數。

   ---
   system:
     certificateFilePath: "pkcs11:object=iotdevicekey;type=cert"
     privateKeyPath: "pkcs11:object=iotdevicekey;type=private"
     rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
     rootpath: "/greengrass/v2"
     thingName: "MyGreengrassCore"
   services:
     aws.greengrass.Nucleus:
       componentType: "NUCLEUS"
       version: "2.13.0"
       configuration:
         awsRegion: "us-west-2"
         iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
         iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
         iotCredEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
     aws.greengrass.crypto.Pkcs11Provider:
       configuration:
         name: "softhsm_pkcs11"
         library: "/usr/local/Cellar/softhsm/2.6.1/lib/softhsm/libsofthsm2.so"
         slot: 1
         userPin: "1234"

   然後，執行下列動作：

   • 取代的每個執行個體 iotdevicekey 在 PKCS #11 URIs 與您創建私鑰並導入證書的對象標籤。

   • /greengrass/v2以 Greengrass 根資料夾取代的每個執行個體。

   • Replace (取代) MyGreengrassCore 與 AWS IoT 事物的名稱。

   • Replace (取代) 2.13.0 與 AWS IoT Greengrass 核心軟件的版本。

   • Replace (取代) us-west-2 與您創建資源的 AWS 區域 位置。

   • Replace (取代) GreengrassCoreTokenExchangeRoleAlias 與令牌交換角色別名的名稱。

   • iotDataEndpoint以您的 AWS IoT 資料端點取代。

   • iotCredEndpoint以您的 AWS IoT 認證端點取代。

   • 將aws.greengrass.crypto.Pkcs11Provider元件的組態參數取代為核心裝HSM置上的組態值。

   注意

   在此組態檔案中，您可以自訂其他核心組態選項，例如要使用的連接埠和網路 Proxy，如下列範例所示。如需詳細資訊，請參閱 Greengrass 核組態。

   ---
   system:
     certificateFilePath: "pkcs11:object=iotdevicekey;type=cert"
     privateKeyPath: "pkcs11:object=iotdevicekey;type=private"
     rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
     rootpath: "/greengrass/v2"
     thingName: "MyGreengrassCore"
   services:
     aws.greengrass.Nucleus:
       componentType: "NUCLEUS"
       version: "2.13.0"
       configuration:
         awsRegion: "us-west-2"
         iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
         iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
         iotCredEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
         mqtt:
           port: 443
         greengrassDataPlanePort: 443
         networkProxy:
           noProxyAddresses: "http://192.168.0.1,www.example.com"
           proxy:
             url: "https://my-proxy-server:1100"
             username: "Mary_Major"
             password: "pass@word1357"
     aws.greengrass.crypto.Pkcs11Provider:
       configuration:
         name: "softhsm_pkcs11"
         library: "/usr/local/Cellar/softhsm/2.6.1/lib/softhsm/libsofthsm2.so"
         slot: 1
         userPin: "1234"

4. 執行安裝程式，並指--init-config定提供組態檔案。

   • /greengrass/v2以 Greengrass 色根資料夾取代。

   • 取代的每個執行個體 GreengrassInstaller 與您解壓縮安裝程序的文件夾。

   sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
     -jar ./GreengrassInstaller/lib/Greengrass.jar \
     --trusted-plugin ./GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar \
     --init-config ./GreengrassInstaller/config.yaml \
     --component-default-user ggc_user:ggc_group \
     --setup-system-service true

   重要

   在 Windows 核心裝置上，您必須指--setup-system-service true定將 AWS IoT Greengrass 核心軟體設定為系統服務。

   如果您指定--setup-system-service true，安裝程式會列印是Successfully set up Nucleus as a system service否將軟體設定為系統服務並執行。否則，如果安裝程式成功安裝軟體，則不會輸出任何訊息。

   注意

   當您執行沒有deploy-dev-tools引數的安裝程式時，您無法使用--provision true引數來部署本機開發工具。如需CLI直接在裝置上部署 Greengrass 的相關資訊，請參閱。綠色命令行界面

5. 檢視根資料夾中的檔案來確認安裝。

   Linux or Unix

   ls /greengrass/v2

   Windows Command Prompt (CMD)

   dir C:\greengrass\v2

   PowerShell

   ls C:\greengrass\v2

   如果安裝成功，則根資料夾會包含數個資料夾config，例如packages、和logs。