使用自動資源佈建安裝 AWS IoT Greengrass 核心軟體

為 設定 Linux 裝置 AWS IoT Greengrass V2

1. 安裝 AWS IoT Greengrass 執行核心軟體所需的 Java 執行期。我們建議您使用 Amazon Corretto 或 OpenJDK 長期支援版本。第 8 版或更新版本為必要項目。下列命令說明如何在裝置上安裝 OpenJDK。

   • 針對 Debian 為基礎或 Ubuntu 為基礎的發行版本：

     sudo apt install default-jdk

   • 針對 Red Hat 為基礎的發行版本：

     sudo yum install java-11-openjdk-devel

   • 針對 Amazon Linux 2：

     sudo amazon-linux-extras install java-openjdk11

   • 針對 Amazon Linux 2023：

     sudo dnf install java-11-amazon-corretto -y

   安裝完成時，請執行下列命令，以確認 Java 在您的 Linux 裝置上執行。

   java -version

   命令會列印在裝置上執行的 Java 版本。例如，在 Debian 型分佈上，輸出看起來可能會類似下列範例。

   openjdk version "11.0.9.1" 2020-11-04
   OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
   OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)

2. （選用） 建立在裝置上執行元件的預設系統使用者和群組。您也可以選擇讓 AWS IoT Greengrass Core 軟體安裝程式在安裝期間使用--component-default-user安裝程式引數建立此使用者和群組。如需詳細資訊，請參閱安裝程式引數。

   sudo useradd --system --create-home ggc_user
   sudo groupadd --system ggc_group

3. 確認執行 AWS IoT Greengrass Core 軟體的使用者 （通常為 root) 具有許可，可sudo搭配任何使用者和任何群組執行 。

   1. 執行下列命令以開啟 /etc/sudoers 檔案。

      sudo visudo

   2. 確認使用者的許可如下所示。

      root    ALL=(ALL:ALL) ALL

4. （選用） 若要執行容器化 Lambda 函數，您必須啟用 cgroups v1，而且必須啟用並掛載記憶體和裝置 cgroups。如果您不打算執行容器化 Lambda 函數，您可以略過此步驟。

   若要啟用這些 cgroups 選項，請使用下列 Linux 核心參數啟動裝置。

   cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0

   如需有關檢視和設定裝置核心參數的資訊，請參閱您作業系統和開機載入器的文件。依照指示永久設定核心參數。

5. 在裝置上安裝所有其他必要的相依性，如 中的需求清單所示裝置要求。

為 設定 Windows 裝置 AWS IoT Greengrass V2

1. 安裝 AWS IoT Greengrass 執行核心軟體所需的 Java 執行期。我們建議您使用 Amazon Corretto 或 OpenJDK 長期支援版本。第 8 版或更新版本為必要項目。

2. 檢查 PATH 系統變數上是否提供 Java，如果沒有，請新增 Java。LocalSystem 帳戶會執行 AWS IoT Greengrass Core 軟體，因此您必須將 Java 新增至 PATH 系統變數，而不是使用者的 PATH 使用者變數。請執行下列操作：

   1. 按 Windows 鍵開啟開始選單。

   2. 輸入 environment variables 以從開始功能表搜尋系統選項。

   3. 在開始功能表搜尋結果中，選擇編輯系統環境變數以開啟系統屬性視窗。

   4. 選擇環境變數...以開啟環境變數視窗。

   5. 在系統變數下，選取路徑，然後選擇編輯。在編輯環境變數視窗中，您可以檢視個別行上的每個路徑。

   6. 檢查 Java 安裝bin資料夾的路徑是否存在。路徑看起來可能會類似下列範例。

      C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin

   7. 如果路徑中缺少 Java 安裝的bin資料夾，請選擇新增以新增，然後選擇確定。

3. 以管理員身分開啟 Windows 命令提示字元 (cmd.exe)。

4. 在 Windows 裝置上的 LocalSystem 帳戶中建立預設使用者。將密碼取代為安全密碼。

   net user /add ggc_user password

   提示

   根據您的 Windows 組態，使用者的密碼可能會設定為在未來的日期過期。為了確保您的 Greengrass 應用程式持續運作，請追蹤密碼過期的時間，並在過期前更新它。您也可以將使用者的密碼設定為永不過期。

   • 若要檢查使用者及其密碼何時過期，請執行下列命令。

     net user ggc_user | findstr /C:expires

   • 若要將使用者的密碼設定為永不過期，請執行下列命令。

     wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False

   • 如果您使用的是wmic已棄用命令的 Windows 10 或更新版本，請執行下列 PowerShell 命令。

     Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}

5. 在裝置上從 Microsoft 下載並安裝 PsExec 公用程式。

6. 使用 PsExec 公用程式，將預設使用者的使用者名稱和密碼存放在 LocalSystem 帳戶的 Credential Manager 執行個體中。將密碼取代為您先前設定的使用者密碼。

   psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password

   如果 PsExec License Agreement開啟，請選擇 以Accept同意授權並執行 命令。

   注意

   在 Windows 裝置上，LocalSystem 帳戶會執行 Greengrass 核，而且您必須使用 PsExec 公用程式將預設使用者資訊存放在 LocalSystem 帳戶中。使用 Credential Manager 應用程式會將此資訊存放在目前登入使用者的 Windows 帳戶中，而不是 LocalSystem 帳戶。

提供 AWS 登入資料給裝置

• 將 AWS 登入資料提供給裝置，讓安裝程式可以為您的核心裝置佈建 AWS IoT 和 IAM 資源。為了提高安全性，建議您取得 IAM 角色的臨時憑證，該角色僅允許佈建所需的最低許可。如需詳細資訊，請參閱安裝程式佈建資源的最低 IAM 政策。

  注意

  安裝程式不會儲存或存放您的登入資料。

  在您的裝置上，執行下列其中一項作業來擷取憑證，並將其提供給 AWS IoT Greengrass Core 軟體安裝程式：

  • （建議） 使用來自 的臨時登入資料 AWS IAM Identity Center

    1. 從 IAM Identity Center 提供存取金鑰 ID、私密存取金鑰和工作階段權杖。如需詳細資訊，請參閱《IAM Identity Center 使用者指南》中的取得和重新整理臨時憑證》中的手動憑證重新整理。

    2. 執行下列命令，將登入資料提供給 AWS IoT Greengrass Core 軟體。

       Linux or Unix

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       Windows Command Prompt (CMD)

       set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       PowerShell

       $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
       $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
       $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="

       anchoranchoranchor
       • Linux or Unix
       • Windows Command Prompt (CMD)
       • PowerShell

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

  • 使用來自 IAM 角色的臨時安全登入資料：

    1. 提供您擔任之 IAM 角色的存取金鑰 ID、私密存取金鑰和工作階段權杖。如需如何擷取這些登入資料的詳細資訊，請參閱《IAM 使用者指南》中的請求臨時安全登入資料。

    2. 執行下列命令，將登入資料提供給 AWS IoT Greengrass Core 軟體。

       Linux or Unix

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       Windows Command Prompt (CMD)

       set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       PowerShell

       $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
       $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
       $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="

       anchoranchoranchor
       • Linux or Unix
       • Windows Command Prompt (CMD)
       • PowerShell

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

  • 使用來自 IAM 使用者的長期登入資料：

    1. 為您的 IAM 使用者提供存取金鑰 ID 和私密存取金鑰。您可以建立 IAM 使用者來佈建您稍後刪除的內容。如需提供使用者的 IAM 政策，請參閱 安裝程式佈建資源的最低 IAM 政策。如需如何擷取長期憑證的詳細資訊，請參閱《IAM 使用者指南》中的管理 IAM 使用者的存取金鑰。

    2. 執行下列命令，將登入資料提供給 AWS IoT Greengrass Core 軟體。

       Linux or Unix

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

       Windows Command Prompt (CMD)

       set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

       PowerShell

       $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
       $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"

       anchoranchoranchor
       • Linux or Unix
       • Windows Command Prompt (CMD)
       • PowerShell

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

    3. （選用） 如果您建立 IAM 使用者來佈建 Greengrass 裝置，請刪除該使用者。

    4. （選用） 如果您使用現有 IAM 使用者的存取金鑰 ID 和私密存取金鑰，請更新使用者的金鑰，使其不再有效。如需詳細資訊，請參閱 AWS Identity and Access Management 使用者指南中的更新存取金鑰。

下載 AWS IoT Greengrass Core 軟體

1. 在您的核心裝置上，將 AWS IoT Greengrass Core 軟體下載至名為 的檔案greengrass-nucleus-latest.zip。

   Linux or Unix

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   PowerShell

   iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip

   anchoranchoranchor
   • Linux or Unix
   • Windows Command Prompt (CMD)
   • PowerShell

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   下載此軟體，即表示您同意 Greengrass 核心軟體授權合約之規定。

2. （選用） 驗證 Greengrass 核軟體簽章

   注意

   此功能適用於 Greengrass nucleus 2.9.5 版及更新版本。

   1. 使用下列命令來驗證 Greengrass 核子成品的簽章：

      Linux or Unix

      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

      Windows Command Prompt (CMD)

      檔案名稱看起來可能會有所不同，視您安裝的 JDK 版本而定。jdk17.0.6_10 將 取代為您安裝的 JDK 版本。

      "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip

      PowerShell

      檔案名稱看起來可能會有所不同，視您安裝的 JDK 版本而定。jdk17.0.6_10 將 取代為您安裝的 JDK 版本。

      'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip

      anchoranchoranchor
      • Linux or Unix
      • Windows Command Prompt (CMD)
      • PowerShell

      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

   2. jarsigner 調用會產生輸出，指出驗證結果。

      1. 如果已簽署 Greengrass 核 zip 檔案，輸出會包含下列陳述式：

         jar verified.

      2. 如果未簽署 Greengrass 核 zip 檔案，輸出會包含下列陳述式：

         jar is unsigned.

   3. 如果您提供 Jarsigner -certs選項以及 -verify和 -verbose選項，輸出也會包含詳細的簽署者憑證資訊。

3. 將 AWS IoT Greengrass Core 軟體解壓縮至裝置上的資料夾。將 GreengrassInstaller 取代為您要使用的資料夾。

   Linux or Unix

   unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip

   PowerShell

   Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
   rm greengrass-nucleus-latest.zip

   anchoranchoranchor
   • Linux or Unix
   • Windows Command Prompt (CMD)
   • PowerShell

   unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

4. （選用） 執行下列命令以查看 AWS IoT Greengrass Core 軟體的版本。

   java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

安裝 AWS IoT Greengrass Core 軟體

1. 執行 AWS IoT Greengrass Core 安裝程式。取代命令中的引數值，如下所示。

   注意

   Windows 的路徑長度限制為 260 個字元。如果您使用的是 Windows，請使用根資料夾，例如 C:\greengrass\v2或 D:\greengrass\v2 ，將 Greengrass 元件路徑保持在 260 個字元限制以下。

   1. /greengrass/v2 或 C：\greengrass\v2：用來安裝 AWS IoT Greengrass Core 軟體的根資料夾路徑。

   2. GreengrassInstaller。解壓縮 AWS IoT Greengrass Core 軟體安裝程式的資料夾路徑。

   3. 區域。尋找或建立資源 AWS 區域 的 。

   4. MyGreengrassCore。Greengrass 核心裝置的 AWS IoT 物件名稱。如果物件不存在，安裝程式會建立它。安裝程式會下載憑證以驗證 做為 AWS IoT 物件。如需詳細資訊，請參閱的裝置身分驗證和授權 AWS IoT Greengrass。

      注意

      物件名稱不能包含冒號 (:) 字元。

   5. MyGreengrassCoreGroup。Greengrass 核心裝置的 AWS IoT 物件群組名稱。如果物件群組不存在，安裝程式會建立該物件並將其新增至該物件。如果物件群組存在且具有作用中部署，核心裝置會下載並執行部署指定的軟體。

      注意

      物件群組名稱不能包含冒號 (:) 字元。

   6. GreengrassV2IoTThingPolicy。允許 Greengrass 核心裝置與 AWS IoT 和 通訊 AWS IoT 的政策名稱 AWS IoT Greengrass。如果 AWS IoT 政策不存在，安裝程式會使用此名稱建立寬鬆 AWS IoT 政策。您可以限制此政策對您使用案例的許可。如需詳細資訊，請參閱AWS IoT Greengrass V2 核心裝置的最低 AWS IoT 政策。

   7. GreengrassV2TokenExchangeRole。允許 Greengrass 核心裝置取得臨時 AWS 憑證的 IAM 角色名稱。如果角色不存在，安裝程式會建立該角色，並建立和連接名為 的政策GreengrassV2TokenExchangeRoleAccess。如需詳細資訊，請參閱授權核心裝置與服務 AWS 互動。

   8. GreengrassCoreTokenExchangeRoleAlias。IAM 角色的別名，允許 Greengrass 核心裝置稍後取得臨時憑證。如果角色別名不存在，安裝程式會建立它，並將其指向您指定的 IAM 角色。如需詳細資訊，請參閱授權核心裝置與服務 AWS 互動。

   Linux or Unix

   sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
     -jar ./GreengrassInstaller/lib/Greengrass.jar \
     --aws-region region \
     --thing-name MyGreengrassCore \
     --thing-group-name MyGreengrassCoreGroup \
     --thing-policy-name GreengrassV2IoTThingPolicy \
     --tes-role-name GreengrassV2TokenExchangeRole \
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
     --component-default-user ggc_user:ggc_group \
     --provision true \
     --setup-system-service true

   Windows Command Prompt (CMD)

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
     -jar ./GreengrassInstaller/lib/Greengrass.jar ^
     --aws-region region ^
     --thing-name MyGreengrassCore ^
     --thing-group-name MyGreengrassCoreGroup ^
     --thing-policy-name GreengrassV2IoTThingPolicy ^
     --tes-role-name GreengrassV2TokenExchangeRole ^
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias ^
     --component-default-user ggc_user ^
     --provision true ^
     --setup-system-service true

   PowerShell

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
     -jar ./GreengrassInstaller/lib/Greengrass.jar `
     --aws-region region `
     --thing-name MyGreengrassCore `
     --thing-group-name MyGreengrassCoreGroup `
     --thing-policy-name GreengrassV2IoTThingPolicy `
     --tes-role-name GreengrassV2TokenExchangeRole `
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias `
     --component-default-user ggc_user `
     --provision true `
     --setup-system-service true

   anchoranchoranchor
   • Linux or Unix
   • Windows Command Prompt (CMD)
   • PowerShell

   sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
     -jar ./GreengrassInstaller/lib/Greengrass.jar \
     --aws-region region \
     --thing-name MyGreengrassCore \
     --thing-group-name MyGreengrassCoreGroup \
     --thing-policy-name GreengrassV2IoTThingPolicy \
     --tes-role-name GreengrassV2TokenExchangeRole \
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
     --component-default-user ggc_user:ggc_group \
     --provision true \
     --setup-system-service true

   重要

   在 Windows 核心裝置上，您必須指定 將 AWS IoT Greengrass 核心軟體--setup-system-service true設定為系統服務。

   如果成功，安裝程式會列印下列訊息：

   • 如果您指定 --provision，安裝程式會在成功設定資源Successfully configured Nucleus with provisioned resource details時列印。

   • 如果您指定 --deploy-dev-tools，Configured Nucleus to deploy aws.greengrass.Cli component安裝程式會在成功建立部署時列印。

   • 如果您指定 --setup-system-service true，Successfully set up Nucleus as a system service安裝程式會在設定和執行軟體時列印為服務。

   • 如果您未指定 --setup-system-service true，安裝程式Launched Nucleus successfully會列印是否成功並執行軟體。

2. 如果您已安裝 v2Greengrass 核.0.4 或更新版本，請略過此步驟。如果您下載了最新版本的軟體，則已安裝 v2.0.4 或更新版本。

   執行下列命令，為您的 AWS IoT Greengrass Core 軟體根資料夾設定所需的檔案許可。/greengrass/v2 將 取代為您在安裝命令中指定的根資料夾，並將 /greengrass 取代為您根資料夾的父資料夾。

   sudo chmod 755 /greengrass/v2 && sudo chmod 755 /greengrass