本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
秘密經理
密碼管理員元件 (aws.greengrass.SecretManager) 會將密碼從 AWS Secrets Manager
Greengrass 核心裝置部署。使用此元件可在 Greengrass 核心裝置的自訂元件中安全地使用認證,例如密碼。如需有關 Secrets Manager 的詳細資訊,請參閱什麼是 AWS Secrets Manager? 在《AWS Secrets Manager 使用者指南》中。
若要在自訂 Greengrass 元件中存取此元件的密碼,請使GetSecretValue用. AWS IoT Device SDK如需詳細資訊,請參閱 使 AWS IoT Device SDK 用與 Greengrass 核、其他元件和通訊 AWS IoT Core 和 擷取秘密值。
此元件會加密核心裝置上的密碼,以確保您的憑證和密碼安全,直到您需要使用它們為止。它使用核心裝置的私密金鑰來加密和解密密碼。
版本
此元件具有下列版本:
-
2.2.x 版本
-
2.1.x
-
2.0.x
Type
這個組件是一個插件組件(aws.greengrass.plugin)。Greengrass 核在與核相同的 Java 虛擬機器(JVM)中運行此組件。當您在核心裝置上變更此元件的版本時,核心會重新啟動。
此組件使用與 Greengrass 核相同的日誌文件。如需詳細資訊,請參閱監控AWS IoT Greengrass日誌。
如需詳細資訊,請參閱元件類型。
作業系統
此元件可安裝在執行下列作業系統的核心裝置上:
Linux
Windows
要求
此元件具有下列需求:
-
Greengrass 裝置角色必須允許
secretsmanager:GetSecretValue動作,如下列範例原則所示。IAM{ "Version": "2012-10-17", "Statement": [ { "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": [ "arn:aws:secretsmanager:region:123456789012:secret:MySecret" ] } ] }注意
如果您使用客戶管理的 AWS Key Management Service 金鑰來加密密碼,則裝置角色也必須允許該
kms:Decrypt處理行動。如需有關 Secrets Manager IAM 原則的詳細資訊,請參閱使AWS Secrets Manager 用者指南中的下列內容:
-
自訂元件必須定義授權原則,
aws.greengrass#GetSecretValue以取得您儲存在此元件的密碼。在此授權原則中,您可以限制元件對特定機密的存取。如需詳細資訊,請參閱密碼管理員IPC授權。 -
(可選)如果將核心設備的私密密鑰和證書存儲在硬件安全模塊(HSM)中,則HSM必須支持密RSA鑰,私鑰必須具有
unwrap權限,並且公鑰必須具有wrap權限。
端點和連接埠
除了基本作業所需的端點和連接埠之外,此元件還必須能夠對下列端點和連接埠執行輸出要求。如需詳細資訊,請參閱允許裝置流量透過 Proxy 或防火牆。
| 端點 | 連線埠 | 必要 | 描述 |
|---|---|---|---|
|
|
443 | 是 |
將秘密下載到核心設備。 |
相依性
部署元件時, AWS IoT Greengrass 也會部署其相依性的相容版本。這表示您必須符合元件及其所有相依性的需求,才能成功部署元件。本節列出此元件之已發行版本的相依性,以及定義每個相依性之元件版本的語意版本條件約束。您也可以在AWS IoT Greengrass 主控台
如需有關元件相依性的詳細資訊,請參閱元件方案參考。
組態
此元件提供下列組態參數,您可以在部署元件時自訂這些參數。
periodicRefreshIntervalMin(選用)-
此元件會將核心裝置上已設定的密碼與 AWS Secrets Manager 服務的最新密碼值同步處理的間隔 (分鐘)。如果未設定此間隔,Secret Manager 將不會定期重新整理設定的密碼。
{ "cloudSecrets": [ { "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef" } ], "periodicRefreshIntervalMin" : 60 } cloudSecrets-
要部署到核心裝置的密碼清單。您可以指定標籤來定義要部署的每個密碼版本。如果您未指定版本,則此元件會部署
AWSCURRENT附加測試標籤的版本。如需詳細資訊,請參閱AWS Secrets Manager 使用指南中的暫存標籤。密碼管理員元件會在本機快取密碼。如果秘密值在 Secrets Manager 中發生變更,此元件不會自動擷取新值。若要更新本機副本,請為機密提供新標籤,並將此元件設定為擷取新標籤所識別的密碼。
每個物件都包含下列資訊:
arn-
要部署ARN的秘密。密碼ARN的可以是完整的ARN或部分的ARN。我們建議您指定完整ARN而不是部分ARN。如需詳細資訊,請參閱從部分尋找機密ARN。下面是一個完整ARN和部分的例子ARN:
-
完整ARN:
arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef -
部分ARN:
arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName
-
labels-
(選擇性) 標籤清單,用於識別要部署到核心裝置的密碼版本。
每個標籤必須是一個字符串。
範例:組態合併更新
{ "cloudSecrets": [ { "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef" } ] }
本機記錄檔
此元件使用與 Greengrass 核元件相同的記錄檔。
若要檢視此元件的記錄
-
在核心裝置上執行下列命令,即時檢視此元件的記錄檔。更換
/greengrass/v2C:\greengrass\v2與 AWS IoT Greengrass 根文件夾的路徑。
變更記錄
下表說明元件每個版本的變更。
|
版本 |
變更 |
|---|---|
|
2.2.0 |
|
|
2.1.8 |
|
|
2.1.7 |
版本更新 Greengrass 2.12.0 版本釋放。 |
|
2.1.6 |
版本更新了 Greengrass 核 2.11.0 版本釋放。 |
|
2.1.5 |
版本更新了 Greengrass 2.10.0 版本。 |
|
2.1.4 |
|
|
2.1.3 |
版本更新 Greengrass 2.8.0 版本的版本。 |
|
2.1.2 |
版本更新了 Greengrass 核 2.7.0 版本釋放。 |
|
2.1.1 |
版本更新 Greengrass 2.6.0 版本發布。 |
|
2.1.0 |
|
|
2.0.9 |
版本更新 Greengrass 2.4.0 版本的版本。 |
|
2.0.8 |
版本更新了 Greengrass 核 2.3.0 版本。 |
|
2.0.7 |
版本更新了 Greengrass 核 2.2.0 版本。 |
|
2.0.6 |
版本更新 Greengrass 2.1.0 版本發布。 |
|
2.0.5 |
|
|
2.0.4 |
初始版本。 |
