本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 很有可能更新受 AWS 管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
主題
AWS 受管政策:AWSGreengrassFullAccess
您可將 AWSGreengrassFullAccess 政策連接到 IAM 身分。
此政策會授予管理許可,允許委託人完整存取所有 AWS IoT Greengrass 動作。
許可詳細資訊
此政策包含以下許可:
-
greengrass– 允許主體完整存取所有 AWS IoT Greengrass 動作。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}AWS 受管政策:AWSGreengrassReadOnlyAccess
您可將 AWSGreengrassReadOnlyAccess 政策連接到 IAM 身分。
此政策會授予唯讀許可,允許委託人檢視,但不修改其中的資訊 AWS IoT Greengrass。例如,具有這些許可的主體可以檢視部署到 Greengrass 核心裝置的元件清單,但無法建立部署來變更在該裝置上執行的元件。
許可詳細資訊
此政策包含以下許可:
-
greengrass– 允許主體執行傳回項目清單或項目詳細資訊的動作。這包括以List或 開頭的 API 操作Get。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}AWS 受管政策:AWSGreengrassResourceAccessRolePolicy
您可以將AWSGreengrassResourceAccessRolePolicy政策連接至 IAM 實體。 AWS IoT Greengrass 也會將此政策連接至 AWS IoT Greengrass 允許 代表您執行動作的服務角色。如需詳細資訊,請參閱Greengrass 服務角色。
此政策授予管理許可, AWS IoT Greengrass 允許 執行基本任務,例如擷取 Lambda 函數、管理 AWS IoT 裝置影子,以及驗證 Greengrass 用戶端裝置。
許可詳細資訊
此政策包含以下許可。
-
greengrass– 管理 Greengrass 資源。 -
iot(*Shadow) – 管理名稱中具有下列特殊識別符的 AWS IoT 陰影。這些許可是必要的,以便 AWS IoT Greengrass 可以與核心裝置通訊。-
*-gci– AWS IoT Greengrass 使用此影子來存放核心裝置連線資訊,以便用戶端裝置可以探索和連線至核心裝置。 -
*-gcm– AWS IoT Greengrass V1 使用此影子來通知核心裝置 Greengrass 群組的憑證授權機構 (CA) 憑證已輪換。 -
*-gda– AWS IoT Greengrass V1 使用此影子來通知核心裝置部署。 -
GG_*– 未使用。
-
-
iot(DescribeThing和DescribeCertificate) – 擷取 AWS IoT 物件和憑證的相關資訊。需要這些許可, AWS IoT Greengrass 才能驗證連接到核心裝置的用戶端裝置。如需詳細資訊,請參閱與本機 IoT 裝置互動。 -
lambda– 擷取 AWS Lambda 函數的相關資訊。需要此許可, AWS IoT Greengrass V1 才能將 Lambda 函數部署到 Greengrass 核心。如需詳細資訊,請參閱《 AWS IoT Greengrass V1 開發人員指南》中的在 AWS IoT Greengrass 核心上執行 Lambda 函數。 -
secretsmanager– 擷取名稱開頭為 的 AWS Secrets Manager 秘密值greengrass-。需要此許可, AWS IoT Greengrass V1 才能將 Secrets Manager 秘密部署到 Greengrass 核心。如需詳細資訊,請參閱《 AWS IoT Greengrass V1 開發人員指南》中的將秘密部署至 AWS IoT Greengrass 核心。 -
s3– 從名稱包含greengrass或 的 S3 儲存貯體擷取檔案物件sagemaker。這些許可是必要的,以便 AWS IoT Greengrass V1 部署存放在 S3 儲存貯體中的機器學習資源。如需詳細資訊,請參閱《 AWS IoT Greengrass V1 開發人員指南》中的機器學習資源。 -
sagemaker– 擷取 Amazon SageMaker AI 機器學習推論模型的相關資訊。需要此許可,才能將 ML AWS IoT Greengrass V1 模型部署到 Greengrass 核心。如需詳細資訊,請參閱《 AWS IoT Greengrass V1 開發人員指南》中的執行機器學習推論。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}AWS IoT Greengrass 受 AWS 管政策的更新
從此服務開始追蹤這些變更開始 AWS IoT Greengrass ,您可以檢視 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱AWS IoT Greengrass V2 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AWS IoT Greengrass 已開始追蹤變更 |
AWS IoT Greengrass 已開始追蹤其 AWS 受管政策的變更。 |
2021 年 7 月 2 日 |
