Greengrass-Servicerolle - AWS IoT Greengrass
Verwaltung der Servicerolle (Konsole)Verwaltung der Servicerolle (CLI)Weitere Informationen finden Sie auch unter

AWS IoT Greengrass Version 1 hat am 30. Juni 2023 in die Phase der verlängerten Lebensdauer aufgenommen. Weitere Informationen finden Sie in der AWS IoT Greengrass V1 Wartungsrichtlinie . Nach diesem Datum AWS IoT Greengrass V1 wurden keine Updates veröffentlicht, die Funktionen, Verbesserungen, Fehlerbehebungen oder Sicherheitspatches bereitstellen. Geräte, die auf ausgeführt AWS IoT Greengrass V1 werden, werden nicht unterbrochen und werden weiterhin betrieben und eine Verbindung zur Cloud herstellen. Wir empfehlen dringend, zu zu migrieren AWS IoT Greengrass Version 2, was erhebliche neue Funktionen und Unterstützung für zusätzliche Plattformen hinzufügt.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greengrass-Servicerolle

Die Greengrass-Servicerolle ist eineAWS Identity and Access Management(IAM) -Servicerolle, die autorisiertAWS IoT Greengrassum auf Ressourcen zuzugreifen vonAWS-Services in Ihrem Namen. Dadurch kann AWS IoT Greengrass grundlegende Aufgaben durchführen, wie z. B. das Abrufen Ihrer AWS Lambda-Funktionen und das Verwalten von AWS IoT-Schatten.

ZulassenAWS IoT Greengrassum auf Ihre Ressourcen zugreifen zu können, müssen die Greengrass-Servicerolle mit IhremAWS-Kontound spezifizierenAWS IoT Greengrassals vertrauenswürdige Entität. Die -Rolle muss die AWSGreengrassResourceAccessRolePolicyverwaltete Richtlinie oder eine benutzerdefinierte Richtlinie, die gleichwertige Berechtigungen für dieAWS IoT GreengrassFunktionen, die Sie verwenden. Diese Richtlinie wird beibehalten vonAWSund definiert den Satz von Berechtigungen, dieAWS IoT Greengrassverwendet, um auf IhreAWSRessourcen schätzen.

Sie können dieselbe Greengrass-Servicerolle inAWS-Regions, aber Sie müssen es in jedem Fall mit Ihrem Konto verknüpfenAWS-Regionwo du verwendestAWS IoT Greengrassaus. Die Gruppenbereitstellung schlägt fehl, wenn die Servicerolle im aktuellenAWS-Kontound Region.

In den folgenden Abschnitten wird beschrieben, wie Sie die Greengrass-Servicerolle in der AWS Management Console oder AWS CLI erstellen und verwalten.

Anmerkung

Zusätzlich zur Servicerolle, die den Zugriff auf Service-Ebene autorisiert, können Sie eine-Gruppen-Rollezu einemAWS IoT GreengrassGruppe. Die Gruppenrolle ist eine separate IAM-Rolle, die steuert, wie Greengrass-Lambda-Funktionen und -Konnektoren in der Gruppe darauf zugreifen können.AWS-Services.

Verwalten der Greengrass-Servicerolle (Konsole)

Die AWS IoT-Konsole vereinfacht die Verwaltung Ihrer Greengrass-Servicerolle. Wenn Sie beispielsweise eine Greengrass-Gruppe erstellen oder bereitstellen, prüft die Konsole, ob IhreAWS-Kontoist an eine Greengrass-Servicerolle imAWS-Regiondie derzeit in der Konsole ausgewählt ist. Andernfalls kann die Konsole eine Servicerolle für Sie erstellen und konfigurieren. Weitere Informationen finden Sie unter Erstellen der Greengrass-Servicerolle (Konsole).

Sie können dasAWS IoT-Konsole für die folgenden Rollenverwaltungsaufgaben:

Anmerkung

Der Benutzer, der bei der Konsole angemeldet ist, muss über Berechtigungen zum Anzeigen, Erstellen oder Ändern der Servicerolle verfügen.

 

Suchen Ihrer Greengrass-Servicerolle (Konsole)

Führen Sie die folgenden Schritte aus, um die Servicerolle zu findenAWS IoT Greengrassverwendet in der aktuellenAWS-Regionaus.

  1. AusAWS IoTKonsoleNavigationsbereich, wählen SieEinstellungenaus.

  2. Scrollen Sie zum Abschnitt Greengrass service role (Greengrass-Servicerolle), um Ihre Servicerolle und deren Richtlinien anzuzeigen.

    Wenn Sie keine Servicerolle sehen, können Sie die Konsole eine für Sie erstellen oder konfigurieren lassen. Weitere Informationen finden Sie unter Erstellen der Greengrass-Servicerolle.

 

Erstellen der Greengrass-Servicerolle (Konsole)

Die Konsole kann eine standardmäßige Greengrass-Servicerolle für Sie erstellen und konfigurieren. Diese Rolle hat die folgenden Eigenschaften.

Property (Eigenschaft) Wert
Name Greengrass_ServiceRole
Trusted entity (Vertrauenswürdige Entität) AWS service: greengrass
Richtlinie AWSGreengrassResourceAccessRolePolicy
Anmerkung

Wenn Greengrass Device Setup die Servicerolle erstellt, lautet der Rollenname GreengrassServiceRole_random-string.

Wenn Sie eine Greengrass-Gruppe aus demAWS IoT-Konsole prüft die Konsole, ob eine Greengrass-Servicerolle mit IhremAWS-KontoimAWS-Regiondie derzeit in der Konsole ausgewählt ist. Andernfalls werden Sie von der Konsole aufgefordert, zuzulassenAWS IoT Greengrasslesen und schreibenAWS-Services in Ihrem Namen.

Wenn Sie die Berechtigung erteilen, prüft die Konsole, ob eine Rolle mitGreengrass_ServiceRoleexistiert in deinemAWS-Kontoaus.

  • Wenn die Rolle vorhanden ist, fügt die Konsole die Servicerolle anAWS-Kontoim aktuellenAWS-Regionaus.

  • Wenn die Rolle nicht vorhanden ist, erstellt die Konsole eine standardmäßige Greengrass-Servicerolle und fügt sie an Ihre anAWS-Kontoim aktuellenAWS-Regionaus.

Anmerkung

Wenn Sie eine Servicerolle mit benutzerdefinierten Rollenrichtlinien erstellen möchten, verwenden Sie die IAM-Konsole, um die Rolle zu erstellen oder zu ändern. Weitere Informationen finden Sie unterErstellen einer Rolle zum Delegieren von Berechtigungen an eineAWSBedienungoderÄndern einer RolleimIAM User Guideaus. Stellen Sie sicher, dass die Rolle Berechtigungen erteilt, die der verwalteten Richtlinie AWSGreengrassResourceAccessRolePolicy für die verwendeten Funktionen und Ressourcen entsprechen. Wir empfehlen Ihnen, auch dieaws:SourceArnundaws:SourceAccountGlobale -Bedingungskontextschlüssel in Ihrer Vertrauensrichtlinie, um dieconfused StellvertreterSicherheitsproblem. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anforderungen zugelassen werden, die vom angegebenen Konto und Greengrass-Arbeitsbereich kommen. Weitere Informationen über den „verwirrten Stellvertreter“ finden Sie unterVermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)aus.

Wenn Sie eine Servicerolle erstellen, kehren Sie zurAWS IoT-Konsole und fügen Sie die Rolle an die Gruppe an. Sie können dies unter Greengrass service role (Greengrass-Servicerolle) auf der Seite Settings (Einstellungen) der Gruppe vornehmen.

 

Ändern der Greengrass-Servicerolle (Konsole)

Mit dem folgenden Verfahren können Sie eine andere Greengrass-Servicerolle auswählen, die an Ihre angefügt werden sollAWS-KontoimAWS-Regionist derzeit in der -Konsole ausgewählt.

  1. AusAWS IoTKonsoleNavigationsbereich, wählen SieEinstellungenaus.

  2. UnderGreengrass-Servicerolle, wählenRolle ändernaus.

    DieAktualisieren der Greengrass-Servicerollewird geöffnet und zeigt die IAM-Rollen in IhremAWS-Kontodie definierenAWS IoT Greengrassals vertrauenswürdige Entität.

  3. Wählen Sie die Greengrass-Servicerolle aus.

  4. Klicken Sie auf-Rolle hinzufügenaus.

Anmerkung

Um der Konsole das Erstellen einer standardmäßigen Greengrass-Servicerolle für Sie zu erlauben, wählen Sie Create role for me (Rolle für mich erstellen) aus, anstatt eine Rolle aus der Liste auszuwählen. DieErstelle eine Rolle für michLink wird nicht angezeigt, wenn eine Rolle mit dem NamenGreengrass_ServiceRoleist in IhremAWS-Kontoaus.

 

Trennen der Greengrass-Servicerolle (Konsole)

Führen Sie die folgenden Schritte aus, um die Greengrass-Servicerolle von Ihrem zu trennenAWS-KontoimAWS-Regionist derzeit in der -Konsole ausgewählt. Dadurch werden Berechtigungen fürAWS IoT GreengrassZugriff aufAWSDienstleistungen in der aktuellenAWS-Regionaus.

Wichtig

Durch das Trennen der Servicerolle können aktive Operationen unterbrochen werden.

  1. AusAWS IoTKonsoleNavigationsbereich, wählen SieEinstellungenaus.

  2. UnderGreengrass-Servicerolle, wählenTrennen der Rolleaus.

  3. Wählen Sie im Bestätigungsdialogfeld Trennen aus.

Anmerkung

Wenn Sie die Rolle nicht mehr benötigen, können Sie sie in der IAM-Konsole löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter Löschen von Rollen oder Instance-Profilen im IAM-Benutzerhandbuch.

Andere Rollen erlauben möglicherweise AWS IoT Greengrass den Zugriff auf Ihre Ressourcen. So finden Sie alle Rollen, die dies zulassenAWS IoT Greengrassum in Ihrem Namen Berechtigungen anzunehmen, in der IAM-Konsole, auf derRollennach Rollen suchen, die Folgendes beinhaltenAWSservice: greengrass/rotimTrusted Entitiescolumn.

Verwalten der Greengrass-Servicerolle (CLI)

Im folgenden Verfahren gehen wir davon aus, dass dieAWS CLIist installiert und konfiguriert für die Verwendung vonAWS-KontoID. Weitere Informationen finden Sie unterInstallieren vonAWS-BefehlszeilenschnittstelleundKonfigurieren vonAWS CLIimAWS Command Line Interface-Benutzerhandbuchaus.

Sie können die AWS CLI für die folgenden Rollenverwaltungsaufgaben verwenden:

 

Abrufen der Greengrass-Servicerolle (CLI)

Führen Sie die folgenden Schritte aus, um herauszufinden, ob eine Greengrass-Servicerolle mit Ihrem verknüpft istAWS-Kontoin einemAWS-Regionaus.

  • Rufen Sie die Servicerolle ab. ErsetzenRegionmit IhremAWS-Region(z. B.us-west-2) enthalten.

    aws Greengrass get-service-role-for-account --region region

    Wenn Ihrem Konto bereits eine Greengrass-Servicerolle zugewiesen ist, werden die folgenden Rollenmetadaten zurückgegeben.

    {
  "AssociatedAt": "timestamp",
  "RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Werden keine Rollenmetadaten zurückgegeben, müssen Sie die Servicerolle erstellen (sofern sie noch nicht vorhanden ist) und Ihrem -Konto imAWS-Regionaus.

 

Erstellen der Greengrass-Servicerolle (CLI)

Führen Sie die folgenden Schritte aus, um eine Rolle zu erstellen und sie Ihrem zuzuweisenAWS-Kontoaus.

So erstellen Sie die Servicerolle mit IAM

  1. Erstellen Sie die Rolle mit einer Vertrauensrichtlinie, die es AWS IoT Greengrass erlaubt, die Rolle anzunehmen. In diesem Beispiel wird eine Rolle namens Greengrass_ServiceRole erstellt, aber Sie können einen anderen Namen verwenden. Wir empfehlen Ihnen, auch dieaws:SourceArnundaws:SourceAccountGlobale -Bedingungskontextschlüssel in Ihrer Vertrauensrichtlinie, um dieconfused StellvertreterSicherheitsproblem. Die Bedingungskontextschlüssel schränken den Zugriff so ein, dass nur Anforderungen zugelassen werden, die vom angegebenen Konto und Greengrass-Arbeitsbereich kommen. Weitere Informationen über den „verwirrten Stellvertreter“ finden Sie unterVermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend)aus.

    Linux, macOS, or Unix
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        }
      }
    }
  ]
}'
    Windows command prompt
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"

  2. Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Sie verknüpfen die Servicerolle mithilfe des ARN mit Ihrem Konto.

  3. Fügen Sie der Rolle die AWSGreengrassResourceAccessRolePolicy-Richtlinie an.

    aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
So verknüpfen Sie die Servicerolle mit IhremAWS-Konto

  • Weisen Sie die Rolle Ihrem Konto zu. ErsetzenRollen-ARNmit der Servicerolle ARN undRegionmit IhremAWS-Region(z. B.us-west-2) enthalten.

    aws greengrass associate-service-role-to-account --role-arn role-arn --region region

    Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.

    {
  "AssociatedAt": "timestamp"
}

 

Entfernen der Greengrass-Servicerolle (CLI)

Mit den folgenden Schritten können Sie die Zuweisung der Greengrass-Servicerolle von IhremAWS-Kontoaus.

  • Haben Sie die Zuordnung der Servicerolle bei Ihrem Konto auf. ErsetzenRegionmit IhremAWS-Region(z. B.us-west-2) enthalten.

    aws greengrass disassociate-service-role-from-account --region region

    Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.

    {
  "DisassociatedAt": "timestamp"
}
    Anmerkung

    Sie sollten die Servicerolle löschen, wenn Sie sie in keinerAWS-Regionaus. Verwenden Sie zuerst delete-role-policy, um die verwaltete AWSGreengrassResourceAccessRolePolicy-Richtlinie von der Rolle zu lösen, und verwenden Sie dann delete-role, um die Rolle zu löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter Löschen von Rollen oder Instance-Profilen im IAM-Benutzerhandbuch.

Weitere Informationen finden Sie auch unter