Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Autorisieren Sie Kerngeräte zur Interaktion mitAWSDienstleistungen
AWS IoT GreengrassCore-Geräte verwenden dasAWS IoT CoreAnbieter von Anmeldeinformationen, um Anrufe zu autorisierenAWS-Services. DieAWS IoT CoreDer Anbieter von Anmeldeinformationen ermöglicht es Geräten, ihre X.509-Zertifikate als eindeutige Geräteidentität zur Authentifizierung zu verwendenAWS-Anfragen. Dadurch entfällt die Notwendigkeit, eineAWSZugriffsschlüssel-ID und geheimen Zugriffsschlüssel auf IhremAWS IoT Greengrass-Core-Geräte. Weitere Informationen finden Sie unterAutorisieren von direkten AufrufenAWSDienstleistungenimAWS IoT CoreEntwicklerhandbuchaus.
Wenn du dieAWS IoT GreengrassKernsoftware können Sie wählen, ob Sie dieAWSRessourcen, die das Kerngerät benötigt. Dies umfasst dasAWS Identity and Access Management(IAM) -Rolle, die Ihr Kerngerät über dieAWS IoT CoreAnbieter von Anmeldeinformationen. Verwenden der--provision true
Argument zum Konfigurieren einer Rolle und Richtlinien, die es dem Kerngerät ermöglichen, vorübergehend zu werdenAWS-Anmeldeinformationen. Dieses Argument konfiguriert auch einAWS IoTRollenalias, der auf diese IAM-Rolle verweist. Sie können den Namen der IAM-Rolle angeben undAWS IoTZu verwendender Rollenalias. Wenn Sie angeben--provision
true
Ohne diese anderen Namensparameter erstellt und verwendet das Greengrass-Kerngerät die folgenden Standardressourcen:
-
IAM-Rolle:
GreengrassV2TokenExchangeRole
Diese Rolle hat eine Richtlinie namens
GreengrassV2TokenExchangeRoleAccess
und eine Vertrauensbeziehung, die es ermöglichtcredentials.iot.amazonaws.com
Um die Rolle zu übernehmen. Die Richtlinie enthält die Mindestberechtigungen für das Kerngerät.Wichtig
Diese Richtlinie beinhaltet keinen Zugriff auf Dateien in S3-Buckets. Sie müssen der Rolle Berechtigungen hinzufügen, damit Core-Devices Komponentenartefakte aus S3-Buckets abrufen können. Weitere Informationen finden Sie unter Erlauben Sie Zugriff auf S3-Buckets für Komponentenartefakte.
-
AWS IoTRollenalias:
GreengrassV2TokenExchangeRoleAlias
Dieser Rollenalias bezieht sich auf die IAM-Rolle.
Weitere Informationen finden Sie unter Schritt 3: Installieren derAWS IoT Greengrass Core-Software: Installieren der Kern-Software: Installieren.
Sie können auch den Rollenalias für ein vorhandenes Kerngerät festlegen. Konfigurieren Sie dazu dasiotRoleAlias
Konfigurationsparameter desGreengrass Kernkomponenteaus.
Sie können vorübergehend erwerbenAWSAnmeldeinformationen für die auszuführende IAM-RolleAWSOperationen in Ihren benutzerdefinierten Komponenten. Weitere Informationen finden Sie unter Interagieren mit -AWSServices.
Themen
Servicerollen-Berechtigungen für Kerngeräte
Die Rolle ermöglicht es dem folgenden Service, die Rolle zu übernehmen:
-
credentials.iot.amazonaws.com
Wenn Sie dasAWS IoT GreengrassKernsoftware zum Erstellen dieser Rolle verwendet sie die folgende Berechtigungsrichtlinie, um es Kerngeräten zu ermöglichen, sich zu verbinden und Protokolle zu sendenAWSaus. Der Name der Richtlinie steht standardmäßig auf den Namen der IAM-Rolle, die mitAccess
aus. Wenn Sie beispielsweise den Standard-IAM-Rollennamen verwenden, lautet der Name dieser RichtlinieGreengrassV2TokenExchangeRoleAccess
aus.
Erlauben Sie Zugriff auf S3-Buckets für Komponentenartefakte
Die Standard-Core-Geräterolle erlaubt es Core-Devices nicht, auf S3-Buckets zuzugreifen. Um Komponenten bereitzustellen, die Artefakte in S3-Buckets enthalten, müssen Sie dies3:GetObject
Berechtigung, Kerngeräten das Herunterladen von Komponentenartefakten zu ermöglichen. Sie können der Kerngerätelrolle eine neue Richtlinie hinzufügen, um diese Berechtigung zu erteilen.
So fügen Sie eine Richtlinie hinzu, die den Zugriff auf Komponentenartefakte in Amazon S3 ermöglicht
-
Erstellen Sie eine -Datei namens
component-artifact-policy.json
Kopieren Sie folgenden JSON in die -Datei. Diese Richtlinie ermöglicht den Zugriff auf alle Dateien in einem S3-Bucket. ErsetzenDOC-BEISPIEL-BUCKET
Mit dem Namen des S3-Buckets, damit das Core-Gerät darauf zugreifen kann.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
/*" } ] } -
Führen Sie den folgenden Befehl aus, um die Richtlinie aus dem Richtliniendokument in
component-artifact-policy.json
aus.Kopieren Sie den Amazon-Ressourcennamen (ARN) der Richtlinie aus den Richtlinienmetadaten in der Ausgabe. Sie verwenden diesen ARN, um diese Richtlinie im nächsten Schritt an die Kerngeräterolle anzuhängen.
-
Führen Sie den folgenden Befehl aus, um die Richtlinie der Core-Geräterolle anzufügen. Ersetzen
GreengrassV2TokenExchangeRole
Mit dem Namen der Rolle, die Sie angegeben haben, als Sie dasAWS IoT GreengrassCore-Software. Ersetzen Sie dann den Richtlinien-ARN aus dem vorherigen Schritt durch den ARN.Wenn der Befehl keine Ausgabe hat, ist es erfolgreich und Ihr Kerngerät kann auf Artefakte zugreifen, die Sie in diesen S3-Bucket hochladen.