Verwaltung von Edge-Geräten mit Systems Manager - AWS Systems Manager
Erstellen Sie eine IAM Servicerolle für Ihre Edge-GeräteKonfigurieren Sie Ihre Edge-Geräte für AWS IoT GreengrassAktualisieren Sie die AWS IoT Greengrass Token-Exchange-Rolle und installieren Sie sie SSM Agent auf Ihren Edge-Geräten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Edge-Geräten mit Systems Manager

In diesem Abschnitt werden die Einrichtungsaufgaben beschrieben, die Konto- und Systemadministratoren ausführen, um die Konfiguration und Verwaltung von AWS IoT Greengrass Kerngeräten zu ermöglichen. Nachdem Sie diese Aufgaben abgeschlossen haben, können Benutzer, denen der AWS-Konto Administrator Berechtigungen erteilt hat, sie AWS Systems Manager zur Konfiguration und Verwaltung der AWS IoT Greengrass Kerngeräte ihrer Organisation verwenden.

Anmerkung

  • SSM Agentfür wird unter macOS Windows 10 AWS IoT Greengrass nicht unterstützt. Sie können keine Systems-Manager-Funktionen verwenden, um Edge-Geräte zu verwalten und zu konfigurieren, die diese Betriebssysteme verwenden.

  • Systems Manager unterstützt auch Edge-Geräte, die nicht als AWS IoT Greengrass Core-Geräte konfiguriert sind. Um Systems Manager zur Verwaltung von AWS IoT Core-Geräten und AWS Nicht-Edge-Geräten zu verwenden, müssen Sie sie mithilfe einer Hybridaktivierung konfigurieren. Weitere Informationen finden Sie unter Verwendung von Systems Manager in Hybrid- und Multi-Cloud-Umgebungen.

  • Um Session Manager und Microsoft-Anwendungs-Patching mit Ihren Edge-Geräten zu verwenden, müssen Sie das Advanced-Instances-Kontingent aktivieren. Weitere Informationen finden Sie unter Aktivieren des Kontingents für erweiterte Instances.

Bevor Sie beginnen

Stellen Sie sicher, dass Ihre Edge-Geräte die folgenden Anforderungen erfüllen.

  • Ihre Edge-Geräte müssen die Anforderungen erfüllen, um als AWS IoT Greengrass Core-Geräte konfiguriert zu werden. Weitere Informationen finden Sie unter Einrichten von AWS IoT Greengrass Kerngeräten im AWS IoT Greengrass Version 2 Entwicklerhandbuch.

  • Ihre Edge-Geräte müssen mit AWS Systems Manager Agent (SSM Agent) kompatibel sein. Weitere Informationen finden Sie unter Unterstützte Betriebssysteme für Systems Manager.

  • Ihre Edge-Geräte müssen mit dem Systems-Manager-Service in der Cloud kommunizieren können. Systems Manager unterstützt keine getrennten Edge-Geräte.

Informationen über das Einrichten von Edge-Geräten

Das Einrichten von AWS IoT Greengrass Geräten für Systems Manager umfasst die folgenden Prozesse.

Anmerkung

Informationen zur Deinstallation SSM Agent von einem Edge-Gerät aus finden Sie unter Deinstallieren des AWS Systems Manager Agenten im AWS IoT Greengrass Version 2 Entwicklerhandbuch.

Erstellen Sie eine IAM Servicerolle für Ihre Edge-Geräte

AWS IoT Greengrass Kerngeräte benötigen eine AWS Identity and Access Management (IAM) -Servicerolle, mit der sie kommunizieren können AWS Systems Manager. Die Rolle gewährt dem Systems Manager Manager-Dienst AssumeRoleVertrauen AWS Security Token Service (AWS STS). Sie müssen die Servicerolle nur einmal für jedes AWS-Konto erstellen. Sie geben diese Rolle für den RegistrationRole Parameter an, wenn Sie die SSM Agent Komponente konfigurieren und auf Ihren AWS IoT Greengrass Geräten bereitstellen. Wenn Sie diese Rolle bereits beim Einrichten von EC2 Nicht-Knoten für eine Hybrid- und Multicloud-Umgebung erstellt haben, können Sie diesen Schritt überspringen.

Anmerkung

Benutzern in Ihrem Unternehmen oder Ihrer Organisation, die Systems Manager auf Ihren Edge-Geräten verwenden, muss die Erlaubnis erteilt werdenIAM, den Systems Manager anzurufenAPI.

S3-Bucket-Richtlinienanforderung

Wenn einer der folgenden Fälle zutrifft, müssen Sie eine benutzerdefinierte IAM Berechtigungsrichtlinie für Amazon Simple Storage Service (Amazon S3) -Buckets erstellen, bevor Sie dieses Verfahren abschließen:

  • Fall 1: Sie verwenden einen VPC Endpunkt, um eine private Verbindung VPC zu unterstützten AWS-Services und VPC Endpunktdiensten herzustellen, die von AWS PrivateLink unterstützt werden.

  • Fall 2: Sie beabsichtigen, einen S3-Bucket zu verwenden, den Sie im Rahmen Ihrer Systems Manager-Operationen erstellen, z. B. zum Speichern von Ausgaben für Run Command-Befehle oder Session Manager-Sitzungen in einem S3-Bucket. Bevor Sie fortfahren, befolgen Sie die Schritte unter Erstellen einer benutzerdefinierten S3-Bucket-Richtlinie für ein Instance-Profil. Die Informationen über S3-Bucket-Richtlinien in diesem Thema gelten auch für Ihre Service-Rolle.

    Anmerkung

    Wenn Ihre Geräte durch eine Firewall geschützt sind und Sie planen, Patch Managerzu verwenden, muss die Firewall den Zugriff auf den Patch-Baseline-Endpunkt arn:aws:s3:::patch-baseline-snapshot-region/* erlauben.

    region steht für die Kennung einer von AWS-Region unterstützten Region AWS Systems Manager, z. B. us-east-2 für die Region USA Ost (Ohio). Für eine Liste der unterstützten region Werte finden Sie in der Spalte Region in Systems Manager Manager-Dienstendpunkten in der Allgemeine Amazon Web Services-Referenz.

AWS CLI
Um eine IAM Servicerolle für eine AWS IoT Greengrass Umgebung zu erstellen ()AWS CLI

  1. Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben.

    Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version von AWS CLI.

  2. Erstellen Sie eine Textdatei mit einem Namen wie z. B. SSMService-Trust.json mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung .json speichern.

    Anmerkung

    Notieren Sie den Namen. Sie geben es an, wenn Sie es SSM Agent auf Ihren AWS IoT Greengrass Kerngeräten bereitstellen.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}

  3. Öffnen Sie die und führen Sie in dem Verzeichnis AWS CLI, in dem Sie die JSON Datei erstellt haben, den Befehl create-role aus, um die Servicerolle zu erstellen. Ersetzen Sie jeden example resource placeholder mit Ihren eigenen Informationen.

    Linux und macOS

    aws iam create-role \
    --role-name SSMServiceRole \
    --assume-role-policy-document file://SSMService-Trust.json

    Windows

    aws iam create-role ^
    --role-name SSMServiceRole ^
    --assume-role-policy-document file://SSMService-Trust.json

  4. Führen Sie den attach-role-policyBefehl wie folgt aus, damit die Servicerolle, die Sie gerade erstellt haben, ein Sitzungstoken erstellen kann. Das Sitzungs-Token gewährt Ihren Edge-Geräten die Berechtigung zum Ausführen von Befehlen mit Systems Manager.

    Anmerkung

    Die Richtlinien, die Sie für ein Serviceprofil für Edge-Geräte hinzufügen, sind dieselben Richtlinien, die zum Erstellen eines Instanzprofils für Amazon Elastic Compute Cloud (AmazonEC2) -Instances verwendet wurden. Weitere Informationen zu den in den folgenden Befehlen verwendeten IAM Richtlinien finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.

    (Erforderlich) Führen Sie den folgenden Befehl aus, damit ein Edge-Gerät die Kernfunktionen des AWS Systems Manager Service nutzen kann.

    Linux und macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, damit AWS Systems Manager Agent (SSM Agent) auf die Buckets zugreifen kann, die Sie in der Richtlinie angegeben haben. Ersetzen account_ID and my_bucket_policy_name mit Ihrer AWS-Konto ID und Ihrem Bucket-Namen.

    Linux und macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name

    (Optional) Führen Sie den folgenden Befehl aus, um SSM Agent in Ihrem Namen den Zugriff auf AWS Directory Service für Anforderungen zum Beitritt zur Domain von Edge-Geräten zu erlauben. Die Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Edge-Geräte einem Microsoft-AD-Verzeichnis zuteilen.

    Linux und macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren Edge-Geräten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Gerät zu lesen und darauf zu schreiben CloudWatch. Für Ihre Servicerolle ist diese Richtlinie nur erforderlich, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Tools for PowerShell
Um eine IAM Servicerolle für eine AWS IoT Greengrass Umgebung zu erstellen (AWS Tools for Windows PowerShell)

  1. Installieren und konfigurieren Sie die AWS Tools for PowerShell (Tools für Windows PowerShell), falls Sie dies noch nicht getan haben.

    Weitere Informationen finden Sie unter Installieren des AWS Tools for PowerShell.

  2. Erstellen Sie eine Textdatei mit einem Namen wie z. B. SSMService-Trust.json mit der folgenden Vertrauensrichtlinie auf Ihrer lokalen Maschine. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung .json speichern.

    Anmerkung

    Notieren Sie den Namen. Sie geben es bei der Bereitstellung SSM Agent auf Ihren AWS IoT Greengrass Kerngeräten an.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}

  3. Öffnen Sie PowerShell im Administratormodus und führen Sie in dem Verzeichnis, in dem Sie die JSON Datei erstellt haben, New- IAMRole wie folgt aus, um eine Servicerolle zu erstellen.

    New-IAMRole `
    -RoleName SSMServiceRole `
    -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)

  4. Verwenden Sie Register- IAMRolePolicy wie folgt, damit die von Ihnen erstellte Servicerolle ein Sitzungstoken erstellen kann. Das Sitzungs-Token gewährt Ihren Edge-Geräten die Berechtigung zum Ausführen von Befehlen mit Systems Manager.

    Anmerkung

    Bei den Richtlinien, die Sie für eine Servicerolle für Edge-Geräte in einer AWS IoT Greengrass Umgebung hinzufügen, handelt es sich um dieselben Richtlinien, die zum Erstellen eines Instanzprofils für EC2 Instanzen verwendet werden. Weitere Informationen zu den in den folgenden Befehlen verwendeten AWS Richtlinien finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.

    (Erforderlich) Führen Sie den folgenden Befehl aus, damit ein Edge-Gerät die Kernfunktionen des AWS Systems Manager Service nutzen kann.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie für Ihre Servicerolle erstellt haben, führen Sie den folgenden Befehl aus, um SSM Agent den Zugriff auf die Buckets zu ermöglichen, die Sie in der Richtlinie angegeben haben. Ersetzen account_ID and my_bucket_policy_name mit Ihrer AWS-Konto ID und Ihrem Bucket-Namen. 

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    (Optional) Führen Sie den folgenden Befehl aus, um SSM Agent in Ihrem Namen den Zugriff auf AWS Directory Service für Anforderungen zum Beitritt zur Domain von Edge-Geräten zu erlauben. Die Servicerolle benötigt diese Richtlinie nur, wenn Sie Ihre Edge-Geräte einem Microsoft-AD-Verzeichnis zuteilen.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Optional) Führen Sie den folgenden Befehl aus, damit der CloudWatch Agent auf Ihren Edge-Geräten ausgeführt werden kann. Dieser Befehl ermöglicht es, Informationen auf einem Gerät zu lesen und darauf zu schreiben CloudWatch. Für Ihre Servicerolle ist diese Richtlinie nur erforderlich, wenn Sie Dienste wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Konfigurieren Sie Ihre Edge-Geräte für AWS IoT Greengrass

Richten Sie Ihre Edge-Geräte als AWS IoT Greengrass Kerngeräte ein. Der Einrichtungsprozess umfasst die Überprüfung der unterstützten Betriebssysteme und Systemanforderungen sowie die Installation und Konfiguration der AWS IoT Greengrass Core-Software auf Ihren Geräten. Weitere Informationen finden Sie unter Einrichten von AWS IoT Greengrass -Core-Geräten im AWS IoT Greengrass Version 2 -Entwicklerhandbuch.

Aktualisieren Sie die AWS IoT Greengrass Token-Exchange-Rolle und installieren Sie sie SSM Agent auf Ihren Edge-Geräten

Im letzten Schritt zur Einrichtung und Konfiguration Ihrer AWS IoT Greengrass Kerngeräte für Systems Manager müssen Sie die Gerätedienst-Rolle AWS IoT Greengrass AWS Identity and Access Management (IAM), auch Token-Austauschrolle genannt, aktualisieren und AWS Systems Manager Agent (SSM Agent) auf Ihren AWS IoT Greengrass Geräten bereitstellen. Informationen zu diesen Prozessen finden Sie unter Installation des AWS Systems Manager -Agenten im AWS IoT Greengrass Version 2 -Entwicklerhandbuch.

Nach der Bereitstellung SSM Agent auf Ihren Geräten werden Ihre Geräte AWS IoT Greengrass automatisch bei Systems Manager registriert. Es ist keine weitere Registrierung erforderlich. Sie können damit beginnen, die Funktionen von Systems Manager für den Zugriff, die Verwaltung und Konfiguration Ihrer AWS IoT Greengrass Geräte zu nutzen.

Anmerkung

Ihre Edge-Geräte müssen mit dem Systems-Manager-Service in der Cloud kommunizieren können. Systems Manager unterstützt keine getrennten Edge-Geräte.