Cómo crear un recurso de secreto (consola)

Inicie sesión en la consola de AWS Secrets Manager.

Elija Store a new secret (Almacenar un nuevo secreto).

En Seleccionar tipo de secreto, elija Otro tipo de secretos.

En Specify the key-value pairs to be stored for this secret (Especificar los pares clave-valor que se almacenarán para este secreto):

Mantenga aws/secretsmanager seleccionado para la clave de cifrado y, a continuación, seleccione Siguiente.

En Secret name (Nombre del secreto), escriba greengrass-TestSecret y, a continuación, seleccione Next (Siguiente).

Este tutorial no requiere rotación, así que elija desactivar la rotación automática y, a continuación, seleccione Siguiente.

En la página Review (Revisar), revise los ajustes y, a continuación, seleccione Store (Almacenar).

A continuación, se crea un recurso de secreto en su grupo de Greengrass que hace referencia al secreto.

En el panel de navegación de la consola AWS IoT, en Administrar, expanda los dispositivos Greengrass y, a continuación, elija Grupos (V1).

Elija el grupo al que desee añadir el recurso de secreto.

En la página de configuración del grupo, elija la pestaña Recursos y, a continuación, desplácese hacia abajo hasta la sección Secretos. La sección Secretos muestra los recursos secretos que pertenecen al grupo. Puede añadir, editar y quitar los recursos de secreto de esta sección.

Seleccione Añadir en la sección Secretos.

En la página Añadir un recurso secreto, introduzca MyTestSecret el Nombre del recurso.

En Secreto, seleccione Greengrass-TestSecret.

En la sección Seleccionar etiquetas (opcional), la etiqueta provisional AWSCURRENT representa la versión más reciente del secreto. Esta etiqueta siempre está incluida en un recurso de secreto.

Seleccione Add resource (Añadir recurso).

Desde la página de descargas del Core SDK AWS IoT Greengrass, descargue el SDK AWS IoT Greengrass básico para Python en su ordenador.

Descomprima el paquete descargado para obtener el SDK. El SDK es la carpeta greengrasssdk.

Guarde la siguiente función de código de Python en un archivo local llamado "secret_test.py".

import greengrasssdk

secrets_client = greengrasssdk.client("secretsmanager")
iot_client = greengrasssdk.client("iot-data")
secret_name = "greengrass-TestSecret"
send_topic = "secrets/output"


def function_handler(event, context):
    """
    Gets a secret and publishes a message to indicate whether the secret was
    successfully retrieved.
    """
    response = secrets_client.get_secret_value(SecretId=secret_name)
    secret_value = response.get("SecretString")
    message = (
        f"Failed to retrieve secret {secret_name}."
        if secret_value is None
        else f"Successfully retrieved secret {secret_name}."
    )
    iot_client.publish(topic=send_topic, payload=message)
    print("Published: " + message)

La función get_secret_value admite el nombre o ARN del secreto del Secrets Manager para el valor SecretId. En este ejemplo se utiliza el nombre del secreto. En este secreto de ejemplo, AWS IoT Greengrass devuelve el par clave-valor: {"test":"abcdefghi"}.

Comprima en un archivo ZIP los siguientes elementos en un archivo denominado "secret_test_python.zip". Al crear el archivo ZIP, incluya únicamente el código y sus dependencias, no la carpeta donde se encuentran.

Este es el paquete de implementación de la función de Lambda.

Primero, cree la función de Lambda.

1. En la AWS Management Console, elija Services (Servicios) y abra la consola de AWS Lambda.

2. Elija Crear función, y, a continuación, Autor desde cero.

3. En la sección Basic information (Información básica), utilice los siguientes valores:

   • En Function name (Nombre de la función), introduzca SecretTest.

   • En Runtime (Tiempo de ejecución), elija Python 3.7.

   • En Permisos, mantenga la configuración predeterminada. Esto crea un rol de ejecución que otorga permisos Lambda básicos. AWS IoT Greengrass no utiliza este rol.

4. En la parte inferior de la página, elija Create function.

A continuación, registre el controlador y cargue el paquete de implementación de la función de Lambda.

1. En la pestaña Código, en Código fuente, seleccione Cargar desde. En el menú desplegable, seleccione un archivo .zip.

   

2. Seleccione Cargar y, a continuación, elija su paquete de implementación secret_test_python.zip. A continuación, elija Save (Guardar).

3. En la pestaña Código de la función, en Configuración de tiempo de ejecución, elija Editar y, a continuación, introduzca los siguientes valores.

   • En Runtime (Tiempo de ejecución), elija Python 3.7.

   • En Handler (Controlador), escriba secret_test.function_handler.

4. Seleccione Save.

   nota

   El botón de prueba de la consola de AWS Lambda no funciona con esta función. El SDK AWS IoT Greengrass Core no contiene los módulos necesarios para ejecutar las funciones de Lambda de Greengrass de forma independiente en la consola AWS Lambda. Estos módulos (por ejemplo, greengrass_common) se suministran a las funciones una vez desplegados en el núcleo de Greengrass.

Ahora, publique la primera versión de su función de Lambda y cree un alias para la versión.

1. En el menú Actions, elija Publish new version.

2. En Version description (Descripción de versión), escriba First version y, a continuación, elija Publish (Publicar).

3. En la página de configuración de SecretTest: 1, en el menú Actions (Acciones), elija Create alias (Crear alias).

4. En la página Create a new alias, utilice los valores siguientes:

   • En Name (Nombre), ingrese GG_SecretTest.

   • En Version (Versión), elija 1.

   nota

   AWS IoT Greengrass no admite alias de Lambda; para versiones de $LATEST.

5. Seleccione Create (Crear).

En la página de configuración del grupo, elija la pestaña Funciones de lambda.

En la sección Mis funciones de Lambda, seleccione Añadir.

Para la función de Lambda, elija SecretTest.

Para la versión de la función de Lambda, elija el alias de la versión que publicó.

En la sección de configuración de la función de Lambda, realice las siguientes actualizaciones.

1. Para ejecutar sin creación de contenedores:

   • En Usuario y grupo del sistema, elija Another user ID/group ID. En ID de usuario del sistema, introduzca 0. Para el ID de grupo del sistema, introduzca 0.

     Esto permite que la función de Lambda se ejecute de raíz. Para obtener más información sobre cómo ejecutar como raíz, consulte Configuración de la identidad de acceso predeterminada para las funciones de Lambda de un grupo.

     sugerencia

     También debe actualizar el archivo config.json para conceder acceso raíz a la función de Lambda. Para el procedimiento, consulte Ejecución de una función de Lambda como raíz.

   • Para la creación de contenedores de la función de Lambda, elija Sin contenedor.

     Para obtener más información sobre la ejecución sin creación de contenedores, consulte Consideraciones a la hora de elegir la creación de contenedores de la función de Lambda..

   • En Tiempo de espera, escriba 10 seconds.

   • En Ancladas, elija Verdadero

     Para obtener más información, consulte Configuración del ciclo de vida de las funciones de Lambda de Greengrass.

   • En Parámetro adicional, para Acceso de lectura al directorio /sys, elija Activado.

2. Para ejecutarlo en modo contenerizado, en su lugar:

   nota

   No recomendamos ejecutarlo en modo contenerizado a menos que su modelo de negocio lo requiera.

   • En Usuario y grupo del sistema, seleccione Usar grupo predeterminado.

   • Para la creación de contenedores de funciones de Lambda, elija Usar grupo por defecto.

   • En Límite de memoria, escriba 1024 MB.

   • En Tiempo de espera, escriba 10 seconds.

   • En Ancladas, elija Verdadero

     Para obtener más información, consulte Configuración del ciclo de vida de las funciones de Lambda de Greengrass.

   • En Parámetros adicionales, para Acceso de lectura al directorio /sys, elija Activado.

Elija Añadir función de Lambda.

En la página de configuración del grupo, elija la pestaña Funciones de lambda.

Seleccione la función SecretTest.

En la página de detalles de la función, seleccione Recursos.

Vaya a la sección Secretos y seleccione Asociar.

Elija MyTestSecret y, a continuación, seleccione Asociar.

En la página de configuración del grupo, elija la pestaña Suscripciones y, a continuación, elija Añadir suscripción.

Cree crear una suscripción que permita a AWS IoT publicar mensajes en la función.

En la página de configuración del grupo, elija la pestaña Suscripciones y, a continuación, elija Añadir suscripción.

En la página Crear una suscripción, configure el origen y el destino de la siguiente manera:

1. En Tipo de origen, elija función de Lambda y, a continuación, elija Nube IoT.

2. En Tipo de destino, elija Servicio y, a continuación, SecretTest.

3. En Filtro por temas, introduzca secrets/input y, a continuación, seleccione Crear suscripción.

Añadir una segunda suscripción. Seleccione la pestaña Suscripciones, elija Agregar suscripción y configure el origen y el destino de la siguiente manera:

1. En Tipo de fuente, elija Servicios y, a continuación, SecretTest.

2. En Tipo de destino, elija función de Lambda y, a continuación, elija Nube IoT.

3. En Filtro por temas, introduzca secrets/output y, a continuación, seleccione Crear suscripción.

Asegúrese de que el núcleo de AWS IoT Greengrass se está ejecutando. Ejecute los siguientes comandos en el terminal de Raspberry Pi según sea necesario.

1. Para comprobar si el demonio está en ejecución:

   ps aux | grep -E 'greengrass.*daemon'

   Si la salida contiene una entrada root para /greengrass/ggc/packages/ggc-version/bin/daemon, el demonio está en ejecución.

   nota

   La versión que figura en la ruta depende de la versión del software AWS IoT Greengrass Core que esté instalada en el dispositivo del núcleo.

2. Iniciar el daemon:

   cd /greengrass/ggc/core/
   sudo ./greengrassd start

En la página de configuración de grupo, elija Implementar.

1. En la pestaña Funciones de Lambda, en la sección Funciones de Lambda del sistema, seleccione Detector de IP y elija Editar.

2. En el cuadro de diálogo Editar configuración del detector IP, seleccione Detectar y anular automáticamente los puntos de conexión del agente MQTT.

3. Seleccione Save.

   Esto permite a los dispositivos adquirir automáticamente la información de conexión del dispositivo principal, como la dirección IP, el DNS y el número de puerto. Se recomienda la detección automática, pero AWS IoT Greengrass también es compatible con puntos de enlace especificados manualmente. Solo se le solicitará el método de detección la primera vez que se implemente el grupo.

   nota

   Si se le solicita, conceda permiso para crear el rol de servicio de Greengrass y asócielo a su Cuenta de AWS en el Región de AWS actual. Este rol permite a AWS IoT Greengrass acceder a los servicios de AWS.

   En la página Deployments (Implementaciones), se muestra la marca temporal, el ID de versión y el estado de la implementación. Una vez terminada, la implementación debería mostrar el estado Completado.

   Para obtener ayuda sobre la resolución de problemas, consulte Solución de problemas de AWS IoT Greengrass.

En la página de inicio de la consola AWS IoT, elija Pruebas.

Para Suscribirse al tema, utilice los siguientes valores y, a continuación, seleccione Suscribirse.

Para Publicar en tema, utilice los siguientes valores y, a continuación, seleccione Publicar para invocar la función.

Si se ejecuta correctamente, la función publica un mensaje de "Success (Correcto)".