Políticas administradas de AWS para AWS IoT Greengrass - AWS IoT Greengrass
AWSGreengrassFullAccessAWSGreengrassReadOnlyAccessAWSGreengrassResourceAccessRolePolicyActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas administradas de AWS para AWS IoT Greengrass

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Tenga presente que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente para los casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas por AWS. Si AWS actualiza los permisos definidos en un política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo AWS service o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Política administrada por AWS: AWSGreengrassFullAccess

Puede adjuntar la política AWSGreengrassFullAccess a las identidades de IAM.

Esta política otorga permisos administrativos que permiten al director acceder plenamente a todosAWS IoT Greengrassacciones.

Detalles sobre los permisos

Esta política incluye los siguientes permisos:

  • greengrass— Permite a los directores el acceso total a todosAWS IoT Greengrassacciones.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:*"
            ],
            "Resource": "*"
        }
    ]
}

Política administrada por AWS: AWSGreengrassReadOnlyAccess

Puede adjuntar la política AWSGreengrassReadOnlyAccess a las identidades de IAM.

Esta política otorga permisos de solo lectura que permiten al director ver, pero no modificar, la información enAWS IoT Greengrass. Por ejemplo, los directores con estos permisos pueden ver la lista de componentes implementados en un dispositivo principal de Greengrass, pero no pueden crear una implementación para cambiar los componentes que se ejecutan en ese dispositivo.

Detalles sobre los permisos

Esta política incluye los siguientes permisos:

  • greengrass— Permite a los directores realizar acciones que devuelvan una lista de elementos o detalles sobre un elemento. Esto incluye las operaciones de API que comienzan conListoGet.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:List*",
                "greengrass:Get*"
            ],
            "Resource": "*"
        }
    ]
}

Política administrada por AWS: AWSGreengrassResourceAccessRolePolicy

Puede adjuntar elAWSGreengrassResourceAccessRolePolicypolítica para sus entidades de IAM.AWS IoT Greengrasstambién adjunta esta política a una función de servicio que permiteAWS IoT Greengrasspara realizar acciones en su nombre. Para obtener más información, consulte Rol de servicio de Greengrass.

Esta política otorga permisos administrativos que permitenAWS IoT Greengrasspara realizar tareas esenciales, como recuperar las funciones de Lambda, gestionarAWS IoTsombras de dispositivos y verificación de los dispositivos cliente de Greengrass.

Detalles sobre los permisos

Esta política incluye los siguientes permisos.

  • greengrass— Administrar los recursos de Greengrass.

  • iot(*Shadow) — AdministrarAWS IoTsombras que tienen los siguientes identificadores especiales en sus nombres. Estos permisos son necesarios para queAWS IoT Greengrasspuede comunicarse con los dispositivos principales.

    • *-gci—AWS IoT Greengrassutiliza esta sombra para almacenar la información de conectividad de los dispositivos principales, de modo que los dispositivos cliente puedan descubrir los dispositivos principales y conectarse a ellos.

    • *-gcm—AWS IoT Greengrass V1utiliza esta sombra para notificar al dispositivo principal que el certificado de autoridad certificadora (CA) del grupo Greengrass ha rotado.

    • *-gda—AWS IoT Greengrass V1usa esta sombra para notificar una implementación al dispositivo principal.

    • GG_*— Sin usar.

  • iot(DescribeThingyDescribeCertificate) — Recuperar información sobreAWS IoTcosas y certificados. Estos permisos son necesarios para queAWS IoT Greengrasspuede verificar los dispositivos cliente que se conectan a un dispositivo principal. Para obtener más información, consulte Interactúa con dispositivos IoT locales.

  • lambda— Recuperar información sobreAWS Lambdafunciones. Este permiso es necesario para queAWS IoT Greengrass V1puede implementar funciones de Lambda en los núcleos de Greengrass. Para obtener más información, consulteEjecute la función Lambda enAWS IoT Greengrassnúcleoen elAWS IoT Greengrass V1Guía para desarrolladores.

  • secretsmanager— Recupera el valor deAWS Secrets Managersecretos cuyos nombres comienzan porgreengrass-. Este permiso es necesario para queAWS IoT Greengrass V1puede implementar los secretos de Secrets Manager en los núcleos de Greengrass. Para obtener más información, consulteDespliegue secretos en elAWS IoT Greengrassnúcleoen elAWS IoT Greengrass V1Guía para desarrolladores.

  • s3— Recupera archivos y objetos de cubos de S3 cuyos nombres contienengreengrassosagemaker. Estos permisos son necesarios para queAWS IoT Greengrass V1puede implementar los recursos de aprendizaje automático que se almacenan en buckets de S3. Para obtener más información, consulteRecursos de aprendizaje automáticoen elAWS IoT Greengrass V1Guía para desarrolladores.

  • sagemaker— Recuperar información sobre AmazonSageMakermodelos de inferencia de aprendizaje automático. Este permiso es necesario para queAWS IoT Greengrass V1puede implementar modelos de aprendizaje automático en los núcleos de Greengrass. Para obtener más información, consulteRealizar inferencias de aprendizaje automáticoen elAWS IoT Greengrass V1Guía para desarrolladores.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGreengrassAccessToShadows",
            "Action": [
                "iot:DeleteThingShadow",
                "iot:GetThingShadow",
                "iot:UpdateThingShadow"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iot:*:*:thing/GG_*",
                "arn:aws:iot:*:*:thing/*-gcm",
                "arn:aws:iot:*:*:thing/*-gda",
                "arn:aws:iot:*:*:thing/*-gci"
            ]
        },
        {
            "Sid": "AllowGreengrassToDescribeThings",
            "Action": [
                "iot:DescribeThing"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:thing/*"
        },
        {
            "Sid": "AllowGreengrassToDescribeCertificates",
            "Action": [
                "iot:DescribeCertificate"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:cert/*"
        },
        {
            "Sid": "AllowGreengrassToCallGreengrassServices",
            "Action": [
                "greengrass:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetLambdaFunctions",
            "Action": [
                "lambda:GetFunction",
                "lambda:GetFunctionConfiguration"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetGreengrassSecrets",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
        },
        {
            "Sid": "AllowGreengrassAccessToS3Objects",
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::*Greengrass*",
                "arn:aws:s3:::*GreenGrass*",
                "arn:aws:s3:::*greengrass*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Sid": "AllowGreengrassAccessToS3BucketLocation",
            "Action": [
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
            "Action": [
                "sagemaker:DescribeTrainingJob"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:sagemaker:*:*:training-job/*"
            ]
        }
    ]
}

Actualizaciones de AWS IoT Greengrass en las políticas administradas de AWS

Puede ver los detalles sobre las actualizaciones deAWSpolíticas gestionadas paraAWS IoT Greengrassdesde el momento en que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS delAWS IoT Greengrass V2página de historial del documento.

Cambio Descripción Fecha

AWS IoT Greengrass comenzó el seguimiento de los cambios.

AWS IoT Greengrass comenzó el seguimiento de los cambios de las políticas administradas de AWS.

2 de julio de 2021