AWS IoT Greengrass Version 1 est entré dans la phase de durée de vie prolongée le 30 juin 2023. Pour plus d'informations, consultez la politique de AWS IoT Greengrass V1 maintenance. Après cette date, AWS IoT Greengrass V1 ne publiera pas de mises à jour fournissant des fonctionnalités, des améliorations, des corrections de bogues ou des correctifs de sécurité. Les appareils qui fonctionnent AWS IoT Greengrass V1 sous tension ne seront pas perturbés et continueront à fonctionner et à se connecter au cloud. Nous vous recommandons vivement de migrer vers AWS IoT Greengrass Version 2, qui ajoute de nouvelles fonctionnalités importantes et prend en charge des plateformes supplémentaires.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes d’identité et d’accès pour AWS IoT Greengrass

Utilisez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS IoT Greengrass et IAM.

Pour obtenir de l’aide relative à la résolution des problèmes généraux, veuillez consulter Résolution des problèmes de AWS IoT Greengrass.

Je ne suis pas autorisé à effectuer une action dans AWS IoT Greengrass

Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à exécuter une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni votre nom d'utilisateur et votre mot de passe.

L'exemple d'erreur suivant se produit lorsquemateojacksonL'utilisateur IAM essaie d'afficher les détails d'une version de définition principale, mais n'a pasgreengrass:GetCoreDefinitionVersionautorisations.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDefinitionVersion on resource: resource: arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE

Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d'accéder à la ressource arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE à l'aide de l'action greengrass:GetCoreDefinitionVersion.

Erreur : Greengrass n'est pas autorisée à assumer le rôle de service associé à ce compte, ou à l'erreur : Échec : Le rôle de service TES n'est pas associé à ce compte.

Solution : Cette erreur peut se produire lorsque le déploiement échoue. Vérifiez qu'un rôle de service Greengrass est associé à votreCompte AWSdans les actuelsRégion AWS. Pour plus d'informations, consultez Gestion du rôle de service Greengrass (interface de ligne de commande) ou Gestion du rôle de service Greengrass (console).

Erreur : Autorisation refusée lors de la tentative d'utilisation du rôle arn:aws:iam : :role/ <account-id>pour <role-name>accéder à l'URL s3 https ://-greengrass-updates.s3<region>. <region>.amazonaws.com/core/ <architecture>/greengrass-core- <distribution-version>.tar.gz.

Solution : Cette erreur peut se produire lorsqu' over-the-air La mise à jour (OTA) échoue. Dans la politique relative au rôle du signataire, ajoutez la cibleRégion AWSen tant queResource. Le rôle signataire est utilisé pour pré-signer l'URL S3 pour la mise à jour du logiciel AWS IoT Greengrass. Pour plus d'informations, consultez Rôle de signataire d'URL S3.

Le shadow de l’appareil n'est pas synchronisé avec le cloud.

Solution : Assurez-vous queAWS IoT Greengrasspossède des autorisations pouriot:UpdateThingShadowetiot:GetThingShadowActions dansRôle de service Greengrass. Si le rôle de service utilise la stratégie gérée AWSGreengrassResourceAccessRolePolicy, ces autorisations sont incluses par défaut.

Consultez Dépannage des problèmes de temporisation de la synchronisation shadow.

Vous pouvez rencontrer les problèmes IAM généraux que vous êtes susceptible de rencontrer lors de l'utilisation desAWS IoT Greengrass.

Je ne suis pas autorisé à exécuter iam :PassRole

Si vous recevez un message d'erreur selon lequel vous n'êtes pas autorisé à exécuteriam:PassRoleaction, vos stratégies doivent être mises à jour pour vous permettre de transmettre un rôle àAWS IoT Greengrass.

Certains Services AWS vous permettent de transmettre un rôle existant à ce service, au lieu de créer un nouveau rôle de service ou rôle lié à un service. Pour ce faire, un utilisateur doit disposer des autorisations nécessaires pour transmettre le rôle au service.

L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé marymajor essaie d'utiliser la console pour exécuter une action dans AWS IoT Greengrass. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction du service. Mary ne dispose pas des autorisations nécessaires pour transférer le rôle au service.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d'exécuter l'action iam:PassRole.

Si vous avez encore besoin d'aide, contactez votre administrateur AWS. Votre administrateur est la personne qui vous a fourni vos informations de connexion.

Je suis un administrateur et je veux autoriser d'autres utilisateurs à accéder à AWS IoT Greengrass

Pour permettre à d'autres utilisateurs d'accéder à AWS IoT Greengrass vous devez créer une entité IAM (utilisateur ou rôle) pour la personne ou l'application qui a besoin de l'accès. Ils utiliseront les informations d'identification de cette entité pour accéder à AWS. Vous devez ensuite associer une politique à l'entité qui leur accorde les autorisations appropriées dans AWS IoT Greengrass.

Pour démarrer immédiatement, veuillez consulter Création de votre premier groupe et utilisateur délégué IAM dans le Guide de l'utilisateur IAM.

Je veux autoriser des personnes extérieures à mon Compte AWS à accéder à mes ressources AWS IoT Greengrass

Vous pouvez créer un rôle IAM que les utilisateurs provenant d'autres comptes ou les personnes extérieures à votre organisation peuvent utiliser pour accéder àAWSRessources. Vous pouvez spécifier qui est approuvé pour assumer le rôle. Pour plus d'informations, veuillez consulter la rubriqueOctroi d'un accès à un utilisateur IAM dans un autreCompte AWSque vous possédezetOctroi d'un accès à des comptes Amazon Web Services appartenant à des tiersdans leIAM User Guide.

AWS IoT Greengrass ne prend pas en charge l'accès inter-comptes basé sur des stratégies basées sur des ressources ou des listes de contrôle d'accès (ACL).