Directeur secret - AWS IoT Greengrass
VersionsTypeSystème d’exploitationPrérequisDépendancesConfigurationFichier journal localJournal des modifications

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Directeur secret

Le composant du gestionnaire de secrets (aws.greengrass.SecretManager) déploie les secrets depuis les appareils principaux AWS Secrets Manager de Greengrass. Utilisez ce composant pour utiliser en toute sécurité les informations d'identification, telles que les mots de passe, dans les composants personnalisés de vos principaux appareils Greengrass. Pour plus d'informations sur Secrets Manager, consultez Qu'est-ce que c'est AWS Secrets Manager ? dans le guide de AWS Secrets Manager l'utilisateur.

Pour accéder aux secrets de ce composant dans vos composants Greengrass personnalisés, utilisez l'GetSecretValueopération décrite dans le. Kit SDK des appareils AWS IoT Pour plus d’informations, consultez Utilisez le Kit SDK des appareils AWS IoT pour communiquer avec le noyau de Greengrass, les autres composants et AWS IoT Core et Récupérez les valeurs secrètes.

Ce composant chiffre les secrets sur l'appareil principal afin de protéger vos informations d'identification et vos mots de passe jusqu'à ce que vous ayez besoin de les utiliser. Il utilise la clé privée de l'appareil principal pour chiffrer et déchiffrer les secrets.

Versions

Les versions de ce composant sont les suivantes :

  • 2.2.x

  • 2,1x

  • 2,0.x

Type

Ce composant est un composant de plugin (aws.greengrass.plugin). Le noyau Greengrass exécute ce composant dans la même machine virtuelle Java (JVM) que le noyau. Le noyau redémarre lorsque vous modifiez la version de ce composant sur le périphérique principal.

Ce composant utilise le même fichier journal que le noyau Greengrass. Pour de plus amples informations, veuillez consulter AWS IoT GreengrassJournaux de surveillance.

Pour de plus amples informations, veuillez consulter Types de composants.

Système d’exploitation

Ce composant peut être installé sur les appareils principaux qui exécutent les systèmes d'exploitation suivants :

  • Linux

  • Windows

Prérequis

Ce composant répond aux exigences suivantes :

  • Le rôle d'appareil Greengrass doit autoriser l'secretsmanager:GetSecretValueaction, comme indiqué dans l'exemple IAM de politique suivant.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:secretsmanager:region:123456789012:secret:MySecret"
      ]
    }
  ]
}
    Note

    Si vous utilisez une AWS Key Management Service clé gérée par le client pour chiffrer des secrets, le rôle de l'appareil doit également autoriser l'action. kms:Decrypt

    Pour plus d'informations sur IAM les politiques relatives à Secrets Manager, consultez ce qui suit dans le guide de AWS Secrets Manager l'utilisateur :

  • Les composants personnalisés doivent définir une politique d'autorisation qui permet aws.greengrass#GetSecretValue d'obtenir les secrets que vous stockez avec ce composant. Dans cette politique d'autorisation, vous pouvez restreindre l'accès des composants à des secrets spécifiques. Pour plus d'informations, consultez la section IPCAutorisation du gestionnaire secret.

  • (Facultatif) Si vous stockez la clé privée et le certificat du périphérique principal dans un module de sécurité matériel (HSM), les RSA clés HSM doivent être prises en charge, la clé privée doit avoir l'unwrapautorisation et la clé publique doit avoir l'wrapautorisation.

Points de terminaison et ports

Ce composant doit être capable d'effectuer des demandes sortantes vers les points de terminaison et les ports suivants, en plus des points de terminaison et des ports requis pour le fonctionnement de base. Pour de plus amples informations, veuillez consulter Autoriser le trafic des appareils via un proxy ou un pare-feu.

Point de terminaison Port Obligatoire Description

secretsmanager.region.amazonaws.com

 443 Oui

Téléchargez les secrets sur l'appareil principal.

Dépendances

Lorsque vous déployez un composant, il déploie AWS IoT Greengrass également des versions compatibles de ses dépendances. Cela signifie que vous devez satisfaire aux exigences relatives au composant et à toutes ses dépendances pour réussir le déploiement du composant. Cette section répertorie les dépendances des versions publiées de ce composant et les contraintes de version sémantiques qui définissent les versions des composants pour chaque dépendance. Vous pouvez également consulter les dépendances de chaque version du composant dans la AWS IoT Greengrass console. Sur la page de détails du composant, recherchez la liste des dépendances.

2.2.0

Le tableau suivant répertorie les dépendances pour les versions 2.2.0 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,13,0 <2,14,0 Flexible
2.1.7 – 2.1.8

Le tableau suivant répertorie les dépendances pour les versions 2.1.7 et 2.1.8 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,5,0 <2,13,0 Flexible
2.1.6

Le tableau suivant répertorie les dépendances pour la version 2.1.6 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,5,0 <2,12,0 Flexible
2.1.5

Le tableau suivant répertorie les dépendances pour la version 2.1.5 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,5,0 <2,11,0 Flexible
2.1.4

Le tableau suivant répertorie les dépendances pour la version 2.1.4 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,5,0 <2,1,0 Flexible
2.1.3

Le tableau suivant répertorie les dépendances pour la version 2.1.3 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,5,0 <2,9,0 Flexible
2.1.2

Le tableau suivant répertorie les dépendances pour la version 2.1.2 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,5,0 <2,8,0 Flexible
2.1.1

Le tableau suivant répertorie les dépendances pour la version 2.1.1 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,5,0 <2,7,0 Flexible
2.1.0

Le tableau suivant répertorie les dépendances pour la version 2.1.0 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,5,0 <2,6,0 Flexible
2.0.9

Le tableau suivant répertorie les dépendances pour la version 2.0.9 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,0.0 <2,5.0 Flexible
2.0.8

Le tableau suivant répertorie les dépendances pour la version 2.0.8 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,0.0 <2,4.0 Flexible
2.0.7

Le tableau suivant répertorie les dépendances pour la version 2.0.7 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,0.0 <2,3.0 Flexible
2.0.6

Le tableau suivant répertorie les dépendances pour la version 2.0.6 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,0.0 <2,2.0 Flexible
2.0.4 and 2.0.5

Le tableau suivant répertorie les dépendances pour les versions 2.0.4 et 2.0.5 de ce composant.

Dépendance Versions compatibles Type de dépendance
Noyau de Greengrass >=2,0,3 <2,10 Flexible

Pour plus d'informations sur les dépendances des composants, consultez la référence de la recette des composants.

Configuration

Ce composant fournit les paramètres de configuration suivants que vous pouvez personnaliser lorsque vous déployez le composant.

periodicRefreshIntervalMin (facultatif)

Intervalle en minutes pendant lequel ce composant synchronise les secrets configurés sur le périphérique principal avec les dernières valeurs secrètes du AWS Secrets Manager service. Si cet intervalle n'est pas configuré, le gestionnaire de secrets n'actualisera pas régulièrement les secrets configurés.

{
  "cloudSecrets": [
    {
      "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef"
    }
  ],
  "periodicRefreshIntervalMin" : 60
}
cloudSecrets

Liste des secrets de Secrets Manager à déployer sur le périphérique principal. Vous pouvez spécifier des étiquettes pour définir les versions de chaque secret à déployer. Si vous ne spécifiez pas de version, ce composant déploie la version avec l'étiquette intermédiaire AWSCURRENT attachée. Pour plus d'informations, consultez la section Étiquettes de mise en scène dans le guide de AWS Secrets Manager l'utilisateur.

Le composant du gestionnaire de secrets met en cache les secrets localement. Si la valeur du secret change dans Secrets Manager, ce composant ne récupère pas automatiquement la nouvelle valeur. Pour mettre à jour la copie locale, attribuez une nouvelle étiquette au secret et configurez ce composant pour récupérer le secret identifié par le nouveau label.

Chaque objet contient les informations suivantes :

arn

Le secret ARN du déploiement. Le ARN secret peut être complet ARN ou partielARN. Nous vous recommandons de spécifier une valeur complète ARN plutôt que partielleARN. Pour plus d'informations, voir Trouver un secret à partir d'un partiel ARN. Voici un exemple de version complète ARN et partielle ARN :

  • Complet ARN : arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-abcdef

  • Partiel ARN : arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName

labels

(Facultatif) Une liste d'étiquettes pour identifier les versions du secret à déployer sur le périphérique principal.

Chaque étiquette doit être une chaîne.

Exemple : mise à jour de la fusion de configurations
{
  "cloudSecrets": [
    {
      "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef"
    }
  ]
}

Fichier journal local

Ce composant utilise le même fichier journal que le composant Greengrass nucleus.

Linux
/greengrass/v2/logs/greengrass.log
Windows
C:\greengrass\v2\logs\greengrass.log
Pour consulter les journaux de ce composant

  • Exécutez la commande suivante sur le périphérique principal pour afficher le fichier journal de ce composant en temps réel. Remplacer /greengrass/v2 ou C:\greengrass\v2 avec le chemin d'accès au dossier AWS IoT Greengrass racine.

    Linux
    sudo tail -f /greengrass/v2/logs/greengrass.log
    Windows (PowerShell)
    Get-Content C:\greengrass\v2\logs\greengrass.log -Tail 10 -Wait

Journal des modifications

Le tableau suivant décrit les modifications apportées à chaque version du composant.

Version

Modifications

2.2.0
Nouvelles fonctionnalités

Ajoute la prise en charge de l'actualisation périodique des secrets configurés par le biais d'une nouvelle clé de configuration de composant.

Ajoute la prise en charge d'un nouveau paramètre de demande dans la GetSecretValue IPC demande pour actualiser les secrets par demande

2.1.8
Corrections de bogues et améliorations

Résout un problème selon lequel le gestionnaire de secrets n'accepte pas un ARN partiel.

2.1.7

 Version mise à jour pour la version 2.12.0 de Greengrass Nucleus.

2.1.6

 Version mise à jour pour la version 2.11.0 de Greengrass Nucleus.

2.1.5

 Version mise à jour pour la version 2.10.0 de Greengrass Nucleus.

2.1.4
Corrections de bogues et améliorations

Résout un problème en raison duquel les secrets mis en cache étaient supprimés lors du déploiement du gestionnaire de secrets et du redémarrage du noyau de Greengrass.

Version mise à jour pour la version 2.9.0 de Greengrass Nucleus.

2.1.3

 Version mise à jour pour la version 2.8.0 de Greengrass Nucleus.

2.1.2

Version mise à jour pour la version 2.7.0 de Greengrass Nucleus.

2.1.1

Version mise à jour pour la version 2.6.0 de Greengrass Nucleus.

2.1.0
Nouvelles fonctionnalités

  • Prend en charge l'intégration de la sécurité matérielle. Le composant du gestionnaire de secrets peut chiffrer et déchiffrer des secrets à l'aide d'une clé privée que vous stockez dans un module de sécurité matériel ()HSM. Pour de plus amples informations, veuillez consulter Intégration de sécurité matérielle.

Corrections de bogues et améliorations

  • Version mise à jour pour la version 2.5.0 de Greengrass Nucleus.

2.0.9

Version mise à jour pour la version 2.4.0 de Greengrass Nucleus.

2.0.8

Version mise à jour pour la version 2.3.0 de Greengrass Nucleus.

2.0.7

Version mise à jour pour la version 2.2.0 de Greengrass Nucleus.

2.0.6

Version mise à jour pour la version 2.1.0 de Greengrass Nucleus.

2.0.5
Améliorations

  • Ajoutez le support pour les régions et AWS GovCloud (US) les régions de AWS Chine.

2.0.4

Première version.