Politiques AWS gérées pour AWS IoT Greengrass - AWS IoT Greengrass
AWSGreengrassFullAccessAWSGreengrassReadOnlyAccessAWSGreengrassResourceAccessRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques AWS gérées pour AWS IoT Greengrass

UnAWSune politique gérée est une politique autonome créée et administrée parAWS.AWSles politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

Gardez à l'esprit queAWSles politiques gérées peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont disponibles pour tousAWSclients à utiliser. Nous vous recommandons de réduire davantage les autorisations en définissantpolitiques gérées par le clientqui sont spécifiques à vos cas d'utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les stratégies gérées par AWS. SiAWSmet à jour les autorisations définies dansAWSpolitique gérée, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée.AWSest le plus susceptible de mettre à jour unAWSpolitique gérée lors d'une nouvelleService AWSest lancée ou de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d'informations, consultez la rubrique Politiques gérées par AWS dans le Guide de l'utilisateur IAM.

AWS Politique gérée par: AWSGreengrassFullAccess

Vous pouvez attacher la politique AWSGreengrassFullAccess à vos identités IAM.

Cette politique accorde des autorisations administratives qui permettent au principal un accès complet à tousAWS IoT Greengrassactions.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes :

  • greengrass— Permet aux directeurs un accès complet à tousAWS IoT Greengrassactions.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:*"
            ],
            "Resource": "*"
        }
    ]
}

AWS Politique gérée par: AWSGreengrassReadOnlyAccess

Vous pouvez attacher la politique AWSGreengrassReadOnlyAccess à vos identités IAM.

Cette politique accorde des autorisations en lecture seule qui permettent à un principal de consulter, mais pas de modifier, les informations contenues dansAWS IoT Greengrass. Par exemple, les responsables disposant de ces autorisations peuvent consulter la liste des composants déployés sur un appareil principal de Greengrass, mais ne peuvent pas créer de déploiement pour modifier les composants qui s'exécutent sur cet appareil.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes :

  • greengrass— Permet aux administrateurs d'effectuer des actions qui renvoient soit une liste d'éléments, soit des détails sur un élément. Cela inclut les opérations d'API qui commencent parListouGet.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:List*",
                "greengrass:Get*"
            ],
            "Resource": "*"
        }
    ]
}

AWS Politique gérée par: AWSGreengrassResourceAccessRolePolicy

Vous pouvez joindre leAWSGreengrassResourceAccessRolePolicypolitique à l'égard de vos entités IAM.AWS IoT Greengrassassocie également cette politique à un rôle de service qui permetAWS IoT Greengrasspour effectuer des actions en votre nom. Pour plus d'informations, veuillez consulter Rôle de service Greengrass.

Cette politique accorde des autorisations administratives qui permettentAWS IoT Greengrasspour effectuer des tâches essentielles, telles que la récupération de vos fonctions Lambda, la gestionAWS IoTles ombres des appareils et la vérification des appareils clients Greengrass.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes.

  • greengrass— Gérez les ressources de Greengrass.

  • iot(*Shadow) — GérerAWS IoTdes ombres dont le nom contient les identifiants spéciaux suivants. Ces autorisations sont requises pour queAWS IoT Greengrasspeut communiquer avec les appareils principaux.

    • *-gci—AWS IoT Greengrassutilise cette ombre pour stocker les informations de connectivité des principaux appareils, afin que les appareils clients puissent découvrir les appareils principaux et s'y connecter.

    • *-gcm—AWS IoT Greengrass V1utilise cette ombre pour informer le périphérique principal que le certificat de l'autorité de certification (CA) du groupe Greengrass a subi une rotation.

    • *-gda—AWS IoT Greengrass V1utilise cette ombre pour informer le périphérique principal d'un déploiement.

    • GG_*— Non utilisé.

  • iot(DescribeThingetDescribeCertificate) — Récupère des informations surAWS IoTdes objets et des certificats. Ces autorisations sont requises pour queAWS IoT Greengrasspeut vérifier les appareils clients qui se connectent à un appareil principal. Pour plus d'informations, veuillez consulter Interagissez avec les appareils IoT locaux.

  • lambda— Récupère des informations surAWS Lambdafonctions. Cette autorisation est requise pour queAWS IoT Greengrass V1peut déployer des fonctions Lambda sur les cœurs Greengrass. Pour plus d'informations, voirExécutez la fonction Lambda surAWS IoT Greengrassnoyaudans leAWS IoT Greengrass V1Guide du développeur.

  • secretsmanager— Récupère la valeur deAWS Secrets Managersecrets dont le nom commence pargreengrass-. Cette autorisation est requise pour queAWS IoT Greengrass V1peut déployer les secrets de Secrets Manager sur les cœurs de Greengrass. Pour plus d'informations, voirDéployez des secrets surAWS IoT Greengrassnoyaudans leAWS IoT Greengrass V1Guide du développeur.

  • s3— Récupère des fichiers et des objets depuis des compartiments S3 dont les noms contiennentgreengrassousagemaker. Ces autorisations sont requises pour queAWS IoT Greengrass V1peut déployer des ressources d'apprentissage automatique que vous stockez dans des compartiments S3. Pour plus d'informations, voirRessources d'apprentissage automatiquedans leAWS IoT Greengrass V1Guide du développeur.

  • sagemaker— Récupérez des informations sur AmazonSageMakermodèles d'inférence d'apprentissage automatique. Cette autorisation est requise pour queAWS IoT Greengrass V1peut déployer des modèles ML sur les cœurs de Greengrass. Pour plus d'informations, voirEffectuer des inférences par apprentissage automatiquedans leAWS IoT Greengrass V1Guide du développeur.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGreengrassAccessToShadows",
            "Action": [
                "iot:DeleteThingShadow",
                "iot:GetThingShadow",
                "iot:UpdateThingShadow"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iot:*:*:thing/GG_*",
                "arn:aws:iot:*:*:thing/*-gcm",
                "arn:aws:iot:*:*:thing/*-gda",
                "arn:aws:iot:*:*:thing/*-gci"
            ]
        },
        {
            "Sid": "AllowGreengrassToDescribeThings",
            "Action": [
                "iot:DescribeThing"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:thing/*"
        },
        {
            "Sid": "AllowGreengrassToDescribeCertificates",
            "Action": [
                "iot:DescribeCertificate"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:cert/*"
        },
        {
            "Sid": "AllowGreengrassToCallGreengrassServices",
            "Action": [
                "greengrass:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetLambdaFunctions",
            "Action": [
                "lambda:GetFunction",
                "lambda:GetFunctionConfiguration"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetGreengrassSecrets",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
        },
        {
            "Sid": "AllowGreengrassAccessToS3Objects",
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::*Greengrass*",
                "arn:aws:s3:::*GreenGrass*",
                "arn:aws:s3:::*greengrass*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Sid": "AllowGreengrassAccessToS3BucketLocation",
            "Action": [
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
            "Action": [
                "sagemaker:DescribeTrainingJob"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:sagemaker:*:*:training-job/*"
            ]
        }
    ]
}

Mises à jour AWS IoT Greengrass vers des politiques gérées par AWS

Vous pouvez consulter les détails des mises à jour deAWSpolitiques gérées pourAWS IoT Greengrassà partir du moment où ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au fil RSS duAWS IoT Greengrass V2page d'historique du document.

Modification Description Date

AWS IoT Greengrass a démarré le suivi des modifications

AWS IoT Greengrass a commencé à suivre les modifications pour ses politiques gérées par AWS.

2 juillet 2021