Configuration de AWS Systems Manager pour les appareils de périphérie - AWS Systems Manager
Étape 1 : Créer une fonction de service IAM pour les appareils de périphérieÉtape 2 : Configurer AWS IoT GreengrassÉtape 3 : Mettre à jour le rôle d'échange de jeton AWS IoT Greengrass et installer l'SSM Agent sur vos appareils de périphérie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de AWS Systems Manager pour les appareils de périphérie

Cette section décrit les tâches de configuration effectuées par les administrateurs système et de compte pour activer la configuration et la gestion d'appareils Core AWS IoT Greengrass. Une fois ces tâches terminées, les utilisateurs qui ont obtenu des autorisations de la part de l'administrateur Compte AWS peuvent utiliser AWS Systems Manager pour configurer et gérer les appareils Core AWS IoT Greengrass de leur organisation.

Note

  • L'SSM Agent pour AWS IoT Greengrass n'est pas pris en charge sur macOS et Windows 10. Vous ne pouvez pas utiliser les fonctionnalités de Systems Manager pour gérer et configurer des appareils de périphérie utilisant ces systèmes d'exploitation.

  • Systems Manager prend également en charge les appareils de périphérie qui ne sont pas configurés en tant qu'appareils Core AWS IoT Greengrass. Pour utiliser Systems Manager pour gérer les appareils AWS IoT Core et les appareils de périphérie non AWS, vous devez les configurer à l'aide d'une activation hybride. Pour de plus amples informations, veuillez consulter Configuration de Systems Manager pour les environnements hybrides et multicloud.

  • Pour utiliser Session Manager et la correction d'applications Microsoft avec vos appareils de périphérie, vous devez activer le niveau d'instances avancées. Pour de plus amples informations, veuillez consulter Activation du niveau d'instances avancées.

Avant de commencer

Vérifiez que vos appareils de périphérie répondent aux exigences suivantes.

  • Vos appareils de périphérie doivent répondre aux exigences pour être configurés en tant qu'appareils Core AWS IoT Greengrass. Pour plus d'informations, consultez Configuration des appareils Core AWS IoT Greengrass dans le Guide du développeur AWS IoT Greengrass Version 2.

  • Vos appareils de périphérie doivent être compatibles avec AWS Systems ManagerAgent (SSM Agent). Pour de plus amples informations, veuillez consulter Systèmes d'exploitation pris en charge pour Systems Manager.

  • Vos appareils de périphérie doivent être en mesure de communiquer avec le service Systems Manager dans le cloud. Systems Manager ne prend pas en charge les appareils de périphérie déconnectés.

À propos de la configuration des appareils de périphérie

La configuration des appareils AWS IoT Greengrass pour Systems Manager impliquent les processus suivants.

Note

Pour plus d'informations sur la désinstallation de SSM Agent à partir d'un appareil périphérique, consultez la section Désinstallation de l’agent AWS Systems Managerdans le Guide du développeur AWS IoT Greengrass Version 2.

Étape 1 : Créer une fonction de service IAM pour les appareils de périphérie

Les appareils Core AWS IoT Greengrass nécessitent une fonction de service AWS Identity and Access Management (IAM) pour communiquer avec AWS Systems Manager. Le rôle octroie à AWS Security Token Service (AWS STS) l'approbation AssumeRole au service Systems Manager. Vous devez uniquement créer la fonction de service une fois pour chaque Compte AWS. Vous spécifiez cette fonction pour le paramètre RegistrationRole lorsque vous configurez et déployez le composant SSM Agent sur vos appareils AWS IoT Greengrass. Si vous avez déjà créé ce rôle lors de la configuration de nœuds non EC2 pour un environnement hybride et multicloud, vous pouvez ignorer cette étape.

Note

Les utilisateurs de votre entreprise ou organisation qui utilisent Systems Manager sur vos appareils de périphérie doivent recevoir l'autorisation dans IAM d'appeler l'API Systems Manager.

Exigence pour les politiques de compartiment S3

Dans les cas suivants, vous devez créer une politique d'autorisation IAM personnalisée pour les compartiments Amazon Simple Storage Service (Amazon S3) avant de terminer cette procédure :

  • Cas 1 : vous utilisez un point de terminaison d'un VPC pour établir une connexion privée entre votre VPC et les Services AWS pris en charge et les services de point de terminaison de VPC optimisés par AWS PrivateLink.

  • Cas 2 : Vous prévoyez d'utiliser un compartiment S3 que vous créez dans le cadre de vos opérations Systems Manager, par exemple pour stocker la sortie des commandes Run Command ou des sessions Session Manager dans un compartiment S3. Avant de continuer, suivez les étapes de Créer une politique de compartiment S3 personnalisée pour un profil d'instance. Les informations sur les politiques de compartiment S3 de cette rubrique s'appliquent également à votre rôle de service.

    Note

    Si vos appareils sont protégés par un pare-feu et que vous prévoyez d'utiliser Patch Manager, le pare-feu doit autoriser l'accès au point de terminaison du référentiel de correctifs arn:aws:s3:::patch-baseline-snapshot-region/*.

    region représente l'identifiant d'une Région AWS prise en charge par AWS Systems Manager, telle que us-east-2 pour la région USA Est (Ohio). Pour obtenir une liste des valeurs region prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services.

AWS CLI
Pour créer une fonction de service IAM pour un environnement AWS IoT Greengrass (AWS CLI)

  1. Si vous ne l'avez pas déjà fait, installez et configurez l'AWS Command Line Interface (AWS CLI).

    Pour de plus amples informations, consultez Installation ou mise à jour de la version la plus récente de l'AWS CLI.

  2. Sur votre machine locale, créez un fichier texte avec un nom tel que SSMService-Trust.json avec la politique d'approbation suivante. Assurez-vous d'enregistrer le fichier avec l'extension de fichier .json.

    Note

    Notez le nom. Vous le spécifierez lorsque vous déploierez l'SSM Agent sur vos appareils Core AWS IoT Greengrass.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}

  3. Ouvrez la AWS CLI et, dans le répertoire où vous avez créé le fichier JSON, exécutez la commande create-role pour créer la fonction de service. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    Linux et macOS

    aws iam create-role \
    --role-name SSMServiceRole \
    --assume-role-policy-document file://SSMService-Trust.json

    Windows

    aws iam create-role ^
    --role-name SSMServiceRole ^
    --assume-role-policy-document file://SSMService-Trust.json

  4. Exécutez la commande attach-role-policy comme suit pour permettre au rôle de service que vous venez de créer de créer un jeton de session. Ce jeton de session autorise vos appareils de périphérie à exécuter des commandes à l'aide de Systems Manager.

    Note

    Les politiques que vous ajoutez pour un profil de service pour des appareils de périphérie correspondent aux mêmes politiques que celles utilisées pour créer un profil d'instance pour des instances Amazon Elastic Compute Cloud (Amazon EC2). Pour de plus amples informations sur les politiques IAM utilisées dans les commandes suivantes, consultez Créer un profil d'instance IAM pour Systems Manager.

    (Obligatoire) Exécutez la commande suivante permettre à un appareil de périphérie d'utiliser les fonctionnalités de base du service AWS Systems Manager.

    Linux et macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Si vous avez créé une politique de compartiment S3 personnalisée pour votre rôle de service, exécutez la commande suivante pour permettre à AWS Systems Manager Agent (SSM Agent) d'accéder aux compartiments que vous avez spécifiés dans la politique. Remplacez account_ID et my_bucket_policy_name par l'ID de votre Compte AWS et le nom de votre compartiment.

    Linux et macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name

    (Facultatif) Exécutez la commande suivante pour autoriser SSM Agent à accéder à AWS Directory Service en votre nom pour les demandes de jonction de domaine par les appareils de périphérie. La fonction de service requiert uniquement cette politique si vous joignez vos appareils de périphérie à un annuaire Microsoft AD.

    Linux et macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facultatif) Exécutez la commande suivante pour permettre à l'agent CloudWatch de s'exécuter sur vos appareils de périphérie. Cette commande permet de lire les informations sur un appareil et de les écrire dans CloudWatch. Votre fonction de service n'a besoin de cette politique que si vous utilisez des services tels qu'Amazon EventBridge ou Amazon CloudWatch Logs.

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Tools for PowerShell
Pour créer une fonction de service IAM pour un environnement AWS IoT Greengrass (AWS Tools for Windows PowerShell)

  1. Si vous ne l'avez pas déjà fait, installez et configurez AWS Tools for PowerShell (outils pour Windows PowerShell).

    Pour plus d'informations, consultez Installation d'AWS Tools for PowerShell.

  2. Sur votre machine locale, créez un fichier texte avec un nom tel que SSMService-Trust.json avec la politique d'approbation suivante. Assurez-vous d'enregistrer le fichier avec l'extension de fichier .json.

    Note

    Notez le nom. Vous le spécifierez lorsque vous déploierez l'SSM Agent sur vos appareils Core AWS IoT Greengrass.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}

  3. Ouvrez PowerShell en mode administratif et, dans le répertoire où vous avez créé le fichier JSON, exécutez la commande New-IAMRole comme suit pour créer un rôle de service.

    New-IAMRole `
    -RoleName SSMServiceRole `
    -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)

  4. Utilisez Register-IAMRolePolicy comme suit pour permettre au rôle de service que vous avez créé de créer un jeton de session. Ce jeton de session autorise vos appareils de périphérie à exécuter des commandes à l'aide de Systems Manager.

    Note

    Les politiques que vous ajoutez pour une fonction de service pour des appareils de périphérie dans un environnement AWS IoT Greengrass sont les mêmes politiques que celles utilisées pour créer un profil d'instance pour des instances EC2. Pour de plus amples informations sur les politiques AWS utilisées dans les commandes suivantes, consultez Configurer des autorisations d'instance pour Systems Manager.

    (Obligatoire) Exécutez la commande suivante permettre à un appareil de périphérie d'utiliser les fonctionnalités de base du service AWS Systems Manager.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Si vous avez créé une politique de compartiment S3 personnalisée pour votre rôle de service, exécutez la commande suivante pour permettre à SSM Agent d'accéder aux compartiments que vous avez spécifiés dans la politique. Remplacez account_ID et my_bucket_policy_name par l'ID de votre Compte AWS et le nom de votre compartiment. 

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    (Facultatif) Exécutez la commande suivante pour autoriser SSM Agent à accéder à AWS Directory Service en votre nom pour les demandes de jonction de domaine par les appareils de périphérie. La fonction de service requiert uniquement cette politique si vous joignez vos appareils de périphérie à un annuaire Microsoft AD.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facultatif) Exécutez la commande suivante pour permettre à l'agent CloudWatch de s'exécuter sur vos appareils de périphérie. Cette commande permet de lire les informations sur un appareil et de les écrire dans CloudWatch. Votre fonction de service n'a besoin de cette politique que si vous utilisez des services tels qu'Amazon EventBridge ou Amazon CloudWatch Logs.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Étape 2 : Configurer AWS IoT Greengrass

Configurez vos appareils de périphérie en tant qu'appareils Core AWS IoT Greengrass. Le processus de configuration implique la vérification des systèmes d'exploitation pris en charge et de la configuration requise, ainsi que l'installation et la configuration du logiciel Core AWS IoT Greengrass sur vos appareils. Pour plus d'informations, consultez Configuration des appareils Core AWS IoT Greengrass dans le Guide du développeur AWS IoT Greengrass Version 2.

Étape 3 : Mettre à jour le rôle d'échange de jeton AWS IoT Greengrass et installer l'SSM Agent sur vos appareils de périphérie

La dernière étape de configuration de vos appareils Core AWS IoT Greengrass pour Systems Manager requière que vous mettiez à jour la fonction du service d'appareil AWS IoT Greengrass AWS Identity and Access Management (IAM), également appelé rôle d'échange de jeton et déployiez AWS Systems Manager Agent (SSM Agent) sur vos appareils AWS IoT Greengrass. Pour plus d'informations sur ces processus, consultez Installation de l'agent AWS Systems Manager dans le Guide du développeur AWS IoT Greengrass Version 2.

Après le déploiement de l'SSM Agent sur vos appareils, AWS IoT Greengrass enregistre automatiquement vos appareils auprès de Systems Manager. Aucun enregistrement supplémentaire n'est nécessaire. Vous pouvez commencer à utiliser les fonctionnalités de Systems Manager pour accéder à vos appareils AWS IoT Greengrass, les gérer et les configurer.

Note

Vos appareils de périphérie doivent être en mesure de communiquer avec le service Systems Manager dans le cloud. Systems Manager ne prend pas en charge les appareils de périphérie déconnectés.