Peran grup Greengrass - AWS IoT Greengrass
Mengelola peran grup (konsol)Kelola peran grup (CLI)Lihat juga

AWS IoT Greengrass Version 1 memasuki fase umur panjang pada 30 Juni 2023. Untuk informasi selengkapnya, lihat kebijakan AWS IoT Greengrass V1 pemeliharaan. Setelah tanggal ini, tidak AWS IoT Greengrass V1 akan merilis pembaruan yang menyediakan fitur, penyempurnaan, perbaikan bug, atau patch keamanan. Perangkat yang berjalan AWS IoT Greengrass V1 tidak akan terganggu dan akan terus beroperasi dan terhubung ke cloud. Kami sangat menyarankan Anda bermigrasi ke AWS IoT Greengrass Version 2, yang menambahkan fitur baru yang signifikan dan dukungan untuk platform tambahan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran grup Greengrass

Peran grup Greengrass adalah IAM role yang mengotorisasi kode yang berjalan pada core Greengrass untuk mengakses AWS sumber daya. Anda membuat peran dan mengelola izin di AWS Identity and Access Management (IAM) dan melampirkan peran untuk grup Greengrass Anda. Sebuah grup Greengrass memiliki satu peran grup. Untuk menambah atau mengubah izin, Anda dapat melampirkan peran yang berbeda atau mengubah kebijakan IAM yang dilampirkan ke peran.

Peran harus mendefinisikan AWS IoT Greengrass sebagai entitas terpercaya. Tergantung pada kasus bisnis Anda, peran grup mungkin berisi kebijakan IAM yang menentukan:

Bagian berikut menjelaskan cara melampirkan atau melepaskan peran grup Greengrass di AWS Management Console atau AWS CLI.

catatan

Selain peran grup yang mengotorisasi akses dari core Greengrass, Anda dapat menetapkan Gperan layanan Greengrasse yang mengizinkan untuk AWS IoT Greengrass untuk mengakses AWS sumber daya atas nama Anda.

Mengelola peran grup Greengrass (konsol)

Anda dapat menggunakan konsol AWS IoT untuk tugas-tugas manajemen peran berikut:

catatan

Pengguna yang masuk ke konsol harus memiliki izin untuk mengelola peran.

 

Temukan peran grup Greengrass Anda (konsol)

Ikuti langkah-langkah untuk menemukan peran yang melekat pada grup Greengrass.

  1. DiAWS IoTpanel navigasi konsol, di bawahKelola, PerluasPerangkat Greengrass, dan kemudian pilihGrup (V1).

  2. Pilih grup target.

  3. Pada halaman konfigurasi grup, pilihMelihat pengaturan.

Jika peran dilampirkan ke grup, itu muncul di bawahPeran grup.

 

Tambahkan atau ubah peran grup Greengrass (konsol)

Ikuti langkah-langkah berikut untuk memilih IAM role dari Akun AWS untuk menambahkan ke grup Greengrass.

Peran grup memiliki persyaratan sebagai berikut:

  • AWS IoT Greengrass didefinisikan sebagai entitas terpercaya.

  • Kebijakan izin yang dilamprkan ke peran harus memberikan izin ke AWS sumber daya yang diperlukan oleh fungsi Lambda dan konektor dalam grup, dan oleh komponen sistem Greengrass.

catatan

Kami menyarankan Anda juga memasukkanaws:SourceArndanaws:SourceAccountkunci konteks kondisi global dalam kebijakan kepercayaan Anda untuk membantu mencegahdeputyMasalah keamanan. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah deputi yang membingungkan, lihatCross-service bingung wakil pencegahan.

Gunakan konsol IAM untuk membuat dan mengonfigurasi peran dan izin. Untuk langkah-langkah yang membuat contoh peran yang me akses ke tabel Amazon DynamoDB, lihat Mengonfigurasi peran grup. Untuk langkah umum, lihat Membuat peran untuk AWS layanan (konsol) dalam Panduan Pengguna IAM.

 

Setelah peran dikonfigurasi, gunakan konsol AWS IoT tersebut untuk menambahkan peran ke grup.

catatan

Prosedur ini diperlukan hanya untuk memilih peran untuk grup. Tidak diperlukan setelah mengubah izin peran grup yang dipilih saat ini.

  1. DiAWS IoTpanel navigasi konsol, di bawahKelola, PerluasPerangkat Greengrass, dan kemudian pilihGrup (V1).

  2. Pilih grup target.

  3. Pada halaman konfigurasi grup, pilihMelihat pengaturan.

  4. Di bawahPeran grup, choose to add or change an:

    • Untuk menambahkan peran, pilihPeran asosiasidan kemudian pilih peran Anda dari daftar peran Anda. Ini adalah peran dalam Akun AWS Anda yang menentukan AWS IoT Greengrass sebagai entitas terpercaya.

    • Untuk memilih peran yang berbeda, pilihEdit perandan kemudian pilih peran Anda dari daftar peran Anda.

  5. Pilih Save (Simpan).

 

Hapus peran grup Greengrass (konsol)

Ikuti langkah-langkah ini untuk melepaskan peran dari grup Greengrass.

  1. DiAWS IoTpanel navigasi konsol, di bawahKelola, PerluasPerangkat Greengrass, dan kemudian pilihGrup (V1).

  2. Pilih grup target.

  3. Pada halaman konfigurasi grup, pilihMelihat pengaturan.

  4. Di bawahPeran grup, choosePutus peran.

  5. Di kotak dialog konfirmasi, pilihPutus peran. Langkah ini menghapus peran dari grup tetapi tidak menghapus peran. Jika ingin menghapus peran, gunakan konsol IAM.

Mengelola peran grup Greengrass (CLI)

Anda dapat menggunakan AWS CLI untuk tugas manajemen peran berikut:

 

Dapatkan peran grup Greengrass (CLI)

Ikuti langkah-langkah ini untuk mengetahui apakah grup Greengrass memiliki peran yang terkait.

  1. Dapatkan ID grup target dari daftar grup Anda.

    aws greengrass list-groups

    Berikut ini adalah contoh list-groups respons. Setiap grup dalam respon mencakup properti Id yang berisi ID grup.

    {
    "Groups": [
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "Name": "MyFirstGroup",
            "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
            "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "CreationTimestamp": "2019-11-11T05:47:31.435Z",
            "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
        },
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "Name": "GreenhouseSensors",
            "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
            "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "CreationTimestamp": "2020-01-07T19:58:36.774Z",
            "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
        },
        ...
    ]
}

    Untuk informasi lebih lanjut, termasuk contoh yang menggunakan opsi query untuk memfilter hasil, lihat Mendapatkan ID grup.

  2. Salin Id dari grup target dari output.

  3. Dapatkan peran grup. Ganti grup-id dengan ID grup target.

    aws greengrass get-associated-role --group-id group-id

    Jika peran dikaitkan dengan grup Greengrass Anda, peran metadata berikut dikembalikan.

    {
  "AssociatedAt": "timestamp",
  "RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Jika grup Anda tidak memiliki peran terkait, kesalahan berikut akan dikembalikan.

    An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.

 

Buat peran grup Greengrass (CLI)

Ikuti langkah-langkah ini untuk membuat peran dan mengaitkannya dengan grup Greengrass.

Untuk membuat peran grup menggunakan IAM

  1. Buat peran dengan kebijakan kepercayaan yang mengizinkan AWS IoT Greengrass untuk mengambil peran. Contoh ini menciptakan peran bernama MyGreengrassGroupRole, tetapi Anda dapat menggunakan nama yang berbeda. Kami menyarankan Anda juga memasukkanaws:SourceArndanaws:SourceAccountkunci konteks kondisi global dalam kebijakan kepercayaan Anda untuk membantu mencegahdeputyMasalah keamanan. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah deputi yang membingungkan, lihatCross-service bingung wakil pencegahan.

    Linux, macOS, or Unix
    aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
        }
      }
    }
  ]
}'
    Windows command prompt
    aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"

  2. Salin peran ARN dari peran metadata dalam output. Anda menggunakan ARN untuk mengasosiasikan peran dengan grup Anda.

  3. Lampirkan kebijakan terkelola atau inline ke peran untuk mendukung kasus bisnis Anda. Sebagai contoh, jika fungsi Lambda yang ditetapkan pengguna membaca dari Amazon S3, Anda mungkin melampirkan AmazonS3ReadOnlyAccess kebijakan terkelola untuk peran.

    aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    Jika berhasil, tidak ada respons yang dikembalikan.

 

Untuk mengasosiasikan peran dengan grup Greengrass Anda

  1. Dapatkan ID grup target dari daftar grup Anda.

    aws greengrass list-groups

    Berikut ini adalah contoh list-groups respons. Setiap grup dalam respon mencakup properti Id yang berisi ID grup.

    {
    "Groups": [
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "Name": "MyFirstGroup",
            "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
            "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "CreationTimestamp": "2019-11-11T05:47:31.435Z",
            "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
        },
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "Name": "GreenhouseSensors",
            "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
            "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "CreationTimestamp": "2020-01-07T19:58:36.774Z",
            "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
        },
        ...
    ]
}

    Untuk informasi lebih lanjut, termasuk contoh yang menggunakan opsi query untuk memfilter hasil, lihat Mendapatkan ID grup.

  2. Salin Id dari grup target dari output.

  3. Associate peran dengan grup Anda. Ganti grup-id dengan ID dari grup target dan role-arn dengan ARN peran grup.

    aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn

    Jika berhasil, respons berikut dikembalikan.

    {
  "AssociatedAt": "timestamp"
}

 

Hapus peran grup Greengrass (CLI)

Ikuti langkah-langkah ini untuk memisahkan peran grup dari grup Greengrass Anda.

  1. Dapatkan ID grup target dari daftar grup Anda.

    aws greengrass list-groups

    Berikut ini adalah contoh list-groups respons. Setiap grup dalam respon mencakup properti Id yang berisi ID grup.

    {
    "Groups": [
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "Name": "MyFirstGroup",
            "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
            "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "CreationTimestamp": "2019-11-11T05:47:31.435Z",
            "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
        },
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "Name": "GreenhouseSensors",
            "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
            "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "CreationTimestamp": "2020-01-07T19:58:36.774Z",
            "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
        },
        ...
    ]
}

    Untuk informasi lebih lanjut, termasuk contoh yang menggunakan opsi query untuk memfilter hasil, lihat Mendapatkan ID grup.

  2. Salin Id dari grup target dari output.

  3. Lepaskan peran dari grup Anda. Ganti grup-id dengan ID grup target.

    aws greengrass disassociate-role-from-group --group-id group-id

    Jika berhasil, respons berikut dikembalikan.

    {
  "DisassociatedAt": "timestamp"
}
    catatan

    Anda dapat menghapus peran grup jika tidak menggunakannya. Pertama gunakan delete-role-policy untuk melepaskan setiap kebijakan terkelola dari peran, lalu gunakan delete-role untuk menghapus peran. Untuk informasi lebih lanjut, lihat Menghapus peran atau profil instans dalam Panduan Pengguna IAM.

Lihat juga