Peran layanan Greengrass - AWS IoT Greengrass
Mengelola peran layanan (konsol)Mengelola peran layanan (CLI)Lihat juga

AWS IoT Greengrass Version 1 memasuki fase umur panjang pada 30 Juni 2023. Untuk informasi selengkapnya, lihat kebijakan AWS IoT Greengrass V1 pemeliharaan. Setelah tanggal ini, tidak AWS IoT Greengrass V1 akan merilis pembaruan yang menyediakan fitur, penyempurnaan, perbaikan bug, atau patch keamanan. Perangkat yang berjalan AWS IoT Greengrass V1 tidak akan terganggu dan akan terus beroperasi dan terhubung ke cloud. Kami sangat menyarankan Anda bermigrasi ke AWS IoT Greengrass Version 2, yang menambahkan fitur baru yang signifikan dan dukungan untuk platform tambahan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran layanan Greengrass

Peran layanan Greengrass adalah AWS Identity and Access Management (IAM) peran layanan yang mengotorisasi AWS IoT Greengrass untuk mengakses sumber daya dari layanan AWS atas nama Anda. Hal ini mengizinkan untuk AWS IoT Greengrass untuk melakukan tugas penting, seperti mengambil fungsi AWS Lambda dan mengelola AWS IoT bayangan Anda.

Untuk mengizinkan AWS IoT Greengrass untuk mengakses sumber daya Anda, peran layanan Greengrass harus dikaitkan dengan Anda Akun AWS dan menentukan AWS IoT Greengrass sebagai entitas terpercaya. Peran harus mencakup AWSGreengrassResourceAccessRolePolicykebijakan terkelola atau kebijakan kustom yang menentukan izin setara untukAWS IoT Greengrassfitur yang Anda gunakan. Kebijakan ini dikelola oleh AWS dan mendefinisikan set izin yang AWS IoT Greengrass digunakan untuk mengakses AWS sumber daya Anda.

Anda dapat menggunakan kembali peran layanan Greengrass yang sama di seluruh Wilayah AWSs, tetapi Anda harus mengaitkannya dengan akun Anda di setiap Wilayah AWS di mana Anda gunakan AWS IoT Greengrass. Deployment grup gagal jika peran layanan tidak ada di saat ini Akun AWS dan Wilayah.

Bagian berikut menjelaskan cara membuat dan mengelola peran layanan Greengrass di AWS Management Console atau AWS CLI.

catatan

Selain peran layanan yang mengesahkan akses tingkat layanan, Anda dapat menugaskan peran grup ke AWS IoT Greengrass grup. Peran grup adalah IAM role terpisah yang mengontrol cara fungsi Greengrass Lambda dan konektor dalam grup dapat mengakses AWS layanan.

Mengelola peran layanan Greengrass (konsol)

Konsol AWS IoT membuatnya mudah untuk mengelola peran layanan Greengrass Anda. Sebagai contoh, ketika Anda membuat atau men-deploy grup Greengrass, konsol memeriksa apakah Akun AWS terlampir pada peran layanan Greengrass di Wilayah AWS yang ketika ini terpilih di konsol. Jika tidak, konsol dapat membuat dan mengonfigurasi peran layanan untuk Anda. Untuk informasi selengkapnya, lihat Buat peran layanan Greengrass (konsol).

Anda dapat menggunakan AWS IoT konsol untuk tugas-tugas manajemen peran berikut:

catatan

Pengguna yang masuk ke konsol harus memiliki izin untuk melihat, membuat, atau mengubah peran layanan.

 

Temukan peran layanan Greengrass Anda (konsol)

Gunakan langkah-langkah berikut untuk menemukan peran layanan yang AWS IoT Greengrass digunakan saat ini Wilayah AWS.

  1. DariAWS IoTkonsolpanel navigasi, pilihPengaturan.

  2. Gulir ke Peran layanan Greengrass untuk melihat peran layanan dan kebijakannya.

    Jika Anda tidak melihat peran layanan, Anda dapat membiarkan konsol membuat atau mengonfigurasinya untuk Anda. Untuk informasi selengkapnya, lihat Buat peran layanan Greengrass.

 

Buat peran layanan Greengrass (konsol)

Konsol dapat membuat dan mengkonfigurasi peran layanan Greengrass default untuk Anda. Peran ini memiliki properti berikut.

Properti Nilai
Nama Greengrass_ServiceRole
Entitas tepercaya AWS service: greengrass
Kebijakan AWSGreengrassResourceAccessRolePolicy
catatan

Jika Penyiapan perangkat Greengrass membuat peran layanan, nama perannya adalah GreengrassServiceRole_random-string.

Ketika Anda membuat atau men-deploy grup Greengrass dari konsol AWS IoT tersebut, konsol tersebut memeriksa apakah peran layanan Greengrass dikaitkan dengan Akun AWS Anda di Wilayah AWS yang mana terpilih di konsol. Jika tidak, konsol akan meminta Anda untuk mengizinkan AWS IoT Greengrass untuk membaca dan menulis ke AWS layanan atas nama Anda.

Jika Anda memberikan izin, konsol tersebut akan memeriksa apakah peran bernama Greengrass_ServiceRole ada di Akun AWS Anda.

  • Jika peran itu ada, konsol tersebut akan melampirkan peran layanan ke perangkat Akun AWS di Wilayah AWS saat ini.

  • Jika peran tersebut tidak ada, konsol tersebut akan membuat peran layanan Greengrass default dan melampirkannya ke Akun AWS Anda di Wilayah AWS saat ini.

catatan

Jika Anda ingin membuat peran layanan dengan kebijakan peran kustom, gunakan konsol IAM untuk membuat atau mengubah peran. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke layanan AWS atau Mengubah peran dalam Panduan Pengguna IAM. Pastikan bahwa peran memberikan izin yang setara dengan kebijakan terkelola AWSGreengrassResourceAccessRolePolicy untuk fitur dan sumber daya yang Anda gunakan. Kami merekomendasikan Anda juga menyertakanaws:SourceArndanaws:SourceAccountkunci konteks kondisi global dalam kebijakan kepercayaan Anda untuk membantu mencegahdeputi bingungmasalah keamanan. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah deputi yang membingungkan, lihatCross-service bingung wakil pencegahan.

Jika Anda membuat peran layanan, kembali ke AWS IoT konsol dan melampirkan peran ke grup. Anda dapat melakukannya di bawah peran layanan Greengrass di halaman Pengaturan grup.

 

Ubah peran layanan Greengrass (konsol)

Gunakan prosedur berikut untuk memilih peran layanan Greengrass yang berbeda untuk dilampirkan ke Akun AWS Anda di Wilayah AWSyang saat ini dipilih di konsol tersebut.

  1. DariAWS IoTkonsolpanel navigasi, pilihPengaturan.

  2. Di bawah Peran layanan Greengrass, pilih Ubah peran.

    Kotak dialog Perbarui peran layanan Greengrass terbuka dan menunjukkan peran IAM di Akun AWS yang menentukan AWS IoT Greengrass sebagai entitas terpercaya.

  3. Pilih peran layanan Greengrass untuk dilampirkan.

  4. Pilih Lampirkan peran.

catatan

Untuk mengizinkan konsol untuk membuat peran layanan Greengrass default untuk Anda, pilih Buat peran untuk saya sebagai ganti memilih peran dari daftar. Tautan Buat peran untuk saya tidak muncul jika role bernama Greengrass_ServiceRole ada di Akun AWS.

 

Melepaskan peran layanan Greengrass (konsol)

Gunakan prosedur berikut untuk melepaskan peran Greengrass dari Akun AWS di Wilayah AWS saat ini yang terpilih di konsol. Ini mencabut izin untuk AWS IoT Greengrass mengakses AWS layanan di saat ini Wilayah AWS.

penting

Melepaskan peran layanan dapat mengganggu operasi aktif.

  1. DariAWS IoTkonsolpanel navigasi, pilihPengaturan.

  2. Di bawah Peran layanan Greengrass, pilih Lepaskan peran.

  3. Dalam kotak dialog konfirmasi, pilih Lepaskan.

catatan

Jika Anda tidak lagi memerlukan peran tersebut, Anda dapat menghapusnya di konsol IAM. Untuk informasi lebih lanjut, lihat Menghapus peran atau profil instans dalam Panduan Pengguna IAM.

Peran lain mungkin mengizinkan AWS IoT Greengrass untuk mengakses sumber daya Anda. Untuk menemukan semua peran yang mengizinkan AWS IoT Greengrass untuk mengasumsi izin atas nama Anda, di konsol IAM, pada halaman Peran tersebut, cari peran yang mencakup AWS layanan: Greengrass di kolom entitas Terpercaya ini.

Mengelola peran layanan Greengrass (CLI)

Dalam prosedur berikut, kita berasumsi bahwa AWS CLI diinstal dan dikonfigurasi untuk menggunakan perangkat Anda Akun AWS ID. Untuk informasi lebih lanjut, lihat Menginstal AWS baris perintah antarmuka dan Mengonfigurasi AWS CLI dalam AWS Command Line Interface Panduan Pengguna.

Anda dapat menggunakan AWS CLI untuk tugas manajemen peran berikut:

 

Dapatkan peran layanan Greengrass (CLI)

Gunakan prosedur berikut untuk mengetahui apakah peran layanan Greengrass dikaitkan dengan Akun AWS Anda di Wilayah AWS.

  • Dapatkan peran layanan. Ganti wilayah dengan Wilayah AWS Anda (sebagai contoh, us-west-2).

    aws Greengrass get-service-role-for-account --region region

    Jika peran layanan Greengrass telah dikaitkan dengan akun Anda, metadata peran berikut akan dikembalikan.

    {
  "AssociatedAt": "timestamp",
  "RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Jika tidak ada metadata peran yang dikembalikan, maka Anda harus membuat peran layanan (jika tidak ada) dan mengaitkannya dengan akun di Wilayah AWS.

 

Buat peran layanan Greengrass (CLI)

Gunakan langkah-langkah berikut untuk membuat peran dan mengaitkannya dengan perangkat Akun AWS Anda.

Untuk membuat peran layanan dengan menggunakan IAM.

  1. Buat peran dengan kebijakan kepercayaan yang memungkinkan AWS IoT Greengrass untuk menjalankan peran tersebut. Contoh ini menciptakan peran bernama Greengrass_ServiceRole, tetapi Anda dapat menggunakan nama yang berbeda. Kami merekomendasikan Anda juga menyertakanaws:SourceArndanaws:SourceAccountkunci konteks kondisi global dalam kebijakan kepercayaan Anda untuk membantu mencegahdeputi bingungmasalah keamanan. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah deputi yang membingungkan, lihatCross-service bingung wakil pencegahan.

    Linux, macOS, or Unix
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        }
      }
    }
  ]
}'
    Windows command prompt
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"

  2. Salin peran ARN dari metadata peran dalam output. Anda menggunakan ARN untuk mengasosiasikan peran dengan akun Anda.

  3. Lampirkan kebijakan AWSGreengrassResourceAccessRolePolicy pada peran tersebut.

    aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
Untuk mengaitkan peran layanan dengan Akun AWS Anda

  • Hubungkan peran itu dengan akun Anda. Ganti role-arn dengan peran layanan ARN dan wilayah dengan Wilayah AWS Anda (sebagai contoh, us-west-2).

    aws greengrass associate-service-role-to-account --role-arn role-arn --region region

    Jika berhasil, respons berikut dikembalikan.

    {
  "AssociatedAt": "timestamp"
}

 

Menghapus peran layanan Greengrass (CLI)

Gunakan langkah-langkah berikut untuk memisahkan peran layanan Greengrass dari perangkat Akun AWS.

  • Lepaskan peran layanan dari akun Anda. Ganti wilayah dengan Wilayah AWS Anda (misalnya, us-west-2).

    aws greengrass disassociate-service-role-from-account --region region

    Jika berhasil, respon berikut dikembalikan.

    {
  "DisassociatedAt": "timestamp"
}
    catatan

    Anda harus menghapus peran layanan jika Anda tidak menggunakannya dalam semua Wilayah AWS. Pertama gunakan delete-role-policy untuk melepaskan AWSGreengrassResourceAccessRolePolicy kebijakan terkelola dari peran, dan kemudian gunakan delete-role untuk menghapus peran. Untuk informasi lebih lanjut, lihat Menghapus peran atau profil instans dalam Panduan Pengguna IAM.

Lihat juga