Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Otorisasi perangkat inti untuk berinteraksi dengan AWS layanan
AWS IoT Greengrass perangkat inti menggunakan penyedia AWS IoT Core kredensi untuk mengotorisasi panggilan ke layanan. AWS Penyedia AWS IoT Core kredensi memungkinkan perangkat menggunakan sertifikat X.509 mereka sebagai identitas perangkat unik untuk mengautentikasi permintaan. AWS Ini menghilangkan kebutuhan untuk menyimpan ID kunci AWS akses dan kunci akses rahasia pada perangkat AWS IoT Greengrass inti Anda. Untuk informasi selengkapnya, lihat Mengotorisasi panggilan langsung ke AWS layanan di Panduan AWS IoT Core Pengembang.
Saat menjalankan perangkat lunak AWS IoT Greengrass Core, Anda dapat memilih untuk menyediakan AWS sumber daya yang dibutuhkan perangkat inti. Ini termasuk peran AWS Identity and Access Management (IAM) yang diasumsikan oleh perangkat inti Anda melalui penyedia AWS IoT Core kredensial. Gunakan --provision true
argumen untuk mengonfigurasi peran dan kebijakan yang memungkinkan perangkat inti mendapatkan AWS kredensi sementara. Argumen ini juga mengonfigurasi alias AWS IoT peran yang menunjuk ke peran iniIAM. Anda dapat menentukan nama alias IAM peran dan AWS IoT peran yang akan digunakan. Jika Anda menentukan --provision
true
tanpa parameter nama lain ini, perangkat inti Greengrass akan menciptakan dan menggunakan sumber daya default berikut:
-
IAMperan:
GreengrassV2TokenExchangeRole
Peran ini memiliki kebijakan bernama
GreengrassV2TokenExchangeRoleAccess
dan hubungan kepercayaan yang memungkinkancredentials.iot.amazonaws.com
untuk menjalankan peran tersebut. Kebijakan ini mencakup izin minimum untuk perangkat inti.penting
Kebijakan ini tidak mencakup akses ke file dalam bucket S3. Anda harus menambahkan izin ke peran untuk mengizinkan perangkat inti mengambil artefak komponen dari bucket S3. Untuk informasi selengkapnya, lihat Izinkan akses ke bucket S3 untuk artefak komponen.
-
AWS IoT alias peran:
GreengrassV2TokenExchangeRoleAlias
Alias peran ini mengacu pada IAM peran.
Untuk informasi selengkapnya, lihat Langkah 3: Instal perangkat lunakAWS IoT Greengrass inti.
Anda juga dapat mengatur alias peran untuk perangkat inti yang ada. Untuk melakukannya, konfigurasikan parameter konfigurasi iotRoleAlias
komponen inti Greengrass.
Anda dapat memperoleh AWS kredensi sementara untuk IAM peran ini untuk melakukan AWS operasi di komponen kustom Anda. Untuk informasi selengkapnya, lihat Berinteraksi dengan AWS layanan.
Izin peran layanan untuk perangkat inti
Peran memungkinkan layanan berikut untuk menjalankan peran tersebut:
-
credentials.iot.amazonaws.com
Jika Anda menggunakan perangkat lunak AWS IoT Greengrass Inti untuk membuat peran ini, ia menggunakan kebijakan izin berikut untuk mengizinkan perangkat inti terhubung dan mengirim log ke AWS. Nama kebijakan secara default adalah nama IAM peran yang diakhiri dengan. Access
Misalnya, jika Anda menggunakan nama IAM peran default, maka nama kebijakan ini adalahGreengrassV2TokenExchangeRoleAccess
.
Izinkan akses ke bucket S3 untuk artefak komponen
Peran perangkat inti default tidak mengizinkan perangkat inti mengakses bucket S3. Untuk men-deploy komponen yang memiliki artefak dalam bucket S3, Anda harus menambahkan izin s3:GetObject
untuk mengizinkan perangkat inti mengunduh artefak komponen. Anda dapat menambahkan kebijakan baru ke peran perangkat inti untuk memberikan izin ini.
Untuk menambahkan kebijakan yang memungkinkan akses ke artefak komponen di Amazon S3
-
Buat file bernama
component-artifact-policy.json
dan salin berikut ini JSON ke dalam file. Kebijakan ini memungkinkan akses ke semua file dalam bucket S3. Ganti amzn-s3-demo-bucket dengan nama bucket S3 untuk memungkinkan perangkat inti mengakses.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }
-
Jalankan perintah berikut untuk membuat kebijakan dari dokumen kebijakan di
component-artifact-policy.json
.Salin kebijakan Amazon Resource Name (ARN) dari metadata kebijakan di output. Anda menggunakan ini ARN untuk melampirkan kebijakan ini ke peran perangkat inti di langkah berikutnya.
-
Jalankan perintah berikut untuk melampirkan kebijakan tersebut pada peran perangkat inti. Ganti
GreengrassV2TokenExchangeRole
dengan nama peran yang Anda tentukan saat menjalankan perangkat lunak AWS IoT Greengrass Core. Kemudian, ganti kebijakan ARN dengan ARN dari langkah sebelumnya.Jika perintah itu tidak memiliki output, ia berhasil, dan perangkat inti Anda dapat mengakses artefak yang Anda unggah ke bucket S3 ini.