Secrets manager - AWS IoT Greengrass

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Secrets manager

Komponen secret manager (aws.greengrass.SecretManager) men-deploy rahasia dari AWS Secrets Manager ke perangkat inti Greengrass. Gunakan komponen ini untuk secara aman menggunakan kredensial, seperti kata sandi, dalam komponen kustom pada perangkat inti Greengrass Anda. Untuk informasi lebih lanjut tentang Secrets Manager, lihat Apa Itu AWS Secrets Manager? di Panduan Pengguna AWS Secrets Manager.

Untuk mengakses rahasia komponen ini di komponen Greengrass kustom Anda, gunakanGetSecretValueoperasi diAWS IoT Device SDK. Untuk informasi selengkapnya, lihat GunakanAWS IoT Device SDKuntuk berkomunikasi dengan inti Greengrass, komponen lain, danAWS IoT Core dan Ambil nilai-nilai rahasia.

Komponen ini mengenkripsi rahasia pada perangkat inti untuk menjaga kredensial dan kata sandi Anda tetap aman sampai Anda perlu menggunakannya. Menggunakan kunci privat perangkat inti untuk mengenkripsi dan mendekripsi rahasia.

Versi

Komponen ini memiliki versi berikut:

  • 2.1.x

  • 2.0.x

Tipe

Komponen ini adalah komponen plugin (aws.greengrass.plugin). Inti Greengrass menjalankan komponen plugin dalam Java Virtual Machine (JVM) yang sama sebagai inti. Nucleus dimulai ulang saat Anda mengubah versi komponen ini di perangkat inti.

Komponen plugin menggunakan file log yang sama seperti inti Greengrass. Untuk informasi selengkapnya, lihat PemantauanAWS IoT Greengrasslog.

Untuk informasi selengkapnya, lihat Jenis komponen.

Sistem operasi

Komponen ini dapat diinstal pada perangkat inti yang menjalankan sistem operasi berikut:

  • Linux

  • Windows

Persyaratan

Komponen ini memiliki persyaratan sebagai berikut:

  • Peran perangkat Greengrass harus mengizinkan tindakan secretsmanager:GetSecretValue, seperti yang ditunjukkan dalam contoh kebijakan IAM berikut.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": [ "arn:aws:secretsmanager:region:123456789012:secret:MySecret" ] } ] }
    catatan

    Jika Anda menggunakan kunci AWS Key Management Service yang dikelola pelanggan untuk mengenkripsi rahasia, peran perangkat juga harus memungkinkan tindakan kms:Decrypt.

    Untuk informasi lebih lanjut tentang kebijakan IAM untuk Secrets Manager, lihat hal berikut di Panduan Pengguna AWS Secrets Manager:

  • Komponen kustom harus menentukan kebijakan otorisasi yang memungkinkan aws.greengrass#GetSecretValue untuk mendapatkan rahasia yang Anda simpan dengan komponen ini. Dalam kebijakan otorisasi ini, Anda dapat membatasi akses komponen ke rahasia tertentu. Untuk informasi selengkapnya, lihat otorisasi IPC secret manager.

  • (Opsional) Jika Anda menyimpan kunci pribadi dan sertifikat perangkat inti dimodul keamanan perangkat keras(HSM), HSM harus mendukung kunci RSA, kunci pribadi harus memilikiunwrapizin, dan kunci publik harus memilikiwrapizin.

Titik akhir dan port

Komponen ini harus dapat melakukan permintaan keluar ke titik akhir dan port berikut, selain titik akhir dan port yang diperlukan untuk operasi dasar. Untuk informasi selengkapnya, lihat Izinkan lalu lintas perangkat melalui proxy atau firewall.

Titik Akhir Port Diperlukan Deskripsi

secretsmanager.region.amazonaws.com

443 Ya

Unduh rahasia ke perangkat inti.

Dependensi

Saat Anda men-deploy komponen, AWS IoT Greengrass juga men-deploy versi dependensinya yang kompatibel. Ini berarti bahwa Anda harus memenuhi persyaratan untuk komponen dan semua dependensinya untuk berhasil men-deploy komponen. Bagian ini berisi daftar dependensi untuk versi yang dirilis dari komponen ini dan kendala versi semantik yang menentukan versi komponen untuk setiap dependensi. Anda juga dapat melihat dependensi untuk setiap versi komponen di konsol AWS IoT Greengrass tersebut. Pada halaman detail komponen, cari daftar Dependensi.

2.1.2

Tabel berikut mencantumkan dependensi untuk versi 2.1.2 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.5.0 <2.8.0 Lunak
2.1.1

Tabel berikut mencantumkan dependensi untuk versi 2.1.1 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.5.0 <2.7.0 Lunak
2.1.0

Tabel berikut mencantumkan dependensi untuk versi 2.1.0 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.5.0 <2.6.0 Lunak
2.0.9

Tabel berikut mencantumkan dependensi untuk versi 2.0.9 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.5.0 <2.5.0 Lunak
2.0.8

Tabel berikut mencantumkan dependensi untuk versi 2.0.8 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.0.0 <2.4.0 Lunak
2.0.7

Tabel berikut mencantumkan dependensi untuk versi 2.0.7 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.0.0 <2.3.0 Lunak
2.0.6

Tabel berikut mencantumkan dependensi untuk versi 2.0.6 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.0.0 <2.2.0 Lunak
2.0.4 and 2.0.5

Tabel berikut mencantumkan dependensi untuk versi 2.0.4 dan 2.0.5 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.0.3 <2.1.0 Lunak

Untuk informasi selengkapnya tentang dependensi komponen, lihat referensi resep komponen.

Konfigurasi

Komponen ini menyediakan parameter konfigurasi berikut yang dapat Anda sesuaikan ketika Anda men-deploy komponen.

cloudSecrets

Daftar rahasia Secrets Manager yang akan di-deploy ke perangkat inti. Anda dapat menentukan label untuk menentukan versi mana dari setiap rahasia yang akan di-deploy. Jika Anda tidak menentukan versi, komponen ini akan men-deploy versi dengan label penahapan AWSCURRENT terlampir. Untuk informasi selengkapnya, lihat Label penahapan di Panduan Pengguna AWS Secrets Manager.

Setiap objek berisi informasi berikut.

arn

ARN rahasia yang akan di-deploy.

labels

(Opsional) Daftar label untuk mengidentifikasi versi rahasia yang akan di-deploy ke perangkat inti.

Setiap label harus berupa string.

contoh Contoh: Pembaruan gabungan konfigurasi

{ "cloudSecrets": [ { "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef" } ] }

File log lokal

Komponen plugin menggunakan file log yang sama sepertiInti Greengrasskomponen.

Linux
/greengrass/v2/logs/greengrass.log
Windows
C:\greengrass\v2\logs\greengrass.log

Untuk melihat log komponen ini

  • Jalankan perintah berikut pada perangkat inti untuk melihat file log komponen secara real time. Ganti/greengrass/v2atauC:\greengrass\v2dengan jalur keAWS IoT Greengrassfolder akar.

    Linux
    sudo tail -f /greengrass/v2/logs/greengrass.log
    Windows (PowerShell)
    Get-Content C:\greengrass\v2\logs\greengrass.log -Tail 10 -Wait

Changelog

Tabel berikut menjelaskan perubahan dalam setiap versi komponen.

Versi

Perubahan

2.1.2

Versi yang diperbarui untuk rilis inti Greengrass versi 2.7.0.

2.1.1

Versi yang diperbarui untuk rilis inti Greengrass versi 2.6.0.

2.1.0

Fitur baru
  • Menambahkan dukungan untuk integrasi keamanan perangkat keras. Komponen manajer rahasia dapat mengenkripsi dan mendekripsi rahasia menggunakan kunci privat yang Anda simpan di modul keamanan perangkat keras (HSM). Untuk informasi selengkapnya, lihat Integrasi keamanan perangkat keras.

Perbaikan bug dan peningkatan
  • Versi yang diperbarui untuk rilis inti Greengrass versi 2.5.0.

2.0.9

Versi yang diperbarui untuk rilis inti Greengrass versi 2.4.0.

2.0.8

Versi yang diperbarui untuk rilis inti Greengrass versi 2.3.0.

2.0.7

Versi yang diperbarui untuk rilis inti Greengrass versi 2.2.0.

2.0.6

Versi yang diperbarui untuk rilis inti Greengrass versi 2.1.0.

2.0.5

Peningkatan
  • Tambahkan dukungan untuk Wilayah Cina AWS dan Wilayah AWS GovCloud (US).

2.0.4

Versi awal.