Kebijakan terkelola AWS untuk AWS IoT Greengrass - AWS IoT Greengrass

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan terkelola AWS untuk AWS IoT Greengrass

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan yang dikelola AWS dibandingkan menulis kebijakan Anda sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan terkelola pelanggan IAM yang hanya menyediakan izin sesuai kebutuhan tim Anda. Untuk mulai dengan cepat, Anda dapat menggunakan kebijakan-kebijakan terkelola AWS kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di akun Akun AWS Anda. Untuk informasi lebih lanjut tentang kebijakan terkelola AWS, lihat kebijakan terkelola AWS di Panduan Pengguna IAM.

Layanan AWSmemelihara dan memperbaruiAWSkebijakan terkelola. Anda tidak dapat mengubah izin yang ada dalam kebijakan-kebijakan yang dikelola AWS. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin yang ada di kebijakan yang dikelola AWS, sehingga pembaruan-pembaruan yang terjadi pada kebijakan tidak akan membuat izin yang ada rusak.

Selain itu, AWS mendukung kebijakan-kebijakan terkelola untuk fungsi tugas yang mencakup beberapa layanan. Misalnya,ViewOnlyAccess AWSkebijakan terkelola menyediakan akses hanya baca ke banyakLayanan AWSdan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya yang baru. Untuk melihat daftar dan deskripsi dari kebijakan-kebijakan fungsi tugas, lihat kebijakan terkelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

AWSkebijakan terkelola: AWSGreengrassFullAccess

Anda dapat melampirkan kebijakan AWSGreengrassFullAccess ke identitas-identitas IAM Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan AWS IoT Greengrass.

Detail Izin

Kebijakan ini mencakup izin berikut:

  • greengrass – Mengizinkan bagian utama untuk mendapatkan akses penuh ke semua tindakan AWS IoT Greengrass.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:*" ], "Resource": "*" } ] }

AWSkebijakan terkelola: AWSGreengrassReadOnlyAccess

Anda dapat melampirkan kebijakan AWSGreengrassReadOnlyAccess ke identitas-identitas IAM Anda.

Kebijakan ini memberikan izin baca-saja yang memungkinkan prinsipal untuk melihat, tetapi tidak mengubah, informasi dalam AWS IoT Greengrass. Sebagai contoh, bagian utama dengan izin ini dapat melihat daftar komponen yang di-deploy ke perangkat inti Greengrass, tetapi tidak dapat membuat deployment untuk mengubah komponen yang berjalan pada perangkat tersebut.

Detail Izin

Kebijakan ini mencakup izin berikut:

  • greengrass – Memungkinkan prinsipal untuk melakukan tindakan yang mengembalikan daftar item atau rincian tentang item. Ini termasuk operasi API yang dimulai dengan List atau Get.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:List*", "greengrass:Get*" ], "Resource": "*" } ] }

AWSkebijakan terkelola: AWSGreengrassResourceAccessRolePolicy

Anda dapat melampirkan kebijakan AWSGreengrassResourceAccessRolePolicy pada entitas IAM Anda. AWS IoT Greengrass juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AWS IoT Greengrass untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran layanan Greengrass.

Kebijakan ini memberikan izin administratif yang memungkinkan AWS IoT Greengrassuntuk melakukan tugas-tugas penting, seperti mengambil fungsi Lambda Anda, mengelola bayangan perangkat AWS IoT, dan memverifikasi perangkat pelanggan Greengrass.

Detail Izin

Kebijakan ini mencakup izin berikut.

  • greengrass — Kelola sumber daya Greengrass.

  • iot(*Shadow) — MengelolaAWS IoTbayangan yang memiliki pengidentifikasi khusus berikut dalam nama mereka. Izin ini diperlukan sehingga AWS IoT Greengrass dapat berkomunikasi dengan perangkat inti.

    • *-gci—AWS IoT Greengrassmenggunakan bayangan ini untuk menyimpan informasi konektivitas perangkat inti, sehingga perangkat klien dapat menemukan dan terhubung ke perangkat inti.

    • *-gcm—AWS IoT Greengrass V1menggunakan bayangan ini untuk memberi tahu perangkat inti bahwa sertifikat otoritas sertifikat (CA) grup Greengrass telah diputar.

    • *-gda—AWS IoT Greengrass V1menggunakan bayangan ini untuk memberi tahu perangkat inti penyebaran.

    • GG_*— Tidak terpakai.

  • iot (DescribeThing dan DescribeCertificate) — Ambil informasi tentang AWS IoT hal dan sertifikat. Izin ini diperlukan sehingga AWS IoT Greengrass dapat memverifikasi perangkat klien yang tersambung ke perangkat inti. Untuk informasi selengkapnya, lihat Berinteraksilah dengan perangkat IoT lokal.

  • lambda – Ambil informasi tentang fungsi AWS Lambda. Izin ini diperlukan sehingga AWS IoT Greengrass V1 dapat menyebarkan fungsi Lambda untuk inti Greengrass. Untuk informasi lebih lanjut, lihat Jalankan fungsi Lambda di inti AWS IoT Greengrass di Panduan Developer AWS IoT Greengrass V1.

  • secretsmanager — Ambil nilai AWS Secrets Manager rahasia yang namanya dimulai dengan greengrass-. Izin ini diperlukan agar AWS IoT Greengrass V1 dapat men-deploy rahasia Secrets Manager pada inti Greengrass. Untuk informasi selengkapnya, lihat Sebarkan rahasia ke AWS IoT Greengrass inti di AWS IoT Greengrass V1 Panduan Pengembang.

  • s3 — Ambil objek file dari bucket S3 yang namanya berisi greengrass atau sagemaker. Izin ini diperlukan agar AWS IoT Greengrass V1 dapat men-deploy sumber daya machine learning yang Anda simpan di bucket S3. Untuk informasi selengkapnya, lihat sumber daya machine learning di Panduan Developer AWS IoT Greengrass V1.

  • sagemaker— Mengambil informasi tentang Amazon SageMaker model inferensi machine learning. Izin ini diperlukan agar AWS IoT Greengrass V1 dapat men-deploy model ML pada inti Greengrass. Untuk informasi selengkapnya, lihat Lakukan inferensi machine learning di Panduan Developer AWS IoT Greengrass V1.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGreengrassAccessToShadows", "Action": [ "iot:DeleteThingShadow", "iot:GetThingShadow", "iot:UpdateThingShadow" ], "Effect": "Allow", "Resource": [ "arn:aws:iot:*:*:thing/GG_*", "arn:aws:iot:*:*:thing/*-gcm", "arn:aws:iot:*:*:thing/*-gda", "arn:aws:iot:*:*:thing/*-gci" ] }, { "Sid": "AllowGreengrassToDescribeThings", "Action": [ "iot:DescribeThing" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:thing/*" }, { "Sid": "AllowGreengrassToDescribeCertificates", "Action": [ "iot:DescribeCertificate" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:cert/*" }, { "Sid": "AllowGreengrassToCallGreengrassServices", "Action": [ "greengrass:*" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetLambdaFunctions", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetGreengrassSecrets", "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*" }, { "Sid": "AllowGreengrassAccessToS3Objects", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::*Greengrass*", "arn:aws:s3:::*GreenGrass*", "arn:aws:s3:::*greengrass*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowGreengrassAccessToS3BucketLocation", "Action": [ "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs", "Action": [ "sagemaker:DescribeTrainingJob" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:*:*:training-job/*" ] } ] }

AWS IoT Greengrass memperbarui pada kebijakan terkelola AWS

Anda dapat melihat detail tentang pembaruan kebijakan terkelola AWS untuk AWS IoT Greengrass sejak saat layanan mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlanggananlah umpan RSS di halaman riwayat dokumen AWS IoT Greengrass V2.

Perubahan Deskripsi Tanggal

AWS IoT Greengrass mulai melacak perubahan

AWS IoT Greengrass mulai melacak perubahan untuk kebijakan terkelola AWS

2 Juli 2021