Mengelola perangkat edge dengan Systems Manager - AWS Systems Manager
Buat peran layanan IAM untuk perangkat edge AndaKonfigurasikan perangkat edge Anda untuk AWS IoT GreengrassPerbarui peran pertukaran AWS IoT Greengrass token dan instal SSM Agent di perangkat edge Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola perangkat edge dengan Systems Manager

Bagian ini menjelaskan tugas penyiapan yang dilakukan oleh administrator akun dan sistem untuk mengaktifkan konfigurasi dan pengelolaan perangkat AWS IoT Greengrass inti. Setelah Anda menyelesaikan tugas ini, pengguna yang telah diberikan izin oleh Akun AWS administrator dapat menggunakannya AWS Systems Manager untuk mengonfigurasi dan mengelola perangkat AWS IoT Greengrass inti organisasi mereka.

catatan

  • SSM Agentfor AWS IoT Greengrass tidak didukung pada macOS dan Windows 10. Anda tidak dapat menggunakan kemampuan Systems Manager untuk mengelola dan mengonfigurasi perangkat edge yang menggunakan sistem operasi ini.

  • Systems Manager juga mendukung perangkat edge yang tidak dikonfigurasi sebagai perangkat AWS IoT Greengrass inti. Untuk menggunakan Systems Manager untuk mengelola perangkat AWS IoT Core dan perangkat AWS non-edge, Anda harus mengonfigurasinya menggunakan aktivasi hybrid. Untuk informasi selengkapnya, lihat Menggunakan Systems Manager di lingkungan hybrid dan multicloud.

  • Untuk menggunakan Session Manager dan menambal aplikasi Microsoft dengan perangkat edge Anda, Anda harus mengaktifkan tingkat instance lanjutan. Untuk informasi selengkapnya, lihat Mengaktifkan tingkat instans lanjutan.

Sebelum kamu memulai

Verifikasi bahwa perangkat edge Anda memenuhi persyaratan berikut.

  • Perangkat edge Anda harus memenuhi persyaratan untuk dikonfigurasi sebagai perangkat AWS IoT Greengrass inti. Untuk informasi selengkapnya, lihat Menyiapkan perangkat AWS IoT Greengrass inti di Panduan AWS IoT Greengrass Version 2 Pengembang.

  • Perangkat edge Anda harus kompatibel dengan AWS Systems Manager Agent (SSM Agent). Untuk informasi selengkapnya, lihat Sistem operasi yang didukung untuk Systems Manager.

  • Perangkat edge Anda harus dapat berkomunikasi dengan layanan Systems Manager di cloud. Systems Manager tidak mendukung perangkat edge yang terputus.

Tentang mengatur perangkat edge

Menyiapkan AWS IoT Greengrass perangkat untuk Systems Manager melibatkan proses berikut.

catatan

Untuk informasi tentang menghapus instalasi SSM Agent dari perangkat edge, lihat Menghapus instalan AWS Systems Manager Agen di Panduan AWS IoT Greengrass Version 2 Pengembang.

Buat peran layanan IAM untuk perangkat edge Anda

AWS IoT Greengrass perangkat inti memerlukan peran layanan AWS Identity and Access Management (IAM) untuk berkomunikasi dengannya AWS Systems Manager. Peran tersebut memberikan AWS Security Token Service (AWS STS) AssumeRolekepercayaan kepada layanan Systems Manager. Anda hanya perlu membuat peran layanan satu kali untuk masing-masing Akun AWS. Anda akan menentukan peran ini untuk RegistrationRole parameter saat Anda mengonfigurasi dan menyebarkan SSM Agent komponen ke AWS IoT Greengrass perangkat Anda. Jika Anda sudah membuat peran ini saat menyiapkan node non-EC2 untuk lingkungan hybrid dan multicloud, Anda dapat melewati langkah ini.

catatan

Pengguna di perusahaan atau organisasi Anda yang akan menggunakan Systems Manager di perangkat edge Anda harus diberikan izin di IAM untuk memanggil Systems Manager API.

Persyaratan kebijakan bucket S3

Jika salah satu dari kasus berikut ini benar, Anda harus membuat kebijakan izin IAM khusus untuk bucket Amazon Simple Storage Service (Amazon S3) sebelum menyelesaikan prosedur ini:

  • Kasus 1: Anda menggunakan titik akhir VPC untuk menghubungkan VPC Anda secara pribadi ke layanan endpoint VPC yang didukung Layanan AWS dan didukung oleh VPC. AWS PrivateLink

  • Kasus 2: Anda berencana menggunakan bucket S3 yang Anda buat sebagai bagian dari operasi Systems Manager, seperti untuk menyimpan output untuk Run Command perintah atau Session Manager sesi ke bucket S3. Sebelum melanjutkan, ikuti langkah-langkah di Membuat kebijakan bucket S3 kustom untuk profil instans. Informasi tentang kebijakan bucket S3 dalam topik tersebut juga berlaku untuk peran layanan Anda.

    catatan

    Jika perangkat Anda dilindungi oleh firewall dan Anda berencana untuk menggunakannyaPatch Manager, firewall harus mengizinkan akses ke titik akhir baseline patch. arn:aws:s3:::patch-baseline-snapshot-region/*

    wilayah mewakili pengenal untuk Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah Timur AS (Ohio). Untuk daftar nilai wilayah yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.

AWS CLI
Untuk membuat peran layanan IAM untuk AWS IoT Greengrass lingkungan ()AWS CLI

  1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

    Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.

  2. Di mesin lokal Anda, buat file teks dengan nama seperti SSMService-Trust.json dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file .json.

    catatan

    Catat namanya. Anda akan menentukannya saat Anda menyebarkan SSM Agent ke perangkat AWS IoT Greengrass inti Anda.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}

  3. Buka AWS CLI, dan di direktori tempat Anda membuat file JSON, jalankan perintah create-role untuk membuat peran layanan. Ganti setiap placeholder sumber daya contoh dengan informasi Anda sendiri.

    Linux & macOS

    aws iam create-role \
    --role-name SSMServiceRole \
    --assume-role-policy-document file://SSMService-Trust.json

    Windows

    aws iam create-role ^
    --role-name SSMServiceRole ^
    --assume-role-policy-document file://SSMService-Trust.json

  4. Jalankan perintah attach-role-policy sebagai berikut untuk memungkinkan peran layanan yang baru saja Anda buat untuk membuat token sesi. Token sesi memberi izin pada perangkat edge Anda untuk menjalankan perintah menggunakan Systems Manager.

    catatan

    Kebijakan yang Anda tambahkan untuk profil layanan untuk perangkat edge adalah kebijakan yang sama yang digunakan untuk membuat profil instans untuk instans Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi selengkapnya tentang kebijakan IAM yang digunakan dalam perintah berikut, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.

    (Wajib) Jalankan perintah berikut untuk memungkinkan perangkat edge menggunakan fungsionalitas inti AWS Systems Manager layanan.

    Linux & macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Jika Anda membuat kebijakan bucket S3 khusus untuk peran layanan Anda, jalankan perintah berikut untuk mengizinkan AWS Systems Manager Agen (SSM Agent) mengakses bucket yang Anda tentukan dalam kebijakan. Ganti Account_ID dan my_bucket_policy_name dengan ID dan nama bucket Anda. Akun AWS

    Linux & macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name

    (Opsional) Jalankan perintah berikut SSM Agent untuk mengizinkan akses AWS Directory Service atas nama Anda untuk permintaan bergabung dengan domain dari perangkat edge. Peran layanan memerlukan kebijakan ini hanya jika Anda menggabungkan perangkat edge ke direktori Microsoft AD.

    Linux & macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di perangkat edge Anda. Perintah ini memungkinkan untuk membaca informasi pada perangkat dan menulisnya CloudWatch. Peran layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Tools for PowerShell
Untuk membuat peran layanan IAM untuk AWS IoT Greengrass lingkungan ()AWS Tools for Windows PowerShell

  1. Instal dan konfigurasikan AWS Tools for PowerShell (Alat untuk Windows PowerShell), jika Anda belum melakukannya.

    Untuk selengkapnya, lihat Menginstal AWS Tools for PowerShell.

  2. Di mesin lokal Anda, buat file teks dengan nama seperti SSMService-Trust.json dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file .json.

    catatan

    Catat namanya. Anda akan menentukannya saat Anda menyebarkan SSM Agent ke perangkat AWS IoT Greengrass inti Anda.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}

  3. Buka PowerShell dalam mode administratif, dan di direktori tempat Anda membuat file JSON, jalankan New-iamRole sebagai berikut untuk membuat peran layanan.

    New-IAMRole `
    -RoleName SSMServiceRole `
    -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)

  4. Gunakan Register-IAM RolePolicy sebagai berikut untuk mengizinkan peran layanan yang Anda buat untuk membuat token sesi. Token sesi memberi izin pada perangkat edge Anda untuk menjalankan perintah menggunakan Systems Manager.

    catatan

    Kebijakan yang Anda tambahkan untuk peran layanan untuk perangkat edge di AWS IoT Greengrass lingkungan adalah kebijakan yang sama yang digunakan untuk membuat profil instans untuk instans EC2. Untuk informasi selengkapnya tentang AWS kebijakan yang digunakan dalam perintah berikut, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.

    (Wajib) Jalankan perintah berikut untuk memungkinkan perangkat edge menggunakan fungsionalitas inti AWS Systems Manager layanan.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Jika Anda membuat kebijakan bucket S3 khusus untuk peran layanan Anda, jalankan perintah berikut SSM Agent untuk memungkinkan mengakses bucket yang Anda tentukan dalam kebijakan. Ganti Account_ID dan my_bucket_policy_name dengan ID dan nama bucket Anda. Akun AWS 

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    (Opsional) Jalankan perintah berikut SSM Agent untuk mengizinkan akses AWS Directory Service atas nama Anda untuk permintaan bergabung dengan domain dari perangkat edge. Peran layanan memerlukan kebijakan ini hanya jika Anda menggabungkan perangkat edge ke direktori Microsoft AD.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di perangkat edge Anda. Perintah ini memungkinkan untuk membaca informasi pada perangkat dan menulisnya CloudWatch. Peran layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Konfigurasikan perangkat edge Anda untuk AWS IoT Greengrass

Siapkan perangkat edge Anda sebagai perangkat AWS IoT Greengrass inti. Proses penyiapan melibatkan verifikasi sistem operasi dan persyaratan sistem yang didukung, serta menginstal dan mengonfigurasi perangkat lunak AWS IoT Greengrass Core pada perangkat Anda. Untuk informasi selengkapnya, lihat Menyiapkan perangkat AWS IoT Greengrass inti di Panduan AWS IoT Greengrass Version 2 Pengembang.

Perbarui peran pertukaran AWS IoT Greengrass token dan instal SSM Agent di perangkat edge Anda

Langkah terakhir untuk menyiapkan dan mengonfigurasi perangkat AWS IoT Greengrass inti Anda untuk Systems Manager mengharuskan Anda memperbarui peran layanan perangkat AWS IoT Greengrass AWS Identity and Access Management (IAM), juga disebut peran pertukaran token, dan menyebarkan AWS Systems Manager Agen (SSM Agent) ke perangkat Anda. AWS IoT Greengrass Untuk informasi tentang proses ini, lihat Menginstal AWS Systems Manager Agen di Panduan AWS IoT Greengrass Version 2 Pengembang.

Setelah menerapkan SSM Agent ke perangkat, AWS IoT Greengrass secara otomatis mendaftarkan perangkat Anda dengan Systems Manager. Tidak diperlukan pendaftaran tambahan. Anda dapat mulai menggunakan kemampuan Systems Manager untuk mengakses, mengelola, dan mengonfigurasi AWS IoT Greengrass perangkat Anda.

catatan

Perangkat edge Anda harus dapat berkomunikasi dengan layanan Systems Manager di cloud. Systems Manager tidak mendukung perangkat edge yang terputus.