Ruolo del gruppo Greengrass - AWS IoT Greengrass
Gestione del ruolo del gruppo (console)Gestire il ruolo del gruppo (CLI)Consultare anche

AWS IoT Greengrass Version 1 è entrato nella fase di estensione della vita utile il 30 giugno 2023. Per ulteriori informazioni, consulta la politica AWS IoT Greengrass V1 di manutenzione. Dopo questa data, AWS IoT Greengrass V1 non rilascerà aggiornamenti che forniscano funzionalità, miglioramenti, correzioni di bug o patch di sicurezza. I dispositivi che funzionano AWS IoT Greengrass V1 non subiranno interruzioni e continueranno a funzionare e a connettersi al cloud. Ti consigliamo vivamente di eseguire la migrazione a AWS IoT Greengrass Version 2, che aggiunge nuove importanti funzionalità e supporto per piattaforme aggiuntive.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo del gruppo Greengrass

Il ruolo del gruppo Greengrass è un ruolo IAM che autorizza il codice in esecuzione su un core Greengrass per accedere alAWSrisorse AWS. Crei il ruolo e gestisci le autorizzazioni inAWS Identity and Access Management(IAM) e collega il ruolo al gruppo Greengrass. Un gruppo Greengrass dispone di un ruolo del gruppo. Per aggiungere o modificare le autorizzazioni, è possibile allegare un ruolo diverso o modificare le policy IAM associate al ruolo.

Il ruolo deve definire AWS IoT Greengrass come entità attendibile. A seconda del business case, il ruolo del gruppo potrebbe contenere policy IAM che definiscono:

Nelle sezioni seguenti viene descritto come collegare o scollegare un ruolo di gruppo Greengrass in AWS Management Console o AWS CLI.

Nota

Oltre al ruolo di gruppo che autorizza l'accesso dal core di Greengrass, è possibile assegnare un ruolo di servizio Greengrass che consente di accedere AWS IoT Greengrass alle risorse AWS per conto dell'utente.

Gestione del ruolo del gruppo Greengrass (console)

Puoi utilizzare il pluginAWS IoTconsole per le seguenti attività di gestione dei ruoli:

Nota

L'utente che ha effettuato l'accesso alla console deve disporre delle autorizzazioni per gestire il ruolo.

 

Individuazione del ruolo del gruppo Greengrass (console)

Attenersi alla seguente procedura per individuare il ruolo che viene collegato a un gruppo Greengrass.

  1. NellaAWS IoTRiquadro di navigazione della consoleManage (Gestione), EspandereDispositivi Greengrassquindi scegliereGruppi (V1).

  2. Scegliere il gruppo target.

  3. Nella pagina di configurazione del gruppo, scegliereVisualizza le impostazioni.

Se un ruolo è associato al gruppo, viene visualizzato inRuolo del gruppo.

 

Aggiunta o modifica del ruolo del gruppo Greengrass (console)

Attenersi alla seguente procedura per scegliere un ruolo IAM dalAccount AWSda aggiungere a un gruppo Greengrass.

Un ruolo di gruppo ha i seguenti requisiti:

  • AWS IoT Greengrass definito come entità attendibile.

  • I criteri di autorizzazione associati al ruolo devono concedere le autorizzazioni all'utenteAWSrisorse richieste dalle funzioni e dai connettori Lambda del gruppo e dai componenti di sistema Greengrass.

Nota

Consigliamo di includere ancheaws:SourceArneaws:SourceAccountChiavi di contesto delle condizioni globali nella policy di fiducia per aiutare a prevenireconfused deputyproblema di sicurezza. Le chiavi di contesto della condizione limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dallo spazio di lavoro Greengrass. Per ulteriori informazioni sul problema del «confused deputy», consultaPrevenzione del problema "confused deputy" tra servizi.

È possibile utilizzare la console IAM per creare e configurare il ruolo e le relative autorizzazioni. Per le fasi che creano un ruolo di esempio che consente l'accesso a una tabella Amazon DynamoDB, consultaConfigurazione del ruolo del gruppo. Per le fasi generali, consultaCreazione di un ruolo per unAWSservice (console)nellaIAM User Guide.

 

Dopo aver configurato il ruolo, utilizzareAWS IoTconsole per aggiungere il ruolo al gruppo.

Nota

Questa procedura è necessaria solo per scegliere un ruolo per il gruppo. Non è necessario dopo aver modificato le autorizzazioni del ruolo del gruppo attualmente selezionato.

  1. NellaAWS IoTRiquadro di navigazione della consoleManage (Gestione), EspandereDispositivi Greengrassquindi scegliereGruppi (V1).

  2. Scegliere il gruppo target.

  3. Nella pagina di configurazione del gruppo, scegliereVisualizza le impostazioni.

  4. UNDERRuolo del gruppo, scegliere di aggiungere o modificare il ruolo:

    • Per aggiungere il ruolo, scegliereRuolo associatoquindi seleziona il tuo ruolo dall'elenco dei ruoli. Questi sono i ruoli nel tuoAccount AWSche definisconoAWS IoT Greengrasscome entità attendibile.

    • Per scegliere un ruolo diverso, scegliModifica ruoloquindi seleziona il tuo ruolo dall'elenco dei ruoli.

  5. Seleziona Save (Salva.

 

Rimozione del ruolo del gruppo Greengrass (console)

Attenersi alla seguente procedura per scollegare il ruolo da un gruppo Greengrass.

  1. NellaAWS IoTRiquadro di navigazione della consoleManage (Gestione), EspandereDispositivi Greengrassquindi scegliereGruppi (V1).

  2. Scegliere il gruppo target.

  3. Nella pagina di configurazione del gruppo, scegliereVisualizza le impostazioni.

  4. UNDERRuolo del gruppo, scegliRuolo di disassociate.

  5. Nella finestra di dialogo di conferma, scegliereRuolo di disassociate. Questo passaggio rimuove il ruolo dal gruppo ma non elimina il ruolo. Se si desidera eliminare il ruolo, utilizzare la console IAM.

Gestione del ruolo del gruppo Greengrass (CLI)

Puoi utilizzare l'AWS CLI per le seguenti attività di gestione dei ruoli:

 

Ottenere il ruolo del gruppo Greengrass (CLI)

Attenersi alla seguente procedura per scoprire se un gruppo Greengrass ha un ruolo associato.

  1. Ottenere l'ID del gruppo di destinazione dall'elenco dei gruppi.

    aws greengrass list-groups

    Di seguito è riportata una risposta list-groups di esempio: Ogni gruppo nella risposta include una proprietà Id che contiene l'ID gruppo.

    {
    "Groups": [
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "Name": "MyFirstGroup",
            "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
            "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "CreationTimestamp": "2019-11-11T05:47:31.435Z",
            "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
        },
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "Name": "GreenhouseSensors",
            "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
            "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "CreationTimestamp": "2020-01-07T19:58:36.774Z",
            "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
        },
        ...
    ]
}

    Per ulteriori informazioni, inclusi esempi che utilizzano l'opzione query per filtrare i risultati, consulta Ottenere l'ID del gruppo.

  2. Copiare l'Id del gruppo di destinazione dall'output.

  3. Prendere il ruolo di gruppo. Sostituire group-id con l'ID del gruppo di destinazione.

    aws greengrass get-associated-role --group-id group-id

    Se un ruolo è associato al gruppo Greengrass, vengono restituiti i seguenti metadati del ruolo.

    {
  "AssociatedAt": "timestamp",
  "RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Se il gruppo non ha un ruolo associato, viene restituito il seguente errore.

    An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.

 

Creare il ruolo del gruppo Greengrass (CLI)

Attenersi alla seguente procedura per creare un ruolo e associarlo a un gruppo Greengrass.

Per creare il ruolo del gruppo utilizzando IAM

  1. Creare il ruolo con una policy di attendibilità che consenta a AWS IoT Greengrass di assumere tale ruolo. In questo esempio viene creato un ruolo denominato MyGreengrassGroupRole, ma è possibile utilizzare un nome diverso. Consigliamo di includere ancheaws:SourceArneaws:SourceAccountChiavi di contesto delle condizioni globali nella policy di fiducia per aiutare a prevenireconfused deputyproblema di sicurezza. Le chiavi di contesto della condizione limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dallo spazio di lavoro Greengrass. Per ulteriori informazioni sul problema del «confused deputy», consultaPrevenzione del problema "confused deputy" tra servizi.

    Linux, macOS, or Unix
    aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
        }
      }
    }
  ]
}'
    Windows command prompt
    aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"

  2. Copiare il ruolo ARN dai metadati del ruolo nell'output. Utilizzare l'ARN per associare un ruolo al gruppo.

  3. Allegare le policy gestite o in linea al ruolo per supportare il proprio business case. Ad esempio, se una funzione Lambda definita dall'utente legge da Amazon S3, è possibile allegare laAmazonS3ReadOnlyAccesspolicy gestita per il ruolo.

    aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

    In caso di esito positivo, non viene restituita alcuna risposta.

 

Per associare il ruolo al gruppo Greengrass

  1. Ottenere l'ID del gruppo di destinazione dall'elenco dei gruppi.

    aws greengrass list-groups

    Di seguito è riportata una risposta list-groups di esempio: Ogni gruppo nella risposta include una proprietà Id che contiene l'ID gruppo.

    {
    "Groups": [
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "Name": "MyFirstGroup",
            "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
            "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "CreationTimestamp": "2019-11-11T05:47:31.435Z",
            "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
        },
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "Name": "GreenhouseSensors",
            "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
            "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "CreationTimestamp": "2020-01-07T19:58:36.774Z",
            "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
        },
        ...
    ]
}

    Per ulteriori informazioni, inclusi esempi che utilizzano l'opzione query per filtrare i risultati, consulta Ottenere l'ID del gruppo.

  2. Copiare l'Id del gruppo di destinazione dall'output.

  3. Associare il ruolo al cluster. Sostituire group-id con l'ID del gruppo di destinazione e il role-arn con l'ARN del ruolo del gruppo.

    aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn

    Se l'operazione riesce, viene restituita la seguente risposta.

    {
  "AssociatedAt": "timestamp"
}

 

Rimuovere il ruolo del gruppo Greengrass (CLI)

Attenersi alla seguente procedura per scollegare il ruolo del gruppo dal gruppo Greengrass.

  1. Ottenere l'ID del gruppo di destinazione dall'elenco dei gruppi.

    aws greengrass list-groups

    Di seguito è riportata una risposta list-groups di esempio: Ogni gruppo nella risposta include una proprietà Id che contiene l'ID gruppo.

    {
    "Groups": [
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "Name": "MyFirstGroup",
            "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
            "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
            "CreationTimestamp": "2019-11-11T05:47:31.435Z",
            "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
        },
        {
            "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "Name": "GreenhouseSensors",
            "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
            "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
            "CreationTimestamp": "2020-01-07T19:58:36.774Z",
            "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
            "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
        },
        ...
    ]
}

    Per ulteriori informazioni, inclusi esempi che utilizzano l'opzione query per filtrare i risultati, consulta Ottenere l'ID del gruppo.

  2. Copiare l'Id del gruppo di destinazione dall'output.

  3. Annullare associazione del ruolo dal gruppo. Sostituire group-id con l'ID del gruppo di destinazione.

    aws greengrass disassociate-role-from-group --group-id group-id

    Se l'operazione riesce, viene restituita la seguente risposta.

    {
  "DisassociatedAt": "timestamp"
}
    Nota

    È possibile eliminare il ruolo del gruppo se non lo si utilizza. Per prima cosa utilizzare delete-role-policy per scollegare la policy gestita dal ruolo, quindi usare delete-role per eliminare il ruolo. Per ulteriori informazioni, consulta la sezione Eliminazione di ruoli o profili delle istanze nella Guida per l'utente di IAM.

Consultare anche