Greengrass サービスロール - AWS IoT Greengrass

のドキュメントを表示していますAWS IoT Greengrass Version 1。AWS IoT Greengrass Version 2の最新のメジャーバージョンです。AWS IoT Greengrass。の使用方法の詳細については、「」を参照してください。AWS IoT Greengrass V2の詳細については、AWS IoT Greengrass Version 2開発者ガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Greengrass サービスロール

Greengrass サービスロールはAWS Identity and Access Management認証する (IAM) サービスロールAWS IoT GreengrassからリソースにアクセスするAWSサービスをお客様に代わってのサービスを開始します。これにより、AWS IoT Greengrass は AWS Lambda 関数を取得したり、AWS IoT シャドウを管理するなど、重要なタスクを実行できます。

許可するにはAWS IoT Greengrassリソースにアクセスするには、Greengrass サービスロールが AWS アカウント を指定しAWS IoT Greengrass信頼されたエンティティとして。ロールには AWSGreengrassResourceAccessRolePolicy 管理ポリシーまたはお使いの AWS IoT Greengrass の機能に同等のアクセス許可を定義するカスタムポリシーを含める必要があります。このポリシーは、AWSのパーミッションセットを定義し、AWS IoT Greengrassにアクセスするために使用するAWSリソースの使用料金を見積もることができます。

同じ Greengrass サービスロールを AWS リージョン のアカウントと関連付ける必要がありますが、すべての AWS リージョン 使用する場所AWS IoT Greengrass。現在の AWS アカウント およびリージョン。

以下のセクションでは、AWS Management Console または AWS CLI で Greengrass サービスロールを作成および管理する方法について説明します。

注記

サービスレベルのアクセスを承認するサービスロールに加えて、グループのロールをAWS IoT Greengrassグループ. グループロールは、Greengrass Lambda 関数とグループ内のコネクタがアクセスする方法を制御する個別の IAM ロールです。AWSのサービス。

Greengrass サービスロールの管理 (コンソール)

AWS IoT コンソールを使用すると、Greengrass サービスロールを簡単に管理できます。たとえば、Greengrass グループを作成またはデプロイすると、コンソールは、 AWS アカウント の Greengrass サービスロールにアタッチされています。 AWS リージョン コンソールで選択されているすべての [Configure] を選択します。アタッチされていない場合、コンソールによるサービスロールの作成および設定が可能です。詳細については、「Greengrass サービスロールを作成する (コンソール)」を参照してください。

「」を使用できます。AWS IoTコンソールには、次のロール管理タスクがあります。

注記

コンソールにサインインするユーザーには、サービスロールを表示、作成、または変更するためのアクセス許可が必要です。

 

Greengrass サービスロールを見つける (コンソール)

以下の手順を使用して、そのサービスロールを確認します。AWS IoT Greengrassが現在の AWS リージョン 。

  1. AWS IoT コンソールのナビゲーションペインで、[Settings (設定)] を選択します。

  2. [Greengrass service role (Greengrass サービスロール)] セクションまでスクロールして、サービスロールとそのポリシーを表示します。

    
              の [Settings (設定)] ページに表示される Greengrass サービスロールAWS IoTconsole.

    サービスロールが表示されない場合は、コンソールによるサービスロールの作成また設定が可能です。詳細については、「Greengrass サービスロールを作成する」を参照してください。

 

Greengrass サービスロールを作成する (コンソール)

コンソールによるデフォルトの Greengrass サービスロールの作成と設定が可能です。このロールには以下のプロパティがあります。

プロパティ
名前 Greengrass_ServiceRole
信頼されたエンティティ AWS service: greengrass
ポリシー AWSGreengrassResourceAccessRolePolicy
注記

Greengrass デバイスセットアップがサービスロールを作成する場合、ロール名は GreengrassServiceRole_random-string です。

Greengrass グループを作成またはデプロイするときに、AWS IoTコンソールでは、コンソールは Greengrass サービスロールが AWS アカウント () AWS リージョン コンソールで選択されているすべての [Configure] を選択します。そうでない場合、コンソールでは、許可するAWS IoT Greengrassへの読み込みおよび書き込みAWSサービスをお客様に代わってのサービスを開始します。

アクセス許可を付与すると、コンソールでは、という名前のロールがGreengrass_ServiceRoleが存在します。 AWS アカウント 。

  • ロールがある場合、コンソールでは、サービスロールを AWS アカウント 現在のの AWS リージョン 。

  • ロールがない場合、コンソールでは、デフォルトの Greengrass サービスロールが作成され、それを AWS アカウント 現在のの AWS リージョン 。

注記

カスタムロールポリシーを使用してサービスロールを作成する場合は、IAM コンソールを使用してロールを作成または変更します。詳細については、「」を参照してください。にアクセス許可を委任するロールの作成AWSserviceまたはロールの修正()IAM ユーザーガイド。使用する機能およびリソースの AWSGreengrassResourceAccessRolePolicy マネージドポリシーと同等のアクセス許可が、ロールによって付与されることを確認します。

サービスロールを作成する場合は、AWS IoTコンソールでロールを追加し、ロールをグループにアタッチします。これは、以下で行えます。Greengrass サービスロールグループの設定ページで.

 

Greengrass サービスロールを変更する (コンソール)

以下の手順を使用して、別の Greengrass サービスロールを選択して、 AWS アカウント () AWS リージョン コンソールで選択されている現在選択されています。

  1. AWS IoT コンソールのナビゲーションペインで、[Settings (設定)] を選択します。

  2. [Greengrass service role (Greengrass サービスロール)] で、[Choose different role (別のロールの選択)] を選択します。

    の IAM ロール AWS アカウント を定義するAWS IoT Greengrass信頼されたエンティティとしての [Configure] は [Greengrass サービスロールを選択するダイアログボックス。

  3. Greengrass サービスロールを選択します。

  4. [Save] を選択します。

注記

コンソールによるデフォルトの Greengrass サービスロールの作成を許可するには、リストからロールを選択する代わりに [Create role for me (ロールの作成を許可)] を選択します。-自分用に役割を作成するという名前のロールがある場合、リンクは表示されません。Greengrass_ServiceRoleでは、以下のように使用します。 AWS アカウント 。

 

Greengrass サービスロールをデタッチする (コンソール)

次の手順を使用して、Greengrass サービスロールを AWS アカウント () AWS リージョン コンソールで選択されている現在選択されています。これにより、AWS IoT GreengrassにアクセスするにはAWSサービスを、現在の AWS リージョン 。

重要

サービスロールをデタッチすると、アクティブなオペレーションが中断される場合があります。

  1. AWS IoT コンソールのナビゲーションペインで、[Settings (設定)] を選択します。

  2. [Greengrass service role (Greengrass サービスロール)] で、[デタッチ] を選択します。

  3. 確認ダイアログボックスで、[Detach role (ロールのデタッチ)] を選択します。

注記

ロールが不要になった場合は、IAM コンソールで削除できます。詳細については、「」を参照してください。ロールまたはインスタンスプロファイルの削除()IAM ユーザーガイド

他のロールで、AWS IoT Greengrass にお客様のリソースへのアクセスを許可している可能性があります。許可するすべてのロールを検索するにはAWS IoT Greengrassを使用してユーザーに代わってアクセス許可を引き受けるには、IAM コンソールのロールページで、AWSサービス:Greengrass()信頼されたエンティティ列でロードバランサーの ID をクリックします。

Greengrass サービスロールの管理 (CLI)

次の手順では、AWS CLIがインストールされ、 AWS アカウント ID. 詳細については、「」を参照してください。をインストールするAWSコマンドラインインターフェイスおよびの設定AWS CLI()AWS Command Line Interfaceユーザーガイド

AWS CLI は以下のロール管理タスクに使用できます。

 

Greengrass サービスロールを取得する (CLI)

以下の手順を使用して、Greengrass サービスロールが AWS アカウント で AWS リージョン 。

  • サービスロールを取得します。置換リージョン側の AWS リージョン (たとえば、us-west-2).

    aws greengrass get-service-role-for-account --region region

    Greengrass サービスロールが既にアカウントに関連付けられている場合、以下のロールメタデータが返されます。

    { "AssociatedAt": "timestamp", "RoleArn": "arn:aws:iam::account-id:role/path/role-name" }

    ロールのメタデータが返されない場合は、サービスロールを作成し (存在しない場合)、サービスロールを作成し、それを AWS リージョン 。

 

Greengrass サービスロールを作成する (CLI)

次のステップを使用してロールを作成し、それを AWS アカウント 。

IAM を使用してサービスロールを作成するには

  1. AWS IoT Greengrass にロールの引き受けを許可する信頼ポリシーを設定したロールを作成します。この例では、Greengrass_ServiceRole という名前のロールを作成しますが、別の名前を使用できます。

    Linux, macOS, or Unix
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "greengrass.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }'
    Windows command prompt
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}"
  2. 出力のロールメタデータからロールの ARN をコピーします。ARN を使用して、ロールをアカウントに関連付けます。

  3. AWSGreengrassResourceAccessRolePolicy ポリシーをロールにアタッチします。

    aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy

サービスロールを AWS アカウント

  • ロールとアカウントを関連付けます。置換role-arnサービスロール ARN とリージョン側の AWS リージョン (たとえば、us-west-2).

    aws greengrass associate-service-role-to-account --role-arn role-arn --region region

    成功すると、以下のレスポンスが返されます。

    { "AssociatedAt": "timestamp" }

 

Greengrass サービスロールを削除する (CLI)

次の手順を使用して、Greengrass サービスロールの関連付けを AWS アカウント 。

  • アカウントからサービスロールの関連付けを解除します。置換リージョン側の AWS リージョン (たとえば、us-west-2).

    aws greengrass disassociate-service-role-from-account --region region

    成功すると、以下のレスポンスが返されます。

    { "DisassociatedAt": "timestamp" }
    注記

    任意ので使用していない場合は、サービスロールを削除する必要があります。 AWS リージョン 。最初に、delete-role-policy を使用して AWSGreengrassResourceAccessRolePolicy 管理ポリシーをロールからデタッチし、次に delete-role を使用してロールを削除します。詳細については、「」を参照してください。ロールまたはインスタンスプロファイルの削除()IAM ユーザーガイド

以下の資料も参照してください。