翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
インストーラがリソースをプロビジョニングするための最小限の IAM ポリシー
AWS IoT Greengrass Core ソフトウェアをインストールすると、デバイスの AWS IoT Thing や IAM AWS ロールなどの必要なリソースをプロビジョニングできます。ローカル開発ツールをデバイスにデプロイすることもできます。インストーラがでこれらのアクションを実行できるようにするには、 AWS 認証情報が必要です。 AWS アカウント詳細については、「AWS IoT Greengrass Core ソフトウェアをインストールします。」を参照してください。
次のポリシーの例には、インストーラがこれらのリソースをプロビジョニングするため、必要な最小限の一連のアクションが含まれています。これらの権限は、インストーラの --provision
引数を指定する場合は必要です。account-id
を自分の AWS アカウント ID に置き換え、GreengrassV2 TokenExchangeRole をインストーラーの引数で指定したトークン交換ロールの名前に置き換えます。--tes-role-name
注記
DeployDevTools
ポリシーステートメントは、インストーラの --deploy-dev-tools
引数を指定する場合のみ必要です。
- Greengrass nucleus v2.5.0 and later
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateTokenExchangeRole", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:GetPolicy", "iam:GetRole", "iam:PassRole" ], "Resource": [ "arn:aws:iam::
account-id
:role/GreengrassV2TokenExchangeRole
", "arn:aws:iam::account-id
:policy/GreengrassV2TokenExchangeRole
Access", "arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRole
Access" ] }, { "Sid": "CreateIoTResources", "Effect": "Allow", "Action": [ "iot:AddThingToThingGroup", "iot:AttachPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateRoleAlias", "iot:CreateThing", "iot:CreateThingGroup", "iot:DescribeEndpoint", "iot:DescribeRoleAlias", "iot:DescribeThingGroup", "iot:GetPolicy" ], "Resource": "*" }, { "Sid": "DeployDevTools", "Effect": "Allow", "Action": [ "greengrass:CreateDeployment", "iot:CancelJob", "iot:CreateJob", "iot:DeleteThingShadow", "iot:DescribeJob", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:GetThingShadow", "iot:UpdateJob", "iot:UpdateThingShadow" ], "Resource": "*" } ] } - Earlier than v2.5.0
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateTokenExchangeRole", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreatePolicy", "iam:CreateRole", "iam:GetPolicy", "iam:GetRole", "iam:PassRole" ], "Resource": [ "arn:aws:iam::
account-id
:role/GreengrassV2TokenExchangeRole
", "arn:aws:iam::account-id
:policy/GreengrassV2TokenExchangeRole
Access", "arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRole
Access" ] }, { "Sid": "CreateIoTResources", "Effect": "Allow", "Action": [ "iot:AddThingToThingGroup", "iot:AttachPolicy", "iot:AttachThingPrincipal", "iot:CreateKeysAndCertificate", "iot:CreatePolicy", "iot:CreateRoleAlias", "iot:CreateThing", "iot:CreateThingGroup", "iot:DescribeEndpoint", "iot:DescribeRoleAlias", "iot:DescribeThingGroup", "iot:GetPolicy" ], "Resource": "*" }, { "Sid": "DeployDevTools", "Effect": "Allow", "Action": [ "greengrass:CreateDeployment", "iot:CancelJob", "iot:CreateJob", "iot:DeleteThingShadow", "iot:DescribeJob", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:GetThingShadow", "iot:UpdateJob", "iot:UpdateThingShadow" ], "Resource": "*" } ] }
コアデバイスが AWS
サービスとやり取りできるように認証する
Greengrass サービスロール