自動リソースプロビジョニングを使用して AWS IoT Greengrass Core ソフトウェアをインストールする

の Linux デバイスを設定するには AWS IoT Greengrass V2

1. Core ソフトウェアの実行に必要な Java AWS IoT Greengrass ランタイムをインストールします。Amazon Corretto または OpenJDK の長期サポートバージョンを使用することをお勧めします。バージョン 8 以降が必要です。次のコマンドは、デバイスに OpenJDK をインストールする方法を示しています。

   • Debian ベースまたは Ubuntu ベースのディストリビューションの場合:

     sudo apt install default-jdk

   • Red Hat ベースのディストリビューションの場合 :

     sudo yum install java-11-openjdk-devel

   • 複数 Amazon Linux 2:

     sudo amazon-linux-extras install java-openjdk11

   • 複数 Amazon Linux 2023:

     sudo dnf install java-11-amazon-corretto -y

   インストールが完了したら、次のコマンドを実行して Java が Linux デバイスで実行されていることを確認します。

   java -version

   このコマンドは、デバイス上で実行されている Java のバージョンを出力します。例えば、Debian ベースのディストリビューションでは、出力は次のサンプルのようになります。

   openjdk version "11.0.9.1" 2020-11-04
   OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
   OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)

2. (オプション) デバイスにコンポーネントを実行するデフォルトのシステムユーザーおよびグループを作成します。Core AWS IoT Greengrass ソフトウェアインストーラがインストーラ--component-default-user引数を使用して、インストール中にこのユーザーとグループを作成することを許可することもできます。詳細については、「インストーラ引数」を参照してください。

   sudo useradd --system --create-home ggc_user
   sudo groupadd --system ggc_group

3. AWS IoT Greengrass Core ソフトウェアを実行するユーザー (通常は root) に、任意のユーザーおよび任意のグループsudoで実行するアクセス許可があることを確認します。

   1. /etc/sudoers ファイルを開くには、次のコマンドを実行します。

      sudo visudo

   2. ユーザーの権限が次の例のようになっていることを確認します。

      root    ALL=(ALL:ALL) ALL

4. (オプション) コンテナ化された Lambda 関数を実行するには、cgroups v1 を有効にし、メモリとデバイスの cgroups を有効にしてマウントする必要があります。コンテナ化された Lambda 関数を実行する予定がない場合、この手順を省略できます。

   これらの cgroups オプションを有効にするには、次の Linux カーネルパラメータを使用してデバイスを起動します。

   cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0

   デバイスのカーネルパラメータを確認および設定するための情報については、オペレーティングシステムおよびブートローダーのドキュメントを参照してください。指示に従って、カーネルパラメータを永続的に設定します。

5. デバイスの要件 にある要件リストで示されているように、その他の必要となる依存関係をすべてデバイスにインストールします。

の Windows デバイスを設定するには AWS IoT Greengrass V2

1. Core ソフトウェアの実行に必要な Java AWS IoT Greengrass ランタイムをインストールします。Amazon Corretto または OpenJDK の長期サポートバージョンを使用することをお勧めします。バージョン 8 以降が必要です。

2. PATH システム変数で Java が使用可能か確認し、そうでない場合は追加します。 LocalSystem アカウントは AWS IoT Greengrass Core ソフトウェアを実行するため、ユーザーの PATH ユーザー変数の代わりに PATH システム変数に Java を追加する必要があります。以下の操作を実行します。

   1. Windows キーを押してスタートメニューを開きます。

   2. environment variables を入力して、スタートメニューからシステムオプションを検索します。

   3. スタートメニューの検索結果から [Edit the system environment variables] (システム環境変数を編集) をクリックして、[System properties] (システムプロパティ) ウィンドウを開きます。

   4. [Environment variables...] (環境変数...) を選択して、[Environment Variables] (環境可変) ウィンドウを開きます。

   5. [System variables] (システム変数) で、[Path] (パス) 、[Edit] (編集) の順に選択します。[Edit environment variable] (環境変数の編集) ウィンドウでは、個別の行に各パスを表示できます。

   6. Java インストールの bin フォルダへのパスが存在しているかを確認します。このパスは、次の例のように表示されます。

      C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin

   7. [Path] (パス) で Java インストールの bin フォルダが で見つからない場合は、[New] (新規) を選択してこれを追加した上で、[OK] を選択します。

3. 管理者として Windows コマンドプロンプト cmd.exe を開きます。

4. Windows デバイスの LocalSystem アカウントにデフォルトユーザーを作成します。パスワードを安全なパスワードに置き換えます。

   net user /add ggc_user password

   ヒント

   Windows の構成によっては、ユーザーのパスワードの期限切れが、将来の日付に設定されている場合があります。Greengrass アプリケーションの動作を継続させるためには、パスワードの有効期限を追跡し、その期限が切れる前に更新します。ユーザーのパスワードには、期限切れを起こさないような設定も可能です。

   • ユーザーとパスワードの有効期限を確認するには、次のコマンドを実行します。

     net user ggc_user | findstr /C:expires

   • ユーザーのパスワードが期限切れにならないように設定するには、次のコマンドを実行します。

     wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False

   • wmic コマンドが非推奨の Windows 10 以降を使用している場合は、次の PowerShell コマンドを実行します。

     Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}

5. Microsoft から PsExecユーティリティをダウンロードしてデバイスにインストールします。

6. PsExec ユーティリティを使用して、デフォルトユーザーのユーザー名とパスワードを LocalSystem アカウントの Credential Manager インスタンスに保存します。パスワードを以前に設定したユーザーのパスワードに置き換えます。

   psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password

   PsExec License Agreement が開いたら、Accept を選択し、ライセンスに同意してコマンドを実行します。

   注記

   Windows デバイスでは、 LocalSystem アカウントは Greengrass nucleus を実行します。デフォルトのユーザー情報を LocalSystem アカウントに保存するには、 PsExec ユーティリティを使用する必要があります。Credential Manager アプリケーションを使用すると、この情報は、アカウントではなく、現在ログオンしているユーザーの Windows LocalSystem アカウントに保存されます。

デバイスに AWS 認証情報を提供するには

• インストーラがコアデバイスの AWS IoT および IAM リソースをプロビジョニングできるように、デバイスに AWS 認証情報を提供します。セキュリティを強化するには、プロビジョニングに必要な最小限の許可のみを与える IAM ロールの一時的な認証情報を取得することをお勧めします。詳細については、「インストーラがリソースをプロビジョニングするための最小限の IAM ポリシー」を参照してください。

  注記

  インストーラが認証情報を保存したり保管することはありません。

  デバイスで、次のいずれかを実行して認証情報を取得し、 AWS IoT Greengrass Core ソフトウェアインストーラーで使用できるようにします。

  • （推奨) から一時認証情報を使用する AWS IAM Identity Center

    1. IAM Identity Center からアクセスキー ID、シークレットアクセスキー、およびセッショントークンを指定します。詳細については、IAM Identity Center ユーザーガイドの「一時的な認証情報の取得と更新」の「認証情報の手動更新」を参照してください。

    2. 次のコマンドを実行して、認証情報を AWS IoT Greengrass Core ソフトウェアに提供します。

       Linux or Unix

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       Windows Command Prompt (CMD)

       set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       PowerShell

       $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
       $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
       $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="

  • IAM ロールの一時的なセキュリティ認証情報を使用します。

    1. 継承する IAM ロールから、アクセスキー ID、シークレットアクセスキー、セッショントークンを提供します。これらの認証情報を取得する方法の詳細については、「IAM ユーザーガイド」の「一時的なセキュリティ認証情報のリクエスト」を参照してください。

    2. 次のコマンドを実行して、認証情報を AWS IoT Greengrass Core ソフトウェアに提供します。

       Linux or Unix

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       Windows Command Prompt (CMD)

       set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
       set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=

       PowerShell

       $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
       $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
       $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="

  • IAM ユーザーからの長期的な認証情報を使用する:

    1. IAM ユーザーのアクセスキー ID とシークレットアクセスキーを提供します。後で削除するプロビジョニング用の IAM ユーザーを作成できます。ユーザーに付与する IAM ポリシーについては、「」を参照してくださいインストーラがリソースをプロビジョニングするための最小限の IAM ポリシー。長期認証情報を取得する方法の詳細については、「IAM ユーザーガイド」の「IAM ユーザーのアクセスキー管理」を参照してください。

    2. 次のコマンドを実行して、認証情報を AWS IoT Greengrass Core ソフトウェアに提供します。

       Linux or Unix

       export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

       Windows Command Prompt (CMD)

       set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
       set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

       PowerShell

       $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
       $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"

    3. （オプション) Greengrass デバイスをプロビジョニングする IAM ユーザーを作成した場合は、ユーザーを削除します。

    4. （オプション) 既存の IAM ユーザーのアクセスキー ID とシークレットアクセスキーを使用した場合は、ユーザーのキーを更新して無効になるようにします。詳細については、「 AWS Identity and Access Management ユーザーガイド」の「アクセスキーの更新」を参照してください。

AWS IoT Greengrass Core ソフトウェアをダウンロードするには

1. コアデバイスで、 AWS IoT Greengrass Core ソフトウェアを という名前のファイルにダウンロードしますgreengrass-nucleus-latest.zip。

   Linux or Unix

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip

   PowerShell

   iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip

   このソフトウェアをダウンロードすると、Greengrass Core ソフトウェアのライセンス契約に同意したものと見なされます。

2. (オプション) Greengrass nucleus ソフトウェア署名を確認するには

   注記

   この機能は、Greengrass nucleus バージョン 2.9.5 以降で使用できます。

   1. 以下のコマンドを使用して、Greengrass nucleus アーティファクトの署名を確認します。

      Linux or Unix

      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip

      Windows Command Prompt (CMD)

      インストールする JDK のバージョンによって、ファイル名が異なる場合があります。インストールした JDK のバージョンに jdk17.0.6_10 を置き換えてください。

      "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip

      PowerShell

      インストールする JDK のバージョンによって、ファイル名が異なる場合があります。インストールした JDK のバージョンに jdk17.0.6_10 を置き換えてください。

      'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip

   2. jarsigner が起動すると、検証結果を示す出力が得られます。

      1. Greengrass nucleus の zip ファイルに署名されると、出力に以下のような文が表示されます：

         jar verified.

      2. Greengrass nucleus の zip ファイルに署名されないと、出力に以下のような文が表示されます：

         jar is unsigned.

   3. Jarsigner -certs を -verify と-verbose オプションと一緒に提供した場合、出力には署名者証明書の詳細情報も含まれます。

3. AWS IoT Greengrass Core ソフトウェアをデバイスのフォルダに解凍します。を、使用するフォルダGreengrassInstallerに置き換えます。

   Linux or Unix

   unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip

   Windows Command Prompt (CMD)

   mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip

   PowerShell

   Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
   rm greengrass-nucleus-latest.zip

4. （オプション) 次のコマンドを実行して、 AWS IoT Greengrass Core ソフトウェアのバージョンを確認します。

   java -jar ./GreengrassInstaller/lib/Greengrass.jar --version

AWS IoT Greengrass Core ソフトウェアをインストールするには

1. AWS IoT Greengrass Core インストーラを実行します。コマンドの引数値を次のように置き換えます。

   注記

   Windows では、パスの長さは 260 文字に制限されています。Windows を使用している場合は、 C:\greengrass\v2や などのルートフォルダを使用してD:\greengrass\v2、Greengrass コンポーネントのパスを 260 文字の制限未満に保ちます。

   1. /greengrass/v2 または C:\greengrass\v2: AWS IoT Greengrass Core ソフトウェアのインストールに使用するルートフォルダへのパス。

   2. GreengrassInstaller。 AWS IoT Greengrass Core ソフトウェアインストーラを解凍したフォルダへのパス。

   3. リージョン。リソースを検索または作成する AWS リージョン 。

   4. MyGreengrassCore。Greengrass コアデバイスの AWS IoT モノの名前。モノが存在しない場合、インストーラによって作成されます。インストーラは証明書をダウンロードして、 AWS IoT モノとして認証します。詳細については、「AWS IoT Greengrass のデバイス認証と認可」を参照してください。

      注記

      モノの名前にコロン (:) 記号を含むことができません。

   5. MyGreengrassCoreGroup。Greengrass コアデバイスの AWS IoT モノグループの名前。モノグループが存在しない場合、インストーラはそのグループを作成してモノを追加します。モノグループが存在してアクティブなデプロイがある場合、コアデバイスはデプロイで指定されたソフトウェアをダウンロードして実行します。

      注記

      モノグループ名にコロン (:) 記号を含めることはできません。

   6. GreengrassV2IoTThingPolicy Greengrass コアデバイスが AWS IoT および と通信することを許可する AWS IoT ポリシーの名前 AWS IoT Greengrass。 AWS IoT ポリシーが存在しない場合、インストーラはこの名前で許可 AWS IoT ポリシーを作成します。ユースケースに合わせて、このポリシーのアクセス許可を制限することができます。詳細については、「AWS IoT Greengrass V2 コアデバイス向けの最低限の AWS IoT ポリシー」を参照してください。

   7. GreengrassV2TokenExchangeRole。Greengrass コアデバイスに一時的な AWS 認証情報の取得を許可する IAM ロールの名前。ロールが存在しない場合、インストーラがロールを作成し、GreengrassV2TokenExchangeRoleAccess という名前のポリシーを作成してアタッチします。詳細については、「コアデバイスが AWS サービスとやり取りできるように認証する」を参照してください。

   8. GreengrassCoreTokenExchangeRoleAlias。Greengrass コアデバイスが後で一時的な認証情報を取得できるようにする IAM ロールのエイリアス。ロールエイリアスが存在しない場合、インストーラがロールエイリアスを作成し、指定した IAM ロールを指します。詳細については、「コアデバイスが AWS サービスとやり取りできるように認証する」を参照してください。

   Linux or Unix

   sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
     -jar ./GreengrassInstaller/lib/Greengrass.jar \
     --aws-region region \
     --thing-name MyGreengrassCore \
     --thing-group-name MyGreengrassCoreGroup \
     --thing-policy-name GreengrassV2IoTThingPolicy \
     --tes-role-name GreengrassV2TokenExchangeRole \
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
     --component-default-user ggc_user:ggc_group \
     --provision true \
     --setup-system-service true

   Windows Command Prompt (CMD)

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
     -jar ./GreengrassInstaller/lib/Greengrass.jar ^
     --aws-region region ^
     --thing-name MyGreengrassCore ^
     --thing-group-name MyGreengrassCoreGroup ^
     --thing-policy-name GreengrassV2IoTThingPolicy ^
     --tes-role-name GreengrassV2TokenExchangeRole ^
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias ^
     --component-default-user ggc_user ^
     --provision true ^
     --setup-system-service true

   PowerShell

   java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
     -jar ./GreengrassInstaller/lib/Greengrass.jar `
     --aws-region region `
     --thing-name MyGreengrassCore `
     --thing-group-name MyGreengrassCoreGroup `
     --thing-policy-name GreengrassV2IoTThingPolicy `
     --tes-role-name GreengrassV2TokenExchangeRole `
     --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias `
     --component-default-user ggc_user `
     --provision true `
     --setup-system-service true

   重要

   Windows コアデバイスでは、 AWS IoT Greengrass Core ソフトウェアをシステムサービスとして設定--setup-system-service trueするように を指定する必要があります。

   インストーラが正常に処理すると、次のメッセージを印刷します。

   • --provision を指定すると、インストーラがリソースに正しく設定した場合、Successfully configured Nucleus with provisioned resource details を印刷します。

   • --deploy-dev-tools を指定すると、インストーラがデプロイを正しく作成した場合、Configured Nucleus to deploy aws.greengrass.Cli component を印刷します。

   • --setup-system-service true を指定すると、インストーラがソフトウェアをサービスとして設定して実行した場合、Successfully set up Nucleus as a system service を印刷します。

   • --setup-system-service true を指定しないと、インストーラが正常に処理できてソフトウェアを実行した場合、Launched Nucleus successfully を印刷します。

2. Greengrass nucleus v2.0.4 以降をインストールした場合、この手順を省略できます。ソフトウェアの最新バージョンをダウンロード済みで、v2.0.4 以降をインストールしています。

   次のコマンドを実行して、 AWS IoT Greengrass Core ソフトウェアのルートフォルダに必要なファイルアクセス許可を設定します。をインストールコマンドで指定したルートフォルダ/greengrass/v2に置き換え、/greengrass をルートフォルダの親フォルダに置き換えます。

   sudo chmod 755 /greengrass/v2 && sudo chmod 755 /greengrass