As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Perfil de serviço do Greengrass
perfil de serviçoO perfil de serviço do Greengrass é um perfil de serviço do (IAM) AWS Identity and Access Management que autoriza o AWS IoT Greengrass a acessar recursos de serviços da AWS em seu nome. Essa função possibilita verificar AWS IoT Greengrass a identidade dos dispositivos clientes e gerenciar as principais informações de conectividade do dispositivo.
nota
AWS IoT Greengrass V1também usa essa função para realizar tarefas essenciais. Para obter mais informações, consulte a função de serviço do Greengrass no Guia do AWS IoT Greengrass V1Desenvolvedor.
Para permitir que o AWS IoT Greengrass acesse seus recursos, o perfil de serviço do Greengrass deve estar associado à sua Conta da AWS e você deve especificar o AWS IoT Greengrass como uma entidade confiável. A função deve incluir a política AWSGreengrassResourceAccessRolePolicy
Você pode reutilizar a mesma função de serviço do Greengrass Regiões da AWS em todas as partes, mas deve associá-la à sua conta em Região da AWS todos os lugares em que usa. AWS IoT Greengrass Se a função de serviço não estiver configurada na atualRegião da AWS, os dispositivos principais falharão em verificar os dispositivos cliente e não atualizarão as informações de conectividade.
As seções a seguir descrevem como criar e gerenciar a função de serviço do Greengrass com o AWS Management Console ou. AWS CLI
Tópicos
nota
Além da função de serviço que autoriza o acesso em nível de serviço, você atribui uma função de troca de tokens aos dispositivos principais do Greengrass. A função de troca de tokens é uma função separada do IAM que controla como os componentes do Greengrass e as funções do Lambda no dispositivo principal podem acessar os serviços. AWS Para ter mais informações, consulte Autorize os dispositivos principais a interagir com os serviços AWS.
Gerenciar a função de serviço do Greengrass (console)
O console do AWS IoT facilita o gerenciamento do perfil de serviço do Greengrass. Por exemplo, quando você configura a descoberta do dispositivo cliente para um dispositivo principal, o console verifica se você Conta da AWS está conectado a uma função de serviço do Greengrass no momento. Região da AWS Caso contrário, o console pode criar e configurar um perfil de serviço para você. Para ter mais informações, consulte Criar o perfil de serviço do Greengrass (console).
É possível usar o console do para as seguintes tarefas de gerenciamento de função:
Tópicos
nota
O usuário que está conectado no console deve ter permissões para visualizar, criar ou alterar o perfil de serviço.
Encontrar o perfil de serviço do Greengrass (console)
Use as etapas a seguir para encontrar a função de serviço AWS IoT Greengrass usada na atualRegião da AWS.
-
Navegue até o console do AWS IoT
. -
No painel de navegação, selecione Configurações.
-
Role até a seção Perfil de serviço do Greengrass para ver o perfil de serviço e as políticas dela.
Se você não vê uma função de serviço, o console pode criar ou configurar uma para você. Para ter mais informações, consulte Criar o perfil de serviço do Greengrass.
Criar o perfil de serviço do Greengrass (console)
O console pode criar e configurar um perfil de serviço padrão do Greengrass para você. Essa função tem as propriedades a seguir.
Propriedade | Valor |
---|---|
Nome | Greengrass_ServiceRole |
Entidade confiável | AWS service: greengrass |
Política | AWSGreengrassResourceAccessRolePolicy |
nota
Se você criar essa função com o script de configuração do AWS IoT Greengrass V1 dispositivo, o nome da função seráGreengrassServiceRole_
.random-string
Quando você configura a descoberta do dispositivo cliente para um dispositivo principal, o console verifica se uma função de serviço do Greengrass está associada à sua Conta da AWS no momento. Região da AWS Caso contrário, o console solicita sua permissão para que o AWS IoT Greengrass faça leitura e gravação em serviços AWS em seu nome.
Se você conceder permissão, o console verifica se uma função chamada Greengrass_ServiceRole
existe na Conta da AWS.
-
Se a função existir, o console anexará o perfil de serviço à Conta da AWS na Região da AWS atual.
-
Se a função não existir, o console criará um perfil de serviço padrão do Greengrass e a anexará à Conta da AWS na Região da AWS atual.
nota
Se quiser criar um perfil de serviço com políticas de função personalizadas, use o console do IAM para criar ou modificar a função. Para obter mais informações, consulte Criando uma função para delegar permissões a um serviço da AWS ou Modificando uma função no Manual do usuário do IAM. Verifique se a função concede permissões equivalentes à política gerenciada AWSGreengrassResourceAccessRolePolicy
para os atributos e as características que você utiliza. Recomendamos que você também inclua as chaves de contexto de condição global aws:SourceArn
e aws:SourceAccount
em sua política de confiança para ajudar a evitar o problema de segurança confused deputy. As chaves de contexto de condição restringem o acesso para permitir somente as solicitações provenientes da conta especificada e do espaço de trabalho do Greengrass. Para obter mais informações sobre o problema confused deputy, consulte Prevenção do problema do substituto confuso entre serviços.
Se você criar uma função de serviço, retorne ao AWS IoT console e anexe a função à suaConta da AWS. Você pode fazer isso na função de serviço do Greengrass na página Configurações.
Alterar o perfil de serviço do Greengrass (console)
Use o procedimento a seguir para escolher outro perfil de serviço do Greengrass para anexar à Conta da AWS na Região da AWS que está selecionada no console.
-
Navegue até o console do AWS IoT
. -
No painel de navegação, selecione Configurações.
-
Em Perfil de serviço do Greengrass, selecione Change role (Mudar perfil).
A caixa de diálogo Atualizar perfil de serviço do Greengrass é aberta e mostra as funções do IAM em sua Conta da AWS que definem AWS IoT Greengrass como uma entidade confiável.
-
Selecione o perfil de serviço do Greengrass a ser anexado.
-
Selecione Anexar função.
Desanexar o perfil de serviço do Greengrass (console)
Use o procedimento a seguir para separar a função de serviço do Greengrass da AWS sua conta atual. Região da AWS Isso revoga as permissões para que o AWS IoT Greengrass acesse os serviços da AWS na Região da AWS atual.
Importante
Desanexar o perfil de serviço pode interromper operações ativas.
-
Navegue até o console do AWS IoT
. -
No painel de navegação, selecione Configurações.
-
Em Perfil de serviço do Greengrass, selecione Detach role (Desanexar função).
-
Na caixa de diálogo de confirmação, selecione Detach (Desvincular).
nota
Se você não precisar mais da função, poderá excluí-la no console do IAM. Para obter mais informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Manual do usuário do IAM.
Outras funções podem permitir que o AWS IoT Greengrass acesse os recursos. Para encontrar todas as funções que permitem que o AWS IoT Greengrass assuma permissões em seu nome, no console do IAM, na página Funções, procure as funções que incluem AWS service: greengrass na coluna Entidades confiáveis.
Gerenciar a função de serviço (CLI) do Greengrass
Nos procedimentos a seguir, presumimos que o AWS Command Line Interface esteja instalado e configurado para usar seuConta da AWS. Para obter mais informações, consulte Instalação, atualização e desinstalação do AWS CLI e Configuração do AWS CLI no Guia do AWS Command Line Interface Usuário.
É possível usar a AWS CLI para as seguintes tarefas de gerenciamento de função:
Tópicos
Obter o perfil de serviço do Greengrass (CLI)
Use o procedimento a seguir para descobrir se um perfil de serviço do Greengrass está associado à Conta da AWS em uma Região da AWS.
-
Obtenha o perfil de serviço. Substitua
região
por sua Região da AWS (por exemplo,us-west-2
).aws greengrassv2 get-service-role-for-account --region
region
Se uma função de serviço do Greengrass já estiver associada à sua conta, a solicitação retornará os seguintes metadados da função.
{ "associatedAt": "
timestamp
", "roleArn": "arn:aws:iam::account-id
:role/path/role-name
" }Se a solicitação não retornar metadados da função, você deverá criar a função de serviço (se ela não existir) e associá-la à sua conta noRegião da AWS.
Criar o perfil de serviço do Greengrass (CLI)
Use as etapas a seguir para criar uma função e associá-la à sua Conta da AWS.
Como criar o perfil de serviço usando o IAM
-
Crie uma função com uma política de confiança que permita que o AWS IoT Greengrass assuma a função. Este exemplo cria uma função chamada
Greengrass_ServiceRole
, mas você pode usar um nome diferente. Recomendamos que você também inclua as chaves de contexto de condição globalaws:SourceArn
eaws:SourceAccount
em sua política de confiança para ajudar a evitar o problema de segurança confused deputy. As chaves de contexto de condição restringem o acesso para permitir somente as solicitações provenientes da conta especificada e do espaço de trabalho do Greengrass. Para obter mais informações sobre o problema confused deputy, consulte Prevenção do problema do substituto confuso entre serviços. -
Copie o ARN da função dos metadados da função na saída. Você usará o ARN para associar a função à sua conta.
-
Anexe a política do
AWSGreengrassResourceAccessRolePolicy
à função.aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
Para associar o perfil de serviço à sua conta da Conta da AWS
-
Associe a função à sua conta. Substitua
role-arn
pelo ARN do perfil de serviço eregião
por sua Região da AWS (por exemplo,us-west-2
).aws greengrassv2 associate-service-role-to-account --role-arn
role-arn
--regionregion
Se for bem-sucedida, a solicitação retornará a seguinte resposta.
{ "associatedAt": "
timestamp
" }
Remover o perfil de serviço do Greengrass (CLI)
Use as etapas a seguir para desassociar o perfil de serviço do Greengrass de sua Conta da AWS.
-
Desassocie a perfil de serviço da conta. Substitua
região
por sua Região da AWS (por exemplo,us-west-2
).aws greengrassv2 disassociate-service-role-from-account --region
region
Se houver êxito, a resposta a seguir será retornada.
{ "disassociatedAt": "
timestamp
" }nota
Você deverá excluir o perfil de serviço se não o estiver usando em nenhuma Região da AWS. Primeiro, use delete-role-policy para desanexar a política gerenciada
AWSGreengrassResourceAccessRolePolicy
da função e, depois, use delete-role para excluir a função. Para obter mais informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Manual do usuário do IAM.
Consulte também
-
Criar um perfil para delegar permissões a um serviço da AWS no Guia do usuário do IAM.
-
Modificando uma função no Guia do usuário do IAM
-
Excluir funções ou perfis de instância no Manual do usuário do IAM.
-
Comandos do AWS IoT Greengrass disponíveis na Referência de comandos do AWS CLI
-
Comandos do IAM disponíveis na Referência de comandos do AWS CLI