Perfil de serviço do Greengrass - AWS IoT Greengrass
Gerenciar a perfil de serviço (console)Gerenciar o perfil de serviço (CLI)Consulte também

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Perfil de serviço do Greengrass

perfil de serviçoO perfil de serviço do Greengrass é um perfil de serviço do (IAM) AWS Identity and Access Management que autoriza o AWS IoT Greengrass a acessar recursos de serviços da AWS em seu nome. Essa função possibilita verificar AWS IoT Greengrass a identidade dos dispositivos clientes e gerenciar as principais informações de conectividade do dispositivo.

nota

AWS IoT Greengrass V1também usa essa função para realizar tarefas essenciais. Para obter mais informações, consulte a função de serviço do Greengrass no Guia do AWS IoT Greengrass V1Desenvolvedor.

Para permitir que o AWS IoT Greengrass acesse seus recursos, o perfil de serviço do Greengrass deve estar associado à sua Conta da AWS e você deve especificar o AWS IoT Greengrass como uma entidade confiável. A função deve incluir a política AWSGreengrassResourceAccessRolePolicygerenciada ou uma política personalizada que defina permissões equivalentes para os AWS IoT Greengrass recursos que você usa. AWSmantém essa política, que define o conjunto de permissões que você AWS IoT Greengrass usa para acessar seus AWS recursos. Para ter mais informações, consulte Política gerenciada da AWS: AWSGreengrassResourceAccessRolePolicy.

Você pode reutilizar a mesma função de serviço do Greengrass Regiões da AWS em todas as partes, mas deve associá-la à sua conta em Região da AWS todos os lugares em que usa. AWS IoT Greengrass Se a função de serviço não estiver configurada na atualRegião da AWS, os dispositivos principais falharão em verificar os dispositivos cliente e não atualizarão as informações de conectividade.

As seções a seguir descrevem como criar e gerenciar a função de serviço do Greengrass com o AWS Management Console ou. AWS CLI

nota

Além da função de serviço que autoriza o acesso em nível de serviço, você atribui uma função de troca de tokens aos dispositivos principais do Greengrass. A função de troca de tokens é uma função separada do IAM que controla como os componentes do Greengrass e as funções do Lambda no dispositivo principal podem acessar os serviços. AWS Para ter mais informações, consulte Autorize os dispositivos principais a interagir com os serviços AWS.

Gerenciar a função de serviço do Greengrass (console)

O console do AWS IoT facilita o gerenciamento do perfil de serviço do Greengrass. Por exemplo, quando você configura a descoberta do dispositivo cliente para um dispositivo principal, o console verifica se você Conta da AWS está conectado a uma função de serviço do Greengrass no momento. Região da AWS Caso contrário, o console pode criar e configurar um perfil de serviço para você. Para ter mais informações, consulte Criar o perfil de serviço do Greengrass (console).

É possível usar o console do para as seguintes tarefas de gerenciamento de função:

nota

O usuário que está conectado no console deve ter permissões para visualizar, criar ou alterar o perfil de serviço.

Encontrar o perfil de serviço do Greengrass (console)

Use as etapas a seguir para encontrar a função de serviço AWS IoT Greengrass usada na atualRegião da AWS.

  1. Navegue até o console do AWS IoT.

  2. No painel de navegação, selecione Configurações.

  3. Role até a seção Perfil de serviço do Greengrass para ver o perfil de serviço e as políticas dela.

    Se você não vê uma função de serviço, o console pode criar ou configurar uma para você. Para ter mais informações, consulte Criar o perfil de serviço do Greengrass.

Criar o perfil de serviço do Greengrass (console)

O console pode criar e configurar um perfil de serviço padrão do Greengrass para você. Essa função tem as propriedades a seguir.

Propriedade Valor
Nome Greengrass_ServiceRole
Entidade confiável AWS service: greengrass
Política AWSGreengrassResourceAccessRolePolicy
nota

Se você criar essa função com o script de configuração do AWS IoT Greengrass V1 dispositivo, o nome da função seráGreengrassServiceRole_random-string.

Quando você configura a descoberta do dispositivo cliente para um dispositivo principal, o console verifica se uma função de serviço do Greengrass está associada à sua Conta da AWS no momento. Região da AWS Caso contrário, o console solicita sua permissão para que o AWS IoT Greengrass faça leitura e gravação em serviços AWS em seu nome.

Se você conceder permissão, o console verifica se uma função chamada Greengrass_ServiceRole existe na Conta da AWS.

  • Se a função existir, o console anexará o perfil de serviço à Conta da AWS na Região da AWS atual.

  • Se a função não existir, o console criará um perfil de serviço padrão do Greengrass e a anexará à Conta da AWS na Região da AWS atual.

nota

Se quiser criar um perfil de serviço com políticas de função personalizadas, use o console do IAM para criar ou modificar a função. Para obter mais informações, consulte Criando uma função para delegar permissões a um serviço da AWS ou Modificando uma função no Manual do usuário do IAM. Verifique se a função concede permissões equivalentes à política gerenciada AWSGreengrassResourceAccessRolePolicy para os atributos e as características que você utiliza. Recomendamos que você também inclua as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount em sua política de confiança para ajudar a evitar o problema de segurança confused deputy. As chaves de contexto de condição restringem o acesso para permitir somente as solicitações provenientes da conta especificada e do espaço de trabalho do Greengrass. Para obter mais informações sobre o problema confused deputy, consulte Prevenção do problema do substituto confuso entre serviços.

Se você criar uma função de serviço, retorne ao AWS IoT console e anexe a função à suaConta da AWS. Você pode fazer isso na função de serviço do Greengrass na página Configurações.

Alterar o perfil de serviço do Greengrass (console)

Use o procedimento a seguir para escolher outro perfil de serviço do Greengrass para anexar à Conta da AWS na Região da AWS que está selecionada no console.

  1. Navegue até o console do AWS IoT.

  2. No painel de navegação, selecione Configurações.

  3. Em Perfil de serviço do Greengrass, selecione Change role (Mudar perfil).

    A caixa de diálogo Atualizar perfil de serviço do Greengrass é aberta e mostra as funções do IAM em sua Conta da AWS que definem AWS IoT Greengrass como uma entidade confiável.

  4. Selecione o perfil de serviço do Greengrass a ser anexado.

  5. Selecione Anexar função.

Desanexar o perfil de serviço do Greengrass (console)

Use o procedimento a seguir para separar a função de serviço do Greengrass da AWS sua conta atual. Região da AWS Isso revoga as permissões para que o AWS IoT Greengrass acesse os serviços da AWS na Região da AWS atual.

Importante

Desanexar o perfil de serviço pode interromper operações ativas.

  1. Navegue até o console do AWS IoT.

  2. No painel de navegação, selecione Configurações.

  3. Em Perfil de serviço do Greengrass, selecione Detach role (Desanexar função).

  4. Na caixa de diálogo de confirmação, selecione Detach (Desvincular).

nota

Se você não precisar mais da função, poderá excluí-la no console do IAM. Para obter mais informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Manual do usuário do IAM.

Outras funções podem permitir que o AWS IoT Greengrass acesse os recursos. Para encontrar todas as funções que permitem que o AWS IoT Greengrass assuma permissões em seu nome, no console do IAM, na página Funções, procure as funções que incluem AWS service: greengrass na coluna Entidades confiáveis.

Gerenciar a função de serviço (CLI) do Greengrass

Nos procedimentos a seguir, presumimos que o AWS Command Line Interface esteja instalado e configurado para usar seuConta da AWS. Para obter mais informações, consulte Instalação, atualização e desinstalação do AWS CLI e Configuração do AWS CLI no Guia do AWS Command Line Interface Usuário.

É possível usar a AWS CLI para as seguintes tarefas de gerenciamento de função:

Obter o perfil de serviço do Greengrass (CLI)

Use o procedimento a seguir para descobrir se um perfil de serviço do Greengrass está associado à Conta da AWS em uma Região da AWS.

  • Obtenha o perfil de serviço. Substitua região por sua Região da AWS (por exemplo, us-west-2).

    aws greengrassv2 get-service-role-for-account --region region

    Se uma função de serviço do Greengrass já estiver associada à sua conta, a solicitação retornará os seguintes metadados da função.

    {
  "associatedAt": "timestamp",
  "roleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Se a solicitação não retornar metadados da função, você deverá criar a função de serviço (se ela não existir) e associá-la à sua conta noRegião da AWS.

Criar o perfil de serviço do Greengrass (CLI)

Use as etapas a seguir para criar uma função e associá-la à sua Conta da AWS.

Como criar o perfil de serviço usando o IAM

  1. Crie uma função com uma política de confiança que permita que o AWS IoT Greengrass assuma a função. Este exemplo cria uma função chamada Greengrass_ServiceRole, mas você pode usar um nome diferente. Recomendamos que você também inclua as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount em sua política de confiança para ajudar a evitar o problema de segurança confused deputy. As chaves de contexto de condição restringem o acesso para permitir somente as solicitações provenientes da conta especificada e do espaço de trabalho do Greengrass. Para obter mais informações sobre o problema confused deputy, consulte Prevenção do problema do substituto confuso entre serviços.

    Linux or Unix
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'
    Windows Command Prompt (CMD)
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
    PowerShell
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'

  2. Copie o ARN da função dos metadados da função na saída. Você usará o ARN para associar a função à sua conta.

  3. Anexe a política do AWSGreengrassResourceAccessRolePolicy à função.

    aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
Para associar o perfil de serviço à sua conta da Conta da AWS

  • Associe a função à sua conta. Substitua role-arn pelo ARN do perfil de serviço e região por sua Região da AWS (por exemplo, us-west-2).

    aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region

    Se for bem-sucedida, a solicitação retornará a seguinte resposta.

    {
  "associatedAt": "timestamp"
}

Remover o perfil de serviço do Greengrass (CLI)

Use as etapas a seguir para desassociar o perfil de serviço do Greengrass de sua Conta da AWS.

  • Desassocie a perfil de serviço da conta. Substitua região por sua Região da AWS (por exemplo, us-west-2).

    aws greengrassv2 disassociate-service-role-from-account --region region

    Se houver êxito, a resposta a seguir será retornada.

    {
  "disassociatedAt": "timestamp"
}
    nota

    Você deverá excluir o perfil de serviço se não o estiver usando em nenhuma Região da AWS. Primeiro, use delete-role-policy para desanexar a política gerenciada AWSGreengrassResourceAccessRolePolicy da função e, depois, use delete-role para excluir a função. Para obter mais informações sobre como excluir uma função, consulte Excluir funções ou perfis de instância no Manual do usuário do IAM.

Consulte também