Instalar o agente do AWS Systems Manager - AWS IoT Greengrass
Etapa 1: Concluir as etapas gerais de configuração do Systems ManagerEtapa 2: criar uma função de serviço do IAM para Systems ManagerEtapa 3: adicionar permissões à função de troca de tokensEtapa 4: Implantar o componente Systems Manager AgentEtapa 5: Verificar o registro do dispositivo principal com o Systems Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Instalar o agente do AWS Systems Manager

O AWS Systems Manager Agent (Systems Manager Agent) é um software da Amazon que você instala para permitir que o Systems Manager atualize, gerencie e configure os principais dispositivos do Greengrass, instâncias do Amazon EC2 e outros recursos. O agente processa e executa solicitações do serviço Systems Manager noNuvem AWS. Em seguida, o agente envia as informações de status e tempo de execução para o serviço Systems Manager. Para obter mais informações, consulte Sobre o Systems Manager Agent no Guia AWS Systems Manager do Usuário.

AWSfornece o Systems Manager Agent como um componente do Greengrass que você pode implantar em seus dispositivos principais do Greengrass para gerenciá-los com o Systems Manager. O componente Systems Manager Agent instala o software Systems Manager Agent e registra o dispositivo principal como um nó gerenciado no Systems Manager. Siga as etapas desta página para concluir os pré-requisitos e implantar o componente Systems Manager Agent em um dispositivo principal ou grupo de dispositivos principais.

Etapa 1: Concluir as etapas gerais de configuração do Systems Manager

Se você ainda não tiver feito isso, conclua as etapas gerais de configuração doAWS Systems Manager. Para obter mais informações, consulte as etapas gerais completas de configuração do Systems Manager no Guia AWS Systems Manager do usuário.

Etapa 2: criar uma função de serviço do IAM para Systems Manager

O Systems Manager Agent usa uma função de serviço AWS Identity and Access Management (IAM) para se comunicar comAWS Systems Manager. O Systems Manager assume essa função para habilitar os recursos do Systems Manager em cada dispositivo principal. O componente Systems Manager Agent também usa essa função para registrar o dispositivo principal como um nó gerenciado do Systems Manager quando você implanta o componente. Se você ainda não tiver feito isso, crie uma função de serviço do Systems Manager para usar o componente Systems Manager Agent. Para obter mais informações, consulte Criar uma função de serviço do IAM para dispositivos periféricos no Guia AWS Systems Manager do usuário.

Etapa 3: adicionar permissões à função de troca de tokens

Os dispositivos principais do Greengrass usam uma função de serviço do IAM, chamada função de troca de tokens, para interagir com AWS os serviços. Cada dispositivo principal tem uma função de troca de tokens que você cria ao instalar o software AWS IoT Greengrass Core. Muitos componentes do Greengrass, como o Systems Manager Agent, exigem permissões adicionais nessa função. O componente de agente do Systems Manager requer as seguintes permissões, que incluem permissão para usar a função que você criou emEtapa 2: criar uma função de serviço do IAM para Systems Manager.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:PassRole"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:iam::account-id:role/SSMServiceRole"
      ]
    },
    {
      "Action": [
        "ssm:AddTagsToResource",
        "ssm:RegisterManagedInstance"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Se você ainda não tiver feito isso, adicione essas permissões à função de troca de tokens do dispositivo principal para permitir que o Systems Manager Agent opere. Você pode adicionar uma nova política à função de troca de tokens para conceder essa permissão.

  1. No menu de navegação do console do IAM, escolha Roles.

  2. Escolha a função do IAM que você configurou como função de troca de tokens ao instalar o software AWS IoT Greengrass Core. Se você não especificou um nome para a função de troca de tokens ao instalar o software AWS IoT Greengrass Core, ele criou uma função chamadaGreengrassV2TokenExchangeRole.

  3. Em Permissões, escolha Adicionar permissões e, em seguida, escolha Anexar políticas.

  4. Escolha Criar política. A página Criar política é aberta em uma nova guia do navegador.

  5. Na página Create policy (Criar política) faça o seguinte:

    1. Escolha JSON para abrir o editor JSON.

    2. Cole a política a seguir no editor de JSON. Substitua SSM ServiceRole pelo nome da função de serviço que você criou emEtapa 2: criar uma função de serviço do IAM para Systems Manager.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:PassRole"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:iam::account-id:role/SSMServiceRole"
      ]
    },
    {
      "Action": [
        "ssm:AddTagsToResource",
        "ssm:RegisterManagedInstance"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

    3. Escolha Próximo: etiquetas.

    4. Escolha Próximo: revisar.

    5. Insira um Name (Nome) para a política, como GreengrassSSMAgentComponentPolicy.

    6. Escolha Criar política.

    7. Alterne para a guia anterior do navegador, onde você tem a função de troca de tokens aberta.

  6. Na página Adicionar permissões, escolha o botão Atualizar e, em seguida, selecione a política de agente do Greengrass Systems Manager que você criou na etapa anterior.

  7. Escolha Anexar políticas.

    Os dispositivos principais que usam essa função de troca de tokens agora têm permissão para interagir com o serviço Systems Manager.

Para adicionar uma política que conceda permissão para usar o Systems Manager

  1. Crie um arquivo chamado ssm-agent-component-policy.json e copie o seguinte JSON para o arquivo. Substitua SSM ServiceRole pelo nome da função de serviço que você criou emEtapa 2: criar uma função de serviço do IAM para Systems Manager.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "iam:PassRole"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:iam::account-id:role/SSMServiceRole"
      ]
    },
    {
      "Action": [
        "ssm:AddTagsToResource",
        "ssm:RegisterManagedInstance"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  2. Execute o comando a seguir para criar a política a partir do documento de política emssm-agent-component-policy.json.

    Linux or Unix
    aws iam create-policy \
  --policy-name GreengrassSSMAgentComponentPolicy \
  --policy-document file://ssm-agent-component-policy.json
    Windows Command Prompt (CMD)
    aws iam create-policy ^
  --policy-name GreengrassSSMAgentComponentPolicy ^
  --policy-document file://ssm-agent-component-policy.json
    PowerShell
    aws iam create-policy `
  --policy-name GreengrassSSMAgentComponentPolicy `
  --policy-document file://ssm-agent-component-policy.json

    Copie a política Amazon Resource Name (ARN) dos metadados da política na saída. Você usa esse ARN para anexar essa política à função do dispositivo principal na próxima etapa.

  3. Execute o comando a seguir para anexar a política à função de troca de tokens.

    • Substitua GreengrassV2 TokenExchangeRole pelo nome da função de troca de tokens que você especificou ao instalar o software Core. AWS IoT Greengrass Se você não especificou um nome para a função de troca de tokens ao instalar o software AWS IoT Greengrass Core, ele criou uma função chamadaGreengrassV2TokenExchangeRole.

    • Substitua o ARN da política pelo ARN da etapa anterior.

    Linux or Unix
    aws iam attach-role-policy \
  --role-name GreengrassV2TokenExchangeRole \
  --policy-arn arn:aws:iam::123456789012:policy/GreengrassSSMAgentComponentPolicy
    Windows Command Prompt (CMD)
    aws iam attach-role-policy ^
  --role-name GreengrassV2TokenExchangeRole ^
  --policy-arn arn:aws:iam::123456789012:policy/GreengrassSSMAgentComponentPolicy
    PowerShell
    aws iam attach-role-policy `
  --role-name GreengrassV2TokenExchangeRole `
  --policy-arn arn:aws:iam::123456789012:policy/GreengrassSSMAgentComponentPolicy

    Se o comando não tiver saída, ele foi bem-sucedido. Os dispositivos principais que usam essa função de troca de tokens agora têm permissão para interagir com o serviço Systems Manager.

Etapa 4: Implantar o componente Systems Manager Agent

Conclua as etapas a seguir para implantar e configurar o componente Systems Manager Agent. Você pode implantar o componente em um único dispositivo central ou em um grupo de dispositivos principais.

  1. No menu de navegação AWS IoT Greengrassdo console, escolha Componentes.

  2. Na página Componentes, escolha a guia Componentes públicos e, em seguida, escolha aws.greengrass.SystemsManagerAgent.

  3. Na página aws.greengrass.SystemsManagerAgent, escolha Implantar.

  4. Em Adicionar à implantação, escolha uma implantação existente para revisar ou opte por criar uma nova implantação e, em seguida, escolha Avançar.

  5. Se você optar por criar uma nova implantação, escolha o dispositivo principal ou grupo de itens de destino para a implantação. Na página Especificar destino, em Destino de implantação, escolha um dispositivo principal ou grupo de itens e, em seguida, escolha Avançar.

  6. Na página Selecionar componentes, verifique se o aws.greengrass.SystemsManagerAgentcomponente está selecionado e escolha Avançar.

  7. Na página Configurar componentes aws.greengrass.SystemsManagerAgent, selecione e faça o seguinte:

    1. Escolha Configurar componente.

    2. No aws.greengrass.SystemsManagerAgent modal Configurar, em Atualização de configuração, em Configuração para mesclar, insira a seguinte atualização de configuração. Substitua SSM ServiceRole pelo nome da função de serviço que você criou emEtapa 2: criar uma função de serviço do IAM para Systems Manager.

      {
  "SSMRegistrationRole": "SSMServiceRole",
  "SSMOverrideExistingRegistration": false
}
      nota

      Se o dispositivo principal já executa o Systems Manager Agent registrado com uma ativação híbrida, mude SSMOverrideExistingRegistration paratrue. Esse parâmetro especifica se o componente Systems Manager Agent registra o dispositivo principal quando o Systems Manager Agent já está sendo executado no dispositivo com uma ativação híbrida.

      Você também pode especificar tags (SSMResourceTags) para adicionar ao nó gerenciado do Systems Manager que o componente Systems Manager Agent cria para o dispositivo principal. Para obter mais informações, consulte Configuração do componente do Systems Manager Agent.

    3. Escolha Confirmar para fechar o modal e, em seguida, escolha Avançar.

  8. Na página Definir configurações avançadas, mantenha as configurações padrão e escolha Avançar.

  9. Na página Review, escolha Deploy.

    A implantação pode levar até um minuto para ser concluída.

Para implantar o componente Systems Manager Agent, crie um documento de implantação que inclua aws.greengrass.SystemsManagerAgent no components objeto e especifique a atualização de configuração para o componente. Siga as instruções Criar implantações para criar uma nova implantação ou revisar uma implantação existente.

O exemplo de documento de implantação parcial a seguir especifica o uso de uma função de serviço chamadaSSMServiceRole. Substitua SSM ServiceRole pelo nome da função de serviço que você criou emEtapa 2: criar uma função de serviço do IAM para Systems Manager.

{
  ...,
  "components": {
    ...,
    "aws.greengrass.SystemsManagerAgent": {
      "componentVersion": "1.0.0",
      "configurationUpdate": {
        "merge": "{\"SSMRegistrationRole\":\"SSMServiceRole\",\"SSMOverrideExistingRegistration\":false}"
      }
    }
  }
}
nota

Se o dispositivo principal já executa o Systems Manager Agent registrado com uma ativação híbrida, mude SSMOverrideExistingRegistration paratrue. Esse parâmetro especifica se o componente Systems Manager Agent registra o dispositivo principal quando o Systems Manager Agent já está sendo executado no dispositivo com uma ativação híbrida.

Você também pode especificar tags (SSMResourceTags) para adicionar ao nó gerenciado do Systems Manager que o componente Systems Manager Agent cria para o dispositivo principal. Para obter mais informações, consulte Configuração do componente do Systems Manager Agent.

A implantação pode levar vários minutos para ser concluída. Você pode usar o AWS IoT Greengrass serviço para verificar o status da implantação e verificar os registros do software AWS IoT Greengrass principal e os registros de componentes do Systems Manager Agent para verificar se o Systems Manager Agent é executado com êxito. Para ver mais informações, consulte:

Se a implantação falhar ou o Systems Manager Agent não for executado, você poderá solucionar o problema da implantação em cada dispositivo principal. Para ver mais informações, consulte:

Etapa 5: Verificar o registro do dispositivo principal com o Systems Manager

Quando o componente Systems Manager Agent é executado, ele registra o dispositivo principal como um nó gerenciado no Systems Manager. Você pode usar o AWS IoT Greengrass console, o console do Systems Manager e a API do Systems Manager para verificar se um dispositivo principal está registrado como um nó gerenciado. Os nós gerenciados também são chamados de instâncias em partes do AWS console e da API.

  1. No menu de navegação AWS IoT Greengrassdo console, escolha Dispositivos principais.

  2. Escolha o dispositivo principal para verificar.

  3. Na página de detalhes do dispositivo principal, encontre a propriedade da AWS Systems Managerinstância. Se essa propriedade estiver presente e exibir um link para o console do Systems Manager, o dispositivo principal será registrado como um nó gerenciado.

    Você também pode encontrar a propriedade AWS Systems Managerping status para verificar o status do Systems Manager Agent no dispositivo principal. Quando o status é Online, você pode gerenciar o dispositivo principal com o Systems Manager.

  1. No menu de navegação do console do Systems Manager, escolha Fleet Manager.

  2. Em Nós gerenciados, faça o seguinte:

    1. Adicione um filtro onde está o tipo de fonte AWS::IoT::Thing.

    2. Adicione um filtro em que Source ID seja o nome do dispositivo principal a ser verificado.

  3. Encontre o dispositivo principal na tabela de nós gerenciados. Se o dispositivo principal estiver na tabela, ele será registrado como um nó gerenciado.

    Você também pode encontrar a propriedade ping status do Systems Manager Agent para verificar o status do Systems Manager Agent no dispositivo principal. Quando o status é Online, você pode gerenciar o dispositivo principal com o Systems Manager.

  • Use a DescribeInstanceInformationoperação para obter a lista de nós gerenciados que correspondem a um filtro especificado por você. Execute o comando a seguir para verificar se um dispositivo principal está registrado como um nó gerenciado. MyGreengrassCoreSubstitua pelo nome do dispositivo principal para verificar.

    aws ssm describe-instance-information --filter Key=SourceIds,Values=MyGreengrassCore Key=SourceTypes,Values=AWS::IoT::Thing

    A resposta contém a lista de nós gerenciados que correspondem ao filtro. Se a lista contiver um nó gerenciado, o dispositivo principal será registrado como um nó gerenciado. Você também pode encontrar outras informações sobre o nó gerenciado do dispositivo principal na resposta. Se a PingStatus propriedade forOnline, você poderá gerenciar o dispositivo principal com o Systems Manager.

Depois de verificar se um dispositivo principal está registrado como um nó gerenciado no Systems Manager, você pode usar o console e a API do Systems Manager para gerenciar esse dispositivo principal. Para obter mais informações sobre os recursos do Systems Manager que você pode usar para gerenciar os principais dispositivos do Greengrass, consulte os recursos do Systems Manager no Guia do AWS Systems ManagerUsuário.