AWS适用于 AWS IoT Greengrass 的托管策略 - AWS IoT Greengrass
AWSGreengrassFullAccessAWSGreengrassReadOnlyAccessAWSGreengrassResourceAccessRolePolicy策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS适用于 AWS IoT Greengrass 的托管策略

AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,AWS 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略

AWS托管策略:AWSGreengrassFullAccess

您可以将 AWSGreengrassFullAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许委托人完全访问所有内容AWS IoT Greengrass行动。

权限详细信息

此策略包含以下权限:

  • greengrass— 允许校长完全访问所有内容AWS IoT Greengrass行动。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:*"
            ],
            "Resource": "*"
        }
    ]
}

AWS托管策略:AWSGreengrassReadOnlyAccess

您可以将 AWSGreengrassReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予只读权限,允许委托人查看但不能修改中的信息AWS IoT Greengrass。例如,拥有这些权限的主用户可以查看部署到 Greengrass 核心设备的组件列表,但不能创建部署来更改在该设备上运行的组件。

权限详细信息

此策略包含以下权限:

  • greengrass— 允许校长执行返回项目列表或项目详细信息的操作。这包括以开头的 API 操作List要么Get

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:List*",
                "greengrass:Get*"
            ],
            "Resource": "*"
        }
    ]
}

AWS托管策略:AWSGreengrassResourceAccessRolePolicy

你可以附上AWSGreengrassResourceAccessRolePolicy针对您的 IAM 实体的政策。AWS IoT Greengrass还将此策略附加到允许的服务角色AWS IoT Greengrass代表您执行操作。有关更多信息,请参阅Greengrass 服务角色

此政策授予的管理权限允许AWS IoT Greengrass执行基本任务,例如检索您的 Lambda 函数、管理AWS IoT设备影子,以及验证 Greengrass 客户端设备。

权限详细信息

此策略包含以下权限。

  • greengrass— 管理 Greengrass 资源。

  • iot*Shadow) — 管理AWS IoT名称中包含以下特殊标识符的阴影。这些权限是必需的,因此AWS IoT Greengrass可以与核心设备通信。

    • *-gci—AWS IoT Greengrass使用此影子存储核心设备连接信息,以便客户端设备可以发现并连接到核心设备。

    • *-gcm—AWS IoT Greengrass V1使用此影子通知核心设备 Greengrass 组的证书颁发机构 (CA) 证书已轮换。

    • *-gda—AWS IoT Greengrass V1使用此影子将部署通知核心设备。

    • GG_*— 未使用。

  • iotDescribeThingDescribeCertificate) — 检索有关的信息AWS IoT东西和证书。这些权限是必需的,因此AWS IoT Greengrass可以验证连接到核心设备的客户端设备。有关更多信息,请参阅与本地物联网设备互动

  • lambda— 检索有关的信息AWS Lambda函数。此权限是必需的,因此AWS IoT Greengrass V1可以将 Lambda 函数部署到 Greengrass 内核。有关更多信息,请参见在上运行 Lambda 函数AWS IoT Greengrass核心在里面AWS IoT Greengrass V1开发者指南

  • secretsmanager— 检索的值AWS Secrets Manager名字开头的秘密greengrass-。此权限是必需的,因此AWS IoT Greengrass V1可以将密钥管理器机密部署到 Greengrass 内核。有关更多信息,请参见将机密部署到AWS IoT Greengrass核心在里面AWS IoT Greengrass V1开发者指南

  • s3— 从名称包含的 S3 存储桶中检索文件对象greengrass要么sagemaker。这些权限是必需的,因此AWS IoT Greengrass V1可以部署存储在 S3 存储桶中的机器学习资源。有关更多信息,请参见机器学习资源在里面AWS IoT Greengrass V1开发者指南

  • sagemaker— 检索有关亚马逊的信息SageMaker机器学习推理模型。此权限是必需的,因此AWS IoT Greengrass V1可以将机器学习模型部署到 Greengrass 内核。有关更多信息,请参见进行机器学习推断在里面AWS IoT Greengrass V1开发者指南

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGreengrassAccessToShadows",
            "Action": [
                "iot:DeleteThingShadow",
                "iot:GetThingShadow",
                "iot:UpdateThingShadow"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iot:*:*:thing/GG_*",
                "arn:aws:iot:*:*:thing/*-gcm",
                "arn:aws:iot:*:*:thing/*-gda",
                "arn:aws:iot:*:*:thing/*-gci"
            ]
        },
        {
            "Sid": "AllowGreengrassToDescribeThings",
            "Action": [
                "iot:DescribeThing"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:thing/*"
        },
        {
            "Sid": "AllowGreengrassToDescribeCertificates",
            "Action": [
                "iot:DescribeCertificate"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:cert/*"
        },
        {
            "Sid": "AllowGreengrassToCallGreengrassServices",
            "Action": [
                "greengrass:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetLambdaFunctions",
            "Action": [
                "lambda:GetFunction",
                "lambda:GetFunctionConfiguration"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetGreengrassSecrets",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
        },
        {
            "Sid": "AllowGreengrassAccessToS3Objects",
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::*Greengrass*",
                "arn:aws:s3:::*GreenGrass*",
                "arn:aws:s3:::*greengrass*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Sid": "AllowGreengrassAccessToS3BucketLocation",
            "Action": [
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
            "Action": [
                "sagemaker:DescribeTrainingJob"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:sagemaker:*:*:training-job/*"
            ]
        }
    ]
}

对 AWS 托管式策略的 AWS IoT Greengrass 更新

您可以查看有关更新的详细信息AWS的托管策略AWS IoT Greengrass从该服务开始跟踪这些更改时起。如需有关此页面变更的自动提醒,请订阅上的 RSS feedAWS IoT Greengrass V2文档历史页面

更改 说明 日期

AWS IoT Greengrass 已开启跟踪更改

AWS IoT Greengrass 为其 AWS 托管式策略开启了跟踪更改。

2021 年 7 月 2 日