AWS 的 受管政策 AWS IoT Greengrass - AWS IoT Greengrass
AWSGreengrassFullAccess (AWSGreengrassFullAccess)AWSGreengrassReadOnlyAccessAWSGreengrassResourceAccessRolePolicy (AWSGreengrassResourceAccessRolePolicy)政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 的 受管政策 AWS IoT Greengrass

AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 受管政策:AWSGreengrassFullAccess

您可將 AWSGreengrassFullAccess 政策連接到 IAM 身分。

此政策會授予管理許可,允許委託人完整存取所有 AWS IoT Greengrass 動作。

許可詳細資訊

此政策包含以下許可:

  • greengrass – 允許主體完整存取所有 AWS IoT Greengrass 動作。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:*"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管政策:AWSGreengrassReadOnlyAccess

您可將 AWSGreengrassReadOnlyAccess 政策連接到 IAM 身分。

此政策授予唯讀許可,允許委託人檢視但不修改其中的資訊 AWS IoT Greengrass。例如,具有這些許可的主體可以檢視部署到 Greengrass 核心裝置的元件清單,但無法建立部署來變更在該裝置上執行的元件。

許可詳細資訊

此政策包含以下許可:

  • greengrass – 允許主體執行傳回項目清單或項目詳細資訊的動作。這包括以 List或 開頭的 API 操作Get

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:List*",
                "greengrass:Get*"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管政策:AWSGreengrassResourceAccessRolePolicy

您可以將AWSGreengrassResourceAccessRolePolicy政策連接至 IAM 實體。 AWS IoT Greengrass 也會將此政策連接至允許 代表您 AWS IoT Greengrass 執行動作的服務角色。如需詳細資訊,請參閱Greengrass 服務角色

此政策授予管理許可, AWS IoT Greengrass 允許 執行基本任務,例如擷取 Lambda 函數、管理 AWS IoT 裝置影子,以及驗證 Greengrass 用戶端裝置。

許可詳細資訊

此政策包含以下許可。

  • greengrass – 管理 Greengrass 資源。

  • iot (*Shadow) – 管理名稱中具有下列特殊識別符的 AWS IoT 陰影。需要這些許可, AWS IoT Greengrass 才能與核心裝置通訊。

    • *-gci – AWS IoT Greengrass 使用此影子來存放核心裝置連線資訊,讓用戶端裝置可以探索並連線至核心裝置。

    • *-gcm – AWS IoT Greengrass V1 使用此影子來通知核心裝置 Greengrass 群組的憑證授權單位 (CA) 憑證已輪換。

    • *-gda – AWS IoT Greengrass V1 使用此影子來通知核心裝置部署。

    • GG_* – 未使用。

  • iot (DescribeThingDescribeCertificate) – 擷取 AWS IoT 物件和憑證的相關資訊。需要這些許可, AWS IoT Greengrass 才能驗證連線至核心裝置的用戶端裝置。如需詳細資訊,請參閱與本機 IoT 裝置互動

  • lambda – 擷取 AWS Lambda 函數的相關資訊。需要此許可, AWS IoT Greengrass V1 才能將 Lambda 函數部署到 Greengrass 核心。如需詳細資訊,請參閱《 AWS IoT Greengrass V1 開發人員指南》中的在 AWS IoT Greengrass 核心上執行 Lambda 函數

  • secretsmanager – 擷取名稱開頭為 的 AWS Secrets Manager 秘密值greengrass-。需要此許可, AWS IoT Greengrass V1 才能將 Secrets Manager 秘密部署到 Greengrass 核心。如需詳細資訊,請參閱《 AWS IoT Greengrass V1 開發人員指南》中的將秘密部署至 AWS IoT Greengrass 核心

  • s3 – 從名稱包含 greengrass或 的 S3 儲存貯體擷取檔案物件sagemaker。需要這些許可, AWS IoT Greengrass V1 才能部署存放在 S3 儲存貯體中的機器學習資源。如需詳細資訊,請參閱《 AWS IoT Greengrass V1 開發人員指南》中的機器學習資源

  • sagemaker – 擷取 Amazon SageMaker AI 機器學習推論模型的相關資訊。需要此許可, AWS IoT Greengrass V1 才能將 ML 模型部署到 Greengrass 核心。如需詳細資訊,請參閱《 AWS IoT Greengrass V1 開發人員指南》中的執行機器學習推論

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGreengrassAccessToShadows",
            "Action": [
                "iot:DeleteThingShadow",
                "iot:GetThingShadow",
                "iot:UpdateThingShadow"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iot:*:*:thing/GG_*",
                "arn:aws:iot:*:*:thing/*-gcm",
                "arn:aws:iot:*:*:thing/*-gda",
                "arn:aws:iot:*:*:thing/*-gci"
            ]
        },
        {
            "Sid": "AllowGreengrassToDescribeThings",
            "Action": [
                "iot:DescribeThing"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:thing/*"
        },
        {
            "Sid": "AllowGreengrassToDescribeCertificates",
            "Action": [
                "iot:DescribeCertificate"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:cert/*"
        },
        {
            "Sid": "AllowGreengrassToCallGreengrassServices",
            "Action": [
                "greengrass:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetLambdaFunctions",
            "Action": [
                "lambda:GetFunction",
                "lambda:GetFunctionConfiguration"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetGreengrassSecrets",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
        },
        {
            "Sid": "AllowGreengrassAccessToS3Objects",
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::*Greengrass*",
                "arn:aws:s3:::*GreenGrass*",
                "arn:aws:s3:::*greengrass*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Sid": "AllowGreengrassAccessToS3BucketLocation",
            "Action": [
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
            "Action": [
                "sagemaker:DescribeTrainingJob"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:sagemaker:*:*:training-job/*"
            ]
        }
    ]
}

AWS IoT GreengrassAWS 受管政策的更新

從此服務開始追蹤這些變更起 AWS IoT Greengrass ,您可以檢視 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱AWS IoT Greengrass V2 文件歷史記錄頁面上的 RSS 摘要。

變更 描述 日期

AWS IoT Greengrass 開始追蹤變更

AWS IoT Greengrass 已開始追蹤其 AWS 受管政策的變更。

2021 年 7 月 2 日