AWS IoT Greengrass 的 AWS 受管政策 - AWS IoT Greengrass
AWSGreengrassFullAccessAWSGreengrassReadOnlyAccessAWSGreengrassResourceAccessRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS IoT Greengrass 的 AWS 受管政策

一個AWS受管理的策略是由建立和管理的獨立策略AWS。AWS受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

請記住,AWS受管理的政策可能不會為您的特定使用案例授與最低權限,因為這些權限適用於所有使用案例AWS客戶使用。建議您透過定義進一步減少權限客戶管理的政策特定於您的使用案例。

您無法更改 AWS 受管政策中定義的許可。如果AWS更新中定義的權限AWS受管理的原則,更新會影響所附加原則的所有主體識別 (使用者、群組和角色)。AWS最有可能更新AWS管理策略,當一個新的AWS 服務已啟動或新的 API 操作可用於現有服務。

如需詳細資訊,請參閱《IAM 使用者指南》https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies中的 AWS 受管政策

AWS 受管政策:AWSGreengrassFullAccess

您可將 AWSGreengrassFullAccess 政策連接到 IAM 身分。

此原則會授與允許主體完整存取所有權限的管理權限AWS IoT Greengrass動作。

許可詳細資訊

此政策包含以下許可:

  • greengrass— 允許主參與者完全存取全部AWS IoT Greengrass動作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:*"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管政策:AWSGreengrassReadOnlyAccess

您可將 AWSGreengrassReadOnlyAccess 政策連接到 IAM 身分。

此原則會授與唯讀權限,這些權限允許主參與者檢視 (但不能修改) 中的資訊AWS IoT Greengrass。例如,具有這些權限的主體可以檢視部署到 Greengrass 核心裝置的元件清單,但無法建立部署來變更在該裝置上執行的元件。

許可詳細資訊

此政策包含以下許可:

  • greengrass— 允許主參與者執行傳回項目清單或項目詳細資訊的動作。這包括開頭的 API 操作List或者Get

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "greengrass:List*",
                "greengrass:Get*"
            ],
            "Resource": "*"
        }
    ]
}

AWS 受管政策:AWSGreengrassResourceAccessRolePolicy

您可以附加AWSGreengrassResourceAccessRolePolicyIAM 實體的政策。AWS IoT Greengrass也會將此原則附加至允許的服務角色AWS IoT Greengrass代表您執行動作。如需詳細資訊,請參閱Greengrass 服務角色

此原則會授與允許的管理權限AWS IoT Greengrass執行基本工作,例如擷取 Lambda 函數、管理AWS IoT設備陰影,並驗證 Greengrass 客戶端設備。

許可詳細資訊

此政策包含以下許可。

  • greengrass— 管理格林格拉斯資源.

  • iot(*Shadow) — 管理AWS IoT陰影名稱中有下列特殊識別碼。這些權限是必需的,以便AWS IoT Greengrass可以與核心設備進行通信。

    • *-gci—AWS IoT Greengrass使用此陰影來儲存核心裝置連線資訊,以便用戶端裝置可以探索並連線至核心裝置。

    • *-gcm—AWS IoT Greengrass V1使用此陰影通知核心裝置 Greengrass 群組的憑證授權單位 (CA) 憑證已輪替。

    • *-gda—AWS IoT Greengrass V1使用此陰影通知核心裝置部署。

    • GG_*— 未使用。

  • iot(DescribeThingDescribeCertificate) — 擷取有關的資訊AWS IoT東西和證書。這些權限是必需的,以便AWS IoT Greengrass可以驗證連接到核心設備的客戶端設備。如需詳細資訊,請參閱與本機 IoT 裝置互動

  • lambda— 檢索有關的信息AWS Lambda函數。此權限是必需的,以便AWS IoT Greengrass V1可以將 Lambda 函數部署到綠色核心。如需詳細資訊,請參閱在上執行 Lambda 函數AWS IoT Greengrass核心AWS IoT Greengrass V1開發者指南

  • secretsmanager— 擷取的值AWS Secrets Manager名字開頭的秘密greengrass-。此權限是必需的,以便AWS IoT Greengrass V1可以將秘密管理員密碼部署到 Greengrass 核心。如需詳細資訊,請參閱將密碼部署到AWS IoT Greengrass核心AWS IoT Greengrass V1開發者指南

  • s3— 從名稱包含的 S3 儲存貯體擷取檔案物件greengrass或者sagemaker。這些權限是必需的,以便AWS IoT Greengrass V1可以部署存放在 S3 儲存貯體中的機器學習資源。如需詳細資訊,請參閱機器學習資源AWS IoT Greengrass V1開發者指南

  • sagemaker— 檢索有關亞馬遜的信息SageMaker機器學習推論模型。此權限是必需的,以便AWS IoT Greengrass V1可以將 ML 模型部署到綠核心。如需詳細資訊,請參閱執行機器學習推論AWS IoT Greengrass V1開發者指南

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGreengrassAccessToShadows",
            "Action": [
                "iot:DeleteThingShadow",
                "iot:GetThingShadow",
                "iot:UpdateThingShadow"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iot:*:*:thing/GG_*",
                "arn:aws:iot:*:*:thing/*-gcm",
                "arn:aws:iot:*:*:thing/*-gda",
                "arn:aws:iot:*:*:thing/*-gci"
            ]
        },
        {
            "Sid": "AllowGreengrassToDescribeThings",
            "Action": [
                "iot:DescribeThing"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:thing/*"
        },
        {
            "Sid": "AllowGreengrassToDescribeCertificates",
            "Action": [
                "iot:DescribeCertificate"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:*:*:cert/*"
        },
        {
            "Sid": "AllowGreengrassToCallGreengrassServices",
            "Action": [
                "greengrass:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetLambdaFunctions",
            "Action": [
                "lambda:GetFunction",
                "lambda:GetFunctionConfiguration"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassToGetGreengrassSecrets",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
        },
        {
            "Sid": "AllowGreengrassAccessToS3Objects",
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::*Greengrass*",
                "arn:aws:s3:::*GreenGrass*",
                "arn:aws:s3:::*greengrass*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Sid": "AllowGreengrassAccessToS3BucketLocation",
            "Action": [
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
            "Action": [
                "sagemaker:DescribeTrainingJob"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:sagemaker:*:*:training-job/*"
            ]
        }
    ]
}

AWS 受管政策的 AWS IoT Greengrass 更新項目

您可以檢視更新的詳細資訊AWS受管理的政策AWS IoT Greengrass從這項服務開始追蹤這些變更的時間。如需有關此頁面變更的自動警示,請訂閱AWS IoT Greengrass V2文件歷史記錄頁

變更 描述 日期

AWS IoT Greengrass 已開始追蹤變更

AWS IoT Greengrass 已開始追蹤其 AWS 受管政策的變更。

2021 年 7 月 2 日