Amazon IoT Greengrass Version 1 2023 年 6 月 30 日进入延长寿命阶段。有关更多信息,请参阅 Amazon IoT Greengrass V1 维护策略。在此日期之后,将 Amazon IoT Greengrass V1 不会发布提供功能、增强功能、错误修复或安全补丁的更新。在上面运行的设备 Amazon IoT Greengrass V1 不会中断,将继续运行并连接到云端。我们强烈建议您迁移到 Amazon IoT Greengrass Version 2,这样可以添加重要的新功能并支持其他平台。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Greengrass 组角色
Greengrass 组角色是授权在 Greengrass 核心上运行的代码访问您的 Amazon 资源的 IAM 角色。您可以在 Amazon Identity and Access Management (IAM) 中创建此角色和管理权限,并将该角色附加到您的 Greengrass 组。一个 Greengrass 组有一个组角色。要添加或更改权限,您可以附加其他角色或更改附加到该角色的 IAM policies。
角色必须将 Amazon IoT Greengrass 定义为受信任的实体。根据您的业务用例,组角色可能包含定义以下内容的 IAM 策略:
用户定义的 Lambda 函数 访问 Amazon 服务的权限。
连接器 访问 Amazon 服务的权限。
流管理器将流导出到 Amazon IoT Analytics 和 Kinesis Data Streams 的权限。
允许 CloudWatch 日志记录的权限。
以下各部分将介绍如何在 Amazon Web Services Management Console 或 Amazon CLI 中附加或移除 Greengrass 组角色。
注意
除了授权从 Greengrass 核心进行访问的群组角色外,您还可以分配一个 Greengrass 服务角色以允许 Amazon IoT Greengrass 代表您访问 Amazon 资源。
管理 Greengrass 组角色(控制台)
您可以使用 Amazon IoT 控制台执行以下角色管理任务:
注意
登录到控制台的用户必须具有管理该角色的权限。
查找您的 Greengrass 组角色(控制台)
请按照以下步骤查找附加到 Greengrass 组的角色。
在 Amazon IoT 控制台导航窗格的管理下,展开Greengrass 设备,然后选择组 (V1)。
选择目标组。
如果某个角色已附加到该组,它会显示在组角色)下。
添加或更改 Greengrass 组角色(控制台)
请按照以下步骤从您的 Amazon Web Services 账户 中选择要添加到 Greengrass 组的 IAM 角色。
组角色具有以下要求:
-
将 Amazon IoT Greengrass 定义为可信任的实体。
-
附加到角色的权限策略必须授予组中的 Lambda 函数和连接器,以及 Greengrass 系统组件所需的对 Amazon 资源的权限。
注意
我们建议您在信任策略中加入 aws:SourceArn
和 aws:SourceAccount
全局条件上下文键,以帮助防止出现混淆代理人安全问题。条件上下文密钥限制访问权限,仅允许来自指定账户和 Greengrass 工作空间的请求。有关混淆代理人问题的更多信息,请参阅 防止跨服务混淆代理。
使用 IAM 控制台创建和配置此角色及其权限。有关创建允许访问 Amazon DynamoDB 表的示例角色的步骤,请参阅配置组角色。有关常见步骤,请参阅 IAM 用户指南中的为 Amazon 服务(控制台)创建一个角色。
配置角色后,请使用 Amazon IoT 控制台将角色添加到组。
注意
仅在为组选择角色时才需要执行此过程。更改当前所选组角色的权限后,不需要执行此过程。
在 Amazon IoT 控制台导航窗格的管理下,展开Greengrass 设备,然后选择组 (V1)。
选择目标组。
-
在组角色下,选择添加或更改角色:
-
要添加角色,请选择关联角色,然后从角色列表中选择您的角色。这些是您的 Amazon Web Services 账户 中将 Amazon IoT Greengrass 定义为受信任实体的角色。
-
要选择其他角色,请选择编辑角色,然后从角色列表中选择您的角色。
-
-
选择 Save(保存)。
移除 Greengrass 组角色(控制台)
请按照以下步骤从 Greengrass 组中移除角色。
在 Amazon IoT 控制台导航窗格的管理下,展开Greengrass 设备,然后选择组 (V1)。
选择目标组。
-
在组角色下,选择取消关联角色。
-
在确认对话框中,选择取消关联角色。此步骤将从组中移除相应角色,但不真正删除该角色。如果要删除角色,请使用 IAM 控制台。
管理 Greengrass 组角色 (CLI)
您可以使用 Amazon CLI 执行以下角色管理任务:
获取 Greengrass 组角色 (CLI)
请按照以下步骤查看 Greengrass 组是否具有关联的角色。
-
从组列表中获取目标组的 ID。
aws greengrass list-groups
以下为
list-groups
响应示例。响应中的每个组都包括一个包含该组 ID 的Id
属性。{ "Groups": [ { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "Name": "MyFirstGroup", "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z", "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "CreationTimestamp": "2019-11-11T05:47:31.435Z", "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE" }, { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "Name": "GreenhouseSensors", "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z", "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "CreationTimestamp": "2020-01-07T19:58:36.774Z", "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE" }, ... ] }
有关更多信息,包括使用
query
选项筛选结果的示例,请参阅获取组 ID。 -
从输出中复制目标组的
Id
。 -
获取组角色。将
group-id
替换为目标组的 ID。aws greengrass get-associated-role --group-id
group-id
如果某个角色与您的 Greengrass 组关联,将返回以下角色元数据。
{ "AssociatedAt": "
timestamp
", "RoleArn": "arn:aws:iam::account-id
:role/path/role-name
" }如果您的组没有关联的角色,将返回以下错误。
An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.
创建 Greengrass 组角色 (CLI)
请按照以下步骤创建角色并将其与 Greengrass 组关联。
要使用 IAM 创建组角色:
-
使用允许 Amazon IoT Greengrass 代入该角色的信任策略创建该角色。此示例将创建一个名为
MyGreengrassGroupRole
的角色,但您也可以使用其他名称。我们建议您在信任策略中加入aws:SourceArn
和aws:SourceAccount
全局条件上下文键,以帮助防止出现混淆代理人安全问题。条件上下文密钥限制访问权限,仅允许来自指定账户和 Greengrass 工作空间的请求。有关混淆代理人问题的更多信息,请参阅 防止跨服务混淆代理。 -
从输出中的角色元数据复制角色 ARN。使用该 ARN 将角色与您的组关联。
-
将托管策略或内联策略附加到角色以支持您的业务案例。例如,如果用户定义的 Lambda 函数从 Amazon S3 中读取数据,可以将
AmazonS3ReadOnlyAccess
托管策略附加到该角色。aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
如果成功,将不返回任何响应。
要将角色与您的 Greengrass 组关联,请执行以下操作:
-
从组列表中获取目标组的 ID。
aws greengrass list-groups
以下为
list-groups
响应示例。响应中的每个组都包括一个包含该组 ID 的Id
属性。{ "Groups": [ { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "Name": "MyFirstGroup", "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z", "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "CreationTimestamp": "2019-11-11T05:47:31.435Z", "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE" }, { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "Name": "GreenhouseSensors", "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z", "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "CreationTimestamp": "2020-01-07T19:58:36.774Z", "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE" }, ... ] }
有关更多信息,包括使用
query
选项筛选结果的示例,请参阅获取组 ID。 -
从输出中复制目标组的
Id
。 -
将角色与您的组关联。将
group-id
替换为目标组的 ID,将role-arn
替换为组角色的 ARN。aws greengrass associate-role-to-group --group-id
group-id
--role-arnrole-arn
如果成功,将返回以下响应。
{ "AssociatedAt": "
timestamp
" }
移除 Greengrass 组角色 (CLI)
请按照以下步骤解除组角色与您的 Greengrass 组的关联。
-
从组列表中获取目标组的 ID。
aws greengrass list-groups
以下为
list-groups
响应示例。响应中的每个组都包括一个包含该组 ID 的Id
属性。{ "Groups": [ { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "Name": "MyFirstGroup", "LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z", "LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE", "CreationTimestamp": "2019-11-11T05:47:31.435Z", "Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE" }, { "LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "Name": "GreenhouseSensors", "LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z", "LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE", "CreationTimestamp": "2020-01-07T19:58:36.774Z", "Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE", "Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE" }, ... ] }
有关更多信息,包括使用
query
选项筛选结果的示例,请参阅获取组 ID。 -
从输出中复制目标组的
Id
。 -
解除该角色与您的组的关联。将
group-id
替换为目标组的 ID。aws greengrass disassociate-role-from-group --group-id
group-id
如果成功,将返回以下响应。
{ "DisassociatedAt": "
timestamp
" }注意
如果未使用组角色,可以将其删除。先使用 delete-role-policy 从角色中移除每个托管的策略,然后使用 delete-role 删除该角色。有关更多信息,请参阅 IAM 用户指南中的删除角色或实例配置文件。
另请参阅
-
IAM 用户指南中的相关主题
-
Amazon CLI 命令参考中的 Amazon IoT Greengrass 命令
-
Amazon CLI 命令参考中的 IAM 命令