终止支持通知：2026 年 10 月 7 日， Amazon 将停止对的支持。 Amazon IoT Greengrass Version 1 2026 年 10 月 7 日之后，您将无法再访问这些 Amazon IoT Greengrass V1 资源。如需了解更多信息，请访问[迁移自 Amazon IoT Greengrass Version 1](https://docs.amazonaws.cn/greengrass/v2/developerguide/migrate-from-v1.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 中的配置和漏洞分析 Amazon IoT Greengrass
<a name="vulnerability-analysis-and-management"></a>

IoT 环境可能由大量具有不同功能、长期存在且地理位置分散的设备组成。这些特性导致设备设置复杂且容易出错。由于设备的计算能力、内存和存储功能通常有限，因而限制了在设备本身上对加密和其它形式的安全功能的使用。此外，设备经常使用具有已知漏洞的软件。这些因素不仅令 IoT 设备成为吸引黑客的目标，而且导致难以持续保护设备安全。

Amazon IoT Device Defender 通过提供工具来识别安全问题和与最佳实践的偏差，从而应对这些挑战。您可以使用 Amazon IoT Device Defender 分析、审计和监控连接的设备，以检测异常行为并降低安全风险。 Amazon IoT Device Defender 可以对设备进行审计，以确保它们遵守安全最佳实践并检测设备上的异常行为。这使您能够跨多个设备实施一致的安全策略，并且能够在设备遭到破坏时快速响应。在与的连接中 Amazon IoT Core， Amazon IoT Greengrass 生成[可预测的客户端 ID](gg-core.md#connection-client-id)，您可以将其与 Amazon IoT Device Defender 功能一起使用。有关更多信息，请参阅《Amazon IoT Core 开发人员指南》**中的 [Amazon IoT Device Defender](https://docs.amazonaws.cn/iot/latest/developerguide/device-defender.html)。

在 Amazon IoT Greengrass 环境中，您应该注意以下注意事项：
+ 您有责任保护物理设备、设备上的文件系统和本地网络的安全。
+ Amazon IoT Greengrass [不对用户定义的 Lambda 函数强制网络隔离，无论它们是否在 Greengrass 容器中运行。](lambda-group-config.md#lambda-containerization-considerations)因此，Lambda 函数可以通过网络与系统内外运行的任何其他进程进行通信。

如果您失去了对 Greengrass 核心设备的控制，并且希望阻止客户端设备将数据传输到核心，请执行以下操作：<a name="make-devices-distrust-core"></a>

1. 从 Greengrass 组中移除 Greengrass 核心。

1. 轮换组 CA 证书。在 Amazon IoT 控制台中，您可以在群组的 “**设置”** 页面上轮换 CA 证书。在 Amazon IoT Greengrass API 中，您可以使用[CreateGroupCertificateAuthority](https://docs.amazonaws.cn/greengrass/v1/apireference/creategroupcertificateauthority-post.html)操作。

   如果您的核心设备的硬盘驱动器容易被盗，我们还建议使用全磁盘加密。