Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

离线时对客户端进行身份验证

通过离线身份验证，您可以配置您的 Amazon IoT Greengrass 核心设备，以便即使核心设备未连接到云端，客户端设备也可以连接到核心设备。当您使用离线身份验证时，您的 Greengrass 设备可以在部分离线环境中继续工作。

要对连接到云端的客户端设备使用离线身份验证，您需要满足以下条件：

存储客户凭证

当客户端设备首次连接到核心设备时，核心设备会调用该 Amazon IoT Greengrass 服务。当被调用时，Greengrass 会将客户端设备的注册作为事物进行验证。 Amazon IoT 它还会验证设备是否具有有效的证书。然后，核心设备将这些信息存储在本地。

设备下次连接时，Greengrass 核心设备会尝试使用服务验证客户端设备。 Amazon IoT Greengrass 如果无法连接 Amazon IoT Greengrass，则核心设备将使用其本地存储的设备信息来验证客户端设备。

您可以配置 Greengrass 核心设备存储凭据的时间长度。您可以通过在客户端设备身份验证组件配置中设置clientDeviceTrustDurationMinutes配置选项，将超时时间从一分钟设置为 2,147,483,647 分钟。默认值为一分钟，这实际上会关闭离线身份验证。在设置此超时时，我们建议您考虑您的安全需求。您还应该考虑核心设备在与云端断开连接时预计能运行多长时间。

核心设备会三次更新其凭据存储：

当 Greengrass 核心设备刷新其凭据存储区时，它会使用该操作。 ListClientDevicesAssociatedWithCoreDeviceGreengrass 仅刷新此操作返回的设备。要将客户端设备与核心设备关联，请参阅关联客户端设备。

要使用该ListClientDevicesAssociatedWithCoreDevice操作，您必须向与运行的关联的 Amazon Identity and Access Management (IAM) 角色添加操作权限 Amazon IoT Greengrass。 Amazon Web Services 账户 有关更多信息，请参阅 授权核心设备与 Amazon 服务交互。