密钥管理器 - Amazon IoT Greengrass
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

密钥管理器

秘密管理器组件 (aws.greengrass.SecretManager) 从部署密钥Amazon Secrets Manager到 Greengrass 核心设备。使用此组件可以在 Greengrass 核心设备上的自定义组件中安全地使用凭据(例如密码)。有关 Secrets Manager 的更多信息,请参阅是什么Amazon Secrets Manager?中的Amazon Secrets Manager用户指南.

要在自定义 Greengrass 组件中访问此组件的秘密,请使用GetSecretValue中的操作Amazon IoT Device SDK. 有关更多信息,请参阅 使用Amazon IoT Device SDK与 Greengrass 核心、其他组件进行沟通Amazon IoT Core检索密钥值

此组件对核心设备上的密码进行加密,以确保您的凭据和密码的安全,直到您需要使用它们。它使用核心设备的私有密钥来加密和解密密钥。

版本

此组件具有以下版本:

  • 2.1.x

  • 2.0.x

类型

这个组件是一个插件组件 (aws.greengrass.plugin)。这些区域有:Greengrass 核将此组件运行在与核心相同的 Java 虚拟机 (JVM) 中。当您在核心设备上更改此组件的版本时,核心会重新启动。

此组件使用与 Greengrass 核心相同的日志文件。有关更多信息,请参阅 显示器Amazon IoT Greengrass圆木

有关更多信息,请参阅 组件类型

操作系统

此组件可以安装在运行以下操作系统的核心设备上:

  • Linux

  • Windows

要求

此组件具有以下要求:

  • 这些区域有:Greengrass 设备角色必须允许secretsmanager:GetSecretValue操作,如以下 IAM 策略示例所示。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": [ "arn:aws:secretsmanager:region:123456789012:secret:MySecret" ] } ] }
    注意

    如果你使用客户管理Amazon Key Management Service密钥来加密密钥,设备角色还必须允许kms:Decryptaction.

    有关 Secrets Manager IAM 策略的更多信息,请参阅Amazon Secrets Manager用户指南

  • 自定义组件必须定义允许的授权策略aws.greengrass#GetSecretValue获取与此组件一起存储的秘密。在此授权策略中,您可以限制组件对特定密钥的访问。有关更多信息,请参阅 。秘密管理器 IPC 授权.

  • (可选)如果将核心设备的私钥和证书存储在硬件安全模块(HSM),HSM 必须支持 RSA 密钥,私钥必须有unwrap权限,而且公钥必须具有wrap许可证。

终端节点和端口

除了基本操作所需的终端节点和端口外,此组件必须能够对以下终端节点和端口执行出站请求。有关更多信息,请参阅 允许设备通过代理或防火墙进行流量

端点 端口 必填 描述

secretsmanager.region.amazonaws.com

443

将密钥下载到核心设备。

附属物

当你部署组件时,Amazon IoT Greengrass还可以部署其依赖项的兼容版本。这意味着您必须满足组件及其所有依赖项的要求才能成功部署组件。本部分列出了的依赖项发布的版本以及定义每个依赖项的组件版本的语义版本约束。您还可以在中查看组件各个版本的依赖项。Amazon IoT Greengrass控制台. 在组件详细信息页面上,查找依赖项列表。

2.1.0

下表列出了此组件 2.1.0 版的依赖项。

依赖关系 兼容的版本 依赖项类型
Greengrass 核 >=2.5.0 <2.6.0 软性
2.0.9

下表列出了此组件 2.0.9 版的依赖关系。

依赖关系 兼容的版本 依赖项类型
Greengrass 核 >=2.0.0 <2.5.0 软性
2.0.8

下表列出了此组件 2.0.8 版的依赖关系。

依赖关系 兼容的版本 依赖项类型
Greengrass 核 >=2.0.0 <2.4.0 软性
2.0.7

下表列出了此组件 2.0.7 版的依赖关系。

依赖关系 兼容的版本 依赖项类型
Greengrass 核 >=2.0.0 <2.3.0 软性
2.0.6

下表列出了此组件 2.0.6 版的依赖关系。

依赖关系 兼容的版本 依赖项类型
Greengrass 核 >=2.0.0 <2.2.0 软性
2.0.4 and 2.0.5

下表列出了此组件 2.0.4 和 2.0.5 版的依赖项。

依赖关系 兼容的版本 依赖项类型
Greengrass 核 >=2.0.3 <2.1.0 软性

有关组件依赖项的更多信息,请参阅组件配方参考.

配置

此组件提供了以下配置参数,您可以在部署组件时自定义这些参数。

cloudSecrets

要部署到核心设备的 Secret Secrets Manager 钥列表。您可以指定标签来定义要部署的每个密钥的哪些版本。如果您未指定版本,则此组件将使用暂存标签部署版本AWSCURRENT附加。有关更多信息,请参阅 。暂存标签中的Amazon Secrets Manager用户指南.

每个对象包含以下信息:

arn

要部署的密钥的 ARN。

labels

(可选)标识要部署到核心设备的密钥版本的标签列表。

每个标签必须是字符串。

例如:配置合并更新

{ "cloudSecrets": [ { "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef" } ] }

本地日志文件

此组件使用的日志文件与Greengrass 核组件。

Linux
/greengrass/v2/logs/greengrass.log
Windows
C:\greengrass\v2\logs\greengrass.log

查看此组件的日志

  • 在核心设备上运行以下命令以实时查看此组件的日志文件。Replace/绿草/v2要么C:\greengrass\v2随着通往Amazon IoT Greengrass根文件夹。

    Linux
    sudo tail -f /greengrass/v2/logs/greengrass.log
    Windows (PowerShell)
    Get-Content C:\greengrass\v2\logs\greengrass.log -Tail 10 -Wait

更改日志

下表介绍了组件各个版本中的更改。

Version

更改

2.1.0

新功能
  • 添加了对硬件安全集成的支持。密钥管理器组件可以使用存储在硬件安全模块 (HSM) 中的私有密钥来加密和解密密钥。有关更多信息,请参阅 硬件安全性集成

错误修复和改进
  • Greengrass 核心 2.5.0 版更新。

2.0.9

Greengrass 核心 2.4.0 版更新。

2.0.8

Greengrass 核心 2.3.0 版更新。

2.0.7

Greengrass 核心 2.2.0 版更新。

2.0.6

Greengrass 核心 2.1.0 版更新。

2.0.5

改进
  • 增加了对 的支持Amazon和中国区域Amazon GovCloud (US)地区。

2.0.4

初始版本。