本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
秘密经理
密钥管理器组件 (aws.greengrass.SecretManager
) 将机密部署Amazon Secrets Manager到 Greengrass 核心设备。使用此组件在 Greengrass 核心设备的自定义组件中安全地使用密码,例如密码。有关 Secrets Manager 的更多信息,请参阅什么是Amazon Secrets Manager? 在《Amazon Secrets Manager用户指南》中。
要在自定义 Greengrass 组件中访问此组件的密钥,请使用中的GetSecretValue操作Amazon IoT Device SDK。有关更多信息,请参阅 使用Amazon IoT Device SDK与 Greengrass 核、其他组件进行通信,以及Amazon IoT Core 和 检索密钥值。
此组件对核心设备上的机密进行加密,以确保您的凭据和密码的安全,直到您需要使用它们为止。它使用核心设备的私钥为密钥为密钥加密和解密。
版本
此组件有以下版本:
-
2.1.x
-
2.0.x
类型
这个组件是一个插件组件 (aws.greengrass.plugin
)。Greengrass 核心在与核心相同的 Java 虚拟机 (JVM) 中运行此组件。当您在核心设备上更改此组件的版本时,nucleus 会重新启动。
此组件使用与 Greengrass 核相同的日志文件。有关更多信息,请参阅监控Amazon IoT Greengrass日志:
有关更多信息,请参阅组件类型:
操作系统
此组件可以安装在运行以下操作系统的核心设备上:
Linux
Windows
要求
此组件有以下要求:
-
Greengrass 设备角色必须允许此
secretsmanager:GetSecretValue
操作,如以下示例 IAM 策略所示。{ "Version": "2012-10-17", "Statement": [ { "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": [ "arn:
aws
:secretsmanager:region
:123456789012:secret:MySecret" ] } ] }注意 如果您使用客户管理的密Amazon Key Management Service钥来加密密钥,则设备角色还必须允许该
kms:Decrypt
操作。有关 Secrets Manager 的 IAM 策略,请参阅《Amazon Secrets Manager用户指南》中的以下内容:
-
自定义组件必须定义授权策略,该策略
aws.greengrass#GetSecretValue
允许获取您使用此组件存储的密钥。在此授权策略中,您可以限制组件对特定机密的访问权限。有关更多信息,请参阅密钥管理器 IPC 授权。 -
(可选)如果将核心设备的私钥和证书存储在硬件安全模块 (HSM) 中,则 HSM 必须支持 RSA 密钥,私钥必须具有
unwrap
权限,公钥必须具有wrap
权限。
端点和端口
除了基本操作所需的端点和端口外,此组件还必须能够向以下端点和端口执行出站请求。有关更多信息,请参阅允许设备流量通过代理或防火墙:
Endpoint | 端口 | 必填 | 描述 |
---|---|---|---|
|
443 | 是 |
将密钥下载到核心设备。 |
附属物
部署组件时,Amazon IoT Greengrass还会部署其依赖项的兼容版本。这意味着您必须满足组件及其所有依赖项的要求才能成功部署该组件。本节列出了此组件已发布版本的依赖关系以及为每个依赖项定义组件版本的语义版本约束。您还可以在Amazon IoT Greengrass控制台
有关组件依赖关系的更多信息,请参阅组件配方参考。
配置
此组件提供以下配置参数,您可以在部署组件时对其进行自定义。
cloudSecrets
-
要部署到核心设备的密钥Secrets Manager 密钥列表。您可以指定标签来定义要部署的每个密钥的哪些版本。如果未指定版本,则此组件默认使用
AWSCURRENT
附加了暂存标注的版本。有关更多信息,请参阅《Amazon Secrets Manager用户指南》中的暂存标签。每个对象都包含以下信息:
arn
-
要部署的密钥的 ARN。
labels
-
(可选)用于识别要部署到核心设备的密钥版本的标签列表。
每个标签都必须是一个字符串。
例 示例:配置合并更新
{ "cloudSecrets": [ { "arn": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyGreengrassSecret-abcdef" } ] }
本地日志文件
此组件使用与 Greengrass 核心组件相同的日志文件。
查看此组件的日志
-
在核心设备上运行以下命令以实时查看此组件的日志文件。将
/greengrass/v2
或C:\greengrass\v2
替换为Amazon IoT Greengrass根文件夹的路径。
更改日志
下表说明该组件的每个版本的更改。
Version |
变更 |
---|---|
2.1.4 |
|
2.1.3 |
为了 Greengrass ucle 版本 2.8.0 版本的版本。 |
2.1.2 |
为了 GGreengrass ucle 版本 2.7.0 版本的版本。 |
2.1.1 |
为了 Greengrass ucle 版本 2.6.0 版本的版本。 |
2.1.0 |
|
2.0.9 |
为了 Greengrass ucle 版本 2.4.0 版本的版本。 |
2.0.8 |
为了 Greengrass ucle 版本 2.3.0 版本的版本。 |
2.0.7 |
为了 Greengrass ucle 版本 2.2.0 版本的版本。 |
2.0.6 |
为了 Greengrass ucle 版本 2.1.0 版本的版本。 |
2.0.5 |
|
2.0.4 |
初始版本。 |