Amazon适用于 Amazon IoT Greengrass 的托管策略 - Amazon IoT Greengrass
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon适用于 Amazon IoT Greengrass 的托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管式策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管式策略

Amazon Web Services 负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ViewOnlyAccess Amazon 托管式策略提供对许多 Amazon Web Services 服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

Amazon托管策略:AWSGreengrassFullAccess

您可以将 AWSGreengrassFullAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许委托人完全访问所有权限。Amazon IoT Greengrass行动。

权限详细信息

此策略包含以下权限:

  • greengrass— 允许主体完全访问所有Amazon IoT Greengrass行动。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:*" ], "Resource": "*" } ] }

Amazon托管策略:AWSGreengrassReadOnlyAccess

您可以将 AWSGreengrassReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予只读权限,允许委托人查看但不能修改中的信息Amazon IoT Greengrass. 例如,拥有这些权限的委托人可以查看部署到 Greengrass 核心设备的组件列表,但无法创建部署来更改在该设备上运行的组件。

权限详细信息

此策略包含以下权限:

  • greengrass— 允许承担者执行返回项目列表或项目详细信息的操作。这包括从开始的 API 操作List要么Get.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:List*", "greengrass:Get*" ], "Resource": "*" } ] }

Amazon托管策略:AWSGreengrassResourceAccessRolePolicy

您可以挂载AWSGreengrassResourceAccessRolePolicy您的 IAM 实体的策略。Amazon IoT Greengrass此策略还将此策略附加到允许的服务角色Amazon IoT Greengrass代表您执行操作。有关更多信息,请参阅 Greengrass 服务角色

此策略授予管理权限,允许Amazon IoT Greengrass执行关键任务,如检索 Lambda 函数、管理Amazon IoT设备阴影,以及验证 Greengrass 客户端设备。

权限详细信息

此策略包含以下权限。

  • greengrass— 管理 Greengrass 资源。

  • iot(*Shadow) — 管理Amazon IoT名称中有以下特殊标识符的阴影。需要这些权限,Amazon IoT Greengrass可以与核心设备进行通信。

    • *-gci–Amazon IoT Greengrass使用此影子存储核心设备连接信息,以便客户端设备可以发现并连接到核心设备。

    • *-gcm–Amazon IoT Greengrass V1使用此影子通知核心设备 Greengrass 组的证书颁发机构 (CA) 证书已轮换。

    • *-gda–Amazon IoT Greengrass V1使用此影子将部署通知核心设备。

    • GG_*-未使用。

  • iot(DescribeThingDescribeCertificate) — 检索有关的信息Amazon IoT事物和证书。需要这些权限,Amazon IoT Greengrass可以验证连接到核心设备的客户端设备。有关更多信息,请参阅 与本地 IoT 设备互动

  • lambda检索有关的信息Amazon Lambda函数。需要此权限,Amazon IoT Greengrass V1可以将 Lambda 函数部署到 Greengrass 内核。有关更多信息,请参阅 。在上运行 Lambda 函数Amazon IoT Greengrass核心中的Amazon IoT Greengrass V1开发人员指南.

  • secretsmanager— 检索的值Amazon Secrets Manager名字开头的秘密greengrass-. 需要此权限才能Amazon IoT Greengrass V1可以将 Secrets Manager 秘密部署到 Greengrass 内核。有关更多信息,请参阅 。将密钥部署到Amazon IoT Greengrass核心中的Amazon IoT Greengrass V1开发人员指南.

  • s3— 从名称包含的 S3 存储桶中检索文件对象greengrass要么sagemaker. 需要这些权限,Amazon IoT Greengrass V1可以部署您存储在 S3 存储桶中的机器学习资源。有关更多信息,请参阅 。机器学习资源中的Amazon IoT Greengrass V1开发人员指南.

  • sagemaker检索有关亚马逊的信息 SageMaker 机器学习推理模型。需要此权限,Amazon IoT Greengrass V1可以将 ML 模型部署到 Greengrass 内核。有关更多信息,请参阅 。执行机器学习推理中的Amazon IoT Greengrass V1开发人员指南.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGreengrassAccessToShadows", "Action": [ "iot:DeleteThingShadow", "iot:GetThingShadow", "iot:UpdateThingShadow" ], "Effect": "Allow", "Resource": [ "arn:aws:iot:*:*:thing/GG_*", "arn:aws:iot:*:*:thing/*-gcm", "arn:aws:iot:*:*:thing/*-gda", "arn:aws:iot:*:*:thing/*-gci" ] }, { "Sid": "AllowGreengrassToDescribeThings", "Action": [ "iot:DescribeThing" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:thing/*" }, { "Sid": "AllowGreengrassToDescribeCertificates", "Action": [ "iot:DescribeCertificate" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:cert/*" }, { "Sid": "AllowGreengrassToCallGreengrassServices", "Action": [ "greengrass:*" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetLambdaFunctions", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetGreengrassSecrets", "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*" }, { "Sid": "AllowGreengrassAccessToS3Objects", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::*Greengrass*", "arn:aws:s3:::*GreenGrass*", "arn:aws:s3:::*greengrass*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowGreengrassAccessToS3BucketLocation", "Action": [ "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs", "Action": [ "sagemaker:DescribeTrainingJob" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:*:*:training-job/*" ] } ] }

对 Amazon 托管式策略的 Amazon IoT Greengrass 更新

您可以查看有关更新的详细信息Amazon适用于 的托管策略Amazon IoT Greengrass从该服务开始跟踪这些更改开始。要获得有关此页面更改的自动提示,请订阅Amazon IoT Greengrass V2文档历史记录页.

更改 说明 日期

Amazon IoT Greengrass 已开启跟踪更改

Amazon IoT Greengrass 为其 Amazon 托管式策略开启了跟踪更改。

2021 年 7 月 2 日