本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的托管策略 Amazon IoT Greengrass
Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 当新服务启动或现有服务 Amazon Web Services 服务 有新API操作可用时,最有可能更新 Amazon 托管策略。
有关更多信息,请参阅 IAM IAM 用户指南中的 Amazon 托管式策略。
主题
Amazon 托管策略: AWSGreengrassFullAccess
您可以将 AWSGreengrassFullAccess
策略附加到 IAM 身份。
此策略授予管理权限,允许主体完全访问所有 Amazon IoT Greengrass 操作。
权限详细信息
该策略包含以下权限:
-
greengrass
– 允许主体完全访问所有 Amazon IoT Greengrass 操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:*" ], "Resource": "*" } ] }
Amazon 托管策略: AWSGreengrassReadOnlyAccess
您可以将 AWSGreengrassReadOnlyAccess
策略附加到 IAM 身份。
此策略授予只读权限,允许主体查看 Amazon IoT Greengrass中的信息,但无法修改。例如,拥有这些权限的主体可以查看部署到 Greengrass 核心设备的组件列表,但无法创建部署以更改在该设备上运行的组件。
权限详细信息
该策略包含以下权限:
-
greengrass
- 允许主体执行返回项目列表或项目详细信息的操作。这包括以List
或开头的API操作Get
。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:List*", "greengrass:Get*" ], "Resource": "*" } ] }
Amazon 托管策略: AWSGreengrassResourceAccessRolePolicy
您可以将该AWSGreengrassResourceAccessRolePolicy
策略附加到您的IAM实体。 Amazon IoT Greengrass 还将此策略附加 Amazon IoT Greengrass 到允许代表您执行操作的服务角色。有关更多信息,请参阅 Greengrass 服务角色。
此策略授予允许 Amazon IoT Greengrass 执行基本任务的管理权限,例如检索您的 Lambda 函数、 Amazon IoT 管理设备影子和验证 Greengrass 客户端设备。
权限详细信息
该策略包含以下权限。
-
greengrass
– 管理 Greengrass 资源。 -
iot
(*Shadow
)-管理名称中包含以下特殊标识符的 Amazon IoT 阴影。 Amazon IoT Greengrass 需要这些权限才能与核心设备通信。-
*-gci
— Amazon IoT Greengrass 使用此影子存储核心设备连接信息,以便客户端设备可以发现并连接到核心设备。 -
*-gcm
— Amazon IoT Greengrass V1 使用此影子通知核心设备 Greengrass 组的证书颁发机构 (CA) 证书已轮换。 -
*-gda
— Amazon IoT Greengrass V1 使用此影子将部署通知核心设备。 -
GG_*
– 未使用。
-
-
iot
(DescribeThing
和DescribeCertificate
)-检索有关 Amazon IoT 事物和证书的信息。这些权限是必需的,这样 Amazon IoT Greengrass 才能验证连接到核心设备的客户端设备。有关更多信息,请参阅 与本地 IoT 设备交互。 -
lambda
— 检索有关 Amazon Lambda 函数的信息。需要此权限 Amazon IoT Greengrass V1 才能将 Lambda 函数部署到 Greengrass 内核。有关更多信息,请参阅《Amazon IoT Greengrass V1 开发人员指南》中的在 Amazon IoT Greengrass 核心上运行 Lambda 函数。 -
secretsmanager
— 检索名称以开头的 Amazon Secrets Manager 机密的值greengrass-
。需要此权限才能将 Secrets Manager 机密部署到 Greengrass 内核。 Amazon IoT Greengrass V1 有关更多信息,请参阅《Amazon IoT Greengrass V1 开发人员指南》中的将密钥部署到内 Amazon IoT Greengrass 核。 -
s3
– 从名称包含greengrass
或sagemaker
的 S3 存储桶中检索文件对象。这些权限是部署存储 Amazon IoT Greengrass V1 在 S3 存储桶中的机器学习资源所必需的。有关更多信息,请参阅《Amazon IoT Greengrass V1 开发人员指南》中的机器学习资源。 -
sagemaker
— 检索有关 Amazon SageMaker AI 机器学习推理模型的信息。需要此权限 Amazon IoT Greengrass V1 才能将机器学习模型部署到 Greengrass 内核。有关更多信息,请参阅《Amazon IoT Greengrass V1 开发人员指南》中的执行机器学习推理。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGreengrassAccessToShadows", "Action": [ "iot:DeleteThingShadow", "iot:GetThingShadow", "iot:UpdateThingShadow" ], "Effect": "Allow", "Resource": [ "arn:aws:iot:*:*:thing/GG_*", "arn:aws:iot:*:*:thing/*-gcm", "arn:aws:iot:*:*:thing/*-gda", "arn:aws:iot:*:*:thing/*-gci" ] }, { "Sid": "AllowGreengrassToDescribeThings", "Action": [ "iot:DescribeThing" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:thing/*" }, { "Sid": "AllowGreengrassToDescribeCertificates", "Action": [ "iot:DescribeCertificate" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:cert/*" }, { "Sid": "AllowGreengrassToCallGreengrassServices", "Action": [ "greengrass:*" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetLambdaFunctions", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetGreengrassSecrets", "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*" }, { "Sid": "AllowGreengrassAccessToS3Objects", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::*Greengrass*", "arn:aws:s3:::*GreenGrass*", "arn:aws:s3:::*greengrass*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowGreengrassAccessToS3BucketLocation", "Action": [ "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs", "Action": [ "sagemaker:DescribeTrainingJob" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:*:*:training-job/*" ] } ] }
Amazon IoT GreengrassAmazon 托管策略的更新
您可以查看自该服务开始跟踪这些更改之时 Amazon IoT Greengrass 起的 Amazon 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅Amazon IoT Greengrass V2 文档历史记录页面上的订阅RSS源。
更改 | 描述 | 日期 |
---|---|---|
Amazon IoT Greengrass 开始跟踪更改 |
Amazon IoT Greengrass 开始跟踪其 Amazon 托管策略的更改。 |
2021 年 7 月 2 日 |