本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon适用于 Amazon IoT Greengrass 的托管策略
Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Service启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
主题
Amazon托管策略:AWSGreengrassFullAccess
您可以将 AWSGreengrassFullAccess 策略附加得到 IAM 身份。
此策略授予管理权限,允许委托人完全访问所有内容Amazon IoT Greengrass行动。
权限详细信息
此策略包含以下权限:
-
greengrass— 允许校长完全访问所有内容Amazon IoT Greengrass行动。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:*" ], "Resource": "*" } ] }
Amazon托管策略:AWSGreengrassReadOnlyAccess
您可以将 AWSGreengrassReadOnlyAccess 策略附加得到 IAM 身份。
此策略授予只读权限,允许委托人查看但不能修改中的信息Amazon IoT Greengrass。例如,拥有这些权限的主用户可以查看部署到 Greengrass 核心设备的组件列表,但不能创建部署来更改在该设备上运行的组件。
权限详细信息
此策略包含以下权限:
-
greengrass— 允许校长执行返回项目列表或项目详细信息的操作。这包括以开头的 API 操作List要么Get。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "greengrass:List*", "greengrass:Get*" ], "Resource": "*" } ] }
Amazon托管策略:AWSGreengrassResourceAccessRolePolicy
你可以附上AWSGreengrassResourceAccessRolePolicy针对您的 IAM 实体的政策。Amazon IoT Greengrass还将此策略附加到允许的服务角色Amazon IoT Greengrass代表您执行操作。有关更多信息,请参阅Greengrass 服务角色:
此政策授予的管理权限允许Amazon IoT Greengrass执行基本任务,例如检索您的 Lambda 函数、管理Amazon IoT设备影子,以及验证 Greengrass 客户端设备。
权限详细信息
此策略包含以下权限。
-
greengrass— 管理 Greengrass 资源。 -
iot(*Shadow) — 管理Amazon IoT名称中包含以下特殊标识符的阴影。这些权限是必需的,因此Amazon IoT Greengrass可以与核心设备通信。-
*-gci—Amazon IoT Greengrass使用此影子存储核心设备连接信息,以便客户端设备可以发现并连接到核心设备。 -
*-gcm—Amazon IoT Greengrass V1使用此影子通知核心设备 Greengrass 组的证书颁发机构 (CA) 证书已轮换。 -
*-gda—Amazon IoT Greengrass V1使用此影子将部署通知核心设备。 -
GG_*— 未使用。
-
-
iot(DescribeThing和DescribeCertificate) — 检索有关的信息Amazon IoT东西和证书。这些权限是必需的,因此Amazon IoT Greengrass可以验证连接到核心设备的客户端设备。有关更多信息,请参阅与本地物联网设备互动: -
lambda— 检索有关的信息Amazon Lambda函数。此权限是必需的,因此Amazon IoT Greengrass V1可以将 Lambda 函数部署到 Greengrass 内核。有关更多信息,请参见在上运行 Lambda 函数Amazon IoT Greengrass核心在里面Amazon IoT Greengrass V1开发者指南。 -
secretsmanager— 检索的值Amazon Secrets Manager名字开头的秘密greengrass-。此权限是必需的,因此Amazon IoT Greengrass V1可以将密钥管理器机密部署到 Greengrass 内核。有关更多信息,请参见将机密部署到Amazon IoT Greengrass核心在里面Amazon IoT Greengrass V1开发者指南。 -
s3— 从名称包含的 S3 存储桶中检索文件对象greengrass要么sagemaker。这些权限是必需的,因此Amazon IoT Greengrass V1可以部署存储在 S3 存储桶中的机器学习资源。有关更多信息,请参见机器学习资源在里面Amazon IoT Greengrass V1开发者指南。 -
sagemaker— 检索有关亚马逊的信息SageMaker机器学习推理模型。此权限是必需的,因此Amazon IoT Greengrass V1可以将机器学习模型部署到 Greengrass 内核。有关更多信息,请参见进行机器学习推断在里面Amazon IoT Greengrass V1开发者指南。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGreengrassAccessToShadows", "Action": [ "iot:DeleteThingShadow", "iot:GetThingShadow", "iot:UpdateThingShadow" ], "Effect": "Allow", "Resource": [ "arn:aws:iot:*:*:thing/GG_*", "arn:aws:iot:*:*:thing/*-gcm", "arn:aws:iot:*:*:thing/*-gda", "arn:aws:iot:*:*:thing/*-gci" ] }, { "Sid": "AllowGreengrassToDescribeThings", "Action": [ "iot:DescribeThing" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:thing/*" }, { "Sid": "AllowGreengrassToDescribeCertificates", "Action": [ "iot:DescribeCertificate" ], "Effect": "Allow", "Resource": "arn:aws:iot:*:*:cert/*" }, { "Sid": "AllowGreengrassToCallGreengrassServices", "Action": [ "greengrass:*" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetLambdaFunctions", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassToGetGreengrassSecrets", "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*" }, { "Sid": "AllowGreengrassAccessToS3Objects", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::*Greengrass*", "arn:aws:s3:::*GreenGrass*", "arn:aws:s3:::*greengrass*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowGreengrassAccessToS3BucketLocation", "Action": [ "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "AllowGreengrassAccessToSageMakerTrainingJobs", "Action": [ "sagemaker:DescribeTrainingJob" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:*:*:training-job/*" ] } ] }
对 Amazon 托管式策略的 Amazon IoT Greengrass 更新
您可以查看有关更新的详细信息Amazon的托管策略Amazon IoT Greengrass从该服务开始跟踪这些更改时起。如需有关此页面变更的自动提醒,请订阅上的 RSS feedAmazon IoT Greengrass V2文档历史页面。
| 更改 | 说明 | 日期 |
|---|---|---|
|
Amazon IoT Greengrass 已开启跟踪更改 |
Amazon IoT Greengrass 为其 Amazon 托管式策略开启了跟踪更改。 |
2021 年 7 月 2 日 |