本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon 的托管策略 Amazon IoT Greengrass
Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon 托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [Amazon 托管策略: AWSGreengrassFullAccess](#aws-managed-policies-AWSGreengrassFullAccess)
+ [Amazon 托管策略: AWSGreengrassReadOnlyAccess](#aws-managed-policies-AWSGreengrassReadOnlyAccess)
+ [Amazon 托管策略: AWSGreengrassResourceAccessRolePolicy](#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)
+ [Amazon IoT Greengrass Amazon 托管策略的更新](#aws-managed-policy-updates)
## Amazon 托管策略: AWSGreengrassFullAccess
您可以将 `AWSGreengrassFullAccess` 策略附加到 IAM 身份。
此策略授予管理权限,允许主体完全访问所有 Amazon IoT Greengrass 操作。
**权限详细信息**
该策略包含以下权限:
+ `greengrass`:允许主体完全访问所有 Amazon IoT Greengrass 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}
```
------
## Amazon 托管策略: AWSGreengrassReadOnlyAccess
您可以将 `AWSGreengrassReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予只读权限,允许主体查看 Amazon IoT Greengrass中的信息,但无法修改。例如,拥有这些权限的主体可以查看部署到 Greengrass 核心设备的组件列表,但无法创建部署以更改在该设备上运行的组件。
**权限详细信息**
该策略包含以下权限:
+ `greengrass` - 允许主体执行返回项目列表或项目详细信息的操作。这包括以 `List` 或 `Get` 开头的 API 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}
```
------
## Amazon 托管策略: AWSGreengrassResourceAccessRolePolicy
您可以将该`AWSGreengrassResourceAccessRolePolicy`策略附加到您的 IAM 实体。 Amazon IoT Greengrass 还将此策略附加 Amazon IoT Greengrass 到允许代表您执行操作的服务角色。有关更多信息,请参阅 [Greengrass 服务角色](greengrass-service-role.md)。
此策略授予管理权限, Amazon IoT Greengrass 允许执行基本任务,例如检索您的 Lambda 函数、 Amazon IoT 管理设备影子和验证 Greengrass 客户端设备。
**权限详细信息**
该策略包含以下权限。
+ `greengrass` – 管理 Greengrass 资源。
+ `iot`(`*Shadow`)-管理名称中包含以下特殊标识符的 Amazon IoT 阴影。 Amazon IoT Greengrass 需要这些权限才能与核心设备通信。
+ `*-gci`— Amazon IoT Greengrass 使用此影子存储核心设备连接信息,以便客户端设备可以发现并连接到核心设备。
+ `*-gcm`— Amazon IoT Greengrass V1 使用此影子通知核心设备 Greengrass 组的证书颁发机构 (CA) 证书已轮换。
+ `*-gda`— Amazon IoT Greengrass V1 使用此影子将部署通知核心设备。
+ `GG_*` – 未使用。
+ `iot`(`DescribeThing`和`DescribeCertificate`)-检索有关 Amazon IoT 事物和证书的信息。这些权限是必需的,这样 Amazon IoT Greengrass 才能验证连接到核心设备的客户端设备。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
+ `lambda`— 检索有关 Amazon Lambda 函数的信息。需要此权限才能让 Amazon IoT Greengrass V1 能够将 Lambda 函数部署到 Greengrass 内核。有关更多信息,请参阅 *Amazon IoT Greengrass V1* 开发人员指南中的在[Amazon IoT Greengrass 核心上运行 Lambda 函数](https://docs.amazonaws.cn/greengrass/v1/developerguide/lambda-functions.html)。
+ `secretsmanager`— 检索名称以开头的 Amazon Secrets Manager 机密的值`greengrass-`。 Amazon IoT Greengrass V1 需要此权限才能将 Secrets Manager 机密部署到 Greengrass 内核。有关更多信息,请参阅 *Amazon IoT Greengrass V1 开发人员指南*[中的将密钥部署到内 Amazon IoT Greengrass 核](https://docs.amazonaws.cn/greengrass/v1/developerguide/secrets.html)。
+ `s3` – 从名称包含 `greengrass` 或 `sagemaker` 的 S3 存储桶中检索文件对象。这些权限是必需的,这样 Amazon IoT Greengrass V1 才能部署您存储在 S3 存储桶中的机器学习资源。有关更多信息,请参阅《*Amazon IoT Greengrass V1 开发者指南*》中的[机器学习资源](https://docs.amazonaws.cn/greengrass/v1/developerguide/ml-inference.html#ml-resources)。
+ `sagemaker`— 检索有关 Amazon SageMaker AI 机器学习推理模型的信息。 Amazon IoT Greengrass V1 需要此权限才能将机器学习模型部署到 Greengrass 内核。有关更多信息,请参阅《*Amazon IoT Greengrass V1 开发者*指南》中的[执行机器学习推理](https://docs.amazonaws.cn/greengrass/v1/developerguide/ml-inference.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}
```
------
## Amazon IoT Greengrass Amazon 托管策略的更新
您可以查看自该服务开始跟踪这些更改之时 Amazon IoT Greengrass 起的 Amazon 托管策略更新的详细信息。要获得有关此页面更改的自动提醒,请在 [Amazon IoT Greengrass V2 文档历史记录页面](document-history.md)上订阅 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| Amazon IoT Greengrass 已开始跟踪更改 | Amazon IoT Greengrass 开始跟踪其 Amazon 托管策略的更改。 | 2021 年 7 月 2 日 |