Hinweis zum Ende des Supports: Am 7. Oktober 2026 AWS wird der Support für eingestellt. AWS IoT Greengrass Version 1 Nach dem 7. Oktober 2026 können Sie nicht mehr auf die Ressourcen zugreifen. AWS IoT Greengrass V1 Weitere Informationen finden Sie unter [Migrieren von AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Greengrass-Servicerolle
<a name="service-role"></a>

Die Greengrass-Servicerolle ist eine AWS Identity and Access Management (IAM) -Servicerolle, die den AWS IoT Greengrass Zugriff auf Ressourcen von AWS Diensten in Ihrem Namen autorisiert. Auf diese Weise können Sie wichtige Aufgaben ausführen AWS IoT Greengrass , z. B. das Abrufen Ihrer AWS Lambda Funktionen und das Verwalten von Schatten. AWS IoT 

Um auf Ihre Ressourcen zugreifen AWS IoT Greengrass zu können, muss die Greengrass-Servicerolle mit Ihrer verknüpft AWS-Konto und AWS IoT Greengrass als vertrauenswürdige Entität angegeben werden. Die Rolle muss die [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)verwaltete Richtlinie oder eine benutzerdefinierte Richtlinie enthalten, die entsprechende Berechtigungen für die von Ihnen verwendeten AWS IoT Greengrass Funktionen definiert. Diese Richtlinie wird von den Berechtigungen verwaltet AWS und definiert, die für den Zugriff auf Ihre AWS Ressourcen AWS IoT Greengrass verwendet werden.

Sie können dieselbe Greengrass-Servicerolle für mehrere AWS-Region s wiederverwenden, müssen sie jedoch an jedem AWS-Region Ort, an dem Sie sie verwenden AWS IoT Greengrass, Ihrem Konto zuordnen. Die Gruppenbereitstellung schlägt fehl, wenn die Servicerolle in der aktuellen Region AWS-Konto und Region nicht existiert.

In den folgenden Abschnitten wird beschrieben, wie Sie die Greengrass-Servicerolle im AWS-Managementkonsole oder AWS CLI erstellen und verwalten.
+ [Verwaltung der Servicerolle (Konsole)](#manage-service-role-console)
+ [Verwaltung der Servicerolle (CLI)](#manage-service-role-cli)

**Anmerkung**  
Zusätzlich zu der Servicerolle, die den Zugriff auf Dienstebene autorisiert, können Sie einer *Gruppe eine Gruppenrolle* zuweisen. AWS IoT Greengrass Die Gruppenrolle ist eine separate IAM-Rolle, die steuert, wie die Funktionen und Konnektoren von Greengrass Lambda in der Gruppe auf Dienste zugreifen können. AWS 

## Verwalten der Greengrass-Servicerolle (Konsole)
<a name="manage-service-role-console"></a>

Die AWS IoT Konsole erleichtert die Verwaltung Ihrer Greengrass-Servicerolle. Wenn Sie beispielsweise eine Greengrass-Gruppe erstellen oder bereitstellen, prüft die Konsole, ob Sie AWS-Konto einer Greengrass-Servicerolle in der aktuell in der AWS-Region Konsole ausgewählten Rolle zugeordnet sind. Andernfalls kann die Konsole eine Servicerolle für Sie erstellen und konfigurieren. Weitere Informationen finden Sie unter [Erstellen der Greengrass-Servicerolle (Konsole)](#create-service-role-console).

Sie können die AWS IoT Konsole für die folgenden Rollenverwaltungsaufgaben verwenden:
+ [Suchen Ihrer Greengrass-Servicerolle](#get-service-role-console)
+ [Erstellen der Greengrass-Servicerolle](#create-service-role-console)
+ [Ändern der Greengrass-Servicerolle](#update-service-role-console)
+ [Trennen der Greengrass-Servicerolle](#remove-service-role-console)

**Anmerkung**  
Der Benutzer, der bei der Konsole angemeldet ist, muss über Berechtigungen zum Anzeigen, Erstellen oder Ändern der Servicerolle verfügen.

 

### Suchen Ihrer Greengrass-Servicerolle (Konsole)
<a name="get-service-role-console"></a>

Gehen Sie wie folgt vor, um die Servicerolle zu finden, die aktuell verwendet AWS IoT Greengrass wird AWS-Region.

1. <a name="iot-settings"></a>Wählen Sie im Navigationsbereich der [AWS IoT Konsole](https://console.aws.amazon.com/iot/) **Einstellungen** aus.

1. Scrollen Sie zum Abschnitt **Greengrass service role (Greengrass-Servicerolle)**, um Ihre Servicerolle und deren Richtlinien anzuzeigen.

   Wenn Sie keine Servicerolle sehen, können Sie die Konsole eine für Sie erstellen oder konfigurieren lassen. Weitere Informationen finden Sie unter [Erstellen der Greengrass-Servicerolle](#create-service-role-console).

 

### Erstellen der Greengrass-Servicerolle (Konsole)
<a name="create-service-role-console"></a>

Die Konsole kann eine standardmäßige Greengrass-Servicerolle für Sie erstellen und konfigurieren. Diese Rolle hat die folgenden Eigenschaften.


| Eigenschaft | Wert | 
| --- | --- | 
| Name | Greengrass\$1ServiceRole | 
| Trusted entity (Vertrauenswürdige Entität) | AWS service: greengrass | 
| Richtlinie | [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) | 

**Anmerkung**  
Wenn [Greengrass Device Setup](quick-start.md) die Servicerolle erstellt, lautet der Rollenname `GreengrassServiceRole_random-string`.

Wenn Sie eine Greengrass-Gruppe von der AWS IoT Konsole aus erstellen oder bereitstellen, prüft die Konsole, ob eine Greengrass-Servicerolle mit Ihrer AWS-Konto in der AWS-Region Konsole aktuell ausgewählten Person verknüpft ist. Falls nicht, werden Sie von der Konsole aufgefordert, in Ihrem Namen Lese- und Schreibzugriff auf AWS Dienste zuzulassen AWS IoT Greengrass .

Wenn Sie die Erlaubnis erteilen, überprüft die Konsole, ob eine Rolle mit dem Namen in Ihrer `Greengrass_ServiceRole` AWS-Konto vorhanden ist.
+ Wenn die Rolle vorhanden ist, ordnet die Konsole die Servicerolle Ihrer AWS-Konto in der aktuellen AWS-Region Version zu.
+ Wenn die Rolle nicht existiert, erstellt die Konsole eine standardmäßige Greengrass-Servicerolle und fügt sie Ihrer aktuellen Rolle AWS-Konto hinzu. AWS-Region

**Anmerkung**  
Wenn Sie eine Servicerolle mit benutzerdefinierten Rollenrichtlinien erstellen möchten, verwenden Sie die IAM-Konsole, um die Rolle zu erstellen oder zu ändern. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) oder [Ändern einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) im *IAM-Benutzerhandbuch*. Stellen Sie sicher, dass die Rolle Berechtigungen erteilt, die der verwalteten Richtlinie `AWSGreengrassResourceAccessRolePolicy` für die verwendeten Funktionen und Ressourcen entsprechen. Wir empfehlen, dass Sie auch die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Ihre Vertrauensrichtlinie aufnehmen, um das Sicherheitsproblem „*Confused Deputy*“ zu vermeiden. Die Bedingungskontextschlüssel beschränken den Zugriff, sodass nur Anfragen zugelassen werden, die vom angegebenen Konto und Greengrass-Workspace stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md).  
Wenn Sie eine Servicerolle erstellen, kehren Sie zur AWS IoT Konsole zurück und ordnen Sie die Rolle der Gruppe zu. Sie können dies unter **Greengrass service role (Greengrass-Servicerolle)** auf der Seite **Settings (Einstellungen)** der Gruppe vornehmen.

 

### Ändern der Greengrass-Servicerolle (Konsole)
<a name="update-service-role-console"></a>

Gehen Sie wie folgt vor, um eine andere Greengrass-Servicerolle auszuwählen, die Sie Ihrer AWS-Region aktuell AWS-Konto in der Konsole ausgewählten zuordnen möchten.

1. <a name="iot-settings"></a>Wählen Sie im Navigationsbereich der [AWS IoT Konsole](https://console.aws.amazon.com/iot/) **Einstellungen** aus.

1. Wählen Sie unter **Greengrass-Servicerolle** die Option **Rolle ändern** aus.

   Das Dialogfeld „**Greengrass-Serverolle aktualisieren**“ wird geöffnet und zeigt die IAM-Rollen in Ihrem System an AWS-Konto , die AWS IoT Greengrass als vertrauenswürdige Entität definiert sind.

1. Wählen Sie die Greengrass-Servicerolle aus, die Sie zuordnen möchten.

1. Wählen Sie **Rolle anhängen**.

**Anmerkung**  
Um der Konsole das Erstellen einer standardmäßigen Greengrass-Servicerolle für Sie zu erlauben, wählen Sie **Create role for me (Rolle für mich erstellen)** aus, anstatt eine Rolle aus der Liste auszuwählen. Der Link **Rolle für mich erstellen** wird nicht angezeigt, wenn sich eine benannte Rolle in Ihrer `Greengrass_ServiceRole` befindet AWS-Konto.

 

### Trennen der Greengrass-Servicerolle (Konsole)
<a name="remove-service-role-console"></a>

Gehen Sie wie folgt vor, um die Greengrass-Servicerolle von Ihrer AWS-Region aktuell AWS-Konto in der Konsole ausgewählten Rolle zu trennen. Dadurch werden die Berechtigungen für den Zugriff AWS IoT Greengrass auf AWS Dienste in der aktuellen Version aufgehoben. AWS-Region

**Wichtig**  
Durch das Trennen der Servicerolle können aktive Operationen unterbrochen werden.

1. <a name="iot-settings"></a>Wählen Sie im Navigationsbereich der [AWS IoT Konsole](https://console.aws.amazon.com/iot/) **Einstellungen** aus.

1. Wählen Sie unter **Greengrass-Servicerolle die Option Rolle** **trennen** aus.

1. Wählen Sie im Bestätigungsdialogfeld **Trennen** aus.

**Anmerkung**  
Wenn Sie die Rolle nicht mehr benötigen, können Sie sie in der IAM-Konsole löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.  
Andere Rollen ermöglichen möglicherweise AWS IoT Greengrass den Zugriff auf Ihre Ressourcen. Um alle Rollen zu finden, mit denen AWS IoT Greengrass Sie in Ihrem Namen Berechtigungen übernehmen können, suchen Sie in der IAM-Konsole auf der Seite **Rollen** in der Spalte **Vertrauenswürdige Entitäten** nach Rollen, die **AWS service: greengrass** enthalten.

## Verwalten der Greengrass-Servicerolle (CLI)
<a name="manage-service-role-cli"></a>

Bei den folgenden Verfahren gehen wir davon aus, dass der für die Verwendung Ihrer AWS-Konto ID installiert und konfiguriert AWS CLI ist. Weitere Informationen finden Sie unter [Installation der AWS Befehlszeilenschnittstelle](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) und [Konfiguration von AWS CLI im AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) *Benutzerhandbuch*.

Sie können das AWS CLI für die folgenden Rollenverwaltungsaufgaben verwenden:
+ [Abrufen Ihrer Greengrass-Servicerolle](#get-service-role)
+ [Erstellen der Greengrass-Servicerolle](#create-service-role)
+ [Entfernen der Greengrass-Servicerolle](#remove-service-role)

 

### Abrufen der Greengrass-Servicerolle (CLI)
<a name="get-service-role"></a>

Verwenden Sie das folgende Verfahren, um herauszufinden, ob eine Greengrass-Servicerolle mit Ihrer AWS-Konto in einem AWS-Region verknüpft ist.
+ Rufen Sie die Servicerolle ab. *region*Ersetzen Sie durch Ihre AWS-Region (zum Beispiel`us-west-2`).

  ```
  aws Greengrass get-service-role-for-account --region region
  ```

  Wenn Ihrem Konto bereits eine Greengrass-Servicerolle zugewiesen ist, werden die folgenden Rollenmetadaten zurückgegeben.

  ```
  {
    "AssociatedAt": "timestamp",
    "RoleArn": "arn:aws:iam::account-id:role/path/role-name"
  }
  ```

  Wenn keine Rollenmetadaten zurückgegeben werden, müssen Sie die Servicerolle erstellen (falls sie nicht existiert) und sie Ihrem Konto in der zuordnen AWS-Region.

 

### Erstellen der Greengrass-Servicerolle (CLI)
<a name="create-service-role"></a>

Gehen Sie wie folgt vor, um eine Rolle zu erstellen und sie Ihrer Rolle zuzuordnen AWS-Konto.

**Um die Servicerolle mit IAM zu erstellen**

1. Erstellen Sie die Rolle mit einer Vertrauensrichtlinie, die es ermöglicht, die Rolle AWS IoT Greengrass zu übernehmen. In diesem Beispiel wird eine Rolle namens `Greengrass_ServiceRole` erstellt, aber Sie können einen anderen Namen verwenden. Wir empfehlen, dass Sie auch die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in Ihre Vertrauensrichtlinie aufnehmen, um das Sicherheitsproblem „*Confused Deputy*“ zu vermeiden. Die Bedingungskontextschlüssel beschränken den Zugriff, sodass nur Anfragen zugelassen werden, die vom angegebenen Konto und Greengrass-Workspace stammen. Weitere Informationen zum Confused-Deputy-Problem finden Sie [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md).

------
#### [ Linux, macOS, or Unix ]

   ```
   aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "greengrass.amazonaws.com"
         },
         "Action": "sts:AssumeRole",
         "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "account-id"
           },
           "ArnLike": {
             "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
           }
         }
       }
     ]
   }'
   ```

------
#### [ Windows command prompt ]

   ```
   aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
   ```

------

1. Kopieren Sie den Rollen-ARN aus den Rollenmetadaten in der Ausgabe. Sie verknüpfen die Servicerolle mithilfe des ARN mit Ihrem Konto.

1. Fügen Sie der Rolle die `AWSGreengrassResourceAccessRolePolicy`-Richtlinie an.

   ```
   aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
   ```

**Um die Servicerolle mit Ihrem zu verknüpfen AWS-Konto**
+ Weisen Sie die Rolle Ihrem Konto zu. *role-arn*Ersetzen Sie durch die Dienstrolle *region* ARN und durch Ihre AWS-Region (z. B.`us-west-2`).

  ```
  aws greengrass associate-service-role-to-account --role-arn role-arn --region region
  ```

  Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.

  ```
  {
    "AssociatedAt": "timestamp"
  }
  ```

 

### Entfernen der Greengrass-Servicerolle (CLI)
<a name="remove-service-role"></a>

Gehen Sie wie folgt vor, um die Greengrass-Servicerolle von Ihrer zu trennen. AWS-Konto
+ Haben Sie die Zuordnung der Servicerolle bei Ihrem Konto auf. *region*Ersetzen Sie durch Ihre AWS-Region (zum Beispiel). `us-west-2`

  ```
  aws greengrass disassociate-service-role-from-account --region region
  ```

  Bei erfolgreicher Durchführung wird die folgende Meldung zurückgegeben.

  ```
  {
    "DisassociatedAt": "timestamp"
  }
  ```
**Anmerkung**  
Sie sollten die Servicerolle löschen, wenn Sie sie in keiner verwenden AWS-Region. Verwenden Sie zuerst [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html), um die verwaltete `AWSGreengrassResourceAccessRolePolicy`-Richtlinie von der Rolle zu lösen, und verwenden Sie dann [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html), um die Rolle zu löschen. Weitere Informationen zum Löschen von Rollen finden Sie unter [Löschen von Rollen oder Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*.

## Weitere Informationen finden Sie auch unter
<a name="service-role-see-also"></a>
+ [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*
+ [Ändern einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) im *IAM-Benutzerhandbuch*
+ [Löschen von Rollen oder Instanzprofilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) im *IAM-Benutzerhandbuch*
+ AWS IoT Greengrass Befehle in der *AWS CLI Befehlsreferenz*
  + [associate-service-role-to-Konto](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-service-role-to-account.html)
  + [disassociate-service-role-from-Konto](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-service-role-from-account.html)
  + [get-service-role-for-Konto](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-service-role-for-account.html)
+ *IAM-Befehle in der Befehlsreferenz AWS CLI *
  + [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
  + [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
  + [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
  + [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)