Rol de servicio de Greengrass - AWS IoT Greengrass
Administración del rol de servicio (consola)Administración del rol de servicio (CLI)Véase también

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Rol de servicio de Greengrass

El rol de servicio de Greengrass es un rol de servicio de AWS Identity and Access Management (IAM) que autoriza a AWS IoT Greengrass a acceder a recursos de servicios de AWS en su nombre. Este rol hace posible que AWS IoT Greengrass verifique la identidad de los dispositivos de cliente y administre la información de conectividad de los dispositivos principales.

nota

AWS IoT Greengrass V1 también utiliza este rol para realizar tareas esenciales. Para obtener más información, consulte Rol de servicio de Greengrass en la Guía para desarrolladores de AWS IoT Greengrass V1.

Para permitir a AWS IoT Greengrass acceder a sus recursos, el rol de servicio de Greengrass debe estar asociado a su Cuenta de AWS y especificar AWS IoT Greengrass como entidad de confianza. El rol debe incluir la política administrada AWSGreengrassResourceAccessRolePolicy o una política personalizada que defina permisos equivalentes para las características de AWS IoT Greengrass que utilice. AWS mantiene esta política, que define el conjunto de permisos que AWS IoT Greengrass utiliza para acceder a los recursos de AWS. Para obtener más información, consulte AWS política gestionada: AWSGreengrass ResourceAccessRolePolicy.

Puede reutilizar el mismo rol de servicio de Greengrass en todas las Regiones de AWS, pero lo debe asociar a su cuenta en cada Región de AWS donde utilice AWS IoT Greengrass. Si el rol de servicio no está configurado en la Región de AWS actual, los dispositivos principales no pueden verificar los dispositivos de cliente ni actualizar la información de conectividad.

En las secciones siguientes, se describe cómo crear y administrar el rol de servicio de Greengrass en la Consola de administración de AWS o la AWS CLI.

nota

Además del rol de servicio que autoriza el acceso de nivel de servicio, puede asignar un rol de intercambio de tokens a los dispositivos principales de Greengrass. El rol de intercambio de token es un rol de IAM independiente que controla cómo los componentes de Greengrass y las funciones de Lambda en el dispositivo principal pueden acceder a los servicios de AWS. Para obtener más información, consulte Autorización de los dispositivos principales para interactuar con los servicios de AWS.

Administración del rol de servicio de Greengrass (consola)

La consola de AWS IoT facilita la administración del rol de servicio de Greengrass. Por ejemplo, al configurar la detección de dispositivos de cliente para un dispositivo principal, la consola comprueba si su Cuenta de AWS está asociada a un rol de servicio de Greengrass en la Región de AWS actual. De lo contrario, la consola puede crear y configurar un rol de servicio por usted. Para obtener más información, consulte Creación del rol de servicio de Greengrass (consola).

Puede utilizar la consola de para las siguientes tareas de administración de roles:

nota

El usuario que ha iniciado sesión en la consola debe tener permisos para ver, crear o cambiar el rol de servicio.

Buscar el rol de servicio de Greengrass (consola)

Utilice estos pasos para buscar el rol de servicio que AWS IoT Greengrass utiliza en la Región de AWS actual.

  1. Vaya a la consola de AWS IoT.

  2. En el panel de navegación, seleccione Configuración.

  3. Desplácese hasta la sección Greengrass service role (Rol de servicio de Greengrass) para ver el rol de servicio y sus políticas.

    Si no ve ningún rol de servicio, la consola puede crear o configurar uno por usted. Para obtener más información, consulte Creación del rol de servicio de Greengrass.

Creación del rol de servicio de Greengrass (consola)

La consola puede crear y configurar un rol de servicio de Greengrass predeterminado por usted. Este rol incluye las siguientes propiedades.

Propiedad Valor
Nombre Greengrass_ServiceRole
Entidad de confianza AWS service: greengrass
Política AWSGreengrassResourceAccessRolePolicy
nota

Si crea este rol con el script de configuración del dispositivo de AWS IoT Greengrass V1, el nombre del rol es GreengrassServiceRole_random-string.

Al configurar la detección de dispositivos de cliente para un dispositivo principal, la consola comprueba si hay un rol de servicio de Greengrass asociado a su Cuenta de AWS en la Región de AWS actual. Si no lo hay, la consola le pedirá que permita a AWS IoT Greengrass leer y escribir en los servicios de AWS en su nombre.

Si concede permiso, la consola comprueba si existe un rol denominado Greengrass_ServiceRole en su Cuenta de AWS.

  • Si el rol existe, la consola asocia el rol de servicio a su Cuenta de AWS en la Región de AWS actual.

  • Si el rol no existe, la consola crea un rol de servicio de Greengrass predeterminado y lo asocia a su Cuenta de AWS en la Región de AWS actual.

nota

Si desea crear un rol de servicio con políticas de rol personalizadas, utilice la consola de IAM para crear o modificar el rol. Para obtener más información, consulte Creación de un rol para delegar permisos a un servicio de AWS o Modificación de un rol en la Guía del usuario de IAM. Asegúrese de que el rol concede permisos equivalentes a la política administrada de AWSGreengrassResourceAccessRolePolicy para las características y recursos que utiliza. Le recomendamos que incluya también las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en su política de confianza para ayudar a prevenir el problema de seguridad del suplente confuso. Las claves de contexto de condición restringen el acceso para permitir solo las solicitudes que provienen de la cuenta especificada y del espacio de trabajo de Greengrass. Para obtener más información sobre el problema del suplente confuso, consulte Prevención de la sustitución confusa entre servicios.

Si crea un rol de servicio, vuelva a la consola de AWS IoT y asocie el rol al su Cuenta de AWS. Puede hacerlo en el rol de servicio de Greengrass en la página Configuración.

Cambiar el rol de servicio de Greengrass (consola)

Utilice el siguiente procedimiento para seleccionar un rol de servicio de Greengrass diferente y asociarlo a su Cuenta de AWS en la Región de AWS seleccionada actualmente en la consola.

  1. Vaya a la consola de AWS IoT.

  2. En el panel de navegación, seleccione Configuración.

  3. En Rol de servicio de Greengrass, seleccione Elegir un rol diferente.

    Se abre el cuadro de diálogo Actualizar el rol de servicio de Greengrass y muestra los roles de IAM en su Cuenta de AWS que definen AWS IoT Greengrass como una entidad de confianza.

  4. Elija el rol de servicio de Greengrass que desee asignar.

  5. Elija Adjuntar rol.

Desasociar el rol de servicio de Greengrass (consola)

Utilice el siguiente procedimiento para desasociar el rol de servicio de Greengrass de su cuenta de AWS en la Región de AWS actual. Este revoca los permisos de AWS IoT Greengrass para acceder a los servicios de AWS en la Región de AWS actual.

importante

La desasociación del rol de servicio podría interrumpir las operaciones activas.

  1. Vaya a la consola de AWS IoT.

  2. En el panel de navegación, seleccione Configuración.

  3. En Rol de servicio de Greengras, seleccione Desasociar rol.

  4. En el cuadro de diálogo de confirmación, elija Desconectar.

nota

Si ya no necesita el rol, puede eliminarlo en la consola de IAM. Para obtener más información, consulte Eliminación de roles o perfiles de instancia en la Guía del usuario de IAM.

Otros roles podrían permitir que AWS IoT Greengrass obtenga acceso a los recursos. Para buscar todos los roles que permiten que AWS IoT Greengrass asuma los permisos en su nombre, en la consola de IAM, en la página Roles, busque los roles que incluyan AWS service: greengrass en la columna Entidades de confianza.

Administración del rol de servicio de Greengrass (CLI)

En los procedimientos siguientes, suponemos que la AWS Command Line Interface está instalada y configurada para utilizar su Cuenta de AWS. Para obtener más información, consulte Instalar, actualizar y desinstalar la AWS CLI y Configurar la AWS CLI en la Guía del usuario de AWS Command Line Interface.

Puede utilizar la AWS CLI para las siguientes tareas de administración de roles:

Obtener el rol de servicio de Greengrass (CLI)

Utilice el procedimiento siguiente para descubrir si un rol de servicio de Greengrass está asociado a su Cuenta de AWS en una Región de AWS.

  • Obtenga el rol de servicio. Sustituya región por su Región de AWS (por ejemplo, us-west-2).

    aws greengrassv2 get-service-role-for-account --region region

    Si ya hay un rol de servicio de Greengrass asociado a su cuenta, la solicitud devuelve los siguientes metadatos de rol.

    {
  "associatedAt": "timestamp",
  "roleArn": "arn:aws:iam::account-id:role/path/role-name"
}

    Si la solicitud no devuelve ningún metadato de rol, entonces debe crear el rol de servicio (si no existe) y asociarlo a su cuenta en la Región de AWS.

Creación del rol de servicio de Greengrass (CLI)

Siga los pasos que se indican a continuación para crear un rol y asociarlo a su Cuenta de AWS.

Para crear el rol de servicio mediante IAM

  1. Cree el rol con una política de confianza que permita a AWS IoT Greengrass asumir el rol. Este ejemplo crea un rol denominado Greengrass_ServiceRole, pero puede utilizar un nombre distinto. Le recomendamos que incluya también las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en su política de confianza para ayudar a prevenir el problema de seguridad del suplente confuso. Las claves de contexto de condición restringen el acceso para permitir solo las solicitudes que provienen de la cuenta especificada y del espacio de trabajo de Greengrass. Para obtener más información sobre el problema del suplente confuso, consulte Prevención de la sustitución confusa entre servicios.

    Linux or Unix
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'
    Windows Command Prompt (CMD)
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
    PowerShell
    aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "greengrass.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
        },
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}'

  2. Copie el ARN del rol de los metadatos del rol en la salida. Puede utilizar el ARN para asociar el rol a su cuenta.

  3. Asocie la política de AWSGreengrassResourceAccessRolePolicy al rol.

    aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
Para asociar el rol de servicio con su Cuenta de AWS

  • Asocie el rol a su cuenta. Reemplace arn-rol por el ARN del rol de servicio y región por su Región de AWS (por ejemplo, us-west-2).

    aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region

    Si se realiza correctamente, la solicitud devuelve la siguiente respuesta.

    {
  "associatedAt": "timestamp"
}

Eliminar el rol de servicio de Greengrass (CLI)

Utilice los pasos siguientes para desasociar el rol de servicio de Greengrass de su Cuenta de AWS.

  • Desasocie el rol de servicio de su cuenta. Sustituya región por su Región de AWS (por ejemplo, us-west-2).

    aws greengrassv2 disassociate-service-role-from-account --region region

    Si se ejecuta correctamente, se devuelve la siguiente respuesta.

    {
  "disassociatedAt": "timestamp"
}
    nota

    Debe eliminar el rol de servicio si no lo está utilizando en ninguna Región de AWS. Use primero delete-role-policy para desasociar la política administrada AWSGreengrassResourceAccessRolePolicy del rol y, a continuación, utilice delete-role para eliminar el rol. Para obtener más información, consulte Eliminación de roles o perfiles de instancia en la Guía del usuario de IAM.

Véase también