Avis de fin de support : le 7 octobre 2026, AWS le support de. AWS IoT Greengrass Version 1 Après le 7 octobre 2026, vous ne pourrez plus accéder aux AWS IoT Greengrass V1 ressources. Pour plus d'informations, rendez-vous sur [Migrer depuis AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Rôle de groupe Greengrass
Le rôle de groupe Greengrass est un rôle IAM qui autorise le code exécuté sur un noyau Greengrass à accéder à vos ressources. AWS Vous créez le rôle, gérez les autorisations dans Gestion des identités et des accès AWS (IAM) et associez le rôle à votre groupe Greengrass. Un groupe Greengrass possède un rôle de groupe. Pour ajouter ou modifier des autorisations, vous pouvez associer un rôle différent ou modifier les politiques IAM associées au rôle.
Le rôle doit être défini AWS IoT Greengrass comme une entité de confiance. Selon votre analyse de rentabilisation, le rôle de groupe peut contenir des politiques IAM qui définissent :
+ Autorisations pour les fonctions [Lambda](lambda-functions.md) définies par l'utilisateur pour accéder aux AWS services.
+ Autorisations permettant aux [connecteurs](connectors.md) d'accéder aux AWS services.
+ Autorisations permettant au [gestionnaire de flux](stream-manager.md) d'exporter des flux vers AWS IoT Analytics et Kinesis Data Streams.
+ Des autorisations permettant la [journalisation CloudWatch ](greengrass-logs-overview.md).
Les sections suivantes décrivent comment attacher ou détacher un rôle de groupe Greengrass dans AWS Management Console le bloc opératoire. AWS CLI
+ [Gérer le rôle de groupe (console)](#manage-group-role-console)
+ [Gérer le rôle de groupe (interface de ligne de commande)](#manage-group-role-cli)
**Note**
Outre le rôle de groupe qui autorise l'accès depuis le noyau de Greengrass, vous pouvez attribuer un rôle de [service Greengrass](service-role.md) qui AWS IoT Greengrass permet d' AWS accéder aux ressources en votre nom.
## Gestion du rôle de groupe Greengrass (console)
Vous pouvez utiliser la AWS IoT console pour les tâches de gestion des rôles suivantes :
+ [Rechercher votre rôle de groupe Greengrass](#get-group-role-console)
+ [Ajouter ou modifier le rôle de groupe Greengrass](#add-or-change-group-role-console)
+ [Retirer le rôle de groupe Greengrass](#remove-group-role-console)
**Note**
L'utilisateur connecté à la console doit disposer des autorisations nécessaires pour gérer le rôle.
### Rechercher votre rôle de groupe Greengrass (console)
Suivez ces étapes pour trouver le rôle associé à un groupe Greengrass.
1. Dans le volet de navigation de la AWS IoT console, sous **Gérer**, développez les **appareils Greengrass**, puis choisissez **Groups (V1)**.
1. Choisissez le groupe cible.
1. Sur la page de configuration du groupe, choisissez **Afficher les paramètres**.
Si un rôle est attaché au groupe, il apparaît sous **Rôle du groupe**.
### Ajouter ou modifier le rôle de groupe Greengrass (console)
Suivez ces étapes pour choisir un rôle IAM parmi les vôtres Compte AWS à ajouter à un groupe Greengrass.
Un rôle de groupe est soumis aux exigences suivantes :
+ AWS IoT Greengrass définie comme une entité de confiance.
+ Les politiques d'autorisation associées au rôle doivent accorder à vos AWS ressources les autorisations requises par les fonctions et connecteurs Lambda du groupe, ainsi que par les composants du système Greengrass.
**Note**
Nous vous recommandons également d'inclure les clés `aws:SourceArn` contextuelles et les clés de contexte de condition `aws:SourceAccount` globale dans votre politique de confiance afin d'éviter tout problème *de sécurité secondaire confus*. Les clés contextuelles de condition limitent l'accès pour autoriser uniquement les demandes provenant du compte spécifié et de l'espace de travail Greengrass. Pour de plus amples informations sur le problème de l’adjoint confus, veuillez consulter [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md).
Utilisez la console IAM pour créer et configurer le rôle et ses autorisations. Pour connaître les étapes permettant de créer un exemple de rôle autorisant l'accès à une table Amazon DynamoDB, consultez. [Configuration du rôle de groupe](config-iam-roles.md) Pour connaître les étapes générales, consultez [la section Création d'un rôle pour un AWS service (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) dans le *guide de l'utilisateur IAM*.
Une fois le rôle configuré, utilisez la AWS IoT console pour ajouter le rôle au groupe.
**Note**
Cette procédure est requise uniquement pour choisir un rôle pour le groupe. Elle n'est pas requise après la modification des autorisations du rôle de groupe actuellement sélectionné.
1. Dans le volet de navigation de la AWS IoT console, sous **Gérer**, développez les **appareils Greengrass**, puis choisissez **Groups (V1)**.
1. Choisissez le groupe cible.
1. Sur la page de configuration du groupe, choisissez **Afficher les paramètres**.
1. Sous **Rôle de groupe**, choisissez d'ajouter ou de modifier le rôle :
+ Pour ajouter le rôle, choisissez **Associer un rôle**, puis sélectionnez votre rôle dans votre liste de rôles. Il s'agit des rôles Compte AWS que vous définissez AWS IoT Greengrass comme une entité de confiance.
+ Pour choisir un autre rôle, choisissez **Modifier le rôle**, puis sélectionnez votre rôle dans votre liste de rôles.
1. Choisissez **Enregistrer**.
### Retirer le rôle de groupe Greengrass (console)
Procédez comme suit pour détacher le rôle d'un groupe Greengrass.
1. Dans le volet de navigation de la AWS IoT console, sous **Gérer**, développez les **appareils Greengrass**, puis choisissez **Groups (V1)**.
1. Choisissez le groupe cible.
1. Sur la page de configuration du groupe, choisissez **Afficher les paramètres**.
1. Sous **Rôle de groupe**, choisissez **Dissocier le rôle**.
1. Dans la boîte de dialogue de confirmation, choisissez **Dissocier le rôle**. Cette étape retire le rôle du groupe mais ne le supprime pas. Si vous souhaitez supprimer le rôle, utilisez la console IAM.
## Gestion du rôle de groupe Greengrass (interface de ligne de commande)
Vous pouvez utiliser le AWS CLI pour les tâches de gestion des rôles suivantes :
+ [Obtenir votre rôle de groupe Greengrass](#get-group-role)
+ [Créer le rôle de groupe Greengrass](#create-group-role)
+ [Retirer le rôle de groupe Greengrass](#remove-group-role)
### Obtenir le rôle de groupe Greengrass (CLI)
Suivez ces étapes pour savoir si un groupe Greengrass a un rôle associé.
1. Obtenez l'ID du groupe cible dans la liste de vos groupes.
```
aws greengrass list-groups
```
Voici un exemple de réponse `list-groups` : Chaque groupe de la réponse inclut une propriété `Id` qui contient l'ID de groupe.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Pour de plus amples informations, y compris des exemples qui utilisent l'option `query`pour filtrer les résultats, veuillez consulter [Obtention de l'ID de groupe](deployments.md#api-get-group-id).
1. Copiez l'`Id` du groupe cible à partir de la sortie.
1. Obtenez le rôle de groupe. Remplacez *group-id* par l'ID du groupe cible.
```
aws greengrass get-associated-role --group-id group-id
```
Si un rôle est associé à votre groupe Greengrass, les métadonnées de rôle suivantes sont renvoyées.
```
{
"AssociatedAt": "timestamp",
"RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
Si votre groupe n'a pas de rôle associé, l'erreur suivante est renvoyée.
```
An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.
```
### Créer le rôle de groupe Greengrass (CLI)
Procédez comme suit pour créer un rôle et l'associer à un groupe Greengrass.
**Pour créer le rôle de groupe à l'aide d'IAM**
1. Créez le rôle avec une politique de confiance qui permet AWS IoT Greengrass d'assumer le rôle. Cet exemple crée un rôle nommé `MyGreengrassGroupRole`, mais vous pouvez utiliser un autre nom. Nous vous recommandons également d'inclure les clés `aws:SourceArn` contextuelles et les clés de contexte de condition `aws:SourceAccount` globale dans votre politique de confiance afin d'éviter tout problème *de sécurité secondaire confus*. Les clés contextuelles de condition limitent l'accès pour autoriser uniquement les demandes provenant du compte spécifié et de l'espace de travail Greengrass. Pour de plus amples informations sur le problème de l’adjoint confus, veuillez consulter [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md).
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
1. Copiez l'ARN de rôle du rôle des métadonnées dans la sortie. Vous utilisez l'ARN pour associer le rôle à votre groupe.
1. Associez des stratégies gérées ou intégrées au rôle pour prendre en charge votre analyse de rentabilité. Par exemple, si une fonction Lambda définie par l'utilisateur lit depuis Amazon S3, vous pouvez associer `AmazonS3ReadOnlyAccess` la politique gérée au rôle.
```
aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
```
En cas de succès, aucune réponse n'est renvoyée.
**Pour associer le rôle à votre groupe Greengrass**
1. Obtenez l'ID du groupe cible dans la liste de vos groupes.
```
aws greengrass list-groups
```
Voici un exemple de réponse `list-groups` : Chaque groupe de la réponse inclut une propriété `Id` qui contient l'ID de groupe.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Pour de plus amples informations, y compris des exemples qui utilisent l'option `query`pour filtrer les résultats, veuillez consulter [Obtention de l'ID de groupe](deployments.md#api-get-group-id).
1. Copiez l'`Id` du groupe cible à partir de la sortie.
1. Associez le rôle à votre groupe. Remplacez *group-id* par l'ID du groupe cible et *role-arn* par l'ARN du rôle du groupe.
```
aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn
```
En cas de réussite, la réponse suivante est renvoyée.
```
{
"AssociatedAt": "timestamp"
}
```
### Retirer le rôle de groupe Greengrass (CLI)
Procédez comme suit pour dissocier le rôle de groupe de votre groupe Greengrass.
1. Obtenez l'ID du groupe cible dans la liste de vos groupes.
```
aws greengrass list-groups
```
Voici un exemple de réponse `list-groups` : Chaque groupe de la réponse inclut une propriété `Id` qui contient l'ID de groupe.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Pour de plus amples informations, y compris des exemples qui utilisent l'option `query`pour filtrer les résultats, veuillez consulter [Obtention de l'ID de groupe](deployments.md#api-get-group-id).
1. Copiez l'`Id` du groupe cible à partir de la sortie.
1. Dissociez le rôle de votre groupe. Remplacez *group-id* par l'ID du groupe cible.
```
aws greengrass disassociate-role-from-group --group-id group-id
```
En cas de réussite, la réponse suivante est renvoyée.
```
{
"DisassociatedAt": "timestamp"
}
```
**Note**
Vous pouvez supprimer le rôle de groupe si vous ne l'utilisez pas. Utilisez d'abord [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) pour détacher chaque stratégie gérée du rôle, puis [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) pour supprimer le rôle. Pour plus d'informations, consultez [Suppression de rôles ou de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dans le *guide de l'utilisateur IAM*.
## Consultez aussi
+ Rubriques connexes du guide de l'*utilisateur IAM*
+ [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ [Modification d'un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)
+ [Ajout et suppression d'autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [Suppression de rôles ou de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)
+ AWS IoT Greengrass commandes dans la *référence des AWS CLI commandes*
+ [list-groups](https://docs.aws.amazon.com/cli/latest/reference/greengrass/list-groups.html)
+ [associate-role-to-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-role-to-group.html)
+ [disassociate-role-from-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-role-from-group.html)
+ [get-associated-role](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-associated-role.html)
+ Commandes IAM dans la référence des *AWS CLI commandes*
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)