Gestion des appareils de périphérie avec Systems Manager - AWS Systems Manager
Création d’un rôle de service IAM pour les appareils de périphérieConfigurez vos appareils Edge pour AWS IoT GreengrassMettez à jour le rôle d'échange de AWS IoT Greengrass jetons et installez-le SSM Agent sur vos appareils Edge

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des appareils de périphérie avec Systems Manager

Cette section décrit les tâches de configuration effectuées par les administrateurs de comptes et de systèmes pour permettre la configuration et la gestion des appareils AWS IoT Greengrass principaux. Une fois ces tâches terminées, les utilisateurs auxquels l' Compte AWS administrateur a accordé des autorisations peuvent les utiliser AWS Systems Manager pour configurer et gérer les AWS IoT Greengrass principaux appareils de leur organisation.

Note

  • SSM Agentpour AWS IoT Greengrass n'est pas pris en charge sur macOS Windows 10. Vous ne pouvez pas utiliser les outils de Systems Manager pour gérer et configurer des appareils de périphérie utilisant ces systèmes d’exploitation.

  • Systems Manager prend également en charge les périphériques périphériques qui ne sont pas configurés en tant que périphériques AWS IoT Greengrass principaux. Pour utiliser Systems Manager afin de gérer les appareils AWS IoT principaux et les appareils non AWS périphériques, vous devez les configurer à l'aide d'une activation hybride. Pour de plus amples informations, veuillez consulter Gestion des nœuds dans les environnements hybrides et multicloud avec Systems Manager.

  • Pour utiliser Session Manager et la correction d'applications Microsoft avec vos appareils de périphérie, vous devez activer le niveau d'instances avancées. Pour de plus amples informations, veuillez consulter Activation du niveau d'instances avancées.

Avant de commencer

Vérifiez que vos appareils de périphérie répondent aux exigences suivantes.

  • Vos appareils Edge doivent répondre aux exigences pour être configurés en tant que périphériques AWS IoT Greengrass principaux. Pour plus d'informations, consultez la section Configuration des appareils AWS IoT Greengrass principaux dans le Guide du AWS IoT Greengrass Version 2 développeur.

  • Vos appareils Edge doivent être compatibles avec AWS Systems Manager Agent (SSM Agent). Pour de plus amples informations, veuillez consulter Systèmes d'exploitation pris en charge pour Systems Manager.

  • Vos appareils de périphérie doivent être en mesure de communiquer avec le service Systems Manager dans le cloud. Systems Manager ne prend pas en charge les appareils de périphérie déconnectés.

À propos de la configuration des appareils de périphérie

La configuration AWS IoT Greengrass des appareils pour Systems Manager implique les processus suivants.

Note

Pour plus d'informations sur la désinstallation SSM Agent depuis un périphérique Edge, voir Désinstaller l' AWS Systems Manager agent dans le guide du AWS IoT Greengrass Version 2 développeur.

Création d’un rôle de service IAM pour les appareils de périphérie

AWS IoT Greengrass les périphériques principaux nécessitent un rôle de service AWS Identity and Access Management (IAM) avec AWS Systems Manager lequel communiquer. Le rôle accorde la AssumeRoleconfiance AWS Security Token Service (AWS STS) au service Systems Manager. Vous devez uniquement créer la fonction de service une fois pour chaque Compte AWS. Vous spécifierez ce rôle pour le RegistrationRole paramètre lorsque vous configurerez et déploierez le SSM Agent composant sur vos AWS IoT Greengrass appareils. Si vous avez déjà créé ce rôle lors de la configuration de EC2 non-nœuds pour un environnement hybride et multicloud, vous pouvez ignorer cette étape.

Note

Les utilisateurs de votre entreprise ou organisation qui utilisent Systems Manager sur vos appareils de périphérie doivent recevoir l'autorisation dans IAM d'appeler l'API Systems Manager.

Exigence pour les politiques de compartiment S3

Dans les cas suivants, vous devez créer une politique d'autorisation IAM personnalisée pour les compartiments Amazon Simple Storage Service (Amazon S3) avant de terminer cette procédure :

  • Cas 1 : vous utilisez un point de terminaison VPC pour connecter en privé votre VPC aux services de point de terminaison VPC pris en charge et Services AWS alimentés par. AWS PrivateLink

  • Cas 2 : Vous prévoyez d'utiliser un compartiment S3 que vous créez dans le cadre de vos opérations Systems Manager, par exemple pour stocker la sortie des commandes Run Command ou des sessions Session Manager dans un compartiment S3. Avant de continuer, suivez les étapes de Créer une politique de compartiment S3 personnalisée pour un profil d'instance. Les informations sur les politiques de compartiment S3 de cette rubrique s'appliquent également à votre rôle de service.

    Note

    Si vos appareils sont protégés par un pare-feu et que vous prévoyez d'utiliser Patch Manager, le pare-feu doit autoriser l'accès au point de terminaison du référentiel de correctifs arn:aws:s3:::patch-baseline-snapshot-region/*.

    regionreprésente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

AWS CLI
Pour créer un rôle de service IAM pour un AWS IoT Greengrass environnement ()AWS CLI

  1. Installez et configurez le AWS Command Line Interface (AWS CLI), si ce n'est pas déjà fait.

    Pour de plus amples informations, consultez Installation ou mise à jour de la version la plus récente de l' AWS CLI.

  2. Sur votre machine locale, créez un fichier texte avec un nom tel que SSMService-Trust.json avec la politique d'approbation suivante. Assurez-vous d'enregistrer le fichier avec l'extension de fichier .json.

    Note

    Notez le nom. Vous le spécifierez lors du déploiement SSM Agent sur vos appareils AWS IoT Greengrass principaux.

    JSON
    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}

  3. Ouvrez le AWS CLI, et dans le répertoire où vous avez créé le fichier JSON, exécutez la commande create-role pour créer le rôle de service. Remplacez chaque example resource placeholder par vos propres informations.

    Linux et macOS

    aws iam create-role \
    --role-name SSMServiceRole \
    --assume-role-policy-document file://SSMService-Trust.json

    Windows

    aws iam create-role ^
    --role-name SSMServiceRole ^
    --assume-role-policy-document file://SSMService-Trust.json

  4. Exécutez la attach-role-policycommande comme suit pour autoriser le rôle de service que vous venez de créer à créer un jeton de session. Ce jeton de session autorise vos appareils de périphérie à exécuter des commandes à l'aide de Systems Manager.

    Note

    Les politiques que vous ajoutez pour un profil de service pour les appareils Edge sont les mêmes que celles utilisées pour créer un profil d'instance pour les instances Amazon Elastic Compute Cloud (Amazon EC2). Pour de plus amples informations sur les politiques IAM utilisées dans les commandes suivantes, consultez la section Configurer des autorisations d’instance requises pour Systems Manager.

    (Obligatoire) Exécutez la commande suivante pour autoriser un périphérique périphérique à utiliser les fonctionnalités AWS Systems Manager de base du service.

    Linux et macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Si vous avez créé une politique de compartiment S3 personnalisée pour votre rôle de service, exécutez la commande suivante pour autoriser AWS Systems Manager Agent (SSM Agent) à accéder aux compartiments que vous avez spécifiés dans la politique. Remplacez account_ID et my_bucket_policy_name par votre Compte AWS identifiant et le nom de votre bucket.

    Linux et macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::account_id:policy/my_bucket_policy_name

    (Facultatif) Exécutez la commande suivante pour autoriser SSM Agent à accéder à Directory Service en votre nom pour les demandes de jonction de domaine par les appareils de périphérie. La fonction de service requiert uniquement cette politique si vous joignez vos appareils de périphérie à un annuaire Microsoft AD.

    Linux et macOS

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    Windows

    aws iam attach-role-policy ^
    --role-name SSMServiceRole ^
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facultatif) Exécutez la commande suivante pour autoriser l' CloudWatch agent à s'exécuter sur vos appareils Edge. Cette commande permet de lire des informations sur un appareil et de les y écrire CloudWatch. Votre rôle de service nécessite cette politique uniquement si vous utilisez des services tels qu'Amazon EventBridge ou Amazon CloudWatch Logs.

    aws iam attach-role-policy \
    --role-name SSMServiceRole \
    --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Tools for PowerShell
Pour créer un rôle de service IAM pour un AWS IoT Greengrass environnement ()AWS Tools for Windows PowerShell

  1. Installez et configurez les Outils AWS pour PowerShell (Outils pour Windows PowerShell), si ce n'est pas déjà fait.

    Pour plus d'informations, consultez Installation d' Outils AWS pour PowerShell.

  2. Sur votre machine locale, créez un fichier texte avec un nom tel que SSMService-Trust.json avec la politique d'approbation suivante. Assurez-vous d'enregistrer le fichier avec l'extension de fichier .json.

    Note

    Notez le nom. Vous le spécifierez lors du déploiement SSM Agent sur vos appareils AWS IoT Greengrass principaux.

    JSON
    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Principal": {
            "Service": "ssm.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }
}

  3. Ouvrez PowerShell en mode administratif et dans le répertoire où vous avez créé le fichier JSON, exécutez New- IAMRole comme suit pour créer un rôle de service.

    New-IAMRole `
    -RoleName SSMServiceRole `
    -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)

  4. Utilisez IAMRoleRegister-Policy comme suit pour autoriser le rôle de service que vous avez créé à créer un jeton de session. Ce jeton de session autorise vos appareils de périphérie à exécuter des commandes à l'aide de Systems Manager.

    Note

    Les politiques que vous ajoutez pour un rôle de service pour les appareils Edge dans un AWS IoT Greengrass environnement sont les mêmes que celles utilisées pour créer un profil d'instance pour les EC2 instances. Pour plus d'informations sur les AWS politiques utilisées dans les commandes suivantes, consultez Configurer les autorisations d'instance requises pour Systems Manager.

    (Obligatoire) Exécutez la commande suivante pour autoriser un périphérique périphérique à utiliser les fonctionnalités AWS Systems Manager de base du service.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

    Si vous avez créé une politique de compartiment S3 personnalisée pour votre rôle de service, exécutez la commande suivante pour permettre à SSM Agent d'accéder aux compartiments que vous avez spécifiés dans la politique. Remplacez account_ID et my_bucket_policy_name par votre Compte AWS identifiant et le nom de votre bucket. 

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::account_ID:policy/my_bucket_policy_name

    (Facultatif) Exécutez la commande suivante pour autoriser SSM Agent à accéder à Directory Service en votre nom pour les demandes de jonction de domaine par les appareils de périphérie. La fonction de service requiert uniquement cette politique si vous joignez vos appareils de périphérie à un annuaire Microsoft AD.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess

    (Facultatif) Exécutez la commande suivante pour autoriser l' CloudWatch agent à s'exécuter sur vos appareils Edge. Cette commande permet de lire des informations sur un appareil et de les y écrire CloudWatch. Votre rôle de service nécessite cette politique uniquement si vous utilisez des services tels qu'Amazon EventBridge ou Amazon CloudWatch Logs.

    Register-IAMRolePolicy `
    -RoleName SSMServiceRole `
    -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

Configurez vos appareils Edge pour AWS IoT Greengrass

Configurez vos appareils Edge en tant qu'appareils AWS IoT Greengrass principaux. Le processus de configuration implique la vérification des systèmes d'exploitation pris en charge et de la configuration requise, ainsi que l'installation et la configuration du logiciel AWS IoT Greengrass Core sur vos appareils. Pour plus d'informations, consultez Configuration des appareils Core AWS IoT Greengrass dans le Guide du développeur AWS IoT Greengrass Version 2 .

Mettez à jour le rôle d'échange de AWS IoT Greengrass jetons et installez-le SSM Agent sur vos appareils Edge

La dernière étape de configuration de vos appareils AWS IoT Greengrass principaux pour Systems Manager nécessite que vous mettiez à jour le rôle de service des appareils AWS IoT Greengrass AWS Identity and Access Management (IAM), également appelé rôle d'échange de jetons, et que vous déployiez AWS Systems Manager l'agent (SSM Agent) sur vos AWS IoT Greengrass appareils. Pour plus d'informations sur ces processus, consultez Installation de l'agent AWS Systems Manager dans le Guide du développeur AWS IoT Greengrass Version 2 .

Après le déploiement SSM Agent sur vos appareils, les enregistre AWS IoT Greengrass automatiquement auprès de Systems Manager. Aucun enregistrement supplémentaire n'est nécessaire. Vous pouvez commencer à utiliser les outils Systems Manager pour accéder à vos AWS IoT Greengrass appareils, les gérer et les configurer.

Note

Vos appareils de périphérie doivent être en mesure de communiquer avec le service Systems Manager dans le cloud. Systems Manager ne prend pas en charge les appareils de périphérie déconnectés.