Pemberitahuan akhir dukungan: Pada 7 Oktober 2026, AWS akan menghentikan dukungan untuk. AWS IoT Greengrass Version 1 Setelah 7 Oktober 2026, Anda tidak akan lagi dapat mengakses sumber daya. AWS IoT Greengrass V1 Untuk informasi lebih lanjut, silakan kunjungi [Migrasi dari AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran grup Greengrass
Peran grup Greengrass adalah IAM role yang mengotorisasi kode yang berjalan pada core Greengrass untuk mengakses AWS sumber daya. Anda membuat peran dan mengelola izin di AWS Identity and Access Management (IAM) dan melampirkan peran tersebut ke grup Greengrass Anda. Sebuah grup Greengrass memiliki satu peran grup. Untuk menambah atau mengubah izin, Anda dapat melampirkan peran yang berbeda atau mengubah kebijakan IAM yang dilampirkan ke peran.
Peran harus didefinisikan AWS IoT Greengrass sebagai entitas tepercaya. Tergantung pada kasus bisnis Anda, peran grup mungkin berisi kebijakan IAM yang menentukan:
+ Izin untuk fungsi [Lambda](lambda-functions.md) yang ditentukan pengguna untuk mengakses layanan. AWS
+ Izin untuk [konektor](connectors.md) untuk mengakses AWS layanan.
+ Izin bagi [pengelola aliran](stream-manager.md) untuk mengekspor aliran ke AWS IoT Analytics dan Kinesis Data Streams.
+ Izin untuk mengizinkan [CloudWatch pencatatan](greengrass-logs-overview.md).
Bagian berikut menjelaskan cara melampirkan atau melepaskan peran kelompok Greengrass di atau. Konsol Manajemen AWS AWS CLI
+ [Mengelola peran grup (konsol)](#manage-group-role-console)
+ [Kelola peran grup (CLI)](#manage-group-role-cli)
**catatan**
Selain peran grup yang mengotorisasi akses dari inti Greengrass, Anda dapat menetapkan peran layanan Greengrass yang memungkinkan untuk mengakses [sumber daya atas nama](service-role.md) Anda. AWS IoT Greengrass AWS
## Mengelola peran grup Greengrass (konsol)
Anda dapat menggunakan AWS IoT konsol untuk tugas manajemen peran berikut:
+ [Temukan peran grup Greengrass Anda](#get-group-role-console)
+ [Tambahkan atau ubah peran grup Greengrass](#add-or-change-group-role-console)
+ [Hapus peran grup Greengrass](#remove-group-role-console)
**catatan**
Pengguna yang masuk ke konsol harus memiliki izin untuk mengelola peran.
### Temukan peran grup Greengrass Anda (konsol)
Ikuti langkah-langkah ini untuk menemukan peran yang melekat pada grup Greengrass.
1. **Di panel navigasi AWS IoT konsol, di bawah **Kelola**, perluas perangkat **Greengrass**, lalu pilih Grup (V1).**
1. Pilih grup target.
1. Pada halaman konfigurasi grup, pilih **Lihat pengaturan**.
Jika peran dilampirkan ke grup, itu muncul di bawah **Peran grup**.
### Tambahkan atau ubah peran grup Greengrass (konsol)
Ikuti langkah-langkah ini untuk memilih peran IAM dari Anda Akun AWS untuk ditambahkan ke grup Greengrass.
Peran grup memiliki persyaratan sebagai berikut:
+ AWS IoT Greengrass didefinisikan sebagai entitas yang terpercaya.
+ Kebijakan izin yang dilampirkan pada peran harus memberikan izin ke AWS sumber daya Anda yang diperlukan oleh fungsi dan konektor Lambda dalam grup, dan oleh komponen sistem Greengrass.
**catatan**
Kami menyarankan Anda juga menyertakan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global dalam kebijakan kepercayaan Anda untuk membantu mencegah masalah keamanan *wakil yang membingungkan*. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah wakil yang membingungkan, lihat[Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md).
Gunakan konsol IAM untuk membuat dan mengonfigurasi peran dan izin. Untuk langkah-langkah yang membuat contoh peran yang me akses ke tabel Amazon DynamoDB, lihat [Mengonfigurasi peran grup](config-iam-roles.md). Untuk langkah-langkah umum, lihat [Membuat peran untuk AWS layanan (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) di *Panduan Pengguna IAM*.
Setelah peran dikonfigurasi, gunakan AWS IoT konsol untuk menambahkan peran ke grup.
**catatan**
Prosedur ini diperlukan hanya untuk memilih peran untuk grup. Tidak diperlukan setelah mengubah izin peran grup yang dipilih saat ini.
1. **Di panel navigasi AWS IoT konsol, di bawah **Kelola**, perluas perangkat **Greengrass**, lalu pilih Grup (V1).**
1. Pilih grup target.
1. Pada halaman konfigurasi grup, pilih **Lihat pengaturan**.
1. Di bawah **Peran grup**, pilih untuk menambah atau mengubah peran:
+ Untuk menambahkan peran, pilih **Peran asosiasi**, lalu pilih peran Anda dari daftar peran Anda. Ini adalah peran dalam diri Anda Akun AWS yang didefinisikan AWS IoT Greengrass sebagai entitas tepercaya.
+ Untuk memilih peran yang berbeda, pilih **Edit peran**, lalu pilih peran Anda dari daftar peran Anda.
1. Pilih **Simpan**.
### Hapus peran grup Greengrass (konsol)
Ikuti langkah-langkah ini untuk melepaskan peran dari grup Greengrass.
1. **Di panel navigasi AWS IoT konsol, di bawah **Kelola**, perluas perangkat **Greengrass**, lalu pilih Grup (V1).**
1. Pilih grup target.
1. Pada halaman konfigurasi grup, pilih **Lihat pengaturan**.
1. Di bawah **Peran grup**, pilih **Putuskan peran**.
1. Di kotak dialog konfirmasi, pilih **Putuskan peran**. Langkah ini menghapus peran dari grup tetapi tidak menghapus peran. Jika ingin menghapus peran, gunakan konsol IAM.
## Mengelola peran grup Greengrass (CLI)
Anda dapat menggunakan AWS CLI untuk tugas manajemen peran berikut:
+ [Dapatkan peran grup Greengrass Anda](#get-group-role)
+ [Buat peran grup Greengrass](#create-group-role)
+ [Hapus peran grup Greengrass](#remove-group-role)
### Dapatkan peran grup Greengrass (CLI)
Ikuti langkah-langkah ini untuk mengetahui apakah grup Greengrass memiliki peran yang terkait.
1. Dapatkan ID grup target dari daftar grup Anda.
```
aws greengrass list-groups
```
Berikut ini adalah contoh `list-groups` respons. Setiap grup dalam respon mencakup properti `Id` yang berisi ID grup.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Untuk informasi lebih lanjut, termasuk contoh yang menggunakan opsi `query` untuk memfilter hasil, lihat [Mendapatkan ID grup](deployments.md#api-get-group-id).
1. Salin `Id` dari grup target dari output.
1. Dapatkan peran grup. Ganti *group-id* dengan ID grup target.
```
aws greengrass get-associated-role --group-id group-id
```
Jika peran dikaitkan dengan grup Greengrass Anda, peran metadata berikut dikembalikan.
```
{
"AssociatedAt": "timestamp",
"RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
Jika grup Anda tidak memiliki peran terkait, kesalahan berikut akan dikembalikan.
```
An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.
```
### Buat peran grup Greengrass (CLI)
Ikuti langkah-langkah ini untuk membuat peran dan mengaitkannya dengan grup Greengrass.
**Untuk membuat peran grup menggunakan IAM**
1. Buat peran dengan kebijakan kepercayaan yang memungkinkan AWS IoT Greengrass untuk mengambil peran. Contoh ini menciptakan peran bernama `MyGreengrassGroupRole`, tetapi Anda dapat menggunakan nama yang berbeda. Kami menyarankan Anda juga menyertakan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global dalam kebijakan kepercayaan Anda untuk membantu mencegah masalah keamanan *wakil yang membingungkan*. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah wakil yang membingungkan, lihat[Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md).
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
1. Salin peran ARN dari peran metadata dalam output. Anda menggunakan ARN untuk mengasosiasikan peran dengan grup Anda.
1. Lampirkan kebijakan terkelola atau inline ke peran untuk mendukung kasus bisnis Anda. Sebagai contoh, jika fungsi Lambda yang ditetapkan pengguna membaca dari Amazon S3, Anda mungkin melampirkan `AmazonS3ReadOnlyAccess` kebijakan terkelola untuk peran.
```
aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
```
Jika berhasil, tidak ada respons yang dikembalikan.
**Untuk mengasosiasikan peran dengan grup Greengrass Anda**
1. Dapatkan ID grup target dari daftar grup Anda.
```
aws greengrass list-groups
```
Berikut ini adalah contoh `list-groups` respons. Setiap grup dalam respon mencakup properti `Id` yang berisi ID grup.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Untuk informasi lebih lanjut, termasuk contoh yang menggunakan opsi `query` untuk memfilter hasil, lihat [Mendapatkan ID grup](deployments.md#api-get-group-id).
1. Salin `Id` dari grup target dari output.
1. Associate peran dengan grup Anda. Ganti *group-id* dengan ID grup target dan *role-arn* dengan ARN peran grup.
```
aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn
```
Jika berhasil, respon berikut dikembalikan.
```
{
"AssociatedAt": "timestamp"
}
```
### Hapus peran grup Greengrass (CLI)
Ikuti langkah-langkah ini untuk memisahkan peran grup dari grup Greengrass Anda.
1. Dapatkan ID grup target dari daftar grup Anda.
```
aws greengrass list-groups
```
Berikut ini adalah contoh `list-groups` respons. Setiap grup dalam respon mencakup properti `Id` yang berisi ID grup.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Untuk informasi lebih lanjut, termasuk contoh yang menggunakan opsi `query` untuk memfilter hasil, lihat [Mendapatkan ID grup](deployments.md#api-get-group-id).
1. Salin `Id` dari grup target dari output.
1. Lepaskan peran dari grup Anda. Ganti *group-id* dengan ID grup target.
```
aws greengrass disassociate-role-from-group --group-id group-id
```
Jika berhasil, respon berikut dikembalikan.
```
{
"DisassociatedAt": "timestamp"
}
```
**catatan**
Anda dapat menghapus peran grup jika tidak menggunakannya. Pertama gunakan [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) untuk melepaskan setiap kebijakan terkelola dari peran, lalu gunakan [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) untuk menghapus peran. Untuk informasi lebih lanjut, lihat [Menghapus peran atau profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dalam *Panduan Pengguna IAM*.
## Lihat juga
+ Topik yang terkait di *Panduan Pengguna IAM*
+ [Membuat peran untuk mendelegasikan izin ke layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ [Memodifikasi peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)
+ [Menambah dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [Menghapus peran atau profil contoh](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)
+ AWS IoT Greengrass perintah dalam *Referensi AWS CLI Perintah*
+ [daftar-grup](https://docs.aws.amazon.com/cli/latest/reference/greengrass/list-groups.html)
+ [associate-role-to-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-role-to-group.html)
+ [disassociate-role-from-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-role-from-group.html)
+ [get-associated-role](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-associated-role.html)
+ Perintah IAM di *Referensi Perintah AWS CLI *
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [menciptakan-peran](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [hapus-peran](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)