Avviso di fine del supporto: il 7 ottobre 2026, AWS il supporto per. AWS IoT Greengrass Version 1 Dopo il 7 ottobre 2026, non potrai più accedere alle risorse. AWS IoT Greengrass V1 Per ulteriori informazioni, visita [Migrate](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html) from. AWS IoT Greengrass Version 1

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Ruolo del servizio Greengrass
<a name="service-role"></a>

Il ruolo di servizio Greengrass è un ruolo di servizio AWS Identity and Access Management (IAM) che AWS IoT Greengrass autorizza l'accesso alle risorse AWS dei servizi per conto dell'utente. Ciò consente di AWS IoT Greengrass eseguire attività essenziali, come il recupero delle AWS Lambda funzioni e la gestione delle ombre. AWS IoT 

Per consentire l'accesso AWS IoT Greengrass alle tue risorse, il ruolo di servizio Greengrass deve essere associato a te Account AWS e specificato AWS IoT Greengrass come entità affidabile. Il ruolo deve includere la politica [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)gestita o una politica personalizzata che definisca autorizzazioni equivalenti per le AWS IoT Greengrass funzionalità utilizzate. Questa politica è gestita AWS e definisce l'insieme di autorizzazioni AWS IoT Greengrass utilizzate per accedere AWS alle risorse.

Puoi riutilizzare lo stesso ruolo del servizio Greengrass Regione AWS su tutti i server, ma devi associarlo al tuo account Regione AWS ovunque lo utilizzi. AWS IoT Greengrass L'implementazione di gruppo fallisce se il ruolo di servizio non esiste nell'attuale Account AWS e nella regione.

Le sezioni seguenti descrivono come creare e gestire il ruolo di servizio Greengrass in sala operatoria. Console di gestione AWS AWS CLI
+ [Gestione del ruolo del servizio (console)](#manage-service-role-console)
+ [Gestione del ruolo del servizio (CLI)](#manage-service-role-cli)

**Nota**  
Oltre al ruolo di servizio che autorizza l'accesso a livello di servizio, è possibile assegnare un ruolo di *gruppo a un gruppo*. AWS IoT Greengrass Il ruolo di gruppo è un ruolo IAM separato che controlla il modo in cui le funzioni di Greengrass Lambda e i connettori del gruppo possono accedere ai servizi. AWS 

## Gestione del ruolo del servizio Greengrass (console)
<a name="manage-service-role-console"></a>

La AWS IoT console semplifica la gestione del ruolo di servizio Greengrass. Ad esempio, quando si crea o si distribuisce un gruppo Greengrass, la console verifica se l' Account AWS utente è collegato a un ruolo di servizio Greengrass nel ruolo attualmente Regione AWS selezionato nella console. In caso contrario, la console può creare e configurare un ruolo del servizio automaticamente. Per ulteriori informazioni, consulta [Creazione del ruolo del servizio Greengrass (console)](#create-service-role-console).

È possibile utilizzare la AWS IoT console per le seguenti attività di gestione dei ruoli:
+ [Individuazione del ruolo del servizio Greengrass](#get-service-role-console)
+ [Creazione del ruolo del servizio Greengrass](#create-service-role-console)
+ [Modifica del ruolo del servizio Greengrass](#update-service-role-console)
+ [Scollegare il ruolo del servizio Greengrass](#remove-service-role-console)

**Nota**  
L'utente che ha effettuato l'accesso alla console deve disporre delle autorizzazioni per visualizzare, creare o modificare il ruolo del servizio.

 

### Individuazione del ruolo del servizio Greengrass (console)
<a name="get-service-role-console"></a>

Utilizza i passaggi seguenti per trovare il ruolo di servizio AWS IoT Greengrass utilizzato nella versione corrente Regione AWS.

1. <a name="iot-settings"></a>Dal pannello di navigazione della [AWS IoT console](https://console.aws.amazon.com/iot/), scegli **Impostazioni**.

1. Scorrere fino alla sezione **Greengrass service role (Ruolo del servizio Greengrass)** per visualizzare il ruolo del servizio e le relative policy.

   Se non vendi un ruolo del servizio, puoi consentire alla console di crearne o configurarne uno automaticamente. Per ulteriori informazioni, consulta [Creazione del ruolo del servizio Greengrass](#create-service-role-console).

 

### Creazione del ruolo del servizio Greengrass (console)
<a name="create-service-role-console"></a>

La console può creare e configurare automaticamente un ruolo di servizio Greengrass predefinito. Il ruolo ha le proprietà seguenti:


| Proprietà | Valore | 
| --- | --- | 
| Name | Greengrass\$1ServiceRole | 
| Trusted entity (Entità attendibile) | AWS service: greengrass | 
| Policy | [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) | 

**Nota**  
Se la [configurazione del dispositivo Greengrass](quick-start.md) crea il ruolo del servizio, il nome del ruolo è `GreengrassServiceRole_random-string`.

Quando crei o distribuisci un gruppo Greengrass dalla console, AWS IoT la console verifica se un ruolo del servizio Greengrass è associato al Account AWS tuo nel ruolo attualmente Regione AWS selezionato nella console. In caso contrario, la console richiede all'utente di consentire la lettura e la scrittura sui servizi AWS IoT Greengrass per conto dell'utente. AWS 

Se concedi l'autorizzazione, la console verifica se `Greengrass_ServiceRole` esiste un ruolo denominato nel tuo. Account AWS
+ Se il ruolo esiste, la console assegna il ruolo di servizio al tuo Account AWS ruolo attuale Regione AWS.
+ Se il ruolo non esiste, la console crea un ruolo di servizio Greengrass predefinito e lo associa a quello corrente Account AWS . Regione AWS

**Nota**  
Se desideri creare un ruolo di servizio con politiche di ruolo personalizzate, utilizza la console IAM per creare o modificare il ruolo. Per ulteriori informazioni, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) o [Modifica di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) nella Guida per l'utente *IAM*. Assicurati che il ruolo conceda autorizzazioni equivalenti alle policy `AWSGreengrassResourceAccessRolePolicy` gestite per le funzionalità e le risorse utilizzate. Ti consigliamo di includere anche le chiavi di contesto `aws:SourceArn` e della condizione `aws:SourceAccount` globale nella tua politica di fiducia per evitare il *confuso problema della sicurezza dei vicedirettori*. Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).  
Se crei un ruolo di servizio, torna alla AWS IoT console e assegna il ruolo al gruppo. Puoi farlo in **Greengrass service role (Ruolo di servizio Greengrass)** nella pagina **Settings (Impostazioni)** del gruppo.

 

### Modifica del ruolo del servizio Greengrass (console)
<a name="update-service-role-console"></a>

Usa la seguente procedura per scegliere un ruolo di servizio Greengrass diverso da assegnare al tuo Account AWS nel ruolo Regione AWS attualmente selezionato nella console.

1. <a name="iot-settings"></a>Dal pannello di navigazione [AWS IoT della console](https://console.aws.amazon.com/iot/), scegli **Impostazioni**.

1. In Ruolo di **servizio Greengrass, scegli **Cambia** ruolo**.

   Si apre la finestra di dialogo **Aggiorna ruolo di servizio Greengrass** e mostra i ruoli IAM del tuo Account AWS che definisci AWS IoT Greengrass come entità attendibile.

1. Scegli il ruolo di servizio Greengrass da associare.

1. Scegli **Allega ruolo**.

**Nota**  
Per consentire alla console di creare automaticamente un ruolo di servizio Greengrass predefinito, scegliere **Create role for me (Crea ruolo automaticamente)** anziché scegliere un ruolo dall'elenco. Il link **Crea ruolo per me** non viene visualizzato se un ruolo denominato `Greengrass_ServiceRole` è nel tuo Account AWS.

 

### Scollegare il ruolo del servizio Greengrass (console)
<a name="remove-service-role-console"></a>

Usa la seguente procedura per scollegare il ruolo di servizio Greengrass dal Account AWS tuo ruolo attualmente selezionato nella console. Regione AWS Ciò revoca le autorizzazioni per l'accesso AWS IoT Greengrass ai servizi AWS nella versione corrente. Regione AWS

**Importante**  
Lo scollegamento del ruolo del servizio potrebbe interrompere le operazioni attive.

1. <a name="iot-settings"></a>**Dal pannello di navigazione della [AWS IoT console](https://console.aws.amazon.com/iot/), scegli Impostazioni.**

1. Nel ruolo di **servizio Greengrass, scegli il ruolo** **Detach**.

1. Nella finestra di dialogo di conferma, scegli **Detach (Scollega)**.

**Nota**  
Se non hai più bisogno del ruolo, puoi eliminarlo nella console IAM. Per ulteriori informazioni, consulta la sezione [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.  
Altri ruoli potrebbero consentire l'accesso AWS IoT Greengrass alle tue risorse. Per trovare tutti i ruoli che consentono di AWS IoT Greengrass assumere autorizzazioni per tuo conto, nella console IAM, nella pagina **Ruoli, cerca i ruoli** che includono **AWS service: greengrass** nella colonna **Entità attendibili**.

## Gestione del ruolo del servizio Greengrass (CLI)
<a name="manage-service-role-cli"></a>

Nelle seguenti procedure, supponiamo che AWS CLI sia installato e configurato per utilizzare il tuo Account AWS ID. Per ulteriori informazioni, vedere [Installazione dell'interfaccia a riga di AWS comando](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) e [Configurazione di AWS CLI nella](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) *Guida per l'AWS Command Line Interface utente*.

È possibile utilizzare il AWS CLI per le seguenti attività di gestione dei ruoli:
+ [Ottenimento del ruolo del servizio Greengrass](#get-service-role)
+ [Creazione del ruolo del servizio Greengrass](#create-service-role)
+ [Rimozione del ruolo del servizio Greengrass](#remove-service-role)

 

### Ottenimento del ruolo del servizio Greengrass (CLI)
<a name="get-service-role"></a>

Utilizza la seguente procedura per scoprire se un ruolo di servizio Greengrass è associato al tuo Account AWS in un. Regione AWS
+ Come ottenere il ruolo del servizio. *region*Sostituiscilo con il tuo Regione AWS (ad esempio,`us-west-2`).

  ```
  aws Greengrass get-service-role-for-account --region region
  ```

  Se un ruolo del servizio Greengrass è già associato all'account, vengono restituiti i seguenti metadati del ruolo.

  ```
  {
    "AssociatedAt": "timestamp",
    "RoleArn": "arn:aws:iam::account-id:role/path/role-name"
  }
  ```

  Se non viene restituito alcun metadato del ruolo, devi creare il ruolo di servizio (se non esiste) e associarlo al tuo account in. Regione AWS

 

### Creazione del ruolo del servizio Greengrass (CLI)
<a name="create-service-role"></a>

Utilizza i seguenti passaggi per creare un ruolo e associarlo al tuo Account AWS.

**Per creare il ruolo di servizio utilizzando IAM**

1. Crea il ruolo con una politica di fiducia che AWS IoT Greengrass consenta di assumere il ruolo. In questo esempio viene creato un ruolo denominato `Greengrass_ServiceRole`, ma è possibile utilizzare un nome diverso. Ti consigliamo di includere anche le chiavi del contesto `aws:SourceArn` e della condizione `aws:SourceAccount` globale nella tua politica di fiducia per evitare il *confuso problema della sicurezza dei vicedirettori*. Le chiavi di contesto delle condizioni limitano l'accesso per consentire solo le richieste che provengono dall'account specificato e dall'area di lavoro Greengrass. Per ulteriori informazioni sul problema del "confused deputy", consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).

------
#### [ Linux, macOS, or Unix ]

   ```
   aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "greengrass.amazonaws.com"
         },
         "Action": "sts:AssumeRole",
         "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "account-id"
           },
           "ArnLike": {
             "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
           }
         }
       }
     ]
   }'
   ```

------
#### [ Windows command prompt ]

   ```
   aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
   ```

------

1. Copiare il ruolo ARN dai metadati del ruolo nell'output. Utilizzare l'ARN per associare un ruolo all'account.

1. Collegare la policy `AWSGreengrassResourceAccessRolePolicy` al ruolo.

   ```
   aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
   ```

**Per associare il ruolo di servizio al tuo Account AWS**
+ Associare il ruolo all'account. Sostituisci *role-arn* con il ruolo di servizio ARN e *region* con il tuo Regione AWS (ad esempio,`us-west-2`).

  ```
  aws greengrass associate-service-role-to-account --role-arn role-arn --region region
  ```

  Se l'operazione riesce, viene restituita la seguente risposta.

  ```
  {
    "AssociatedAt": "timestamp"
  }
  ```

 

### Rimozione del ruolo del servizio Greengrass (CLI)
<a name="remove-service-role"></a>

Utilizza i seguenti passaggi per dissociare il ruolo di servizio Greengrass dal tuo. Account AWS
+ Disassociare un ruolo del servizio dall'account. *region*Sostituiscilo con il tuo Regione AWS (ad esempio,`us-west-2`).

  ```
  aws greengrass disassociate-service-role-from-account --region region
  ```

  Se l'operazione riesce, viene restituita la seguente risposta.

  ```
  {
    "DisassociatedAt": "timestamp"
  }
  ```
**Nota**  
È necessario eliminare il ruolo di servizio se non lo si utilizza in nessuno Regione AWS. Per prima cosa utilizzare [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) per scollegare la policy gestita `AWSGreengrassResourceAccessRolePolicy` dal ruolo, quindi usare [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) per eliminare il ruolo. Per ulteriori informazioni, consulta la sezione [Eliminazione di ruoli o profili delle istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *Guida per l'utente di IAM*.

## Consulta anche
<a name="service-role-see-also"></a>
+ [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *IAM* User Guide
+ [Modifica di un ruolo nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) *per l'utente IAM*
+ [Eliminazione di ruoli o profili di istanza](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) nella *IAM* User Guide
+ AWS IoT Greengrass comandi nel *AWS CLI Command* Reference
  + [associate-service-role-to-account](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-service-role-to-account.html)
  + [disassociate-service-role-from-conto](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-service-role-from-account.html)
  + [get-service-role-for-conto](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-service-role-for-account.html)
+ Comandi IAM nel *AWS CLI Command* Reference
  + [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
  + [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
  + [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
  + [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)