サポート終了通知: 2026 年 10 月 7 日、 AWS はサポートを終了します AWS IoT Greengrass Version 1。2026 年 10 月 7 日以降、 AWS IoT Greengrass V1 リソースにアクセスできなくなります。詳細については、[「 からの移行 AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Greengrass グループのロール
Greengrass グループロールは、Greengrass コアで実行されているコードが AWS リソースにアクセスすることを許可する IAM ロールです。( AWS Identity and Access Management IAM) でロールを作成し、アクセス許可を管理し、そのロールを Greengrass グループにアタッチします。Greengrass グループには 1 つのグループロールがあります。アクセス許可を追加または変更するには、異なるロールをアタッチするか、ロールにアタッチされている IAM ポリシーを変更します。
ロールは、信頼されたエンティティ AWS IoT Greengrass として を定義する必要があります。ビジネス事例によっては、グループロールに次の項目を定義する IAM ポリシーが含まれている場合があります。
+ AWS サービスにアクセスするためのユーザー定義の [Lambda 関数](lambda-functions.md)のアクセス許可。
+ [コネクタ](connectors.md)が AWS サービスにアクセスするためのアクセス許可。
+ [ストリームを および Kinesis Data Streams にエクスポートするためのストリームマネージャー](stream-manager.md)のアクセス許可。 AWS IoT Analytics
+ [CloudWatch ログ記録](greengrass-logs-overview.md)を許可するためのアクセス許可。
以下のセクションでは、 AWS マネジメントコンソール または で Greengrass グループロールをアタッチまたはデタッチする方法について説明します AWS CLI。
+ [グループロールの管理 (コンソール)](#manage-group-role-console)
+ [グループロールの管理 (CLI)](#manage-group-role-cli)
**注記**
Greengrass コアからのアクセスを許可するグループロールに加えて、 がユーザーに代わって AWS リソース AWS IoT Greengrass にアクセスできる [Greengrass サービスロール](service-role.md)を割り当てることができます。
## Greengrass グループロールの管理 (コンソール)
AWS IoT コンソールは、次のロール管理タスクに使用できます。
+ [Greengrass グループロールを見つける](#get-group-role-console)
+ [Greengrass グループロールの追加または変更](#add-or-change-group-role-console)
+ [Greengrass グループロールの削除](#remove-group-role-console)
**注記**
コンソールにサインインするユーザーには、ロールを管理するアクセス許可が必要です。
### Greengrass グループロールを見つける (コンソール)
Greengrass グループにアタッチされるロールを見つけるには、以下の手順に従います。
1. AWS IoT コンソールナビゲーションペインの**「管理**」で **Greengrass デバイス**を展開し、**「グループ (V1)**」を選択します。
1. ターゲットグループを選択します。
1. グループの設定ページで、**[View settings]** (設定を表示) を選択します。
ロールがグループにアタッチされている場合は、**[Group role]** (グループのロール) の下に表示されます。
### Greengrass グループロールの追加または変更 (コンソール)
Greengrass グループ AWS アカウント に追加する から IAM ロールを選択するには、次の手順に従います。
グループロールには、次の要件があります。
+ AWS IoT Greengrass 信頼されたエンティティとして定義されます。
+ ロールにアタッチされたアクセス許可ポリシーは、グループ内の Lambda 関数とコネクタ、および Greengrass システムコンポーネントに必要なアクセス許可を AWS リソースに付与する必要があります。
**注記**
また、信頼ポリシーには、`aws:SourceArn` および `aws:SourceAccount` グローバル条件コンテキストキーも含めて、混乱した代理によるセキュリティ問題を防止することをお勧めします。条件コンテキストキーを使用すると、指定したアカウントと Greengrass ワークスペースからのリクエストのみを許可するようにアクセスを制限できます。「混乱した代理」問題の詳細については、「[サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)」を参照してください。
IAM コンソールを使用して、ロールとそのアクセス許可を作成および設定します。Amazon DynamoDB テーブルへのアクセスを許可するロールの例を作成する手順については、「[グループロールの設定](config-iam-roles.md)」を参照してください。一般的な手順については、*IAM ユーザーガイド*の「 [AWS サービス (コンソール) のロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)」を参照してください。
ロールを設定したら、 AWS IoT コンソールを使用してロールをグループに追加します。
**注記**
この手順は、グループのロールを選択する場合にのみ必要です。現在選択されているグループロールのアクセス許可を変更した後は不要です。
1. AWS IoT コンソールナビゲーションペインの**「管理**」で **Greengrass デバイス**を展開し、**「グループ (V1)**」を選択します。
1. ターゲットグループを選択します。
1. グループの設定ページで、**[View settings]** (設定を表示) を選択します。
1. **[Group role]** (グループロール) で、次のロールの追加または変更を選択します。
+ ロールを追加するには、**[Associate role]** (ロールに関連付ける) を選択し、次に、役割のリストから自分の役割を選択します。これらは、信頼 AWS アカウント されたエンティティ AWS IoT Greengrass として を定義する のロールです。
+ 別の役割を選択するには、**[Edit role]** (ロールを編集) を選択し、次に、役割のリストから自分の役割を選択します。
1. **[保存]** を選択します。
### Greengrass グループロールの削除 (コンソール)
Greengrass グループからロールをデタッチするには、以下の手順に従います。
1. AWS IoT コンソールナビゲーションペインの**「管理**」で **Greengrass デバイス**を展開し、**「グループ (V1)**」を選択します。
1. ターゲットグループを選択します。
1. グループの設定ページで、**[View settings]** (設定を表示) を選択します。
1. **[Group role]** から、**[Disassociate role]** (ロールの関連付けを解除する) を選択します。
1. 確認ダイアログボックスで、**[Disassociate role]** (ロールの関連付けを解除) を選択します。この手順では、グループからロールが削除されますが、ロールは削除されません。ロールを削除する場合は、IAM コンソールを使用します。
## Greengrass グループロールの管理 (CLI)
は、次のロール管理タスク AWS CLI に使用できます。
+ [Greengrass グループロールの取得](#get-group-role)
+ [Greengrass グループロールの作成](#create-group-role)
+ [Greengrass グループロールの削除](#remove-group-role)
### Greengrass グループロールの取得 (CLI)
Greengrass グループに関連付けられたロールがあるかどうかを確認するには、以下の手順に従います。
1. グループのリストからターゲットグループの ID を取得します。
```
aws greengrass list-groups
```
以下に、`list-groups` 応答の例を示します。応答の各グループには、グループ ID を含む `Id` プロパティが含まれます。
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
`query` オプションを使用して結果をフィルタリングする例など、詳細については、「[グループ ID の取得](deployments.md#api-get-group-id)」を参照してください。
1. 出力からターゲットグループの `Id` をコピーします。
1. グループロールを取得します。*group-id* をターゲットグループの ID に置き換えます。
```
aws greengrass get-associated-role --group-id group-id
```
ロールが Greengrass グループに関連付けられている場合、次のロールメタデータが返されます。
```
{
"AssociatedAt": "timestamp",
"RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
グループにロールが関連付けられていない場合は、次のエラーが返されます。
```
An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.
```
### Greengrass グループロールの作成 (CLI)
以下の手順に従ってロールを作成し、それを Greengrass グループに関連付けます。
**IAM を使用してグループロールを作成するには**
1. がロールを引き受けること AWS IoT Greengrass を許可する信頼ポリシーを使用してロールを作成します。この例では、`MyGreengrassGroupRole` という名前のロールを作成しますが、別の名前を使用できます。また、信頼ポリシーには、`aws:SourceArn` および `aws:SourceAccount` グローバル条件コンテキストキーも含めて、混乱した代理によるセキュリティ問題を防止することをお勧めします。条件コンテキストキーを使用すると、指定したアカウントと Greengrass ワークスペースからのリクエストのみを許可するようにアクセスを制限できます。混乱した代理に関する問題の詳細については、「[サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)」を参照してください。
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
1. 出力のロールメタデータからロールの ARN をコピーします。ARN を使用して、ロールをグループに関連付けます。
1. 管理ポリシーまたはインラインポリシーをビジネスケースをサポートするロールにアタッチします。例えば、ユーザー定義 Lambda 関数が Amazon S3 から読み取る場合、`AmazonS3ReadOnlyAccess` 管理ポリシーをロールにアタッチできます。
```
aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
```
成功した場合、応答は返されません。
**ロールを Greengrass グループに関連付けるには**
1. グループのリストからターゲットグループの ID を取得します。
```
aws greengrass list-groups
```
以下に、`list-groups` 応答の例を示します。応答の各グループには、グループ ID を含む `Id` プロパティが含まれます。
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
`query` オプションを使用して結果をフィルタリングする例など、詳細については、「[グループ ID の取得](deployments.md#api-get-group-id)」を参照してください。
1. 出力からターゲットグループの `Id` をコピーします。
1. ロールとグループを関連付けます。*group-id* をターゲットグループの ID に置き換え、*role-arn* をグループロールの ARN に置き換えます。
```
aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn
```
成功すると、以下のレスポンスが返されます。
```
{
"AssociatedAt": "timestamp"
}
```
### Greengrass グループロールの削除 (CLI)
以下の手順に従って、グループロールから Greengrass グループの関連付けを解除します。
1. グループのリストからターゲットグループの ID を取得します。
```
aws greengrass list-groups
```
以下に、`list-groups` 応答の例を示します。応答の各グループには、グループ ID を含む `Id` プロパティが含まれます。
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
`query` オプションを使用して結果をフィルタリングする例など、詳細については、「[グループ ID の取得](deployments.md#api-get-group-id)」を参照してください。
1. 出力からターゲットグループの `Id` をコピーします。
1. グループからロールの関連付けを解除します。*group-id* をターゲットグループの ID に置き換えます。
```
aws greengrass disassociate-role-from-group --group-id group-id
```
成功すると、以下のレスポンスが返されます。
```
{
"DisassociatedAt": "timestamp"
}
```
**注記**
グループロールを使用していない場合は、そのグループロールを削除できます。最初に、[https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) を使用して各管理ポリシーをロールからデタッチし、次に [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) を使用してロールを削除します。詳細については、「IAM ユーザーガイド」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」を参照してください。
## 関連情報
+ 「IAM ユーザーガイド」の関連トピック
+ [AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ [ロールの修正](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)
+ [IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [ロールまたはインスタンスプロファイルの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)
+ AWS IoT Greengrass コマンド*AWS CLI リファレンスの コマンド*
+ [list-groups](https://docs.aws.amazon.com/cli/latest/reference/greengrass/list-groups.html)
+ [associate-role-to-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-role-to-group.html)
+ [disassociate-role-from-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-role-from-group.html)
+ [get-associated-role](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-associated-role.html)
+ 「AWS CLI コマンドリファレンス」の IAM コマンド
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)