기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 보안 AWS IoT Greengrass
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이 사항을 클라우드*의* 보안 및 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다 AWS 클라우드.는 안전하게 사용할 수 있는 서비스 AWS 도 제공합니다. 타사 감사자는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/) 일환으로 보안의 효과를 정기적으로 테스트하고 확인합니다. 에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 규정 준수 프로그램 [AWS 제공 범위 내 서비스규정 준수 프로그램](https://aws.amazon.com/compliance/services-in-scope/) 제공 범위 내 서비스를 AWS IoT Greengrass참조하세요.
+ **클라우드 내 보안** – 귀하의 책임은 귀하가 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 데이터의 민감도, 회사 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
를 사용할 때 디바이스 AWS IoT Greengrass, 로컬 네트워크 연결 및 프라이빗 키를 보호할 책임도 있습니다.
이 설명서는를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다 AWS IoT Greengrass. 다음 주제에서는 보안 및 규정 준수 목표를 충족하도록 AWS IoT Greengrass 를 구성하는 방법을 보여줍니다. 또한 AWS IoT Greengrass 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.
**Topics**
+ [의 데이터 보호 AWS IoT Greengrass](data-protection.md)
+ [에 대한 디바이스 인증 및 권한 부여 AWS IoT Greengrass](device-auth.md)
+ [에 대한 자격 증명 및 액세스 관리 AWS IoT Greengrass](security-iam.md)
+ [프록시 또는 방화벽을 통해 디바이스 트래픽 허용](allow-device-traffic.md)
+ [의 규정 준수 검증AWS IoT Greengrass](compliance-validation.md)
+ [FIPS 엔드포인트](FIPS.md)
+ [AWS IoT Greengrass의 복원성](disaster-recovery-resiliency.md)
+ [의 인프라 보안 AWS IoT Greengrass](infrastructure-security.md)
+ [의 구성 및 취약성 분석 AWS IoT Greengrass](vulnerability-analysis-and-management.md)
+ [AWS IoT Greengrass V2의 코드 무결성](code-integrity.md)
+ [AWS IoT Greengrass 및 인터페이스 VPC 엔드포인트(AWS PrivateLink)](vpc-interface-endpoints.md)
+ [에 대한 보안 모범 사례 AWS IoT Greengrass](security-best-practices.md)
# 의 데이터 보호 AWS IoT Greengrass
AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)의 데이터 보호에 적용됩니다 AWS IoT Greengrass. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 사용하는 AWS 서비스 의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 관한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을 참조하세요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html).
+ 내의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
+ 명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [연방 정보 처리 표준(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 AWS IoT Greengrass 또는 기타 AWS 서비스 에서 콘솔, API AWS CLI또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명을 URL에 포함해서는 안 됩니다.
에서 민감한 정보를 보호하는 방법에 대한 자세한 내용은 섹션을 AWS IoT Greengrass참조하세요[민감한 정보를 기록하지 않음](security-best-practices.md#protect-pii).
데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하십시오.
**Topics**
+ [데이터 암호화](data-encryption.md)
+ [하드웨어 보안 통합](hardware-security.md)
# 데이터 암호화
AWS IoT Greengrass 는 암호화를 사용하여 전송 중(인터넷 또는 로컬 네트워크를 통해) 및 저장 중(에 저장) 데이터를 보호합니다 AWS 클라우드.
AWS IoT Greengrass 환경의 디바이스는 종종 추가 처리를 위해 AWS 서비스로 전송되는 데이터를 수집합니다. 다른 AWS 서비스의 데이터 암호화에 대한 자세한 내용은 해당 서비스의 보안 설명서를 참조하세요.
**Topics**
+ [전송 중 암호화](encryption-in-transit.md)
+ [저장 시 암호화](encryption-at-rest.md)
+ [Greengrass 코어 장치를 위한 키 관리](key-management.md)
# 전송 중 암호화
AWS IoT Greengrass에서는 두 가지 통신 모드로 데이터를 전송할 수 있습니다.
+ [인터넷을 통해 전송 중인 데이터](#data-in-transit-internet). 인터넷을 통한 Greengrass 코어와 AWS IoT Greengrass 간 통신은 암호화됩니다.
+ [코어 장치의 데이터](#data-in-transit-locally). Greengrass 코어 장치의 구성 요소 간 통신은 암호화되지 않습니다.
## 인터넷을 통해 전송 중인 데이터
AWS IoT Greengrass는 전송 계층 보안(TLS)을 사용하여 인터넷을 통한 모든 통신을 암호화합니다. AWS 클라우드로 전송되는 모든 데이터는 MQTT 또는 HTTPS 프로토콜을 사용하여 TLS 연결을 통해 전송되므로 기본적으로 안전합니다. AWS IoT Greengrass는 AWS IoT 전송 보안 모델을 사용합니다. 자세한 정보는 *AWS IoT Core 개발자 안내서*의 [전송 보안](https://docs.aws.amazon.com/iot/latest/developerguide/transport-security.html)을 참조하세요.
## 코어 장치의 데이터
데이터가 장치를 떠나지 않기 때문에 AWS IoT Greengrass는 Greengrass 코어 장치에서 로컬로 교환되는 데이터를 암호화하지 않습니다. 여기에는 사용자 정의 구성 요소, AWS IoT 디바이스 SDK 및 퍼블릭 구성 요소(예: 스트림 관리자) 간의 통신이 포함됩니다.
# 저장 시 암호화
AWS IoT Greengrass가 데이터를 저장합니다.
+ [AWS 클라우드에 저장된 데이터](#data-at-rest-cloud). 이 데이터는 암호화됩니다.
+ [Greengrass 코어에 저장된 데이터](#data-at-rest-device). 이 데이터는 암호화되지 않습니다(보안 암호의 로컬 사본 제외).
## AWS 클라우드에 저장된 데이터
AWS IoT Greengrass는 AWS 클라우드에 저장된 고객 데이터를 암호화합니다. 이 데이터는 AWS KMS에서 관리하는 AWS IoT Greengrass 키를 사용하여 보호됩니다.
## Greengrass 코어에 저장된 데이터
AWS IoT Greengrass는 Unix 파일 권한 및 전체 디스크 암호화(활성화된 경우)를 사용하여 코어에 저장된 유휴 상태의 데이터를 보호합니다. 파일 시스템 및 장치의 보안을 유지하는 것은 사용자의 책임입니다.
그러나 AWS IoT Greengrass는 AWS Secrets Manager에서 검색한 보안 암호의 로컬 복사본을 암호화합니다. 자세한 내용은 [보안 암호 관리자](secret-manager-component.md) 구성 요소를 참조하세요.
# Greengrass 코어 장치를 위한 키 관리
Greengrass 코어 장치에 암호화(퍼블릭 및 프라이빗) 키를 안전하게 저장하는 것은 고객의 책임입니다. AWS IoT Greengrass는 다음 시나리오에 퍼블릭 키와 프라이빗 키를 사용합니다.
+ IoT 클라이언트 키는 IoT 인증서와 함께 사용되어 Greengrass 코어가 AWS IoT Core에 연결될 때 TLS(전송 계층 보안) 핸드셰이크를 인증합니다. 자세한 내용은 [에 대한 디바이스 인증 및 권한 부여 AWS IoT Greengrass](device-auth.md) 섹션을 참조하세요.
**참고**
키와 인증서를 코어 프라이빗 키와 코어 장치 인증서라고도 합니다.
Greengrass 코어 디바이스는 파일 시스템 권한 또는 [하드웨어 보안 모듈](hardware-security.md)을 사용하여 프라이빗 키 스토리지를 지원합니다. 파일 시스템 기반 프라이빗 키를 사용하는 경우, 코어 장치의 보안 스토리지에 대한 책임은 사용자에게 있습니다.
# 하드웨어 보안 통합
**참고**
이 기능은 [Greengrass nucleus 구성 요소의](greengrass-nucleus-component.md) v2.5.3 이상에서 사용할 수 있습니다. AWS IoT Greengrass 는 현재 Windows 코어 디바이스에서이 기능을 지원하지 않습니다.
[PKCS\$111 인터페이스를](https://en.wikipedia.org/wiki/PKCS_11) 통해 하드웨어 보안 모듈(HSM)을 사용하도록 AWS IoT Greengrass 코어 소프트웨어를 구성할 수 있습니다. 이 기능을 사용하면 디바이스의 프라이빗 키와 인증서를 소프트웨어에 노출되거나 복제되지 않도록 안전하게 저장할 수 있습니다. 프라이빗 키와 인증서를 HSM 또는 TPM(Trusted Platform Module)과 같은 하드웨어 모듈에 저장할 수 있습니다.
AWS IoT Greengrass 코어 소프트웨어는 프라이빗 키와 X.509 인증서를 사용하여 AWS IoT 및 AWS IoT Greengrass 서비스에 대한 연결을 인증합니다. [보안 암호 관리자 구성 요소](secret-manager-component.md)는 이 프라이빗 키를 사용하여 Greengrass 코어 디바이스에 배포하는 보안 암호를 안전하게 암호화 및 복호화합니다. HSM을 사용하도록 코어 디바이스를 구성하면 이러한 구성 요소는 HSM에 저장한 프라이빗 키와 인증서를 사용합니다.
[Moquette MQTT 브로커 구성 요소](mqtt-broker-moquette-component.md) 또한 로컬 MQTT 서버 인증서의 프라이빗 키를 저장합니다. 이 구성 요소는 구성 요소의 작업 폴더에 있는 디바이스의 파일 시스템에 프라이빗 키를 저장합니다. 현재 AWS IoT Greengrass 는이 프라이빗 키 또는 인증서를 HSM에 저장하는 기능을 지원하지 않습니다.
**작은 정보**
[AWS 파트너 디바이스 카탈로그](https://devices.amazonaws.com/search?kw=%22HSI%22&page=1)에서 이 기능을 지원하는 디바이스를 검색하세요.
**Topics**
+ [요구 사항](#hardware-security-requirements)
+ [하드웨어 보안 모범 사례](#hardware-security-best-practices)
+ [하드웨어 보안으로 AWS IoT Greengrass 코어 소프트웨어 설치](#install-with-hardware-security)
+ [기존 코어 디바이스에서 하드웨어 보안 구성](#enable-hardware-security)
+ [PKCS\$111 지원 기능이 없는 하드웨어 사용](#hardware-without-pkcs11)
+ [다음 사항도 참조하세요.](#hardware-security-see-also)
## 요구 사항
Greengrass 코어 디바이스에서 HSM을 사용하려면 다음과 같은 요구 사항을 충족해야 합니다.
+ [Greengrass nucleus](greengrass-nucleus-component.md) v2.5.3 이상이 코어 디바이스에 설치되어야 합니다. 코어 디바이스에 AWS IoT Greengrass 코어 소프트웨어를 설치할 때 호환되는 버전을 선택할 수 있습니다.
+ [PKCS\$111 공급자 구성 요소](pkcs11-provider-component.md)가 코어 디바이스에 설치되어야 합니다. 코어 디바이스에 AWS IoT Greengrass 코어 소프트웨어를 설치할 때이 구성 요소를 다운로드하여 설치할 수 있습니다.
+ [PKCS\$11 v1.5](https://tools.ietf.org/html/rfc2313) 서명 체계와 RSA-2048 키 크기(또는 그 이상) 또는 ECC 키를 사용하는 RSA 키가 지원되는 하드웨어 보안 모듈.
**참고**
ECC 키와 함께 하드웨어 보안 모듈을 사용하려면 [Greengrass nucleus](greengrass-nucleus-component.md) v2.5.6 이상을 사용해야 합니다.
하드웨어 보안 모듈 및 [보안 암호 관리자](secret-manager-component.md)를 사용하려면 RSA 키가 있는 하드웨어 보안 모듈을 사용해야 합니다.
+ AWS IoT Greengrass 코어 소프트웨어가 런타임에 로드(libdl 사용)하여 PKCS\$111 함수를 호출할 수 있는 PKCS\$111 공급자 라이브러리입니다. PKCS\$111 공급자 라이브러리는 다음 PKCS\$111 API 작업을 구현해야 합니다.
+ `C_Initialize`
+ `C_Finalize`
+ `C_GetSlotList`
+ `C_GetSlotInfo`
+ `C_GetTokenInfo`
+ `C_OpenSession`
+ `C_GetSessionInfo`
+ `C_CloseSession`
+ `C_Login`
+ `C_Logout`
+ `C_GetAttributeValue`
+ `C_FindObjectsInit`
+ `C_FindObjects`
+ `C_FindObjectsFinal`
+ `C_DecryptInit`
+ `C_Decrypt`
+ `C_DecryptUpdate`
+ `C_DecryptFinal`
+ `C_SignInit`
+ `C_Sign`
+ `C_SignUpdate`
+ `C_SignFinal`
+ `C_GetMechanismList`
+ `C_GetMechanismInfo`
+ `C_GetInfo`
+ `C_GetFunctionList`
+ 하드웨어 모듈은 PKCS\$111 사양에 정의된 것처럼 슬롯 레이블로 확인할 수 있어야 합니다.
+ 프라이빗 키와 인증서를 동일한 슬롯의 HSM에 저장해야 하고, HSM이 객체 ID를 지원하는 경우 동일한 객체 레이블과 객체 ID를 사용해야 합니다.
+ 인증서와 프라이빗 키는 객체 레이블로 확인할 수 있어야 합니다.
+ 프라이빗 키에 다음 권한이 있어야 합니다.
+ `sign`
+ `decrypt`
+ (선택 사항) [보안 암호 관리자 구성 요소](secret-manager-component.md)를 사용하려면 버전 2.1.0 이상을 사용해야 하며, 프라이빗 키에 다음 권한이 있어야 합니다.
+ `unwrap`
+ `wrap`
## 하드웨어 보안 모범 사례
Greengrass 코어 디바이스에서 하드웨어 보안을 구성할 때 다음 모범 사례를 고려하세요.
+ 내부 하드웨어 난수 생성기를 사용하여 HSM에서 직접 프라이빗 키를 생성합니다. 프라이빗 키는 HSM 내에 유지되므로 이 접근 방식은 다른 곳에서 생성한 프라이빗 키를 가져오는 것보다 더 안전합니다.
+ 변경이 불가능하고 내보내기를 금지하도록 프라이빗 키를 구성합니다.
+ HSM 하드웨어 공급업체가 하드웨어 보호 프라이빗 키를 사용하여 인증서 서명 요청(CSR)을 생성하도록 권장하는 프로비저닝 도구를 사용한 다음 AWS IoT 콘솔 또는 API를 사용하여 클라이언트 인증서를 생성합니다.
**참고**
HSM에서 프라이빗 키를 생성할 때에는 키 교체 관련 모범 사례가 적용되지 않습니다.
## 하드웨어 보안으로 AWS IoT Greengrass 코어 소프트웨어 설치
AWS IoT Greengrass 코어 소프트웨어를 설치할 때 HSM에서 생성한 프라이빗 키를 사용하도록 구성할 수 있습니다. 이 접근 방식은 [보안 모범 사례](#hardware-security-best-practices)를 따라 HSM에서 프라이빗 키를 생성하므로 프라이빗 키가 HSM 내에 유지됩니다.
하드웨어 보안으로 AWS IoT Greengrass 코어 소프트웨어를 설치하려면 다음을 수행합니다.
1. HSM에서 프라이빗 키를 생성합니다.
1. 프라이빗 키에서 CSR(인증서 서명 요청)을 생성합니다.
1. CSR에서 인증서를 생성합니다. AWS IoT 또는 다른 루트 인증 기관(CA)에서 서명한 인증서를 생성할 수 있습니다. 다른 루트 CA를 사용하는 방법에 대한 자세한 내용은 *AWS IoT Core 개발자 안내서*의 [자체 클라이언트 인증서 생성](https://docs.aws.amazon.com/iot/latest/developerguide/device-certs-your-own.html)을 참조하세요.
1. AWS IoT 인증서를 다운로드하여 HSM으로 가져옵니다.
1. PKCS\$111 공급자 구성 요소와 HSM의 프라이빗 키 및 인증서를 사용하도록 지정하는 구성 파일에서 AWS IoT Greengrass 코어 소프트웨어를 설치합니다.
다음 설치 옵션 중 하나를 선택하여 하드웨어 보안이 적용된 AWS IoT Greengrass 코어 소프트웨어를 설치할 수 있습니다.
+ **수동 설치**
필요한 AWS 리소스를 수동으로 생성하고 하드웨어 보안을 구성하려면이 옵션을 선택합니다. 자세한 내용은 [수동 리소스 프로비저닝을 사용하여 AWS IoT Greengrass 코어 소프트웨어 설치](manual-installation.md) 단원을 참조하십시오.
+ **사용자 지정 프로비저닝을 사용한 설치**
필요한 AWS 리소스를 자동으로 생성하고 하드웨어 보안을 구성하는 사용자 지정 Java 애플리케이션을 개발하려면이 옵션을 선택합니다. 자세한 내용은 [사용자 지정 리소스 프로비저닝을 사용하여 AWS IoT Greengrass 코어 소프트웨어 설치](custom-provisioning.md) 단원을 참조하십시오.
현재 AWS IoT Greengrass 는 자동 리소스 프로비저닝 또는 [AWS IoT 플릿 프로비저닝](fleet-provisioning.md)으로 설치할 때 하드웨어 보안으로 AWS IoT Greengrass 코어 소프트웨어 설치를 지원하지 않습니다. [자동 리소스 프로비저닝을 사용하여 AWS IoT Greengrass 코어 소프트웨어 설치](quick-installation.md)
## 기존 코어 디바이스에서 하드웨어 보안 구성
코어 디바이스의 프라이빗 키와 인증서를 HSM으로 가져와 하드웨어 보안을 구성할 수 있습니다.
**고려 사항**
코어 디바이스의 파일 시스템에 대한 루트 액세스 권한이 있어야 합니다.
이 절차에서는 AWS IoT Greengrass 코어 소프트웨어를 종료하여 하드웨어 보안을 구성하는 동안 코어 디바이스가 오프라인 상태이고 사용할 수 없도록 합니다.
기존 코어 디바이스에서 하드웨어 보안을 구성하려면 다음을 수행합니다.
1. HSM을 초기화합니다.
1. [PKCS\$111 공급자 구성 요소](pkcs11-provider-component.md)를 코어 디바이스에 배포합니다.
1. AWS IoT Greengrass 코어 소프트웨어를 중지합니다.
1. 코어 디바이스의 프라이빗 키와 인증서를 HSM으로 가져옵니다.
1. HSM에서 프라이빗 키와 인증서를 사용하도록 AWS IoT Greengrass 코어 소프트웨어의 구성 파일을 업데이트합니다.
1. AWS IoT Greengrass 코어 소프트웨어를 시작합니다.
### 1단계: 하드웨어 보안 모듈 초기화
다음 단계를 완료하여 코어 디바이스에서 HSM을 초기화합니다.
**하드웨어 보안 모듈 초기화**
+ HSM에서 PKCS\$111 토큰을 초기화하고, 토큰의 슬롯 ID와 사용자 PIN을 저장합니다. HSM의 설명서를 확인하여 토큰을 초기화하는 방법을 알아보세요. 나중에 PKCS\$111 공급자 구성 요소를 배포 및 구성할 때 슬롯 ID와 사용자 PIN을 사용합니다.
### 2단계: PKCS\$111 공급자 구성 요소 배포
다음 단계를 완료하여 [PKCS\$111 공급자 구성 요소](pkcs11-provider-component.md)를 배포 및 구성합니다. 구성 요소를 하나 이상의 코어 디바이스에 배포할 수 있습니다.
#### PKCS\$111 공급자 구성 요소 배포(콘솔)
1. [AWS IoT Greengrass 콘솔](https://console.aws.amazon.com/greengrass) 탐색 메뉴에서 **구성 요소**를 선택합니다.
1. **구성 요소** 페이지의 **퍼블릭 구성 요소** 탭을 선택한 다음 **aws.greengrass.crypto.Pkcs11Provider**를 선택합니다.
1. **aws.greengrass.crypto.Pkcs11Provider** 페이지에서 **배포**를 선택합니다.
1. **배포에 추가**에서 수정할 기존 배포를 선택하거나 새 배포 생성을 선택하고 **다음**을 선택합니다.
1. 새 배포 생성을 선택한 경우 배포의 대상 코어 디바이스 또는 사물 그룹을 선택합니다. **대상 지정** 페이지의 **배포 대상**에서 코어 디바이스 또는 사물 그룹을 선택하고 **다음**을 선택합니다.
1. **구성 요소 선택** 페이지의 **퍼블릭 구성 요소**에서 **aws.greengrass.crypto.Pkcs11Provider**를 선택하고 **다음**을 선택합니다.
1. **구성 요소 구성** 페이지에서 **aws.greengrass.crypto.Pkcs11Provider**를 선택하고 다음을 수행합니다.
1. **구성 요소 구성**을 선택합니다.
1. **구성 aws.greengrass.crypto.Pkcs11Provider** 모달에서 **구성 업데이트** 아래의 **병합할 구성**에 다음 구성 업데이트를 입력합니다. 다음 구성 파라미터를 대상 코어 디바이스의 값으로 업데이트합니다. 앞서 PKCS\$111 토큰을 초기화한 슬롯 ID와 사용자 PIN을 지정합니다. 나중에 프라이빗 키와 인증서를 HSM의 이 슬롯으로 가져옵니다.
`name`
PKCS\$111 구성의 이름입니다.
`library`
AWS IoT Greengrass 코어 소프트웨어가 libdl로 로드할 수 있는 PKCS\$111 구현 라이브러리의 절대 파일 경로입니다.
`slot`
프라이빗 키와 디바이스 인증서가 포함된 슬롯의 ID입니다. 이 값은 슬롯 인덱스 또는 슬롯 레이블과 다릅니다.
`userPin`
슬롯 액세스에 사용할 사용자 PIN입니다.
```
{
"name": "softhsm_pkcs11",
"library": "/usr/lib/softhsm/libsofthsm2.so",
"slot": 1,
"userPin": "1234"
}
```
1. **확인**을 선택하여 모달을 닫고 **다음**을 선택합니다.
1. **고급 설정 구성** 페이지에서 기본 구성 설정을 유지하고 **다음**을 선택합니다.
1. **검토** 페이지에서 **배포**를 선택합니다.
배포를 완료하는 데 1분 정도 걸릴 수 있습니다.
#### PKCS\$111 공급자 구성 요소 배포(AWS CLI)
PKCS\$111 공급자 구성 요소를 배포하려면 `components` 객체에 `aws.greengrass.crypto.Pkcs11Provider`를 포함하는 배포 문서를 생성하고 구성 요소에 대한 구성 업데이트를 지정합니다. [배포 만들기](create-deployments.md)의 지침에 따라 새 배포를 생성하거나 기존 배포를 수정합니다.
다음 예제 부분 배포 문서를 통해 PKCS\$111 공급자 구성 요소를 배포하고 구성하도록 지정합니다. 다음 구성 파라미터를 대상 코어 디바이스의 값으로 업데이트합니다. 프라이빗 키와 인증서를 HSM으로 가져올 때 나중에 사용할 슬롯 ID와 사용자 PIN을 저장합니다.
`name`
PKCS\$111 구성의 이름입니다.
`library`
AWS IoT Greengrass 코어 소프트웨어가 libdl로 로드할 수 있는 PKCS\$111 구현 라이브러리의 절대 파일 경로입니다.
`slot`
프라이빗 키와 디바이스 인증서가 포함된 슬롯의 ID입니다. 이 값은 슬롯 인덱스 또는 슬롯 레이블과 다릅니다.
`userPin`
슬롯 액세스에 사용할 사용자 PIN입니다.
```
{
"name": "softhsm_pkcs11",
"library": "/usr/lib/softhsm/libsofthsm2.so",
"slot": 1,
"userPin": "1234"
}
```
```
{
...,
"components": {
...,
"aws.greengrass.crypto.Pkcs11Provider": {
"componentVersion": "2.0.0",
"configurationUpdate": {
"merge": "{\"name\":\"softhsm_pkcs11\",\"library\":\"/usr/lib/softhsm/libsofthsm2.so\",\"slot\":1,\"userPin\":\"1234\"}"
}
}
}
}
```
배포를 완료하는 데 몇 분 정도 걸릴 수 있습니다. AWS IoT Greengrass 서비스를 사용하여 배포 상태를 확인할 수 있습니다. AWS IoT Greengrass 코어 소프트웨어 로그를 확인하여 PKCS\$111 공급자 구성 요소가 성공적으로 배포되었는지 확인할 수 있습니다. 자세한 내용은 다음을 참조하세요.
+ [배포 상태 확인](check-deployment-status.md)
+ [AWS IoT Greengrass 로그 모니터링](monitor-logs.md)
배포에 실패하면 각 코어 디바이스에서 배포 문제를 해결할 수 있습니다. 자세한 내용은 [문제 해결 AWS IoT Greengrass V2](troubleshooting.md) 단원을 참조하십시오.
### 3단계: 코어 디바이스에서 구성 업데이트
AWS IoT Greengrass 코어 소프트웨어는 디바이스 작동 방식을 지정하는 구성 파일을 사용합니다. 이 구성 파일에는 디바이스가 AWS 클라우드에 연결하는 데 사용하는 프라이빗 키와 인증서를 찾을 수 있는 위치가 포함됩니다. 다음 단계를 완료하여 코어 디바이스의 프라이빗 키 및 인증서를 HSM으로 가져오고 HSM을 사용하도록 구성 파일을 업데이트합니다.
**하드웨어 보안을 사용하도록 코어 디바이스의 구성 업데이트**
1. AWS IoT Greengrass 코어 소프트웨어를 중지합니다. systemd[를 사용하여 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 구성](configure-greengrass-core-v2.md#configure-system-service)한 경우 다음 명령을 실행하여 소프트웨어를 중지할 수 있습니다.
```
sudo systemctl stop greengrass.service
```
1. 코어 디바이스의 프라이빗 키 및 인증서 파일을 찾습니다.
+ [자동 프로비저닝](quick-installation.md) 또는 [플릿 프로비저닝](fleet-provisioning.md)과 함께 AWS IoT Greengrass 코어 소프트웨어를 설치한 경우 프라이빗 키는에 `/greengrass/v2/privKey.key`존재하고 인증서는에 존재합니다`/greengrass/v2/thingCert.crt`.
+ [수동 프로비저닝](manual-installation.md)으로 AWS IoT Greengrass 코어 소프트웨어를 설치한 경우 프라이빗 키는 `/greengrass/v2/private.pem.key` 기본적으로에 존재하고 인증서는 기본적으로 `/greengrass/v2/device.pem.crt`에 존재합니다.
`/greengrass/v2/config/effectiveConfig.yaml`의 `system.privateKeyPath` 및 `system.certificateFilePath` 속성을 확인하여 이러한 파일의 위치를 찾을 수도 있습니다.
1. 프라이빗 키와 인증서를 HSM으로 가져옵니다. 프라이빗 키와 인증서를 가져오는 방법을 알아보려면 HSM 설명서를 확인하세요. 앞서 PKCS\$111 토큰을 초기화한 슬롯 ID와 사용자 PIN을 사용하여 프라이빗 키와 인증서를 가져옵니다. 프라이빗 키와 인증서에 동일한 객체 레이블과 객체 ID를 사용해야 합니다. 각 파일을 가져올 때 지정한 객체 레이블을 저장합니다. 나중에 HSM에서 프라이빗 키와 인증서를 사용하도록 AWS IoT Greengrass 코어 소프트웨어 구성을 업데이트할 때이 레이블을 사용합니다.
1. HSM에서 프라이빗 키와 인증서를 사용하도록 AWS IoT Greengrass 코어 구성을 업데이트합니다. 구성을 업데이트하려면 AWS IoT Greengrass 코어 구성 파일을 수정하고 업데이트된 구성 파일로 AWS IoT Greengrass 코어 소프트웨어를 실행하여 새 구성을 적용합니다.
해결 방법:
1. AWS IoT Greengrass 코어 구성 파일의 백업을 생성합니다. 하드웨어 보안을 구성할 때 문제가 발생하면 이 백업을 사용하여 코어 디바이스를 복원할 수 있습니다.
```
sudo cp /greengrass/v2/config/effectiveConfig.yaml ~/ggc-config-backup.yaml
```
1. 텍스트 편집기에서 AWS IoT Greengrass 코어 구성 파일을 엽니다. 예를 들어 다음 명령을 실행하여 GNU nano를 사용해 파일을 편집할 수 있습니다. `/greengrass/v2`를 Greengrass 루트 폴더의 경로로 바꿉니다.
```
sudo nano /greengrass/v2/config/effectiveConfig.yaml
```
1. `system.privateKeyPath`의 값을 HSM의 프라이빗 키에 대한 PKCS\$111 URI로 바꿉니다. *iotdevicekey*를 앞서 프라이빗 키와 인증서를 가져온 객체 레이블로 바꿉니다.
```
pkcs11:object=iotdevicekey;type=private
```
1. `system.certificateFilePath`의 값을 HSM의 인증서에 대한 PKCS\$111 URI로 바꿉니다. *iotdevicekey*를 앞서 프라이빗 키와 인증서를 가져온 객체 레이블로 바꿉니다.
```
pkcs11:object=iotdevicekey;type=cert
```
이 단계를 완료한 후 AWS IoT Greengrass 코어 구성 파일의 `system` 속성은 다음 예제와 비슷해야 합니다.
```
system:
certificateFilePath: "pkcs11:object=iotdevicekey;type=cert"
privateKeyPath: "pkcs11:object=iotdevicekey;type=private"
rootCaPath: "/greengrass/v2/rootCA.pem"
rootpath: "/greengrass/v2"
thingName: "MyGreengrassCore"
```
1. 업데이트된 `effectiveConfig.yaml` 파일에 구성을 적용합니다. `--init-config` 파라미터로 `Greengrass.jar`을 실행하여 `effectiveConfig.yaml`에 구성을 적용합니다. `/greengrass/v2`를 Greengrass 루트 폴더의 경로로 바꿉니다.
```
sudo java -Droot="/greengrass/v2" \
-jar /greengrass/v2/alts/current/distro/lib/Greengrass.jar \
--start false \
--init-config /greengrass/v2/config/effectiveConfig.yaml
```
1. AWS IoT Greengrass 코어 소프트웨어를 시작합니다. systemd[를 사용하여 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 구성](configure-greengrass-core-v2.md#configure-system-service)한 경우 다음 명령을 실행하여 소프트웨어를 시작할 수 있습니다.
```
sudo systemctl start greengrass.service
```
자세한 내용은 [AWS IoT Greengrass 코어 소프트웨어 실행](run-greengrass-core-v2.md) 단원을 참조하십시오.
1. AWS IoT Greengrass 코어 소프트웨어 로그를 확인하여 소프트웨어가 시작되고에 연결되어 있는지 확인합니다 AWS 클라우드. AWS IoT Greengrass 코어 소프트웨어는 프라이빗 키와 인증서를 사용하여 AWS IoT 및 AWS IoT Greengrass 서비스에 연결합니다.
```
sudo tail -f /greengrass/v2/logs/greengrass.log
```
다음 INFO 수준 로그 메시지는 AWS IoT Greengrass 코어 소프트웨어가 AWS IoT 및 AWS IoT Greengrass 서비스에 성공적으로 연결되었음을 나타냅니다.
```
2021-12-06T22:47:53.702Z [INFO] (Thread-3) com.aws.greengrass.mqttclient.AwsIotMqttClient: Successfully connected to AWS IoT Core. {clientId=MyGreengrassCore5, sessionPresent=false}
```
1. (선택 사항) AWS IoT Greengrass 코어 소프트웨어가 HSM의 프라이빗 키 및 인증서와 함께 작동하는지 확인한 후 디바이스의 파일 시스템에서 프라이빗 키 및 인증서 파일을 삭제합니다. 다음 명령을 실행하고 파일 경로를 프라이빗 키 및 인증서 파일의 경로로 바꿉니다.
```
sudo rm /greengrass/v2/privKey.key
sudo rm /greengrass/v2/thingCert.crt
```
## PKCS\$111 지원 기능이 없는 하드웨어 사용
PKCS\$111 라이브러리는 일반적으로 하드웨어 공급업체가 제공하고 오픈 소스입니다. 예를 들어, 표준 호환 하드웨어(예: TPM1.2)를 사용하면 기존 오픈 소스 소프트웨어를 사용할 수 있습니다. 그러나 하드웨어에 해당하는 PKCS\$111 라이브러리 구현이 없는 경우 또는 사용자 지정 PKCS\$111 공급자를 쓰려는 경우 통합과 관련해 궁금한 점이 있으면 Amazon Web Services Enterprise Support 담당자에게 문의해야 합니다.
## 다음 사항도 참조하세요.
+ [PKCS \$111 암호화 토큰 인터페이스 사용 설명서 버전 2.4.0](http://docs.oasis-open.org/pkcs11/pkcs11-ug/v2.40/pkcs11-ug-v2.40.html)
+ [RFC 7512](https://tools.ietf.org/html/rfc7512)
+ [PKCS \$11: RSA 암호화 버전1.5](https://tools.ietf.org/html/rfc2313)
# 에 대한 디바이스 인증 및 권한 부여 AWS IoT Greengrass
AWS IoT Greengrass 환경의 디바이스는 인증에 X.509 인증서를 사용하고 권한 부여에 AWS IoT 정책을 사용합니다. 인증서 및 정책을 통해 장치끼리, 그리고 AWS IoT Core및 AWS IoT Greengrass와 안전하게 연결할 수 있습니다.
X.509 인증서는 X.509 퍼블릭 키 인프라 표준을 사용하여 퍼블릭 키를 인증서에 포함된 자격 증명과 연결하는 디지털 인증서입니다. X.509 인증서는 인증 기관(CA)이라고 부르는, 신뢰할 수 있는 엔터티가 발행합니다. CA는 X.509 인증서 발행하는 데 사용되는 CA 인증서라고 하는 하나 이상의 특수 인증서를 유지 관리합니다. 인증 기관만 CA 인증서에 액세스할 수 있습니다.
AWS IoT 정책은 AWS IoT 디바이스에 허용되는 작업 세트를 정의합니다. 특히 MQTT 메시지 게시 및 디바이스 섀도우 검색과 같은 AWS IoT Core 및 AWS IoT Greengrass 데이터 영역 작업에 대한 액세스를 허용하고 거부합니다.
모든 디바이스에는 AWS IoT Core 레지스트리의 항목과 AWS IoT 정책이 연결된 활성화된 X.509 인증서가 필요합니다. 장치는 두 가지 범주로 나뉩니다.
+ **Greengrass 코어 디바이스**
Greengrass 코어 디바이스는 인증서와 AWS IoT 정책을 사용하여 AWS IoT Core 및에 연결합니다 AWS IoT Greengrass. 인증서 및 정책은가 코어 디바이스 AWS IoT Greengrass 에 구성 요소 및 구성을 배포하도록 허용합니다.
+ **클라이언트 디바이스**
MQTT 클라이언트 디바이스는 인증서와 정책을 사용하여 AWS IoT Core 및 AWS IoT Greengrass 서비스에 연결합니다. 이를 통해 클라이언트 디바이스는 AWS IoT Greengrass 클라우드 검색을 사용하여 Greengrass 코어 디바이스를 찾고 연결할 수 있습니다. 클라이언트 디바이스에서는 AWS IoT Core 클라우드 서비스 및 코어 디바이스 연결에 동일한 인증서가 사용됩니다. 또한 클라이언트 장치는 코어 장치와의 상호 인증을 위해 검색 정보를 사용합니다. 자세한 내용은 [로컬 IoT 디바이스와 상호 작용](interact-with-local-iot-devices.md) 단원을 참조하십시오.
## X.509 인증서
코어 디바이스와 클라이언트 디바이스 간의 통신과 디바이스와 AWS IoT Core 또는 간의 통신은 인증되어야 AWS IoT Greengrass 합니다. 이 상호 인증은 등록된 X.509 장치 인증서와 암호화 키를 기반으로 수행됩니다.
환경에서 AWS IoT Greengrass 디바이스는 다음 전송 계층 보안(TLS) 연결에 퍼블릭 및 프라이빗 키가 있는 인증서를 사용합니다.
+ 인터넷을 통해 AWS IoT Core 및 AWS IoT Greengrass 에 연결하는 Greengrass 코어 디바이스의 AWS IoT 클라이언트 구성 요소입니다.
+ 코어 디바이스를 검색하기 위해 인터넷을 AWS IoT Greengrass 통해에 연결하는 클라이언트 디바이스입니다.
+ 로컬 네트워크를 통해 그룹의 Greengrass 디바이스에 연결되어 있는 Greengrass 코어의 MQTT 브로커 구성 요소입니다.
AWS IoT Greengrass 코어 디바이스는 Greengrass 루트 폴더에 인증서를 저장합니다.
### CA(인증 기관) 인증서
Greengrass 코어 디바이스 및 클라이언트 디바이스는 AWS IoT Core 및 AWS IoT Greengrass 서비스를 사용한 인증에 사용되는 루트 CA 인증서를 다운로드합니다. [Amazon Root CA 1](https://www.amazontrust.com/repository/AmazonRootCA1.pem) 같은 Amazon Trust Services(ATS) 루트 CA 인증서를 사용하는 것이 좋습니다. [서버 인증용 CA 인증서](https://docs.aws.amazon.com/iot/latest/developerguide/server-authentication.html#server-authentication-certs)에 대한 자세한 내용은 *AWS IoT Core 개발자 설명서*의 인증(IoT)를 참조하세요.
클라이언트 디바이스에서는 Greengrass 코어 디바이스 CA 인증서도 다운로드됩니다. 상호 인증 중 Greengrass 코어의 MQTT 서버 인증서 검증에 이 인증서가 사용됩니다.
### 로컬 MQTT 브로커의 인증서 교체
[클라이언트 디바이스 지원을 활성화](interact-with-local-iot-devices.md)하면 Greengrass 코어 디바이스에서는 클라이언트 디바이스에서 상호 인증에 사용되는 로컬 MQTT 서버 인증서가 생성됩니다. 이 인증서는 코어 디바이스가 AWS IoT Greengrass 클라우드에 저장하는 코어 디바이스 CA 인증서로 서명됩니다. 클라이언트 디바이스에서는 코어 디바이스가 검색될 때 코어 디바이스 CA 인증서가 검색됩니다. 코어 디바이스에 연결될 때 코어 디바이스의 MQTT 서버 인증서 확인에 코어 디바이스 CA 인증서가 사용됩니다. 코어 디바이스 CA 인증서는 5년이 지나면 만료됩니다.
MQTT 서버 인증서는 기본적으로 7일마다 만료되며, 이 기간을 2\$110일로 구성할 수 있습니다. 이 제한된 기간은 보안 모범 사례를 기반으로 합니다. 이 교체는 공격자가 Greengrass 코어 디바이스로 가장하려고 MQTT 서버 인증서와 프라이빗 키를 도용하는 위협을 완화하는 데 도움이 됩니다.
Greengrass 코어 디바이스에서는 MQTT 서버 인증서가 만료 24시간 전에 교체됩니다. Greengrass 코어 디바이스에서 새 인증서기 생성되고 로컬 MQTT 브로커가 다시 시작됩니다. 이렇게 되면 Greengrass 코어 디바이스에 연결된 모든 클라이언트 디바이스의 연결이 해제됩니다. 짧은 기간 뒤에 Greengrass 코어 디바이스에 클라이언트 디바이스가 다시 연결될 수 있습니다.
## AWS IoT 데이터 영역 작업에 대한 정책
AWS IoT 정책을 사용하여 AWS IoT Core 및 AWS IoT Greengrass 데이터 영역에 대한 액세스를 승인합니다. AWS IoT Core 데이터 플레인에서 디바이스, 사용자 및 애플리케이션에 대한 작업이 제공됩니다. 이러한 작업에는 주제에 연결하고 AWS IoT Core 주제를 구독하는 기능이 포함됩니다. AWS IoT Greengrass 데이터 영역은 Greengrass 디바이스에 대한 작업을 제공합니다. 자세한 내용은 [AWS IoT Greengrass V2 정책 작업](#greengrass-policy-actions) 단원을 참조하십시오. 이러한 작업에는 구성 요소 종속성이 해결되고 퍼블릭 구성 요소 아티팩트가 다운로드되는 기능이 포함되어 있습니다.
AWS IoT 정책은 [IAM 정책과](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html#policies-grammar-json) 유사한 JSON 문서입니다. 여기에는 다음 속성을 지정하는 하나 이상의 정책 설명이 포함됩니다.
+ `Effect`. 액세스 모드(`Allow` 또는 `Deny` 일 수 있음)
+ `Action`. 정책에서 허용하거나 거부하는 작업 목록.
+ `Resource`. 작업이 허용되거나 거부되는 리소스 목록입니다.
AWS IoT 정책은를 와일드카드 문자`*`로 지원하고 MQTT 와일드카드 문자(`+` 및 `#`)를 리터럴 문자열로 취급합니다. `*` 와일드카드에 대한 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [리소스 ARN에서 와일드카드 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html#reference_policies_elements_resource_wildcards)을 참조하십시오.
자세한 내용은 *AWS IoT Core 개발자 안내서*의 [AWS IoT 정책](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) 및 [AWS IoT 정책 조치](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policy-actions.html)를 참조하십시오.
**중요**
코어 디바이스 또는 Greengrass 데이터 플레인 작업의 AWS IoT 정책에 대해 [사물 정책 변수](https://docs.aws.amazon.com/iot/latest/developerguide/thing-policy-variables.html)(`iot:Connection.Thing.*`)가 지원되지 않습니다. 그 대신에 이름이 비슷한 여러 디바이스와 일치하는 와일드카드를 사용할 수 있습니다. 예를 들어 `MyGreengrassDevice1`, `MyGreengrassDevice2` 등과 일치하도록 `MyGreengrassDevice*`를 지정할 수 있습니다.
**참고**
AWS IoT Core 를 사용하면 사물 그룹에 AWS IoT 정책을 연결하여 디바이스 그룹에 대한 권한을 정의할 수 있습니다. 사물 그룹 정책은 AWS IoT Greengrass 데이터 영역 작업에 대한 액세스를 허용하지 않습니다. AWS IoT Greengrass 데이터 영역 작업에 대한 사물 액세스를 허용하려면 사물의 인증서에 연결하는 AWS IoT 정책에 권한을 추가합니다.
### AWS IoT Greengrass V2 정책 작업
AWS IoT Greengrass V2 는 Greengrass 코어 디바이스 및 클라이언트 디바이스가 정책에 사용할 수 있는 다음과 같은 AWS IoT 정책 작업을 정의합니다. 정책 작업에 리소스를 지정하려면 리소스의 Amazon 리소스 이름(ARN)을 사용해야 합니다.코어 디바이스 작업
`greengrass:GetComponentVersionArtifact`
퍼블릭 구성 요소 아티팩트 또는 Lambda 구성 요소 아티팩트가 다운로드되도록 미리 서명된 URL을 가져오는 권한을 부여합니다.
이 권한은 아티팩트가 있는 퍼블릭 구성 요소 또는 Lambda가 지정되는 배포가 코어 디바이스에 수신될 때 평가됩니다. 코어 디바이스에 이미 아티팩트가 있으면 아티팩트가 다시 다운로드되지 않습니다.
리소스 유형: `componentVersion`
리소스 ARN 형식: `arn:aws:greengrass:region:account-id:components:component-name:versions:component-version`
`greengrass:ResolveComponentCandidates`
배포의 구성 요소, 버전 및 플랫폼 요구 사항이 충족되는 구성 요소의 목록을 식별하는 권한을 부여합니다. 요구 사항이 충돌하거나 요구 사항이 충족되는 구성 요소가 없으면 이 작업에서는 오류가 반환되고 디바이스에서 배포에 실패합니다.
이 권한은 아티팩트가 있는 구성 요소가 지정되는 배포가 코어 디바이스에 수신될 때 평가됩니다.
리소스 유형: 없음
리소스 ARN 형식: `*`
`greengrass:GetDeploymentConfiguration`
큰 배포 문서가 다운로드되는 미리 서명된 URL을 가져오는 권한을 부여합니다.
이 권한은 7KB(배포의 대상이 사물인 경우) 또는 31KB(배포의 대상이 사물 그룹인 경우)보다 큰 배포 문서가 지정되는 배포가 코어 디바이스에 수신될 때 평가됩니다. 배포 문서에는 구성 요소 구성, 배포 정책 및 배포 메타데이터가 포함되어 있습니다. 자세한 내용은 [디바이스에 AWS IoT Greengrass 구성 요소 배포](manage-deployments.md) 단원을 참조하십시오.
이 기능은 [Greengrass nucleus 구성 요소](greengrass-nucleus-component.md)의 v2.3.0 이상에서 사용할 수 있습니다.
리소스 유형: 없음
리소스 ARN 형식: `*`
`greengrass:ListThingGroupsForCoreDevice`
코어 디바이스의 사물 그룹 계층 구조를 가져오는 권한을 부여합니다.
코어 디바이스가 배포를 수신하면이 권한이 확인됩니다 AWS IoT Greengrass. 코어 디바이스에서는 마지막 배포 이후 사물 그룹에서 제거되었는지 여부를 식별하는 데 이 작업이 사용됩니다. 코어 디바이스가 사물 그룹에서 제거되었고, 해당 사물 그룹이 코어 디바이스에 대한 배포의 대상인 경우 코어 디바이스에서는 해당 배포에 따라 설치된 구성 요소가 제거됩니다.
이 특성은 [Greengrass nucleus 구성 요소](greengrass-nucleus-component.md)의 v2.5.0 이상에서 사용됩니다.
리소스 유형: `thing`(코어 디바이스)
리소스 ARN 형식: `arn:aws:iot:region:account-id:thing/core-device-thing-name`
`greengrass:VerifyClientDeviceIdentity`
코어 디바이스에 연결되는 클라이언트 디바이스의 ID를 확인하는 권한을 부여합니다.
이 권한은 코어 디바이스에서 [클라이언트 디바이스 인증 구성 요소](client-device-auth-component.md)가 실행되고 클라이언트 디바이스의 MQTT 연결이 수신될 때 평가됩니다. 클라이언트 디바이스에서는 AWS IoT 디바이스 인증서가 제공됩니다. 그런 다음에서는 코어 디바이스에서는 클라이언트 디바이스의 ID를 확인할 디바이스 인증서가 AWS IoT Greengrass 클라우드 서비스로 발송됩니다. 자세한 내용은 [로컬 IoT 디바이스와 상호 작용](interact-with-local-iot-devices.md) 단원을 참조하십시오.
리소스 유형: 없음
리소스 ARN 형식: `*`
`greengrass:VerifyClientDeviceIoTCertificateAssociation`
클라이언트 디바이스가 AWS IoT 인증서와 연결되어 있는지 확인하는 권한을 부여합니다.
이 권한은 코어 디바이스에서 [클라이언트 디바이스 인증 구성 요소](client-device-auth-component.md)가 실행되고 MQTT를 통한 연결 권한이 클라이언트 디바이스에 부여될 때 평가됩니다. 자세한 내용은 [로컬 IoT 디바이스와 상호 작용](interact-with-local-iot-devices.md) 단원을 참조하십시오.
코어 디바이스가이 작업을 사용하려면 [Greengrass 서비스 역할을](greengrass-service-role.md) AWS 계정 에 연결하고 `iot:DescribeCertificate` 권한을 허용해야 합니다.
리소스 유형: `thing`(클라이언트 디바이스)
리소스 ARN 형식: `arn:aws:iot:region:account-id:thing/client-device-thing-name`
`greengrass:PutCertificateAuthorities`
클라이언트 디바이스에 다운로드되어 코어 디바이스가 확인될 수 있는 인증 기관(CA) 인증서를 업로드하는 권한을 부여합니다.
이 권한은 코어 디바이스가 설치되고 [클라이언트 디바이스 인증 구성 요소](client-device-auth-component.md)가 실행될 때 평가됩니다. 이 구성 요소에서는 로컬 인증 기관이 생성되며 CA 인증서 업로드에 이 작업이 사용됩니다. 클라이언트 디바이스에서는 연결될 수 있는 코어 디바이스 찾기에 [검색](#greengrass-discover-action) 작업이 사용될 때 이러한 CA 인증서가 다운로드됩니다. 클라이언트 디바이스에서는 코어 디바이스의 MQTT 브로커에 연결되면 코어 디바이스의 ID 확인에 이러한 CA 인증서가 사용됩니다. 자세한 내용은 [로컬 IoT 디바이스와 상호 작용](interact-with-local-iot-devices.md) 단원을 참조하십시오.
리소스 유형: 없음
ARN 형식: `*`
`greengrass:GetConnectivityInfo`
코어 디바이스에 대한 연결 정보를 가져오는 권한을 부여합니다. 이 정보에는 클라이언트 디바이스가 코어 디바이스에 연결되는 방식이 설명되어 있습니다.
이 권한은 코어 디바이스가 설치되고 [클라이언트 디바이스 인증 구성 요소](client-device-auth-component.md)가 실행될 때 평가됩니다. 이 구성 요소는 연결 정보를 사용하여 [PutCertificateAuthories](#greengrass-put-certificate-authorities-action) 작업을 통해 AWS IoT Greengrass 클라우드 서비스에 업로드할 유효한 CA 인증서를 생성합니다. 클라이언트 디바이스에서는 코어 디바이스의 ID 확인에 이러한 CA 인증서가 사용됩니다. 자세한 내용은 [로컬 IoT 디바이스와 상호 작용](interact-with-local-iot-devices.md) 단원을 참조하십시오.
AWS IoT Greengrass 컨트롤 플레인에서이 작업을 사용하여 코어 디바이스의 연결 정보를 볼 수도 있습니다. 자세한 내용은 *AWS IoT Greengrass V1 API 참조*의 [GetConnectivityInfo](https://docs.aws.amazon.com/greengrass/v1/apireference/getconnectivityinfo-get.html)를 참조하세요.
리소스 유형: `thing`(코어 디바이스)
리소스 ARN 형식: `arn:aws:iot:region:account-id:thing/core-device-thing-name`
`greengrass:UpdateConnectivityInfo`
코어 디바이스에 대한 연결 정보를 업데이트하는 권한을 부여합니다. 이 정보에는 클라이언트 디바이스가 코어 디바이스에 연결되는 방식이 설명되어 있습니다.
이 권한은 코어 디바이스에서 [IP 감지기 구성 요소](ip-detector-component.md)가 실행될 때 평가됩니다. 이 구성 요소에서는 클라이언트 디바이스가 로컬 네트워크의 코어 디바이스에 연결되는 데 필요한 정보가 식별됩니다. 그런 다음이 구성 요소는이 작업을 사용하여 연결 정보를 AWS IoT Greengrass 클라우드 서비스에 업로드하므로 클라이언트 디바이스가 [검색](#greengrass-discover-action) 작업으로이 정보를 검색할 수 있습니다. 자세한 내용은 [로컬 IoT 디바이스와 상호 작용](interact-with-local-iot-devices.md) 단원을 참조하십시오.
AWS IoT Greengrass 컨트롤 플레인에서이 작업을 사용하여 코어 디바이스의 연결 정보를 수동으로 업데이트할 수도 있습니다. 자세한 내용은 **AWS IoT Greengrass V1 API 참조의 [UpdateConnectivityInfo](https://docs.aws.amazon.com/greengrass/v1/apireference/updateconnectivityinfo-put.html)를 참조하세요.
리소스 유형: `thing`(코어 디바이스)
리소스 ARN 형식: `arn:aws:iot:region:account-id:thing/core-device-thing-name`클라이언트 디바이스 작업
`greengrass:Discover`
클라이언트 디바이스가 연결될 수 있는 코어 디바이스에 대한 연결 정보를 검색하는 권한을 부여합니다. 이 정보에는 클라이언트 디바이스가 코어 디바이스에 연결되는 방식이 설명되어 있습니다. 클라이언트 디바이스에서는 [BatchAssociateClientDeviceWithCoreDevice](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_BatchAssociateClientDeviceWithCoreDevice.html) 작업을 사용하여 연결한 코어 디바이스만 검색될 수 있습니다. 자세한 내용은 [로컬 IoT 디바이스와 상호 작용](interact-with-local-iot-devices.md) 단원을 참조하십시오.
리소스 유형: `thing`(클라이언트 디바이스)
리소스 ARN 형식: `arn:aws:iot:region:account-id:thing/client-device-thing-name`
## 코어 디바이스의 AWS IoT 정책 업데이트
AWS IoT Greengrass 및 AWS IoT 콘솔 또는 AWS IoT API를 사용하여 코어 디바이스의 AWS IoT 정책을 보고 업데이트할 수 있습니다.
**참고**
[AWS IoT Greengrass 코어 소프트웨어 설치 관리자를 사용하여 리소스를 프로비저닝](quick-installation.md)한 경우 코어 디바이스에는 모든 AWS IoT Greengrass 작업()에 대한 액세스를 허용하는 AWS IoT 정책이 있습니다`greengrass:*`. 다음과 같은 단계에 따라 코어 디바이스에서 사용되는 작업으로만 액세스를 제한할 수 있습니다.
### 코어 디바이스의 AWS IoT 정책 검토 및 업데이트(콘솔)
1. [AWS IoT Greengrass 콘솔](https://console.aws.amazon.com/greengrass) 탐색 메뉴에서 **코어 디바이스**를 선택합니다.
1. 업데이트할 코어 디바이스를 **코어 디바이스** 페이지에서 선택합니다.
1. 코어 디바이스 세부 정보 페이지에서 코어 디바이스의 **사물**에 대한 링크를 선택합니다. 이 링크를 통해 사물 세부 정보 페이지가 AWS IoT 콘솔에서 열립니다.
1. 사물 세부 정보 페이지에서 **인증서**를 선택합니다.
1. **인증서** 탭에서 사물의 활성 인증서를 선택합니다.
1. 인증서 세부 정보 페이지에서 **정책**을 선택합니다.
1. **정책** 탭에서 검토하고 업데이트할 AWS IoT 정책을 선택합니다. 코어 디바이스의 활성 인증서에 연결된 원하는 정책에 필수 권한을 추가할 수 있습니다.
**참고**
[AWS IoT Greengrass 코어 소프트웨어 설치 관리자를 사용하여 리소스를 프로비저닝한](quick-installation.md) 경우 두 가지 AWS IoT 정책이 있습니다. 이름이 **GreengrassV2IoTThingPolicy**인 정책을 선택하는 것이 좋습니다(있는 경우). 빠른 설치 프로그램으로 생성한 코어 디바이스에서는 기본적으로 이 정책 이름이 사용됩니다. 이 정책에 권한을 추가하면 이 정책을 사용하는 다른 코어 디바이스에도 이러한 권한을 부여하는 것입니다.
1. 정책 개요에서 **활성 버전 편집**을 선택합니다.
1. 정책을 검토하고 필요에 따라 권한을 추가, 제거 또는 편집합니다.
1. 새 정책 버전을 활성 버전으로 설정하려면 **정책 버전 상태**에서 **편집한 버전을 이 정책의 활성 버전으로 설정**을 선택합니다.
1. **새 버전으로 저장**을 선택합니다.
### 코어 디바이스의 AWS IoT 정책 검토 및 업데이트(AWS CLI)
1. 코어 디바이스 사물의 보안 주체를 나열합니다 AWS IoT . 사물 보안 주체는 X.509 디바이스 인증서 또는 기타 ID일 수 있습니다. 다음 명령을 실행하고 *MyGreengrassCore*를 코어 디바이스의 이름으로 바꿉니다.
```
aws iot list-thing-principals --thing-name MyGreengrassCore
```
코어 디바이스의 사물 보안 주체가 나열되는 응답이 작업에서 반환됩니다.
```
{
"principals": [
"arn:aws:iot:us-west-2:123456789012:cert/certificateId"
]
}
```
1. 코어 디바이스의 활성 인증서를 식별합니다. 다음 명령을 실행하고, 활성 인증서를 찾을 때까지 이전 단계의 각 인증서 ID로 *certificateId*를 바꿉니다. 인증서 ID는 인증서 ARN 끝에 있는 16진수 문자열입니다. `--query` 인수에서는 인증서의 상태만 출력으로 지정됩니다.
```
aws iot describe-certificate --certificate-id certificateId --query 'certificateDescription.status'
```
인증서 상태가 문자열로 작업에서 반환됩니다. 예를 들어, 인증서가 활성이라면 이 작업에서는 `"ACTIVE"`가 출력됩니다.
1. 인증서에 연결된 AWS IoT 정책을 나열합니다. 다음 명령을 실행하고 인증서의 ARN으로 인증서 ARN을 바꿉니다.
```
aws iot list-principal-policies --principal arn:aws:iot:us-west-2:123456789012:cert/certificateId
```
작업은 인증서에 연결된 AWS IoT 정책을 나열하는 응답을 반환합니다.
```
{
"policies": [
{
"policyName": "GreengrassTESCertificatePolicyMyGreengrassCoreTokenExchangeRoleAlias",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassTESCertificatePolicyMyGreengrassCoreTokenExchangeRoleAlias"
},
{
"policyName": "GreengrassV2IoTThingPolicy",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy"
}
]
}
```
1. 보고 업데이트할 정책을 선택합니다.
**참고**
[AWS IoT Greengrass 코어 소프트웨어 설치 관리자를 사용하여 리소스를 프로비저닝한](quick-installation.md) 경우 두 가지 AWS IoT 정책이 있습니다. 이름이 **GreengrassV2IoTThingPolicy**인 정책을 선택하는 것이 좋습니다(있는 경우). 빠른 설치 프로그램으로 생성한 코어 디바이스에서는 기본적으로 이 정책 이름이 사용됩니다. 이 정책에 권한을 추가하면 이 정책을 사용하는 다른 코어 디바이스에도 이러한 권한을 부여하는 것입니다.
1. 정책의 문서를 가져옵니다. 다음 명령을 실행하고 정책의 이름으로 *GreengrassV2IoTThingPolicy*를 바꿉니다.
```
aws iot get-policy --policy-name GreengrassV2IoTThingPolicy
```
정책의 문서와 정책에 대한 기타 정보가 있는 응답이 작업에서 반환됩니다. 정책 문서는 문자열로 직렬화된 JSON 객체입니다.
```
{
"policyName": "GreengrassV2IoTThingPolicy",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy",
"policyDocument": "{\
\\"Version\\": \\"2012-10-17 \\",\
\\"Statement\\": [\
{\
\\"Effect\\": \\"Allow\\",\
\\"Action\\": [\
\\"iot:Connect\\",\
\\"iot:Publish\\",\
\\"iot:Subscribe\\",\
\\"iot:Receive\\",\
\\"greengrass:*\\"\
],\
\\"Resource\\": \\"*\\"\
}\
]\
}",
"defaultVersionId": "1",
"creationDate": "2021-02-05T16:03:14.098000-08:00",
"lastModifiedDate": "2021-02-05T16:03:14.098000-08:00",
"generationId": "f19144b798534f52c619d44f771a354f1b957dfa2b850625d9f1d0fde530e75f"
}
```
1. 온라인 변환기 또는 기타 도구를 사용하여 정책 문서 문자열을 JSON 객체로 변환한 다음에 `iot-policy.json`이라는 파일에 저장합니다.
예를 들어, 설치된 [jq](https://stedolan.github.io/jq/) 도구가 있으면 다음 명령을 실행하여 정책 문서를 가져와서 JSON 객체로 변환하고 정책 문서를 JSON 객체로 저장할 수 있습니다.
```
aws iot get-policy --policy-name GreengrassV2IoTThingPolicy --query 'policyDocument' | jq fromjson >> iot-policy.json
```
1. 정책 문서를 검토하고 필요에 따라 권한을 추가, 제거 또는 편집합니다.
예를 들어 Linux 기반 시스템에서 GNU nano를 사용하여 파일을 열도록 다음 명령을 실행할 수 있습니다.
```
nano iot-policy.json
```
완료되면 정책 문서가 [코어 디바이스에 대한 최소 AWS IoT 정책과](#greengrass-core-minimal-iot-policy) 비슷할 수 있습니다.
1. 변경 사항을 정책의 새 버전으로 저장합니다. 다음 명령을 실행하고 정책의 이름으로 *GreengrassV2IoTThingPolicy*를 바꿉니다.
```
aws iot create-policy-version --policy-name GreengrassV2IoTThingPolicy --policy-document file://iot-policy.json --set-as-default
```
작업에 성공하면 다음 예제와 비슷한 응답이 반환됩니다.
```
{
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy",
"policyDocument": "{\
\\"Version\\": \\"2012-10-17 \\",\
\\"Statement\\": [\
{\
\\"Effect\\": \\"Allow\\",\
\\"Action\\": [\
\\t\\t\\"iot:Connect\\",\
\\t\\t\\"iot:Publish\\",\
\\t\\t\\"iot:Subscribe\\",\
\\t\\t\\"iot:Receive\\",\
\\t\\t\\"greengrass:*\\"\
],\
\\"Resource\\": \\"*\\"\
}\
]\
}",
"policyVersionId": "2",
"isDefaultVersion": true
}
```
## AWS IoT Greengrass V2 코어 디바이스에 대한 최소 AWS IoT 정책
**중요**
이후 버전의 [Greengrass nucleus 구성 요소에](greengrass-nucleus-component.md)는 최소 AWS IoT 정책에 대한 추가 권한이 필요합니다. [코어 디바이스의 AWS IoT 정책을 업데이트](#update-core-device-iot-policy)하여 추가 권한을 부여해야 할 수도 있습니다.
Greengrass nucleus v2.5.0 이상이 실행되는 코어 디바이스에서는 사물 그룹에서 코어 디바이스를 제거할 때 구성 요소 제거에 `greengrass:ListThingGroupsForCoreDevice` 권한이 사용됩니다.
Greengrass nucleus v2.3.0 이상이 실행되는 코어 디바이스에서는 큰 배포 구성 문서 지원에 `greengrass:GetDeploymentConfiguration` 권한이 사용됩니다.
다음 예제 정책에는 코어 장치용 기본 Greengrass 기능을 지원하는 데 필요한 최소 작업 세트가 포함됩니다.
+ `Connect` 정책에는 코어 디바이스 사물 이름 뒤에 `*` 와일드카드가 포함되어 있습니다(예: `core-device-thing-name*`). 코어 디바이스는 동일한 디바이스 인증서를 사용하여 여러 동시 구독을 만들 AWS IoT Core지만 연결의 클라이언트 ID가 코어 디바이스 사물 이름과 정확히 일치하지 않을 수 있습니다. 50개까지 구독 후 코어 디바이스에서는 추가 50개 구독마다 `number`개씩 증분되는 `core-device-thing-name#number`가 클라이언트 ID로 사용됩니다. 예를 들어, `MyCoreDevice`라는 코어 디바이스에서 150개의 동시 구독이 생성되면 다음 클라이언트 ID가 사용됩니다.
+ 구독 1\$150개: `MyCoreDevice`
+ 구독 51\$1100개: `MyCoreDevice#2`
+ 구독 101\$1150개: `MyCoreDevice#3`
접미사가 있는 이러한 클라이언트 ID가 사용될 때 와일드카드를 통해 코어 디바이스가 연결될 수 있습니다.
+ 이 정책은 코어 장치가 섀도 상태에 사용되는 주제를 포함하여 메시지를 게시하고 구독하고 메시지를 수신할 수 있는 MQTT 정책과 주제 필터를 나열합니다. AWS IoT Core, Greengrass 구성 요소 및 클라이언트 디바이스 간의 메시지 교환을 지원하려면 허용할 주제 및 주제 필터를 지정합니다. 자세한 내용은*AWS IoT Core 개발자 안내서*의 [게시/구독 정책 예제](https://docs.aws.amazon.com/iot/latest/developerguide/pub-sub-policy.html)를 참조하십시오.
+ 이 정책에서는 원격 측정 데이터에 대한 다음 주제에 게시하는 권한이 부여됩니다.
```
$aws/things/core-device-thing-name/greengrass/health/json
```
원격 측정을 비활성화하는 코어 디바이스의 이 권한을 제거할 수 있습니다. 자세한 내용은 [AWS IoT Greengrass 코어 디바이스에서 시스템 상태 원격 측정 데이터 수집](telemetry.md) 단원을 참조하십시오.
+ 이 정책은 역할 별칭을 통해 IAM AWS IoT 역할을 수임할 수 있는 권한을 부여합니다. 코어 디바이스는 토큰 교환 역할이라는이 역할을 사용하여 AWS 요청을 인증하는 데 사용할 수 있는 AWS 자격 증명을 획득합니다. 자세한 내용은 [코어 디바이스가 AWS 서비스와 상호 작용할 수 있도록 권한 부여](device-service-role.md) 단원을 참조하십시오.
AWS IoT Greengrass 코어 소프트웨어를 설치할 때이 권한만 포함된 두 번째 AWS IoT 정책을 생성하고 연결합니다. 코어 디바이스의 기본 AWS IoT 정책에이 권한을 포함하면 다른 AWS IoT 정책을 분리하고 삭제할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect"
],
"Resource": "arn:aws:iot:us-east-1:123456789012:client/core-device-thing-name*"
},
{
"Effect": "Allow",
"Action": [
"iot:Receive",
"iot:Publish"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name/greengrass/health/json",
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name/greengrassv2/health/json",
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name/jobs/*",
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name/shadow/*"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Subscribe"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/things/core-device-thing-name/jobs/*",
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/things/core-device-thing-name/shadow/*"
]
},
{
"Effect": "Allow",
"Action": "iot:AssumeRoleWithCertificate",
"Resource": "arn:aws:iot:us-east-1:123456789012:rolealias/token-exchange-role-alias-name"
},
{
"Effect": "Allow",
"Action": [
"greengrass:GetComponentVersionArtifact",
"greengrass:ResolveComponentCandidates",
"greengrass:GetDeploymentConfiguration",
"greengrass:ListThingGroupsForCoreDevice"
],
"Resource": "*"
}
]
}
```
------
## 클라이언트 디바이스를 지원하는 최소 AWS IoT 정책
다음 예제 정책에는 코어 디바이스의 클라이언트 디바이스와 상호 작용 지원에 필요한 최소 작업 세트가 포함되어 있습니다. 클라이언트 디바이스를 지원하려면 코어 디바이스에 기본 작업에 대한 최소 AWS IoT 정책 외에도이 정책의 권한이 있어야 합니다. [AWS IoT](#greengrass-core-minimal-iot-policy)
+ 이 정책을 통해 코어 디바이스의 자체 연결 정보 업데이트가 허용됩니다. [IP 감지기 구성 요소](ip-detector-component.md)를 코어 디바이스에 배포하는 경우에만 이 권한(`greengrass:UpdateConnectivityInfo`)이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Publish"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name-gci/shadow/get"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Subscribe"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/things/core-device-thing-name-gci/shadow/update/delta",
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/things/core-device-thing-name-gci/shadow/get/accepted"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Receive"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name-gci/shadow/update/delta",
"arn:aws:iot:us-east-1:123456789012:topic/$aws/things/core-device-thing-name-gci/shadow/get/accepted"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:PutCertificateAuthorities",
"greengrass:VerifyClientDeviceIdentity"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"greengrass:VerifyClientDeviceIoTCertificateAssociation"
],
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/*"
},
{
"Effect": "Allow",
"Action": [
"greengrass:GetConnectivityInfo",
"greengrass:UpdateConnectivityInfo"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/core-device-thing-name"
]
}
]
}
```
------
## 클라이언트 디바이스에 대한 최소 AWS IoT 정책
다음 예제 정책에는 MQTT를 통해 연결되고 통신할 코어 디바이스를 클라이언트 디바이스에서 검색하는 데 필요한 최소 작업 세트가 포함되어 있습니다. 클라이언트 디바이스의 AWS IoT 정책에는 디바이스가 연결된 Greengrass 코어 디바이스의 연결 정보를 검색할 수 있도록 허용하는 `greengrass:Discover` 작업이 포함되어야 합니다. `Resource` 섹션에서 Greengrass 코어 디바이스의 Amazon 리소스 이름(ARN)이 아닌 클라이언트 디바이스의 ARN을 지정합니다.
+ 모든 MQTT 주제에 대한 통신이 정책에서 허용됩니다. 모범 보안 사례를 따르려면 `iot:Publish`, `iot:Subscribe` 및 `iot:Receive` 권한을 클라이언트 디바이스의 사용 사례에 필요한 최소 주제 집합으로 제한합니다.
+ 이 정책은 사물이 모든 AWS IoT 사물의 코어 디바이스를 검색하도록 허용합니다. 모범 보안 사례를 따르려면 클라이언트 디바이스의 AWS IoT 사물 또는 AWS IoT 사물 집합과 일치하는 와일드카드로 `greengrass:Discover` 권한을 제한합니다.
**중요**
코어 디바이스 또는 Greengrass 데이터 플레인 작업의 AWS IoT 정책에 대해 [사물 정책 변수](https://docs.aws.amazon.com/iot/latest/developerguide/thing-policy-variables.html)(`iot:Connection.Thing.*`)가 지원되지 않습니다. 그 대신에 이름이 비슷한 여러 디바이스와 일치하는 와일드카드를 사용할 수 있습니다. 예를 들어 `MyGreengrassDevice1`, `MyGreengrassDevice2` 등과 일치하도록 `MyGreengrassDevice*`를 지정할 수 있습니다.
+ Greengrass 코어 디바이스가 클라이언트 디바이스에 대한 섀도 동기화 작업을 처리하기 때문에 클라이언트 디바이스의 AWS IoT 정책에는 일반적으로 `iot:GetThingShadow``iot:UpdateThingShadow`, 또는 `iot:DeleteThingShadow` 작업에 대한 권한이 필요하지 않습니다. 코어 디바이스가 클라이언트 디바이스 섀도우를 처리할 수 있도록 하려면 코어 디바이스의 AWS IoT 정책이 이러한 작업을 허용하는지, 그리고 `Resource` 섹션에 클라이언트 디바이스의 ARNs이 포함되어 있는지 확인합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iot:Publish"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/*"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Subscribe"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topicfilter/*"
]
},
{
"Effect": "Allow",
"Action": [
"iot:Receive"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/*"
]
},
{
"Effect": "Allow",
"Action": [
"greengrass:Discover"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/*"
]
}
]
}
```
------
# 에 대한 자격 증명 및 액세스 관리 AWS IoT Greengrass
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 AWS 서비스 되는 입니다. IAM 관리자는 누가 AWS IoT Greengrass 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는지 제어합니다. IAM은 추가 비용 없이 사용할 수 AWS 서비스 있는 입니다.
**참고**
이 주제에서는 IAM 개념과 기능에 대해 설명합니다. 에서 지원하는 IAM 기능에 대한 자세한 내용은 섹션을 AWS IoT Greengrass참조하세요[AWS IoT Greengrass 에서 IAM을 사용하는 방법](security_iam_service-with-iam.md).
## 대상
AWS Identity and Access Management (IAM)를 사용하는 방법은 역할에 따라 다릅니다.
+ **서비스 사용자** - 기능에 액세스할 수 없는 경우 관리자에게 권한 요청(참조[에 대한 자격 증명 및 액세스 문제 해결 AWS IoT Greengrass](security_iam_troubleshoot.md))
+ **서비스 관리자** - 사용자 액세스 결정 및 권한 요청 제출([AWS IoT Greengrass 에서 IAM을 사용하는 방법](security_iam_service-with-iam.md) 참조)
+ **IAM 관리자** - 액세스를 관리하기 위한 정책 작성([에 대한 자격 증명 기반 정책 예제 AWS IoT Greengrass](security_iam_id-based-policy-examples.md) 참조)
## ID를 통한 인증
인증은 자격 증명 자격 증명을 AWS 사용하여에 로그인하는 방법입니다. AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 수임하여 인증되어야 합니다.
AWS IAM Identity Center (IAM Identity Center), Single Sign-On 인증 또는 Google/Facebook 자격 증명과 같은 자격 증명 소스의 자격 증명을 사용하여 페더레이션 자격 증명으로 로그인할 수 있습니다. 로그인하는 방법에 대한 자세한 내용은 *AWS Sign-In 사용 설명서*의 [AWS 계정에 로그인하는 방법](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 섹션을 참조하세요.
프로그래밍 방식 액세스를 위해는 요청에 암호화 방식으로 서명할 수 있는 SDK 및 CLI를 AWS 제공합니다. 자세한 내용은 *IAM 사용 설명서*의 [API 요청용AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 섹션을 참조하세요.
### AWS 계정 루트 사용자
를 생성할 때 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *theroot 사용자*라는 하나의 로그인 자격 증명으로 AWS 계정시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자가 필요한 작업 목록은 *IAM 사용자 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 참조하세요.
### IAM 사용자 및 그룹
*[IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가진 ID입니다. 장기 자격 증명이 있는 IAM 사용자 대신 임시 자격 증명을 사용하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 자격 [증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 사용하여에 액세스하도록 인간 사용자에게 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)하기를 참조하세요.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)은 IAM 사용자 모음을 지정하고 대규모 사용자 집합에 대한 관리 권한을 더 쉽게 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) 섹션을 참조하세요.
### IAM 역할
*[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*은 임시 자격 증명을 제공하는 특정 권한이 있는 자격 증명입니다. [사용자에서 IAM 역할(콘솔)로 전환하거나 또는 API 작업을 호출하여 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) 수임할 수 있습니다. AWS CLI AWS 자세한 내용은 *IAM 사용 설명서*의 [역할 수임 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)을 참조하세요.
IAM 역할은 페더레이션 사용자 액세스, 임시 IAM 사용자 권한, 교차 계정 액세스, 교차 서비스 액세스 및 Amazon EC2에서 실행되는 애플리케이션에 유용합니다. 자세한 내용은 *IAM 사용 설명서*의 [교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
## 정책을 사용하여 액세스 관리
정책을 AWS 생성하고 자격 증명 또는 리소스에 연결하여 AWS 에서 액세스를 제어합니다. 정책은 자격 증명 또는 리소스와 연결될 때 권한을 정의합니다.는 보안 주체가 요청할 때 이러한 정책을 AWS 평가합니다. 대부분의 정책은에 JSON 문서 AWS 로 저장됩니다. JSON 정책 문서에 대한 자세한 내용은 *IAM 사용 설명서*의 [JSON 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) 섹션을 참조하세요.
정책을 사용하여 관리자는 어떤 **보안 주체**가 어떤 **리소스**에 대해 어떤 **조건**에서 **작업**을 수행할 수 있는지 정의하여 누가 무엇을 액세스할 수 있는지 지정합니다.
기본적으로 사용자 및 역할에는 어떠한 권한도 없습니다. IAM 관리자는 IAM 정책을 생성하고 사용자가 수임할 수 있는 역할에 추가합니다. IAM 정책은 작업을 수행하기 위해 사용하는 방법과 관계없이 작업에 대한 권한을 정의합니다.
### ID 기반 정책
ID 기반 정책은 ID(사용자, 사용자 그룹 또는 역할)에 연결하는 JSON 권한 정책 문서입니다. 이러한 정책은 자격 증명이 수행할 수 있는 작업, 대상 리소스 및 이에 관한 조건을 제어합니다. ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
ID 기반 정책은 *인라인 정책*(단일 ID에 직접 포함) 또는 *관리형 정책*(여러 ID에 연결된 독립 실행형 정책)일 수 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 *IAM 사용 설명서*의 [관리형 정책 및 인라인 정책 중에서 선택](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) 섹션을 참조하세요.
### 리소스 기반 정책
리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 예를 들어 IAM *역할 신뢰 정책* 및 Amazon S3 *버킷 정책*이 있습니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다. 리소스 기반 정책에서 [보안 주체를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)해야 합니다.
리소스 기반 정책은 해당 서비스에 있는 인라인 정책입니다. 리소스 기반 정책에서는 IAM의 AWS 관리형 정책을 사용할 수 없습니다.
### 액세스 제어 목록(ACL)
액세스 제어 목록(ACL)은 어떤 위탁자(계정 멤버, 사용자 또는 역할)가 리소스에 액세스할 수 있는 권한을 가지고 있는지를 제어합니다. ACL은 JSON 정책 문서 형식을 사용하지 않지만 리소스 기반 정책과 유사합니다.
Amazon S3 AWS WAF및 Amazon VPC는 ACLs. ACL에 관한 자세한 내용은 *Amazon Simple Storage Service 개발자 가이드*의 [액세스 제어 목록(ACL) 개요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)를 참조하세요.
### 기타 정책 타입
AWS 는 보다 일반적인 정책 유형에서 부여한 최대 권한을 설정할 수 있는 추가 정책 유형을 지원합니다.
+ **권한 경계** - ID 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔터티의 권한 범위](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.
+ **서비스 제어 정책(SCP)** - AWS Organizations내 조직 또는 조직 단위에 대한 최대 권한을 지정합니다. 자세한 내용은AWS Organizations 사용 설명서의 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.**
+ **리소스 제어 정책(RCP)** – 계정의 리소스에 사용할 수 있는 최대 권한을 설정합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [리소스 제어 정책(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)을 참조하세요.
+ **세션 정책** – 역할 또는 페더레이션 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 때 파라미터로 전달하는 고급 정책입니다. 자세한 내용은 *IAM 사용 설명서*의 [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)을 참조하세요.
### 여러 정책 유형
여러 정책 유형이 요청에 적용되는 경우, 결과 권한은 이해하기가 더 복잡합니다. 에서 여러 정책 유형이 관련될 때 요청을 허용할지 여부를 AWS 결정하는 방법을 알아보려면 *IAM 사용 설명서*의 [정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)을 참조하세요.
## 다음 사항도 참조하세요.
+ [AWS IoT Greengrass 에서 IAM을 사용하는 방법](security_iam_service-with-iam.md)
+ [에 대한 자격 증명 기반 정책 예제 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
+ [에 대한 자격 증명 및 액세스 문제 해결 AWS IoT Greengrass](security_iam_troubleshoot.md)
# AWS IoT Greengrass 에서 IAM을 사용하는 방법
IAM을 사용하여 액세스를 관리하기 전에 사용할 수 있는 IAM 기능을 이해해야 AWS IoT Greengrass합니다 AWS IoT Greengrass.
| IAM 특성 | Greengrass에서 지원합니까? |
| --- | --- |
| [리소스 수준 권한이 있는 자격 증명 기반 정책](#security_iam_service-with-iam-id-based-policies) | 예 |
| [리소스 기반 정책](#security_iam_service-with-iam-resource-based-policies) | 아니요 |
| [액세스 제어 목록(ACL)](#security_iam_service-with-iam-acls) | 아니요 |
| [태그 기반 승인](#security_iam_service-with-iam-tags) | 예 |
| [임시 보안 인증](#security_iam_service-with-iam-roles-tempcreds) | 예 |
| [서비스 연결 역할](#security_iam_service-with-iam-roles-service-linked) | 아니요 |
| [서비스 역할](#security_iam_service-with-iam-roles-service-linked) | 예 |
다른 AWS 서비스에서 IAM을 사용하는 방법을 전체적으로 알아보려면 *IAM 사용 설명서*의 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하세요.
## 에 대한 자격 증명 기반 정책 AWS IoT Greengrass
IAM 자격 증명 기반 정책을 사용하면 허용되거나 거부된 작업 및 리소스와 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다.는 특정 작업, 리소스 및 조건 키를 AWS IoT Greengrass 지원합니다. 정책에서 사용하는 모든 요소에 대해 알아보려면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.
### 작업
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.
에 대한 정책 작업은 작업 앞에 `greengrass:` 접두사를 AWS IoT Greengrass 사용합니다. 예를 들어 API `ListCoreDevices` 작업을 사용하여 코어 디바이스를 나열하도록 허용하려면 해당 정책에 `greengrass:ListCoreDevices` 작업을 AWS 계정포함합니다. 정책 설명에는 `Action` 또는 `NotAction` 요소가 포함되어야 합니다.는이 서비스로 수행할 수 있는 작업을 설명하는 고유한 작업 세트를 AWS IoT Greengrass 정의합니다.
명령문 하나에 여러 작업을 지정하려면 다음과 같이 괄호 안에 나열한 후(`[` `]`) 각 작업을 쉼표로 구분합니다.
```
"Action": [
"greengrass:action1",
"greengrass:action2",
"greengrass:action3"
]
```
와일드카드(`*`)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `List`라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.
```
"Action": "greengrass:List*"
```
**참고**
와일드카드를 사용하여 서비스에 대해 사용 가능한 모든 작업을 지정하는 것은 권장하지 않습니다. 가장 좋은 방법은 정책에 최소한의 권한을 부여하고 권한을 좁히는 것입니다. 자세한 내용은 [가능한 최소 권한 부여](security-best-practices.md#least-privilege) 단원을 참조하십시오.
AWS IoT Greengrass 작업의 전체 목록은 *IAM 사용 설명서*의 [에서 정의한 작업을 AWS IoT Greengrass](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions) 참조하세요.
### 리소스
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\$1)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.
```
"Resource": "*"
```
다음 표에는 정책 설명의 `Resource` 요소에 사용할 수 있는 AWS IoT Greengrass 리소스 ARN이 나와 있습니다. AWS IoT Greengrass 작업에 지원되는 리소스 수준 권한의 매핑은 *IAM 사용 설명서*의 [에서 정의한 작업을 AWS IoT Greengrass](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions) 참조하세요.
일부 AWS IoT Greengrass 작업(예: 일부 목록 작업)은 특정 리소스에서 수행할 수 없습니다. 이러한 경우 와일드카드만 사용해야 합니다.
```
"Resource": "*"
```
한 명령에 여러 리소스 ARN을 지정하려면 다음과 같이 괄호 사이에 나열하고(`[` `]`) 쉼표로 구분합니다.
```
"Resource": [
"resource-arn1",
"resource-arn2",
"resource-arn3"
]
```
ARN 형식에 대한 자세한 내용은의 [Amazon 리소스 이름(ARNs) 및 AWS 서비스 네임스페이스](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)를 참조하세요*Amazon Web Services 일반 참조*.
### 조건 키
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Condition` 요소는 정의된 기준에 따라 문이 실행되는 시기를 지정합니다. 같음(equals) 또는 미만(less than)과 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 참조하세요.
### 예제
자격 AWS IoT Greengrass 증명 기반 정책의 예를 보려면 섹션을 참조하세요[에 대한 자격 증명 기반 정책 예제 AWS IoT Greengrass](security_iam_id-based-policy-examples.md).
## 에 대한 리소스 기반 정책 AWS IoT Greengrass
AWS IoT Greengrass 는 [리소스 기반 정책을](security-iam.md#security_iam_access-manage-resource-based-policies) 지원하지 않습니다.
## 액세스 제어 목록(ACL)
AWS IoT Greengrass 는 [ACLs](security-iam.md#security_iam_access-manage-acl) 지원하지 않습니다.
## AWS IoT Greengrass 태그 기반 권한 부여
지원되는 AWS IoT Greengrass 리소스에 태그를 연결하거나 요청에 태그를 전달할 수 있습니다 AWS IoT Greengrass. 태그를 기반으로 액세스를 제어하려면 `aws:ResourceTag/${TagKey}`, `aws:RequestTag/${TagKey}` 또는 `aws:TagKeys` 조건 키를 사용하여 정책의 [조건 요소](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)에 태그 정보를 제공합니다. 자세한 내용은 [AWS IoT Greengrass Version 2 리소스에 태그 지정](tag-resources.md) 단원을 참조하십시오.
## 에 대한 IAM 역할 AWS IoT Greengrass
[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)은 특정 권한을 가지고 있는 AWS 계정 내 엔터티입니다.
### 에서 임시 자격 증명 사용 AWS IoT Greengrass
임시 보안 인증 정보는 페더레이션을 통해 로그인하거나, IAM 역할을 수임하거나, 교차 계정 역할을 수임하는 데 사용됩니다. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 또는 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 같은 AWS STS API 작업을 호출하여 임시 자격 증명을 가져옵니다.
Greengrass 코어에서는 [디바이스 역할](device-service-role.md)에 대한 임시 자격 증명을 Greengrass 구성 요소에 제공합니다. 구성 요소가 AWS SDK를 사용하는 경우 AWS SDK가 이를 대신 수행하므로 자격 증명을 얻기 위해 로직을 추가할 필요가 없습니다.
### 서비스 연결 역할
AWS IoT Greengrass 는 [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 지원하지 않습니다.
### 서비스 역할
이 기능을 사용하면 서비스가 사용자를 대신하여 [서비스 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)을 수임할 수 있습니다. 이 역할을 사용하면 서비스가 다른 서비스의 리소스에 액세스해 사용자를 대신해 작업을 완료할 수 있습니다. 서비스 역할은 IAM 계정에 나타나고, 해당 계정이 소유합니다. 즉, IAM 관리자가 이 역할에 대한 권한을 변경할 수 있습니다. 그러나 권한을 변경하면 서비스의 기능이 손상될 수 있습니다.
AWS IoT Greengrass 코어 디바이스는 서비스 역할을 사용하여 Greengrass 구성 요소 및 Lambda 함수가 사용자를 대신하여 일부 AWS 리소스에 액세스할 수 있도록 허용합니다. 자세한 내용은 [코어 디바이스가 AWS 서비스와 상호 작용할 수 있도록 권한 부여](device-service-role.md) 단원을 참조하십시오.
AWS IoT Greengrass 는 서비스 역할을 사용하여 사용자를 대신하여 일부 AWS 리소스에 액세스합니다. 자세한 내용은 [Greengrass 서비스 역할](greengrass-service-role.md) 단원을 참조하십시오.
# 에 대한 자격 증명 기반 정책 예제 AWS IoT Greengrass
기본적으로 IAM 사용자 및 역할은 AWS IoT Greengrass 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 또한 AWS Management Console AWS CLI또는 AWS API를 사용하여 작업을 수행할 수 없습니다. IAM 관리자는 지정된 리소스에서 특정 API 작업을 수행할 수 있는 권한을 사용자와 역할에게 부여하는 IAM 정책을 생성해야 합니다. 그런 다음 관리자는 해당 권한이 필요한 IAM 사용자 또는 그룹에 이러한 정책을 연결해야 합니다.
## 정책 모범 사례
자격 증명 기반 정책에 따라 계정에서 사용자가 AWS IoT Greengrass 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## 정책 예시
다음 예제의 고객 정의 정책은 일반적인 시나리오에 대한 권한을 부여합니다.
**Topics**
+ [사용자가 자신의 고유한 권한을 볼 수 있도록 허용](#security_iam_id-based-policy-examples-view-own-permissions)
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용자 설명서*의 [JSON 탭에서 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)을 참조하세요.
### 사용자가 자신의 고유한 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 코어 디바이스가 AWS 서비스와 상호 작용할 수 있도록 권한 부여
AWS IoT Greengrass 코어 디바이스는 AWS IoT Core 자격 증명 공급자를 사용하여 서비스에 대한 호출을 AWS 승인합니다. 자격 AWS IoT Core 증명 공급자를 사용하면 디바이스가 X.509 인증서를 고유한 디바이스 자격 증명으로 사용하여 AWS 요청을 인증할 수 있습니다. 따라서 AWS IoT Greengrass 코어 디바이스에 AWS 액세스 키 ID와 보안 액세스 키를 저장할 필요가 없습니다. 자세한 내용은 *AWS IoT Core 개발자 안내서*의 [AWS 서비스에 대한 직접 호출 권한 부여](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)를 참조하세요.
AWS IoT Greengrass 코어 소프트웨어를 실행할 때 코어 디바이스에 필요한 AWS 리소스를 프로비저닝하도록 선택할 수 있습니다. 여기에는 코어 디바이스가 AWS IoT Core 자격 증명 공급자를 통해 수임하는 AWS Identity and Access Management (IAM) 역할이 포함됩니다. `--provision true` 인수를 사용하여 코어 디바이스가 임시 AWS 자격 증명을 가져오도록 허용하는 역할 및 정책을 구성합니다. 또한이 인수는이 IAM AWS IoT 역할을 가리키는 역할 별칭을 구성합니다. 사용할 IAM 역할 및 AWS IoT 역할 별칭의 이름을 지정할 수 있습니다. 이러한 이름 파라미터 없이 `--provision true`를 지정하면 Greengrass 코어 디바이스에서는 다음 기본 리소스를 생성하여 사용합니다.
+ IAM 역할: `GreengrassV2TokenExchangeRole`
역할에는 이름이 `GreengrassV2TokenExchangeRoleAccess`인 정책과 `credentials.iot.amazonaws.com`에 역할 수임이 허용되는 신뢰 관계가 있습니다. 코어 디바이스에 대한 최소 권한이 정책에 포함되어 있습니다.
**중요**
이 정책에는 S3 버킷의 파일에 대한 액세스 권한이 포함되어 있지 않습니다. 역할에 권한을 추가하여 코어 디바이스에서 S3 버킷의 구성 요소 아티팩트를 검색하도록 허용해야 합니다. 자세한 내용은 [구성 요소 아티팩트에 대한 S3 버킷 액세스 허용](#device-service-role-access-s3-bucket) 단원을 참조하십시오.
+ AWS IoT 역할 별칭: `GreengrassV2TokenExchangeRoleAlias`
이 역할 별칭에서는 IAM 역할이 참조됩니다.
자세한 내용은 [3단계: AWS IoT Greengrass 코어 소프트웨어 설치](install-greengrass-v2.md) 단원을 참조하십시오.
기존 코어 디바이스에 대한 역할 별칭도 설정할 수 있습니다. 그렇게 하려면 [Greengrass nucleus 구성 요소](greengrass-nucleus-component.md)의 `iotRoleAlias` 구성 파라미터를 구성합니다.
이 IAM 역할에 대한 임시 AWS 자격 증명을 획득하여 사용자 지정 구성 요소에서 AWS 작업을 수행할 수 있습니다. 자세한 내용은 [AWS 서비스와 상호 작용](interact-with-aws-services.md) 단원을 참조하십시오.
**Topics**
+ [코어 디바이스에 대한 서비스 역할 권한](#device-service-role-permissions)
+ [구성 요소 아티팩트에 대한 S3 버킷 액세스 허용](#device-service-role-access-s3-bucket)
## 코어 디바이스에 대한 서비스 역할 권한
역할에서는 다음 서비스의 역할 수임이 허용됩니다.
+ `credentials.iot.amazonaws.com`
AWS IoT Greengrass 코어 소프트웨어를 사용하여이 역할을 생성하는 경우 다음 권한 정책을 사용하여 코어 디바이스가 연결하고 로그를 전송할 수 있도록 허용합니다 AWS. 정책의 이름 기본값은 `Access`로 끝나는 IAM 역할의 이름입니다. 예를 들어, 기본 IAM 역할 이름을 사용하는 경우에는 이 정책의 이름이 `GreengrassV2TokenExchangeRoleAccess`입니다.
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ v2.4.x ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.4.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:DescribeCertificate",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"iot:Connect",
"iot:Publish",
"iot:Subscribe",
"iot:Receive",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
------
## 구성 요소 아티팩트에 대한 S3 버킷 액세스 허용
기본 코어 디바이스 역할에서는 코어 디바이스에 S3 버킷 액세스를 허용하지 않습니다. S3 버킷에 아티팩트가 있는 구성 요소를 배포하려면 코어 디바이스에 구성 요소 아티팩트 다운로드를 허용하는 `s3:GetObject` 권한을 추가해야 합니다. 새 정책을 코어 디바이스에 추가하여 이 권한을 부여할 수 없습니다.
**Amazon S3의 구성 요소 아티팩트에 대한 액세스를 허용하는 정책을 추가하는 방법**
1. `component-artifact-policy.json`이라는 파일을 생성하고 다음 JSON을 파일로 복사합니다. 이 정책에서는 S3 버킷의 모든 파일에 대한 액세스를 허용합니다. amzn-s3-demo-bucket을 S3 버킷의 이름으로 바꾸고 액세스를 코어 디바이스에 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. 다음 명령을 사용하여 `component-artifact-policy.json`의 정책 문서에서 정책을 생성합니다.
------
#### [ Linux or Unix ]
```
aws iam create-policy \
--policy-name MyGreengrassV2ComponentArtifactPolicy \
--policy-document file://component-artifact-policy.json
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-policy ^
--policy-name MyGreengrassV2ComponentArtifactPolicy ^
--policy-document file://component-artifact-policy.json
```
------
#### [ PowerShell ]
```
aws iam create-policy `
--policy-name MyGreengrassV2ComponentArtifactPolicy `
--policy-document file://component-artifact-policy.json
```
------
출력의 정책 메타데이터에서 정책 Amazon 리소스 이름(ARN)을 복사합니다. 이 ARN을 사용하여 다음 단계에서 이 정책을 코어 디바이스 역할에 연결합니다.
1. 다음 명령을 실행하여 정책을 코어 디바이스 역할에 연결합니다. *GreengrassV2TokenExchangeRole*을 AWS IoT Greengrass 코어 소프트웨어를 실행할 때 지정한 역할의 이름으로 바꿉니다. 그런 다음에 ARN을 이전 단계의 ARN으로 바꿉니다.
------
#### [ Linux or Unix ]
```
aws iam attach-role-policy \
--role-name GreengrassV2TokenExchangeRole \
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam attach-role-policy ^
--role-name GreengrassV2TokenExchangeRole ^
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
#### [ PowerShell ]
```
aws iam attach-role-policy `
--role-name GreengrassV2TokenExchangeRole `
--policy-arn arn:aws:iam::123456789012:policy/MyGreengrassV2ComponentArtifactPolicy
```
------
명령에 출력이 없으면 성공한 것이며, 이 S3 버킷에 업로드하는 아티팩트에 코어 디바이스에서 액세스할 수 있습니다.
# 설치 관리자가 리소스를 프로비저닝하기 위한 최소 IAM 정책
AWS IoT Greengrass 코어 소프트웨어를 설치할 때 디바이스의 AWS IoT 사물 및 IAM 역할과 같은 필수 AWS 리소스를 프로비저닝할 수 있습니다. 로컬 개발 도구도 디바이스에 배포할 수 있습니다. 설치 관리자는에서 이러한 작업을 수행할 수 있도록 AWS 자격 증명이 필요합니다 AWS 계정. 자세한 내용은 [AWS IoT Greengrass 코어 소프트웨어 설치](install-greengrass-core-v2.md) 단원을 참조하십시오.
다음 예제 정책에는 설치 관리자가 이러한 리소스를 프로비저닝하가 위해 수행해야 하는 최소 작업 세트가 포함되어 있습니다. 이러한 권한은 설치 관리자에 `--provision` 인수를 지정하는 경우 필요합니다. *account-id*를 AWS 계정 ID로 바꾸고 *GreengrassV2TokenExchangeRole*을 `--tes-role-name` [설치 관리자 인수](configure-installer.md)에 지정하는 토큰 교환 역할의 이름으로 바꿉니다.
**참고**
`DeployDevTools` 정책 문은 설치 관리자에 `--deploy-dev-tools` 인수를 지정하는 경우에만 필요합니다.
------
#### [ Greengrass nucleus v2.5.0 and later ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
#### [ Earlier than v2.5.0 ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTokenExchangeRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetPolicy",
"iam:GetRole",
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"arn:aws:iam::aws:policy/GreengrassV2TokenExchangeRoleAccess"
]
},
{
"Sid": "CreateIoTResources",
"Effect": "Allow",
"Action": [
"iot:AddThingToThingGroup",
"iot:AttachPolicy",
"iot:AttachThingPrincipal",
"iot:CreateKeysAndCertificate",
"iot:CreatePolicy",
"iot:CreateRoleAlias",
"iot:CreateThing",
"iot:CreateThingGroup",
"iot:DescribeEndpoint",
"iot:DescribeRoleAlias",
"iot:DescribeThingGroup",
"iot:GetPolicy"
],
"Resource": "*"
},
{
"Sid": "DeployDevTools",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"iot:CancelJob",
"iot:CreateJob",
"iot:DeleteThingShadow",
"iot:DescribeJob",
"iot:DescribeThing",
"iot:DescribeThingGroup",
"iot:GetThingShadow",
"iot:UpdateJob",
"iot:UpdateThingShadow"
],
"Resource": "*"
}
]
}
```
------
------
# Greengrass 서비스 역할
Greengrass 서비스 역할은가 사용자를 대신하여 서비스의 리소스에 액세스할 AWS IoT Greengrass 수 있도록 권한을 부여하는 AWS Identity and Access Management (IAM) AWS 서비스 역할입니다. 이 역할을 사용하면 AWS IoT Greengrass 가 클라이언트 디바이스의 ID를 확인하고 코어 디바이스 연결 정보를 관리할 수 있습니다.
**참고**
AWS IoT Greengrass V1 는이 역할을 사용하여 필수 작업을 수행합니다. 자세한 정보는 *AWS IoT Greengrass V1 개발자 안내서*에서 [Greengrass 서비스 역할](https://docs.aws.amazon.com/greengrass/v1/developerguide/service-role.html)을 참조하세요.
가 리소스 AWS IoT Greengrass 에 액세스하도록 허용하려면 Greengrass 서비스 역할을 AWS 계정 와 연결하고를 신뢰할 수 있는 엔터 AWS IoT Greengrass 티로 지정해야 합니다. 역할에는 [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) 관리형 정책 또는 사용하는 AWS IoT Greengrass 기능에 대해 동등한 권한을 정의하는 사용자 지정 정책이 포함되어야 합니다.이 정책은가 AWS 리소스에 액세스하는 데 AWS IoT Greengrass 사용하는 권한 세트를 정의하는이 정책을 AWS 유지합니다. 자세한 내용은 [AWS 관리형 정책: AWSGreengrassResourceAccessRolePolicy](security-iam-aws-managed-policies.md#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy) 단원을 참조하십시오.
동일한 Greengrass 서비스 역할을 재사용할 수 AWS 리전있지만 사용하는 모든 AWS 리전 의 계정과 연결해야 합니다 AWS IoT Greengrass. 서비스 역할이 현재에 구성되지 않은 경우 AWS 리전코어 디바이스는 클라이언트 디바이스를 확인하지 못하고 연결 정보를 업데이트하지 못합니다.
다음 섹션에서는 AWS Management Console 또는를 사용하여 Greengrass 서비스 역할을 생성하고 관리하는 방법을 설명합니다 AWS CLI.
**Topics**
+ [Greengrass 서비스 역할 관리(콘솔)](#manage-greengrass-service-role-console)
+ [Greengrass 서비스 역할 관리(CLI)](#manage-service-role-cli)
+ [다음 사항도 참조하세요.](#service-role-see-also)
**참고**
서비스 수준 액세스 권한을 부여하는 서비스 역할 외에도 *토큰 교환 역할*을 Greengrass 코어 디바이스에 할당합니다. 토큰 교환 역할은 코어 디바이스의 Greengrass 구성 요소 및 Lambda 함수가 AWS 서비스에 액세스하는 방법을 제어하는 별도의 IAM 역할입니다. 자세한 내용은 [코어 디바이스가 AWS 서비스와 상호 작용할 수 있도록 권한 부여](device-service-role.md) 단원을 참조하십시오.
## Greengrass 서비스 역할 관리(콘솔)
AWS IoT 콘솔을 사용하면 Greengrass 서비스 역할을 쉽게 관리할 수 있습니다. 예를 들어, 코어 디바이스에 대한 클라이언트 디바이스 검색을 구성할 때 콘솔은 AWS 계정 이 현재 AWS 리전의 Greengrass 서비스 역할에 연결되어 있는지 확인합니다. 연결이 되어 있지 않으면 콘솔이 사용자를 대신하여 서비스 역할을 생성 및 구성할 수 있습니다. 자세한 내용은 [Greengrass 서비스 역할 생성(콘솔)](#create-greengrass-service-role-console) 단원을 참조하십시오.
다음과 같은 역할 관리 작업에서 콘솔을 사용할 수 있습니다.
**Topics**
+ [Greengrass 서비스 역할 검색(콘솔)](#get-greengrass-service-role-console)
+ [Greengrass 서비스 역할 생성(콘솔)](#create-greengrass-service-role-console)
+ [Greengrass 서비스 역할 변경(콘솔)](#update-greengrass-service-role-console)
+ [Greengrass 서비스 역할 분리(콘솔)](#remove-greengrass-service-role-console)
**참고**
콘솔에 로그인한 사용자는 해당 서비스 역할을 보고, 생성하고, 변경할 수 있는 권한을 가져야 합니다.
### Greengrass 서비스 역할 검색(콘솔)
다음 단계에 따라 현재에서가 AWS IoT Greengrass 사용하는 서비스 역할을 찾습니다 AWS 리전.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)로 이동합니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **Greengrass service role(Greengrass 서비스 역할)** 섹션으로 스크롤하여 서비스 역할과 그 정책을 확인합니다.
서비스 역할이 표시되지 않으면 콘솔에서 역할을 생성 또는 구성할 수 있습니다. 자세한 내용은 [Greengrass 서비스 역할 생성](#create-greengrass-service-role-console) 단원을 참조하십시오.
### Greengrass 서비스 역할 생성(콘솔)
콘솔이 사용자를 대신하여 기본 Greengrass 서비스 역할을 생성 및 구성할 수 있습니다. 이 역할에는 다음 속성이 있습니다.
| 속성 | 값 |
| --- | --- |
| 이름 | Greengrass\$1ServiceRole |
| 신뢰할 수 있는 엔터티. | AWS service: greengrass |
| 정책 | [AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) |
**참고**
[AWS IoT Greengrass V1 디바이스 설정 스크립트](https://docs.aws.amazon.com/greengrass/v1/developerguide/quick-start.html)로 이 역할을 생성하는 경우 역할 이름은 `GreengrassServiceRole_random-string`입니다.
코어 디바이스에 대한 클라이언트 디바이스 검색을 구성할 때 콘솔은 Greengrass 서비스 역할이 현재 AWS 계정 의와 연결되어 있는지 확인합니다 AWS 리전. 그렇지 않은 경우 콘솔에서가 사용자를 대신하여 AWS 서비스를 읽고 쓸 수 AWS IoT Greengrass 있도록 허용하라는 메시지가 표시됩니다.
권한을 부여하는 경우, 콘솔은 `Greengrass_ServiceRole` 이라는 이름의 역할이 AWS 계정계정에 존재하는지 여부를 확인합니다.
+ 역할이 있는 경우 콘솔은 현재의 AWS 계정 에 서비스 역할을 연결합니다 AWS 리전.
+ 역할이 없는 경우 콘솔은 기본 Greengrass 서비스 역할을 생성하여 현재의 AWS 계정 에 연결합니다 AWS 리전.
**참고**
사용자 지정 역할 정책을 사용하여 서비스를 생성하려는 경우에는 IAM 콘솔을 사용하여 역할을 생성하거나 수정하세요. 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 권한을 위임할 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) 또는 [역할 수정을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html). 역할이 사용하는 기능 및 리소스에 대한 `AWSGreengrassResourceAccessRolePolicy` 관리형 정책과 동일한 권한을 부여하는지 확인합니다. 혼동된 대리자 보안 문제를 방지하려면 신뢰 정책에 `aws:SourceArn` 및 `aws:SourceAccount` 글로벌 조건 컨텍스트 키도 포함하는 것이 좋습니다.** 조건 컨텍스트 키는 지정된 계정 및 Greengrass 작업 영역에서 들어오는 요청만 허용하도록 액세스를 제한합니다. 혼동된 대리자 문제에 대한 자세한 내용은, [교차 서비스 혼동된 대리인 방지](cross-service-confused-deputy-prevention.md)를 참조하세요.
서비스 역할을 생성하는 경우 AWS IoT 콘솔로 돌아가 역할을에 연결합니다 AWS 계정. **설정** 페이지의 **Greengrass 서비스 역할**에서 이 작업을 수행할 수 있습니다.
### Greengrass 서비스 역할 변경(콘솔)
다음 절차에 따라 콘솔 AWS 계정 에서 AWS 리전 현재 선택한의에 연결할 다른 Greengrass 서비스 역할을 선택합니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)로 이동합니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **Greengrass 서비스 역할**에서 **역할 선택**을 선택합니다.
**Greengrass 서비스 역할 업데이트** 대화 상자가 열리고에서 신뢰할 수 있는 엔터 AWS IoT Greengrass 티로 AWS 계정 정의하는 IAM 역할이 표시됩니다.
1. 연결할 Greengrass 서비스 역할을 선택합니다.
1. **역할 연결**을 선택합니다.
### Greengrass 서비스 역할 분리(콘솔)
다음 절차에 따라 현재의 AWS 계정에서 Greengrass 서비스 역할을 분리합니다 AWS 리전. 이렇게 하면 AWS IoT Greengrass 가 현재의 AWS 서비스에 액세스할 수 있는 권한이 취소됩니다 AWS 리전.
**중요**
서비스 역할을 분리하면 진행 중인 작업에 방해가 될 수 있습니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)로 이동합니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **Greengrass 서비스 역할**에서 **분리**를 선택합니다.
1. 확인 대화 상자에서 **분리(Detach)**를 선택합니다.
**참고**
역할이 더 이상 필요하지 않으면 IAM 콘솔에서 이를 삭제할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*에서 [역할 또는 인스턴스 프로파일 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.
다른 역할은가 리소스에 액세스 AWS IoT Greengrass 하도록 허용할 수 있습니다. AWS IoT Greengrass 이(가) 사용자를 대신하여 권한을 위임할 수 있는 모든 역할을 찾으려면 IAM 콘솔의 **역할** 페이지의 **신뢰할 수 있는 엔터티** 열에서 **AWS 서비스: greengrass**가 포함된 역할을 찾아보세요.
## Greengrass 서비스 역할 관리(CLI)
다음 절차에서는 AWS Command Line Interface 가 설치되고를 사용하도록 구성되어 있다고 가정합니다 AWS 계정. 자세한 내용은 *AWS Command Line Interface 사용 설명서*의 [AWS CLI설치, 업데이트, 제거](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) 및 [AWS CLI구성](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) 섹션을 참조하세요.
다음 역할 관리 작업에 AWS CLI 를 사용할 수 있습니다.
**Topics**
+ [Greengrass 서비스 역할 가져오기(CLI)](#get-service-role)
+ [Greengrass 서비스 역할 생성(CLI)](#create-service-role)
+ [Greengrass 서비스 역할 제거(CLI)](#remove-service-role)
### Greengrass 서비스 역할 가져오기(CLI)
다음 절차를 사용하여 Greengrass 서비스 역할이 AWS 리전의 AWS 계정 과 연결되어 있는지 알아냅니다.
+ 서비스 역할을 가져옵니다. *region*을 로 바꿉니다 AWS 리전 (예: `us-west-2`).
```
aws greengrassv2 get-service-role-for-account --region region
```
Greengrass 서비스 역할이 계정과 이미 연결되어 있는 경우 요청에서 다음 역할 메타데이터가 반환됩니다.
```
{
"associatedAt": "timestamp",
"roleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
요청에서 역할 메타데이터가 반환되지 않는 경우 서비스 역할을 생성하고(없는 경우) 해당 역할을 AWS 리전의 계정과 연결해야 합니다.
### Greengrass 서비스 역할 생성(CLI)
다음 단계에 따라 역할을 생성하고 AWS 계정과 연결합니다.
**IAM을 사용하여 서비스 역할을 생성하려면**
1. 가 역할을 AWS IoT Greengrass 수임하도록 허용하는 신뢰 정책을 사용하여 역할을 생성합니다. 이 예제에서는 `Greengrass_ServiceRole`라는 역할을 생성하지만, 다른 이름을 사용할 수 있습니다. *혼동된 대리자* 보안 문제를 방지하려면 신뢰 정책에 `aws:SourceArn` 및 `aws:SourceAccount` 글로벌 조건 컨텍스트 키도 포함하는 것이 좋습니다. 조건 컨텍스트 키는 지정된 계정 및 Greengrass 작업 영역에서 들어오는 요청만 허용하도록 액세스를 제한합니다. 혼동된 대리자 문제에 대한 자세한 내용은, [교차 서비스 혼동된 대리인 방지](cross-service-confused-deputy-prevention.md)를 참조하세요.
------
#### [ Linux or Unix ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
#### [ PowerShell ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
}
}
}
]
}'
```
------
1. 출력의 역할 메타데이터에서 역할 ARN을 복사합니다. ARN을 사용하여 역할을 계정과 연결합니다.
1. `AWSGreengrassResourceAccessRolePolicy` 정책을 역할에 연결합니다.
```
aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
```
**서비스 역할을와 연결하려면 AWS 계정**
+ 역할을 계정과 연결합니다. *role-arn*을 서비스 역할 ARN으로 바꾸고 *region*을 로 바꿉니다 AWS 리전 (예: `us-west-2`).
```
aws greengrassv2 associate-service-role-to-account --role-arn role-arn --region region
```
성공하면 요청에서 다음과 비슷한 응답이 반환됩니다.
```
{
"associatedAt": "timestamp"
}
```
### Greengrass 서비스 역할 제거(CLI)
다음 단계를 사용하여 AWS 계정에서 Greengrass 서비스 역할의 연결을 해제합니다.
+ 계정에서 서비스 역할의 연결을 해제합니다. *region*을 로 바꿉니다 AWS 리전 (예: `us-west-2`).
```
aws greengrassv2 disassociate-service-role-from-account --region region
```
성공하면 다음 응답이 반환됩니다.
```
{
"disassociatedAt": "timestamp"
}
```
**참고**
서비스 역할을 사용하지 않는 경우 삭제해야 합니다 AWS 리전. 먼저 [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)를 사용하여 역할에서 `AWSGreengrassResourceAccessRolePolicy` 관리형 정책을 연결 해제하고, [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)을 사용하여 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*에서 [역할 또는 인스턴스 프로파일 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.
## 다음 사항도 참조하세요.
+ *IAM 사용 설명서*의 [AWS 서비스에 권한을 위임하는 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ [IAM 사용자 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)에서 *역할 수정*
+ 자세한 내용은 *IAM 사용 설명서*에서 [역할 또는 인스턴스 프로필 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)를 참조하세요.
+ AWS IoT Greengrass 명령 *AWS CLI 참조의 명령*
+ [associate-service-role-to-account](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/associate-service-role-to-account.html)
+ [disassociate-service-role-from-account](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/disassociate-service-role-from-account.html)
+ [get-service-role-for-account](https://docs.aws.amazon.com/cli/latest/reference/greengrassv2/get-service-role-for-account.html)
+ *AWS CLI 명령 참조*에서 IAM 명령
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)
# AWS 에 대한 관리형 정책 AWS IoT Greengrass
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
**Topics**
+ [AWS 관리형 정책: AWSGreengrassFullAccess](#aws-managed-policies-AWSGreengrassFullAccess)
+ [AWS 관리형 정책: AWSGreengrassReadOnlyAccess](#aws-managed-policies-AWSGreengrassReadOnlyAccess)
+ [AWS 관리형 정책: AWSGreengrassResourceAccessRolePolicy](#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)
+ [AWS IoT Greengrass AWS 관리형 정책에 대한 업데이트](#aws-managed-policy-updates)
## AWS 관리형 정책: AWSGreengrassFullAccess
`AWSGreengrassFullAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 위탁자에게 모든 AWS IoT Greengrass 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 부여합니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `greengrass` – 위탁자에게 모든 AWS IoT Greengrass 작업에 대한 전체 액세스 권한을 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AWSGreengrassReadOnlyAccess
`AWSGreengrassReadOnlyAccess` 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 위탁자가 AWS IoT Greengrass의 정보를 볼 수 있지만 수정할 수는 없는 읽기 전용 권한을 부여합니다. 예를 들어 이러한 권한이 있는 위탁자는 Greengrass 코어 디바이스에 배포된 구성 요소 목록을 볼 수 있지만 해당 디바이스에서 실행되는 구성 요소를 변경하기 위한 배포를 생성할 수는 없습니다.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `greengrass` - 위탁자가 항목의 목록이나 항목에 대한 세부 정보를 반환하는 작업을 수행할 수 있도록 허용합니다. 이는 `List` 또는 `Get`으로 시작하는 API 작업을 포함합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AWSGreengrassResourceAccessRolePolicy
`AWSGreengrassResourceAccessRolePolicy` 정책을 IAM 엔터티에 연결할 수 있습니다. AWS IoT Greengrass 는가 사용자를 대신하여 작업을 AWS IoT Greengrass 수행하도록 허용하는 서비스 역할에도이 정책을 연결합니다. 자세한 내용은 [Greengrass 서비스 역할](greengrass-service-role.md) 단원을 참조하십시오.
이 정책은가 Lambda 함수 검색, AWS IoT 디바이스 섀도 관리, Greengrass 클라이언트 디바이스 확인과 같은 필수 작업을 AWS IoT Greengrass 수행할 수 있도록 허용하는 관리 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `greengrass` – Greengrass 리소스를 관리합니다.
+ `iot` (`*Shadow`) - 이름에 다음과 같은 특수 식별자가 있는 AWS IoT 섀도우를 관리합니다. 이러한 권한은 AWS IoT Greengrass 가 코어 디바이스와 통신하는 데 필요합니다.
+ `*-gci` - 클라이언트 디바이스가 코어 디바이스를 검색하고 연결할 수 있도록이 섀도우를 AWS IoT Greengrass 사용하여 코어 디바이스 연결 정보를 저장합니다.
+ `*-gcm` – AWS IoT Greengrass V1은이 섀도를 사용하여 코어 디바이스에 Greengrass 그룹의 인증 기관(CA) 인증서가 교체되었음을 알립니다.
+ `*-gda` – AWS IoT Greengrass V1은이 섀도우를 사용하여 코어 디바이스에 배포를 알립니다.
+ `GG_*` - 사용되지 않습니다.
+ `iot` (`DescribeThing` 및 `DescribeCertificate`) - AWS IoT 사물 및 인증서에 대한 정보를 검색합니다. 가 코어 디바이스에 연결하는 클라이언트 디바이스를 AWS IoT Greengrass 확인하려면 이러한 권한이 필요합니다. 자세한 내용은 [로컬 IoT 디바이스와 상호 작용](interact-with-local-iot-devices.md) 단원을 참조하십시오.
+ `lambda` - AWS Lambda 함수에 대한 정보를 검색합니다. 이 권한은 AWS IoT Greengrass V1이 Greengrass 코어에 Lambda 함수를 배포할 수 있도록 하기 위해 필요합니다. 자세한 내용은 *AWS IoT Greengrass V1 개발자 안내서*[의 AWS IoT Greengrass 코어에서 Lambda 함수 실행](https://docs.aws.amazon.com/greengrass/v1/developerguide/lambda-functions.html)을 참조하세요.
+ `secretsmanager` - 이름이 로 시작하는 AWS Secrets Manager 보안 암호의 값을 검색합니다`greengrass-`. 이 권한은 AWS IoT Greengrass V1이 Secrets Manager 보안 암호를 Greengrass 코어에 배포할 수 있도록 하기 위해 필요합니다. 자세한 내용은 *AWS IoT Greengrass V1 개발자 안내서*[의 AWS IoT Greengrass 코어에 보안 암호 배포](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html)를 참조하세요.
+ `s3` – 이름에 `greengrass` 또는 `sagemaker`를 포함하는 S3 버킷에서 파일 객체를 검색합니다. 이러한 권한은 AWS IoT Greengrass V1이 S3 버킷에 저장하는 기계 학습 리소스를 배포할 수 있도록 하기 위해 필요합니다. 자세한 내용은 *AWS IoT Greengrass V1 개발자 안내서*의 [기계 학습 리소스를](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html#ml-resources) 참조하세요.
+ `sagemaker` – Amazon SageMaker AI 기계 학습 추론 모델에 대한 정보를 검색합니다. 이 권한은 AWS IoT Greengrass V1이 Greengrass 코어에 ML 모델을 배포할 수 있도록 하기 위해 필요합니다. 자세한 내용은 *AWS IoT Greengrass V1 개발자 안내서*의 [기계 학습 추론 수행을](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html) 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}
```
------
## AWS IoT Greengrass AWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 시점부터 AWS IoT Greengrass 의 AWS 관리형 정책 업데이트에 대한 세부 정보를 볼 수 있습니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 [AWS IoT Greengrass V2 문서 기록 페이지에서](document-history.md) RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| AWS IoT Greengrass 에서 변경 내용 추적 시작 | AWS IoT Greengrass 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2021년 7월 2일 |
# 교차 서비스 혼동된 대리인 방지
혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 AWS교차 서비스 가장은 혼동된 대리자 문제를 초래할 수 있습니다. 교차 서비스 가장은 한 서비스(*직접 호출하는 서비스*)가 다른 서비스(*직접 호출되는 서비스*)를 직접 호출할 때 발생할 수 있습니다. 직접 호출하는 서비스는 다른 고객의 리소스에 대해 액세스 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있습니다. 이를 방지하기 위해 AWS 에서는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 위탁자를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 제공합니다.
리소스 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 전역 조건 컨텍스트 키를 사용하여 리소스에 다른 서비스를 AWS IoT Greengrass 제공하는 권한을 제한하는 것이 좋습니다. 두 전역 조건 컨텍스트 키를 모두 사용하는 경우 `aws:SourceAccount` 값과 `aws:SourceArn` 값의 계정은 동일한 정책 문에서 사용할 경우 동일한 계정 ID를 사용해야 합니다.
`aws:SourceArn`의 값은 `sts:AssumeRole` 요청과 관련된 Greengrass 고객 리소스여야 합니다.
혼동된 대리인 문제로부터 보호하는 가장 효과적인 방법은 리소스의 전체 ARN이 포함된 `aws:SourceArn`글로벌 조건 컨텍스트 키를 사용하는 것입니다. 리소스의 전체 ARN을 모를 경우 또는 여러 리소스를 지정하는 경우, ARN의 알 수 없는 부분에 대해 와일드카드(`*`)를 포함한 `aws:SourceArn`전역 조건 컨텍스트 키를 사용합니다. 예제: `arn:aws:greengrass::account-id:*`.
`aws:SourceArn` 및 `aws:SourceAccount` 전역 조건 컨텍스트 키가 사용되는 정책의 예제는 [Greengrass 서비스 역할 생성](greengrass-service-role.md#create-service-role) 섹션을 참조하세요.
# 에 대한 자격 증명 및 액세스 문제 해결 AWS IoT Greengrass
다음 정보를 사용하여 및 IAM으로 작업할 때 발생할 수 있는 일반적인 문제를 진단 AWS IoT Greengrass 하고 수정할 수 있습니다.
**Topics**
+ [에서 작업을 수행할 권한이 없음 AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole을 수행하도록 인증되지 않음](#security_iam_troubleshoot-passrole)
+ [관리자인데 다른 사람이에 액세스하도록 허용하려고 함 AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [내 외부의 사람이 내 AWS IoT Greengrass 리소스에 액세스 AWS 계정 하도록 허용하고 싶습니다.](#security_iam_troubleshoot-cross-account-access)
일반적인 문제 해결 도움말은 [문제 해결 AWS IoT Greengrass V2](troubleshooting.md) 섹션을 참조하십시오.
## 에서 작업을 수행할 권한이 없음 AWS IoT Greengrass
작업을 수행할 권한이 없다는 오류가 수신되면 관리자에게 문의하여 도움을 받아야 합니다. 관리자는 사용자 이름과 암호를 제공한 사람입니다.
다음 예제 오류는 `mateojackson` IAM 사용자가 코어 디바이스에 대한 세부 정보를 보려고 하지만 `greengrass:GetCoreDevice` 권한이 없는 경우에 발생합니다.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDevice on resource: arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore
```
이 경우, Mateo는 `arn:aws:greengrass:us-west-2:123456789012:coreDevices/MyGreengrassCore` 작업을 사용하여 `greengrass:GetCoreDevice` 리소스에 액세스하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.
다음은 AWS IoT Greengrass에서 작업할 때 발생할 수 있는 일반적인 IAM 문제입니다.
## iam:PassRole을 수행하도록 인증되지 않음
`iam:PassRole` 작업을 수행할 수 있는 권한이 없다는 오류가 수신되면 AWS IoT Greengrass에 역할을 전달할 수 있도록 정책을 업데이트해야 합니다.
일부 AWS 서비스 에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신 기존 역할을 해당 서비스에 전달할 수 있습니다. 이렇게 하려면 역할을 서비스에 전달할 권한이 있어야 합니다.
다음 예 오류는 `marymajor`라는 IAM 사용자가 콘솔을 사용하여 AWS IoT Greengrass에서 작업을 수행하려고 하는 경우에 발생합니다. 하지만 작업을 수행하려면 서비스 역할이 부여한 권한이 서비스에 있어야 합니다. Mary는 서비스에 역할을 전달할 권한이 없습니다.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
이 경우, Mary가 `iam:PassRole`작업을 수행할 수 있도록 Mary의 정책을 업데이트해야 합니다.
도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.
## 관리자인데 다른 사람이에 액세스하도록 허용하려고 함 AWS IoT Greengrass
다른 사용자에게 액세스를 허용하려면 액세스 권한이 필요한 사용자 또는 애플리케이션에 권한을 부여해야 AWS IoT Greengrass합니다. AWS IAM Identity Center 를 사용하여 사용자 및 애플리케이션을 관리하는 경우 사용자 또는 그룹에 권한 세트를 할당하여 액세스 수준을 정의합니다. 권한 세트는 IAM 정책을 자동으로 생성하고 사용자 또는 애플리케이션과 연결된 IAM 역할에 할당합니다. 자세한 내용은 *AWS IAM Identity Center 사용 설명서*에서 [권한 세트](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)를 참조하세요.
IAM Identity Center를 사용하지 않는 경우 액세스가 필요한 사용자 또는 애플리케이션에 대한 IAM 엔터티(사용자 또는 역할)를 생성해야 합니다. 그런 다음 AWS IoT Greengrass에 대한 올바른 권한을 부여하는 정책을 엔터티에 연결해야 합니다. 권한이 부여되면 사용자 또는 애플리케이션 개발자에게 자격 증명을 제공합니다. 이들은 이 자격 증명을 사용하여 AWS에 액세스합니다. IAM 사용자, 그룹, 정책 및 권한 생성에 대해 자세히 알아보려면 *IAM 사용자 설명서*의 [IAM 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)과 [IAM의 권한 및 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
## 내 외부의 사람이 내 AWS IoT Greengrass 리소스에 액세스 AWS 계정 하도록 허용하고 싶습니다.
다른 계정의 사용자 또는 조직 외부의 사용자가 AWS 리소스에 액세스하는 데 사용할 수 있는 IAM 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 자세한 내용은 [IAM 사용 설명서의 AWS 계정 자신이 소유한 다른의 IAM 사용자에게 액세스 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) [제공 및 타사가 소유한에 액세스 권한 제공을 참조 AWS 계정](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)하세요. **
AWS IoT Greengrass 는 리소스 기반 정책 또는 액세스 제어 목록(ACLs)을 기반으로 하는 교차 계정 액세스를 지원하지 않습니다.
# 프록시 또는 방화벽을 통해 디바이스 트래픽 허용
Greengrass 코어 디바이스 및 Greengrass 구성 요소는 AWS 서비스 및 기타 웹 사이트에 대한 아웃바운드 요청을 수행합니다. 보안 조치로 아웃바운드 트래픽을 엔드포인트와 포트의 작은 범위로 제한할 수 있습니다. 엔드포인트와 포트에 대한 다음 정보를 사용하여 프록시, 방화벽 또는 [Amazon VPC 보안 그룹 ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)을 통한 디바이스 트래픽을 제한할 수 있습니다. 프록시를 사용할 코어 디바이스를 구성하는 방법에 대한 자세한 내용은 [포트 443에서 또는 네트워크 프록시를 통해 연결](configure-greengrass-core-v2.md#configure-alpn-network-proxy) 섹션을 참조하세요.
**Topics**
+ [기본 작업을 위한 엔드포인트](#core-endpoints)
+ [자동 프로비저닝으로 설치하기 위한 엔드포인트](#automatic-provisioning-endpoints)
+ [AWS제공 구성 요소에 대한 엔드포인트](#public-component-endpoints)
## 기본 작업을 위한 엔드포인트
Greengrass 코어 디바이스에서는 다음과 같은 엔드포인트와 포트가 기본 작업에 사용됩니다.
### AWS IoT 엔드포인트 검색
의 AWS IoT 엔드포인트를 가져 AWS 계정와 나중에 사용할 수 있도록 저장합니다. 디바이스에서는 이러한 엔드포인트를 사용하여 AWS IoT에 연결합니다. 해결 방법:
1. 의 AWS IoT 데이터 엔드포인트를 가져옵니다 AWS 계정.
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
1. 의 AWS IoT 자격 증명 엔드포인트를 가져옵니다 AWS 계정.
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
| 엔드포인트 | 포트 | 필수 | 설명 |
| --- | --- | --- | --- |
| `greengrass-ats.iot.region.amazonaws.com` | 8443 또는 443 | 예 | 데이터 플레인 작업에 사용됩니다(예: 배포 설치 및 클라이언트 디바이스와 연동). |
| `device-data-prefix-ats.iot.region.amazonaws.com` | MQTT: 8883 또는 443 HTTPS: 8443 또는 443 | 예 | 디바이스 관리를 위한 데이터 플레인 작업에 사용됩니다(예: MQTT 통신 및 AWS IoT Core와 섀도 동기화). |
| `device-credentials-prefix.credentials.iot.region.amazonaws.com` | 443 | 예 | 코어 디바이스가 Amazon S3에서 구성 요소 아티팩트를 다운로드하고 다른 작업을 수행하는 데 사용하는 AWS 자격 증명을 획득하는 데 사용됩니다. 자세한 내용은 [코어 디바이스가 AWS 서비스와 상호 작용할 수 있도록 권한 부여](device-service-role.md) 단원을 참조하십시오. |
| `*.s3.amazonaws.com` `*.s3.region.amazonaws.com` | 443 | 예 | 배포에 사용됩니다. 엔드포인트 접두사는 내부적으로 제어되고 언제든 변경될 수 있으므로 이 형식에는 `*` 문자가 포함되어 있습니다. |
| `data.iot.region.amazonaws.com` | 443 | 아니요 | 코어 디바이스에서 v2.4.0보다 이전 버전의 [Greengrass nucleus가](greengrass-nucleus-component.md) 실행되고 네트워크 프록시를 사용하도록 구성된 경우에 필요합니다. 코어 디바이스는 프록시 뒤에 있을 AWS IoT Core 때 와의 MQTT 통신에이 엔드포인트를 사용합니다. 자세한 내용은 [네트워크 프록시 구성](configure-greengrass-core-v2.md#configure-network-proxy) 단원을 참조하십시오. |
## 자동 프로비저닝으로 설치하기 위한 엔드포인트
Greengrass 코어 디바이스는 [자동 리소스 프로비저닝으로 AWS IoT Greengrass 코어 소프트웨어를 설치할](quick-installation.md) 때 다음 엔드포인트와 포트를 사용합니다.
| 엔드포인트 | 포트 | 필수 | 설명 |
| --- | --- | --- | --- |
| `iot.region.amazonaws.com` | 443 | 예 | AWS IoT 리소스를 생성하고 기존 AWS IoT 리소스에 대한 정보를 검색하는 데 사용됩니다. |
| `iam.amazonaws.com` | 443 | 예 | IAM 리소스를 생성하고 기존 IAM 리소스에 대한 정보를 검색하는 데 사용됩니다. |
| `sts.region.amazonaws.com` | 443 | 예 | 의 ID를 가져오는 데 사용됩니다 AWS 계정. |
| `greengrass.region.amazonaws.com` | 443 | 아니요 | `--deploy-dev-tools` 인수를 사용하여 Greengrass CLI 구성 요소를 코어 디바이스에 배포하는 경우에 필요합니다. |
## AWS제공 구성 요소에 대한 엔드포인트
Greengrass 코어 디바이스에서는 실행하는 소프트웨어 구성 요소에 따라 추가 엔드포인트가 사용됩니다. 이 개발자 안내서의 각 구성 요소 페이지에 있는 **요구 사항** 섹션에서 각 AWS제공 구성 요소에 필요한 엔드포인트를 찾을 수 있습니다. 자세한 내용은 [AWS 제공 구성 요소](public-components.md) 단원을 참조하십시오.
# 의 규정 준수 검증AWS IoT Greengrass
AWS 서비스가 특정 규정 준수 프로그램의 범위에 포함되는지 알아보려면 [규정 준수 프로그램 제공 범위 내 AWS 서비스](https://aws.amazon.com/compliance/services-in-scope/)를 참조하고 관심 있는 규정 준수 프로그램을 선택하십시오. 일반적인 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)을 참조하세요.
AWS Artifact(을)를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다. 자세한 내용은 [AWS Artifact에서 보고서 다운로드](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)를 참조하세요.
AWS 서비스 사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률 및 규정에 따라 결정됩니다. AWS 서비스 사용 시 규정 준수 책임에 대한 자세한 내용은 [AWS 보안 설명서](https://docs.aws.amazon.com/security/)를 참조하세요.
# FIPS 엔드포인트
AWS IoT Greengrass 는 FIPS([Federal Information Processing Standard) 140-2](https://aws.amazon.com/compliance/fips/)) 엔드포인트 사용을 지원합니다. FIPS 모드가 활성화되면 HTTP 및 MQTT 프로토콜을 포함하여 AWS 클라우드 서비스에 대한 모든 데이터 전송이 해당 FIPS 준수 엔드포인트([FIPS - Amazon Web Services(AWS)](https://aws.amazon.com/compliance/fips/))를 호출하고 연결을 설정해야 합니다.
IoT 데이터플레인 FIPS 엔드포인트(FIPS 엔드포인트에 연결 -) 및 개발된 FIPS 호환 암호화 라이브러리 aws AWS-lc를 AWS IoT 활용하기 위한 MQTT 통신입니다.[AWS IoTAWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/iot-connect-fips.html#iot-connect-fips-data)
Greengrass의 HTTP 통신:
+ nucleus 및 플러그인 구성 요소의 경우 모든 SDK HTTP 클라이언트는 시스템 속성 AWS\$1USE\$1FIPS\$1ENDPOINT를 true로 설정하여 FIPS 엔드포인트로 구성됩니다.
+ 일반 구성 요소의 경우 모든 구성 요소는 시스템 속성 AWS\$1USE\$1FIPS\$1ENDPOINT가 true로 설정된 상태에서 시작됩니다. 이 프로세스를 통해 이러한 일반 구성 요소에 사용되는 SDK HTTP 클라이언트가 FIPS 호환 엔드포인트로 요청을 보낼 수 있습니다.
**참고**
스트림 관리자의 경우 nucleus는 환경 변수 AWS\$1GG\$1FIPS\$1MODE를 전달합니다. 이 환경 변수를 사용하면 스트림 관리자 내에서 사용되는 HTTP 클라이언트가 해당 FIPS 준수 엔드포인트를 식별 및 연결할 수 있습니다.
AWS IoT Greengrass 는 프로비저닝과 배포라는 두 가지 방법으로 FIPS 모드를 활성화합니다. FIPS 모드를 활성화하기 위해 구성 파라미터 `fipsMode`를 true로 설정해야 하고, 이후 nucleus는 시스템 속성 AWS\$1USE\$1FIPS\$1ENDPOINT를 true로 설정하고 환경 변수로 다른 모든 구성 요소로 전파합니다. 또한 AWS IoT Greengrass 는 루트 CA 인증서(CA3)를 다운로드하여 기존 rootCA.pem(또는 AmazonRootCA1.pem) 파일에 추가합니다. 새 배포를 통해 FIPS를 활성화하면 FIPS 모드를 활성화한 후 시스템 속성이 적용되도록 nucleus가 재시작됩니다.
`fipsMode` 파라미터 구성 외에도 `iotDataEndpoint`, `iotCredEndpoint` 및 `greengrassDataEndpoint` 파라미터도 구성해야 합니다. 자세한 내용은 아래의 관련 문서를 참조하세요.
## 배포를 통해 FIPS 엔드포인트 활성화
의 AWS IoT 엔드포인트를 가져 AWS 계정와 나중에 사용할 수 있도록 저장합니다. 디바이스에서는 이러한 엔드포인트를 사용하여 AWS IoT에 연결합니다. `iotDataEndpoint` 및 `iotCredEndpoint`라는 두 엔드포인트가 있습니다. 해결 방법:
1. FIPS 데이터 [AWS IoT Core 데이터 플레인 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)에서 리전의 FIPS 데이터 엔드포인트를 가져옵니다. 의 FIPS 데이터 엔드포인트는 다음과 같아 AWS 계정 야 합니다. *data.iot-fips.us-west-2.amazonaws.com*
1. FIPS 데이터 [AWS IoT Core 데이터 플레인 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)에서 리전의 FIPS 자격 증명 엔드포인트를 가져옵니다. 의 FIPS 자격 증명 엔드포인트는 다음과 같아 AWS 계정 야 합니다. *data.credentials.iot-fips.us-west-2.amazonaws.com*
이후 배포로 FIPS를 활성화하려면 다음 구성을 nucleus에 적용해야 합니다. 배포 시 병합할 구성은 다음과 같습니다.
------
#### [ Console ]
**병합할 구성**
```
{
"fipsMode": "true",
"iotDataEndpoint": "data.iot-fips.us-west-2.amazonaws.com",
"greengrassDataPlaneEndpoint": "iotData",
"iotCredEndpoint": "data.credentials.iot-fips.us-west-2.amazonaws.com"
}
```
------
#### [ AWS CLI ]
다음 명령은 코어 디바이스에 배포를 생성합니다.
```
aws greengrassv2 create-deployment --cli-input-json file://dashboard-deployment.json
```
`dashboard-deployment.json` 파일에는 다음 JSON 문서가 포함되어 있습니다.
```
{
"targetArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
"deploymentName": "Deployment for MyGreengrassCore",
"components": {
"aws.greengrass.Nucleus": {
"componentVersion": "2.13.0",
"configurationUpdate": {
"merge":{\"fipsMode\":\"true\",\"iotDataEndpoint\":\"data.iot-fips.us-west-2.amazonaws.com\",\"greengrassDataPlaneEndpoint\":\"iotData\",\"iotCredEndpoint\":\"data.credentials.iot-fips.us-west-2.amazonaws.com\"}"
}
}
}
}
```
------
#### [ Greengrass CLI ]
다음 [Greengrass CLI](greengrass-cli-component.md) 명령은 코어 디바이스에 로컬 배포를 생성합니다.
```
sudo greengrass-cli deployment create \
--recipeDir recipes \
--artifactDir artifacts \
--merge "aws.greengrass.Nucleus=2.13.0" \
--update-config dashboard-configuration.json
```
`dashboard-configuration.json` 파일에는 다음 JSON 문서가 포함됩니다.
```
{
"aws.greengrass.Nucleus": {
"MERGE": {
"fipsMode": "true",
"iotDataEndpoint": "data.iot-fips.us-west-2.amazonaws.com",
"greengrassDataPlaneEndpoint": "iotData",
"iotCredEndpoint": "data.credentials.iot-fips.us-west-2.amazonaws.com"
}
}
}
```
------
## 수동 리소스 프로비저닝을 사용하여 FIPS 엔드포인트로 nucleus 설치
FIPS 엔드포인트를 사용하여 AWS IoT Greengrass V2 코어 디바이스에 대한 AWS 리소스를 수동으로 프로비저닝
**중요**
AWS IoT Greengrass 코어 소프트웨어를 다운로드하기 전에 코어 디바이스가 AWS IoT Greengrass 코어 소프트웨어 v2.0 설치 및 실행 [요구 사항을](greengrass-nucleus-component.md#greengrass-v2-requirements) 충족하는지 확인합니다.
**Topics**
+ [AWS IoT 엔드포인트 검색](#w2ab1c58c44c23b9)
+ [AWS IoT 사물 생성](#create-iot-thing)
+ [사물 인증서 생성](#create-thing-certificate-fips)
+ [토큰 교환 역할 생성](#create-token-exchange-role)
+ [디바이스에 인증서 다운로드](#download-thing-certificates)
+ [디바이스 환경 설정](#set-up-device-environment)
+ [AWS IoT Greengrass 코어 소프트웨어 다운로드](#download-greengrass-core-v2)
+ [AWS IoT Greengrass 코어 소프트웨어 설치](#run-greengrass-core-v2-installer-manual-fips)
### AWS IoT 엔드포인트 검색
의 AWS IoT 엔드포인트를 가져 AWS 계정와 나중에 사용할 수 있도록 저장합니다. 디바이스에서는 이러한 엔드포인트를 사용하여 AWS IoT에 연결합니다. `iotDataEndpoint` 및 `iotCredEndpoint`라는 두 엔드포인트가 있습니다. 해결 방법:
1. FIPS 데이터 [AWS IoT Core 데이터 플레인 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)에서 리전의 FIPS 데이터 엔드포인트를 가져옵니다. 의 FIPS 데이터 엔드포인트는 다음과 같아 AWS 계정 야 합니다. *data.iot-fips.us-west-2.amazonaws.com*
1. FIPS 데이터 [AWS IoT Core 데이터 플레인 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)에서 리전의 FIPS 자격 증명 엔드포인트를 가져옵니다. 의 FIPS 자격 증명 엔드포인트는 다음과 같아 AWS 계정 야 합니다. *data.credentials.iot-fips.us-west-2.amazonaws.com*
### AWS IoT 사물 생성
AWS IoT *사물*은에 연결하는 디바이스 및 논리적 엔터티를 나타냅니다 AWS IoT. Greengrass 코어 디바이스는 AWS IoT 사물입니다. 디바이스를 AWS IoT 사물로 등록하면 해당 디바이스는 디지털 인증서를 사용하여 인증할 수 있습니다 AWS.
이 섹션에서는 디바이스를 나타내는 AWS IoT 사물을 생성합니다.
**AWS IoT 사물을 생성하려면**
1. 디바이스에 대한 AWS IoT 사물을 생성합니다. 개발 컴퓨터에서 다음 명령을 실행합니다.
+ *MyGreengrassCore*를 사용할 사물 이름으로 바꿉니다. 이 이름은 Greengrass 코어 디바이스의 이름이기도 합니다.
**참고**
사물 이름에는 콜론(`:`) 문자를 포함할 수 없습니다.
```
aws iot create-thing --thing-name MyGreengrassCore
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"thingName": "MyGreengrassCore",
"thingArn": "arn:aws:iot:us-west-2:123456789012:thing/MyGreengrassCore",
"thingId": "8cb4b6cd-268e-495d-b5b9-1713d71dbf42"
}
```
1. (선택 사항) 새 AWS IoT 사물 또는 기존 사물 그룹에 사물을 추가합니다. 사물 그룹을 사용하여 Greengrass 코어 디바이스 플릿을 관리합니다. 소프트웨어 구성 요소를 디바이스에 배포할 때 개별 디바이스 또는 디바이스 그룹을 대상으로 지정할 수 있습니다. 활성 Greengrass 배포가 있는 사물 그룹에 디바이스를 추가하여 사물 그룹의 소프트웨어 구성 요소를 디바이스에 배포할 수 있습니다. 해결 방법:
1. (선택 사항) AWS IoT 사물 그룹을 생성합니다.
+ *MyGreengrassCoreGroup*을 생성할 사물 그룹의 이름으로 바꿉니다.
**참고**
사물 그룹 이름에는 콜론(`:`) 문자를 포함할 수 없습니다.
```
aws iot create-thing-group --thing-group-name MyGreengrassCoreGroup
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"thingGroupName": "MyGreengrassCoreGroup",
"thingGroupArn": "arn:aws:iot:us-west-2:123456789012:thinggroup/MyGreengrassCoreGroup",
"thingGroupId": "4df721e1-ff9f-4f97-92dd-02db4e3f03aa"
}
```
1. AWS IoT 사물을 사물 그룹에 추가합니다.
+ *MyGreengrassCore*를 AWS IoT 사물의 이름으로 바꿉니다.
+ *MyGreengrassCoreGroup*을 사물 그룹의 이름으로 바꿉니다.
```
aws iot add-thing-to-thing-group --thing-name MyGreengrassCore --thing-group-name MyGreengrassCoreGroup
```
요청에 성공하는 경우 명령에 출력이 없습니다.
### 사물 인증서 생성
디바이스를 AWS IoT 사물로 등록하면 해당 디바이스는 디지털 인증서를 사용하여 인증할 수 있습니다 AWS. 이 인증서를 사용하면 디바이스가 AWS IoT 및와 통신할 수 있습니다 AWS IoT Greengrass.
이 섹션에서는 디바이스가 AWS에 연결하는 데 사용할 수 있는 인증서를 생성하고 다운로드합니다.
하드웨어 보안 모듈(HSM)을 사용하여 프라이빗 키와 인증서를 안전하게 저장하도록 AWS IoT Greengrass 코어 소프트웨어를 구성하려면 단계에 따라 HSM의 프라이빗 키에서 인증서를 생성합니다. 그렇지 않으면 단계에 따라 AWS IoT 서비스에서 인증서와 프라이빗 키를 생성합니다. 하드웨어 보안 기능은 Linux 디바이스에서만 사용할 수 있습니다. 하드웨어 보안 및 이를 사용하는 데 필요한 요구 사항에 대한 자세한 내용은 [하드웨어 보안 통합](hardware-security.md) 섹션을 참조하세요.
#### AWS IoT 서비스에서 인증서 및 프라이빗 키 생성
**사물 인증서를 생성하려면**
1. AWS IoT 사물에 대한 인증서를 다운로드할 폴더를 생성합니다.
```
mkdir greengrass-v2-certs
```
1. AWS IoT 사물에 대한 인증서를 생성하고 다운로드합니다.
```
aws iot create-keys-and-certificate --set-as-active --certificate-pem-outfile greengrass-v2-certs/device.pem.crt --public-key-outfile greengrass-v2-certs/public.pem.key --private-key-outfile greengrass-v2-certs/private.pem.key
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
"certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
"certificatePem": "-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w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-----END CERTIFICATE-----",
"keyPair": {
"PublicKey": "-----BEGIN PUBLIC KEY-----\
MIIBIjANBgkqhkEXAMPLEQEFAAOCAQ8AMIIBCgKCAQEAEXAMPLE1nnyJwKSMHw4h\
MMEXAMPLEuuN/dMAS3fyce8DW/4+EXAMPLEyjmoF/YVF/gHr99VEEXAMPLE5VF13\
59VK7cEXAMPLE67GK+y+jikqXOgHh/xJTwo+sGpWEXAMPLEDz18xOd2ka4tCzuWEXAMPLEahJbYkCPUBSU8opVkR7qkEXAMPLE1DR6sx2HocliOOLtu6Fkw91swQWEXAMPLE\\GB3ZPrNh0PzQYvjUStZeccyNCx2EXAMPLEvp9mQOUXP6plfgxwKRX2fEXAMPLEDa\
hJLXkX3rHU2xbxJSq7D+XEXAMPLEcw+LyFhI5mgFRl88eGdsAEXAMPLElnI9EesG\
FQIDAQAB\
-----END PUBLIC KEY-----\
",
"PrivateKey": "-----BEGIN RSA PRIVATE KEY-----\
key omitted for security reasons\
-----END RSA PRIVATE KEY-----\
"
}
}
```
이후 인증서 구성에 사용할 인증서의 Amazon 리소스 이름(ARN)을 저장합니다.
#### HSM의 프라이빗 키에서 인증서 생성
**참고**
이 기능은 [Greengrass nucleus 구성 요소의](greengrass-nucleus-component.md) v2.5.3 이상에서 사용할 수 있습니다. AWS IoT Greengrass 는 현재 Windows 코어 디바이스에서이 기능을 지원하지 않습니다.
**사물 인증서를 생성하려면**
1. 코어 디바이스에서 HSM의 PKCS\$111 토큰을 초기화하고, 프라이빗 키를 생성합니다. 프라이빗 키는 RSA-2048 키 크기(또는 그 이상)의 RSA 키나 ECC 키여야 합니다.
**참고**
ECC 키와 함께 하드웨어 보안 모듈을 사용하려면 [Greengrass nucleus](greengrass-nucleus-component.md) v2.5.6 이상을 사용해야 합니다.
하드웨어 보안 모듈 및 [보안 암호 관리자](secret-manager-component.md)를 사용하려면 RSA 키가 있는 하드웨어 보안 모듈을 사용해야 합니다.
HSM의 설명서를 확인하여 토큰을 초기화하고 프라이빗 키를 생성하는 방법을 알아봅니다. HSM이 객체 ID를 지원하는 경우 프라이빗 키를 생성할 때 객체 ID를 지정합니다. 토큰을 초기화하고 프라이빗 키를 생성할 때 지정한 슬롯 ID, 사용자 PIN, 객체 레이블, 객체 ID(HSM에서 이를 사용하는 경우)를 저장합니다. 나중에 사물 인증서를 HSM으로 가져오고 AWS IoT Greengrass 코어 소프트웨어를 구성할 때 이러한 값을 사용합니다.
1. 프라이빗 키에서 CSR(인증서 서명 요청)을 생성합니다. AWS IoT 는 이 CSR을 사용하여 HSM에서 생성한 프라이빗 키의 사물 인증서를 생성합니다. 프라이빗 키에서 CSR을 생성하는 방법에 대한 자세한 내용은 HSM 설명서를 참조하세요. CSR은 `iotdevicekey.csr`과 같은 파일입니다.
1. 디바이스에서 개발 컴퓨터로 CSR을 복사합니다. 개발 컴퓨터와 디바이스에서 SSH 및 SCP가 활성화된 경우 개발 컴퓨터에서 `scp` 명령을 사용하여 CSR을 전송할 수 있습니다. *device-ip-address*를 디바이스의 IP 주소로 바꾸고, *\$1/iotdevicekey.csr*을 디바이스의 CSR 파일 경로로 바꿉니다.
```
scp device-ip-address:~/iotdevicekey.csr iotdevicekey.csr
```
1. 개발 컴퓨터에서 AWS IoT 사물에 대한 인증서를 다운로드할 폴더를 생성합니다.
```
mkdir greengrass-v2-certs
```
1. CSR 파일을 사용하여 개발 컴퓨터에 AWS IoT 사물에 대한 인증서를 생성 및 다운로드합니다.
```
aws iot create-certificate-from-csr --set-as-active --certificate-signing-request=file://iotdevicekey.csr --certificate-pem-outfile greengrass-v2-certs/device.pem.crt
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"certificateArn": "arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
"certificateId": "aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4",
"certificatePem": "-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w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-----END CERTIFICATE-----"
}
```
이후 인증서 구성에 사용할 인증서의 ARN을 저장합니다.
그런 다음 사물 인증서를 구성합니다. 자세한 내용은 [사물 인증서 구성](manual-installation.md#configure-thing-certificate) 단원을 참조하십시오.
### 토큰 교환 역할 생성
Greengrass 코어 디바이스는 *토큰 교환* 역할이라는 IAM 서비스 역할을 사용하여 AWS 서비스에 대한 호출을 승인합니다. 디바이스는 자격 AWS IoT 증명 공급자를 사용하여이 역할에 대한 임시 AWS 자격 증명을 가져오므로 디바이스가 상호 작용하고 AWS IoT, Amazon CloudWatch Logs로 로그를 전송하고, Amazon S3에서 사용자 지정 구성 요소 아티팩트를 다운로드할 수 있습니다. 자세한 내용은 [코어 디바이스가 AWS 서비스와 상호 작용할 수 있도록 권한 부여](device-service-role.md) 단원을 참조하십시오.
AWS IoT *Anrole 별칭을* 사용하여 Greengrass 코어 디바이스에 대한 토큰 교환 역할을 구성합니다. 역할 별칭을 사용하면 디바이스의 토큰 교환 역할을 변경할 수 있지만 디바이스 구성은 동일하게 유지할 수 있습니다. 자세한 내용은 *AWS IoT Core 개발자 안내서*의 [AWS 서비스 직접 호출에 대한 권한 부여](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)를 참조하세요.
이 섹션에서는 토큰 교환 IAM 역할과 AWS IoT 역할을 가리키는 역할 별칭을 생성합니다. 이미 Greengrass 코어 디바이스를 설정한 경우 새 디바이스를 생성하는 대신 토큰 교환 역할 및 역할 별칭을 사용할 수 있습니다. 그런 다음 해당 역할과 별칭을 사용하도록 디바이스의 AWS IoT 사물을 구성합니다.
**토큰 교환 IAM 역할을 생성하려면**
1. 디바이스가 토큰 교환 역할로 사용할 수 있는 IAM 역할을 생성합니다. 해결 방법:
1. 토큰 교환 역할에 필요한 신뢰 정책 문서가 포함된 파일을 생성합니다.
예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.
```
nano device-role-trust-policy.json
```
다음 JSON을 파일로 복사합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "credentials.iot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. 신뢰 정책 문서를 사용하여 토큰 교환 역할을 생성합니다.
+ *GreengrassV2TokenExchangeRole*을 생성할 IAM 역할의 이름으로 바꿉니다.
```
aws iam create-role --role-name GreengrassV2TokenExchangeRole --assume-role-policy-document file://device-role-trust-policy.json
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"Role": {
"Path": "/",
"RoleName": "GreengrassV2TokenExchangeRole",
"RoleId": "AROAZ2YMUHYHK5OKM77FB",
"Arn": "arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"CreateDate": "2021-02-06T00:13:29+00:00",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "credentials.iot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
}
```
1. 토큰 교환 역할에 필요한 액세스 정책 문서가 포함된 파일을 생성합니다.
예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.
```
nano device-role-access-policy.json
```
다음 JSON을 파일로 복사합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
**참고**
이 액세스 정책은 S3 버킷의 구성 요소 아티팩트에 대한 액세스를 허용하지 않습니다. Amazon S3에서 아티팩트를 정의하는 사용자 지정 구성 요소를 배포하려면 코어 디바이스가 구성 요소 아티팩트를 검색할 수 있도록 역할에 권한을 추가해야 합니다. 자세한 내용은 [구성 요소 아티팩트에 대한 S3 버킷 액세스 허용](device-service-role.md#device-service-role-access-s3-bucket) 단원을 참조하십시오.
구성 요소 아티팩트에 대한 S3 버킷이 아직 없는 경우 버킷을 생성한 후 권한을 추가할 수 있습니다.
1. 정책 문서에서 IAM 정책을 생성합니다.
+ *GreengrassV2TokenExchangeRoleAccess*를 생성할 IAM 정책의 이름으로 바꿉니다.
```
aws iam create-policy --policy-name GreengrassV2TokenExchangeRoleAccess --policy-document file://device-role-access-policy.json
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"Policy": {
"PolicyName": "GreengrassV2TokenExchangeRoleAccess",
"PolicyId": "ANPAZ2YMUHYHACI7C5Z66",
"Arn": "arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2021-02-06T00:37:17+00:00",
"UpdateDate": "2021-02-06T00:37:17+00:00"
}
}
```
1. IAM 정책을 토큰 교환 역할에 연결합니다.
+ *GreengrassV2TokenExchangeRole*을 IAM 역할의 이름으로 바꿉니다.
+ 정책 ARN을 이전 단계에서 생성한 IAM 정책의 ARN으로 변경합니다.
```
aws iam attach-role-policy --role-name GreengrassV2TokenExchangeRole --policy-arn arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess
```
요청에 성공하는 경우 명령에 출력이 없습니다.
1. 토큰 교환 AWS IoT 역할을 가리키는 역할 별칭을 생성합니다.
+ *GreengrassCoreTokenExchangeRoleAlias*를 생성할 역할 별칭의 이름으로 바꿉니다.
+ 역할 ARN을 이전 단계에서 생성한 IAM 역할의 ARN으로 변경합니다.
```
aws iot create-role-alias --role-alias GreengrassCoreTokenExchangeRoleAlias --role-arn arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"roleAlias": "GreengrassCoreTokenExchangeRoleAlias",
"roleAliasArn": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
}
```
**참고**
역할 별칭을 생성하려면 토큰 교환 IAM 역할을 AWS IoT에 전달할 권한이 있어야 합니다. 역할 별칭을 생성하려고 할 때 오류 메시지가 표시되면 AWS 사용자에게이 권한이 있는지 확인합니다. 자세한 내용은 사용 *AWS Identity and Access Management 설명서*의 [AWS 서비스에 역할을 전달할 수 있는 사용자 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)를 참조하세요.
1. Greengrass 코어 디바이스가 역할 별칭을 사용하여 토큰 교환 역할을 수임하도록 허용하는 AWS IoT 정책을 생성하고 연결합니다. 이전에 Greengrass 코어 디바이스를 설정한 경우 새 디바이스를 생성하는 대신 역할 별칭 AWS IoT 정책을 연결할 수 있습니다. 해결 방법:
1. (선택 사항) 역할 별칭에 필요한 AWS IoT 정책 문서가 포함된 파일을 생성합니다.
예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.
```
nano greengrass-v2-iot-role-alias-policy.json
```
다음 JSON을 파일로 복사합니다.
+ 리소스 ARN을 역할 별칭의 ARN으로 바꿉니다.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iot:AssumeRoleWithCertificate",
"Resource": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
}
]
}
```
1. AWS IoT 정책 문서에서 정책을 생성합니다.
+ *GreengrassCoreTokenExchangeRoleAliasPolicy*를 생성할 AWS IoT 정책의 이름으로 바꿉니다.
```
aws iot create-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --policy-document file://greengrass-v2-iot-role-alias-policy.json
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"policyName": "GreengrassCoreTokenExchangeRoleAliasPolicy",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassCoreTokenExchangeRoleAliasPolicy",
"policyDocument": "{
\\"Version\\":\\"2012-10-17 \\",
\\"Statement\\": [
{
\\"Effect\\": \\"Allow\\",
\\"Action\\": \\"iot:AssumeRoleWithCertificate\\",
\\"Resource\\": \\"arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias\\"
}
]
}",
"policyVersionId": "1"
}
```
1. AWS IoT 사물의 인증서에 AWS IoT 정책을 연결합니다.
+ *GreengrassCoreTokenExchangeRoleAliasPolicy*를 역할 별칭 AWS IoT 정책의 이름으로 바꿉니다.
+ 대상 ARN을 AWS IoT 사물 인증서의 ARN으로 바꿉니다.
```
aws iot attach-policy --policy-name GreengrassCoreTokenExchangeRoleAliasPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4
```
요청에 성공하는 경우 명령에 출력이 없습니다.
### 디바이스에 인증서 다운로드
앞서 디바이스의 인증서를 개발 컴퓨터에 다운로드했습니다. 이 섹션에서는 인증서를 코어 디바이스에 복사하여 AWS IoT에 연결하는 데 사용하는 인증서로 디바이스를 설정합니다. Amazon 루트 CA(인증 기관) 인증서도 다운로드합니다. HSM을 사용하는 경우 이 섹션의 HSM으로 인증서 파일도 가져옵니다.
+ 이전에 AWS IoT 서비스에서 사물 인증서와 프라이빗 키를 생성한 경우 단계에 따라 프라이빗 키와 인증서 파일이 있는 인증서를 다운로드합니다.
+ 먼저 HSM(하드웨어 보안 모듈)의 프라이빗 키에서 사물 인증서를 생성한 경우 단계에 따라 프라이빗 키와 HSM의 인증서가 포함된 인증서를 다운로드합니다.
#### 프라이빗 키 및 인증서 파일이 포함된 인증서 다운로드
**디바이스에 인증서를 다운로드하려면**
1. 개발 컴퓨터에서 디바이스로 AWS IoT 사물 인증서를 복사합니다. 개발 컴퓨터와 디바이스에서 SSH 및 SCP가 활성화된 경우 개발 컴퓨터에서 `scp` 명령을 사용하여 인증서를 전송할 수 있습니다. *device-ip-address*를 디바이스의 IP 주소로 바꿉니다.
```
scp -r greengrass-v2-certs/ device-ip-address:~
```
1. 디바이스에 Greengrass 루트 폴더를 생성합니다. 나중에이 폴더에 AWS IoT Greengrass 코어 소프트웨어를 설치합니다.
**참고**
Windows의 경우 260자의 경로 길이 제한이 있습니다. Windows를 사용하는 경우 루트 폴더(예: `C:\greengrass\v2` 또는 `D:\greengrass\v2`)를 사용하여 Greengrass 구성 요소 경로를 260자 제한 미만으로 유지합니다.
------
#### [ Linux or Unix ]
+ `/greengrass/v2`를 사용할 폴더로 바꿉니다.
```
sudo mkdir -p /greengrass/v2
```
------
#### [ Windows Command Prompt ]
+ *C:\$1greengrass\$1v2*를 사용할 폴더로 바꿉니다.
```
mkdir C:\greengrass\v2
```
------
#### [ PowerShell ]
+ *C:\$1greengrass\$1v2*를 사용할 폴더로 바꿉니다.
```
mkdir C:\greengrass\v2
```
------
1. (Linux만 해당) Greengrass 루트 폴더의 상위 권한을 설정합니다.
+ */greengrass*를 루트 폴더의 상위로 바꿉니다.
```
sudo chmod 755 /greengrass
```
1. AWS IoT 사물 인증서를 Greengrass 루트 폴더에 복사합니다.
------
#### [ Linux or Unix ]
+ `/greengrass/v2`를 Greengrass 루트 폴더로 바꿉니다.
```
sudo cp -R ~/greengrass-v2-certs/* /greengrass/v2
```
------
#### [ Windows Command Prompt ]
+ *C:\$1greengrass\$1v2*를 사용할 폴더로 바꿉니다.
```
robocopy %USERPROFILE%\greengrass-v2-certs C:\greengrass\v2 /E
```
------
#### [ PowerShell ]
+ *C:\$1greengrass\$1v2*를 사용할 폴더로 바꿉니다.
```
cp -Path ~\greengrass-v2-certs\* -Destination C:\greengrass\v2
```
------
1. Amazon 루트 CA(인증 기관) 인증서를 다운로드합니다. AWS IoT 인증서는 기본적으로 Amazon의 루트 CA 인증서와 연결됩니다. CA1 인증서와 [CA3 인증서](https://www.amazontrust.com/repository/)를 다운로드합니다.
------
#### [ Linux or Unix ]
+ `/greengrass/v2` 또는 *C:\$1greengrass\$1v2*를 Greengrass 루트 폴더로 바꿉니다.
```
sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
------
#### [ PowerShell ]
```
iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
```
------
#### HSM에서 프라이빗 키 및 인증서 파일이 포함된 인증서 다운로드
**참고**
이 기능은 [Greengrass nucleus 구성 요소의](greengrass-nucleus-component.md) v2.5.3 이상에서 사용할 수 있습니다. AWS IoT Greengrass 는 현재 Windows 코어 디바이스에서이 기능을 지원하지 않습니다.
**디바이스에 인증서를 다운로드하려면**
1. 개발 컴퓨터에서 디바이스로 AWS IoT 사물 인증서를 복사합니다. 개발 컴퓨터와 디바이스에서 SSH 및 SCP가 활성화된 경우 개발 컴퓨터에서 `scp` 명령을 사용하여 인증서를 전송할 수 있습니다. *device-ip-address*를 디바이스의 IP 주소로 바꿉니다.
```
scp -r greengrass-v2-certs/ device-ip-address:~
```
1. 디바이스에 Greengrass 루트 폴더를 생성합니다. 나중에이 폴더에 AWS IoT Greengrass 코어 소프트웨어를 설치합니다.
**참고**
Windows의 경우 260자의 경로 길이 제한이 있습니다. Windows를 사용하는 경우 루트 폴더(예: `C:\greengrass\v2` 또는 `D:\greengrass\v2`)를 사용하여 Greengrass 구성 요소 경로를 260자 제한 미만으로 유지합니다.
------
#### [ Linux or Unix ]
+ `/greengrass/v2`를 사용할 폴더로 바꿉니다.
```
sudo mkdir -p /greengrass/v2
```
------
#### [ Windows Command Prompt ]
+ *C:\$1greengrass\$1v2*를 사용할 폴더로 바꿉니다.
```
mkdir C:\greengrass\v2
```
------
#### [ PowerShell ]
+ *C:\$1greengrass\$1v2*를 사용할 폴더로 바꿉니다.
```
mkdir C:\greengrass\v2
```
------
1. (Linux만 해당) Greengrass 루트 폴더의 상위 권한을 설정합니다.
+ */greengrass*를 루트 폴더의 상위로 바꿉니다.
```
sudo chmod 755 /greengrass
```
1. 사물 인증서 파일인 `~/greengrass-v2-certs/device.pem.crt`를 HSM으로 가져옵니다. 인증서를 가져오는 방법을 알아보려면 HSM 설명서를 확인하세요. 이전에 HSM에서 프라이빗 키를 생성한 것과 동일한 토큰, 슬롯 ID, 사용자 PIN, 객체 레이블 및 객체 ID(HSM에서 사용하는 경우)를 사용하여 인증서를 가져옵니다.
**참고**
앞서 객체 ID 없이 프라이빗 키를 생성했고, 인증서에 객체 ID가 있는 경우 프라이빗 키의 객체 ID를 인증서와 동일한 값으로 설정합니다. 프라이빗 키 객체의 객체 ID를 설정하는 방법을 알아보려면 HSM의 설명서를 확인하세요.
1. (선택 사항) HSM에만 존재하도록 사물 인증서 파일을 삭제합니다.
```
rm ~/greengrass-v2-certs/device.pem.crt
```
1. Amazon 루트 CA(인증 기관) 인증서를 다운로드합니다. AWS IoT 인증서는 기본적으로 Amazon의 루트 CA 인증서와 연결됩니다. CA1 및 [CA3 인증서](https://www.amazontrust.com/repository/)를 모두 다운로드합니다.
------
#### [ Linux or Unix ]
+ `/greengrass/v2` 또는 *C:\$1greengrass\$1v2*를 Greengrass 루트 폴더로 바꿉니다.
```
sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
------
#### [ PowerShell ]
```
iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
```
------
### 디바이스 환경 설정
이 섹션의 단계에 따라 AWS IoT Greengrass 코어 디바이스로 사용할 Linux 또는 Windows 디바이스를 설정합니다.
#### Linux 디바이스 설정
**용 Linux 디바이스를 설정하려면 AWS IoT Greengrass V2**
1. AWS IoT Greengrass 코어 소프트웨어가 실행해야 하는 Java 런타임을 설치합니다. [Amazon Corretto](https://aws.amazon.com/corretto/) 또는 [OpenJDK](https://openjdk.java.net/) 장기 지원 버전을 사용하는 것이 좋습니다. 버전 8 이상이 필요합니다. 다음 명령은 디바이스에 OpenJDK를 설치하는 방법을 보여줍니다.
+ Debian 기반 또는 Ubuntu 기반 배포판의 경우:
```
sudo apt install default-jdk
```
+ Red Hat 기반 배포판의 경우:
```
sudo yum install java-11-openjdk-devel
```
+ 대상 Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
+ Amazon Linux 2023의 경우:
```
sudo dnf install java-11-amazon-corretto -y
```
설치가 완료되면 다음 명령을 실행하여 Linux 디바이스에서 Java가 실행되는지 확인합니다.
```
java -version
```
디바이스에서 실행되는 Java 버전이 명령을 통해 인쇄됩니다. 예를 들어 Debian 기반 배포의 경우 출력이 다음 샘플과 유사할 수 있습니다.
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
1. (선택 사항) 디바이스에서 구성 요소를 실행하는 기본 시스템 사용자와 그룹을 생성합니다. 설치 관리자 인수를 사용하여 설치하는 동안 AWS IoT Greengrass 코어 소프트웨어 `--component-default-user` 설치 관리자가이 사용자와 그룹을 생성하도록 선택할 수도 있습니다. 자세한 내용은 [설치 프로그램 인수](configure-installer.md) 단원을 참조하십시오.
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
1. AWS IoT Greengrass 코어 소프트웨어(일반적으로 `root`)를 실행하는 사용자에게 모든 사용자 및 모든 그룹에서를 실행할 수 `sudo` 있는 권한이 있는지 확인합니다.
1. 다음 명령을 실행하여 `/etc/sudoers` 파일을 엽니다.
```
sudo visudo
```
1. 사용자에 대한 권한이 다음 예제와 같은지 확인합니다.
```
root ALL=(ALL:ALL) ALL
```
1. (선택 사항) [컨테이너화된 Lambda 함수를 실행](run-lambda-functions.md)하려면 [cgroups](https://en.wikipedia.org/wiki/Cgroups) v1을 활성화하고 *memory* 및 *devices* cgroups를 활성화하고 탑재해야 합니다. 컨테이너화된 Lambda 함수를 실행할 계획이 없는 경우 이 단계를 건너뛸 수 있습니다.
이러한 cgroups 옵션을 활성화하려면 다음 Linux 커널 파라미터로 디바이스를 부팅합니다.
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
디바이스의 커널 파라미터를 보고 설정하는 방법에 대한 자세한 내용은 운영 체제 및 부트 로더 설명서를 참조하세요. 지침에 따라 커널 파라미터를 영구적으로 설정합니다.
1. [디바이스 요구 사항](greengrass-nucleus-component.md#greengrass-v2-requirements)의 요구 사항 목록에 따라 디바이스에 기타 모든 필수 종속성을 설치합니다.
#### Windows 디바이스 설정
**참고**
이 기능은 [Greengrass nucleus 구성 요소](greengrass-nucleus-component.md)의 v2.5.0 이상에서 사용할 수 있습니다.
**용 Windows 디바이스를 설정하려면 AWS IoT Greengrass V2**
1. AWS IoT Greengrass 코어 소프트웨어가 실행해야 하는 Java 런타임을 설치합니다. [Amazon Corretto](https://aws.amazon.com/corretto/) 또는 [OpenJDK](https://openjdk.java.net/) 장기 지원 버전을 사용하는 것이 좋습니다. 버전 8 이상이 필요합니다.
1. [PATH](https://en.wikipedia.org/wiki/PATH_(variable)) 시스템 변수에서 Java를 사용할 수 있는지 확인하고 사용할 수 없는 경우 추가합니다. LocalSystem 계정은 AWS IoT Greengrass 코어 소프트웨어를 실행하므로 사용자의 PATH 사용자 변수 대신 PATH 시스템 변수에 Java를 추가해야 합니다. 해결 방법:
1. Windows 키를 눌러 시작 메뉴를 엽니다.
1. 시작 메뉴에서 **environment variables**를 입력하여 시스템 옵션을 검색합니다.
1. 시작 메뉴 검색 결과에서 **시스템 환경 변수 편집**을 선택하여 **시스템 속성** 창을 엽니다.
1. **환경 변수...**를 선택하여 **환경 변수** 창을 엽니다.
1. **시스템 변수**에서 **경로**를 선택하고 **편집**을 선택합니다. **환경 변수 편집** 창에서 각 경로를 별도의 줄로 볼 수 있습니다.
1. Java 설치 `bin` 폴더의 경로가 있는지 확인합니다. 경로는 다음 예제와 유사할 수 있습니다.
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
1. **경로**에서 Java 설치 `bin` 폴더가 누락된 경우 **새로 만들기**를 선택하여 추가한 다음 **확인**을 선택합니다.
1. 관리자 권한으로 Windows 명령 프롬프트(`cmd.exe`)를 엽니다.
1. Windows 디바이스의 LocalSystem 계정에 기본 사용자를 생성합니다. *암호*를 안전한 암호로 바꿉니다.
```
net user /add ggc_user password
```
**작은 정보**
Windows 구성에 따라 사용자의 암호가 미래의 날짜에 만료되도록 설정할 수 있습니다. Greengrass 애플리케이션이 계속 작동하도록 하려면 암호가 만료되는 시기를 추적하고 만료되기 전에 이를 업데이트합니다. 사용자의 암호가 만료되지 않도록 설정할 수도 있습니다.
사용자와 암호가 만료되는 시기를 확인하려면 다음 명령을 실행합니다.
```
net user ggc_user | findstr /C:expires
```
사용자의 암호가 만료되지 않도록 설정하려면 다음 명령을 실행합니다.
```
wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
```
[`wmic` 명령이 더는 사용되지 않는](https://learn.microsoft.com/en-us/windows/win32/wmisdk/wmic) Windows 10 이상을 사용하는 경우 다음 PowerShell 명령을 실행합니다.
```
Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
```
1. Microsoft에서 [PsExec 유틸리티](https://docs.microsoft.com/en-us/sysinternals/downloads/psexec)를 다운로드하여 디바이스에 설치합니다.
1. PsExec 유틸리티를 사용하여 기본 사용자의 사용자 이름과 암호를 LocalSystem 계정의 Credential Manager 인스턴스에 저장합니다. 이전에 설정한 사용자의 암호로 *암호*를 바꿉니다.
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
**PsExec License Agreement**가 열리면 **Accept**를 선택하여 라이선스에 동의하고 명령을 실행합니다.
**참고**
Windows 디바이스에서 LocalSystem 계정은 Greengrass nucleus를 실행하고 PsExec 유틸리티를 사용하여 기본 사용자 정보를 LocalSystem 계정에 저장해야 합니다. Credential Manager 애플리케이션을 사용하면 이 정보가 LocalSystem 계정 대신 현재 로그인한 사용자의 Windows 계정에 저장됩니다.
### AWS IoT Greengrass 코어 소프트웨어 다운로드
다음 위치에서 최신 버전의 AWS IoT Greengrass 코어 소프트웨어를 다운로드할 수 있습니다.
+ [https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip](https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip)
**참고**
다음 위치에서 특정 버전의 AWS IoT Greengrass 코어 소프트웨어를 다운로드할 수 있습니다. 다운로드할 버전으로 *version*을 바꿉니다.
```
https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
```
**AWS IoT Greengrass 코어 소프트웨어를 다운로드하려면**
1. 코어 디바이스에서 AWS IoT Greengrass 코어 소프트웨어를 라는 파일에 다운로드합니다`greengrass-nucleus-latest.zip`.
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
```
------
이 소프트웨어를 다운로드하면 [ Greengrass 코어 소프트웨어 라이선스 계약](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)에 동의하는 것입니다.
1. (선택 사항) Greengrass nucleus 소프트웨어 서명을 확인하려면
**참고**
이 기능은 Greengrass nucleus 버전 2.9.5 이상에서 사용할 수 있습니다.
1. 다음 명령을 사용하여 Greengrass nucleus 아티팩트의 서명을 확인합니다.
------
#### [ Linux or Unix ]
```
jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
파일 이름은 설치하는 JDK 버전에 따라 다르게 보일 수 있습니다. *`jdk17.0.6_10`*을 설치한 JDK 버전으로 바꿉니다.
```
"C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
파일 이름은 설치하는 JDK 버전에 따라 다르게 보일 수 있습니다. *`jdk17.0.6_10`*을 설치한 JDK 버전으로 바꿉니다.
```
'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
1. `jarsigner` 간접 호출 시 확인 결과를 나타내는 출력이 생성됩니다.
1. Greengrass nucleus zip 파일이 서명되면 출력에 다음 문이 포함됩니다.
```
jar verified.
```
1. Greengrass nucleus zip 파일이 서명되지 않으면 출력에 다음 문이 포함됩니다.
```
jar is unsigned.
```
1. `-verify` 및 `-certs` 옵션과 함께 Jarsigner `-verbose` 옵션을 제공한 경우 출력에는 자세한 서명자 인증서 정보도 포함됩니다.
1. 디바이스의 폴더에 AWS IoT Greengrass 코어 소프트웨어의 압축을 풉니다. *GreengrassInstaller*를 사용하려는 폴더로 바꿉니다.
------
#### [ Linux or Unix ]
```
unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
```
------
1. (선택 사항) 다음 명령을 실행하여 AWS IoT Greengrass 코어 소프트웨어의 버전을 확인합니다.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
**중요**
v2.4.0 이전 버전의 Greengrass nucleus를 설치하는 경우 AWS IoT Greengrass 코어 소프트웨어를 설치한 후에는이 폴더를 제거하지 마십시오. AWS IoT Greengrass 코어 소프트웨어는이 폴더의 파일을 사용하여 실행합니다.
최신 버전의 소프트웨어를 다운로드한 경우 v2.4.0 이상을 설치하고 AWS IoT Greengrass 코어 소프트웨어를 설치한 후이 폴더를 제거할 수 있습니다.
### AWS IoT Greengrass 코어 소프트웨어 설치
다음 작업을 지정하는 인수를 사용하여 설치 관리자를 실행합니다.
+ 이전에 생성한 AWS 리소스와 인증서를 사용하도록 지정하는 부분 구성 파일에서 설치합니다. AWS IoT Greengrass 코어 소프트웨어는 디바이스에 있는 모든 Greengrass 구성 요소의 구성을 지정하는 구성 파일을 사용합니다. 설치 관리자는 제공된 부분 구성 파일에서 전체 구성 파일을 생성합니다.
+ 코어 디바이스에서 소프트웨어 구성 요소를 실행하는 데 `ggc_user` 시스템 사용자가 사용되도록 지정합니다. Linux 디바이스에서 이 명령은 `ggc_group` 시스템 그룹을 사용하도록 지정하고 설치 관리자가 시스템 사용자와 그룹을 생성합니다.
+ AWS IoT Greengrass 코어 소프트웨어를 부팅 시 실행되는 시스템 서비스로 설정합니다. Linux 디바이스에서는 [Systemd](https://en.wikipedia.org/wiki/Systemd) init 시스템이 필요합니다.
**중요**
Windows 코어 디바이스에서는 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설정해야 합니다.
지정할 수 있는 인수에 대한 자세한 내용은 [설치 프로그램 인수](configure-installer.md) 섹션을 참조하세요.
**참고**
메모리가 제한된 디바이스 AWS IoT Greengrass 에서를 실행하는 경우 AWS IoT Greengrass 코어 소프트웨어에서 사용하는 메모리 양을 제어할 수 있습니다. 메모리 할당을 제어하기 위해 nucleus 구성 요소의 `jvmOptions` 구성 파라미터에서 JVM 힙 크기 옵션을 설정할 수 있습니다. 자세한 내용은 [JVM 옵션으로 메모리 할당 제어](configure-greengrass-core-v2.md#jvm-tuning) 단원을 참조하십시오.
+ 이전에 AWS IoT 서비스에서 사물 인증서와 프라이빗 키를 생성한 경우 단계에 따라 프라이빗 키와 인증서 파일이 있는 AWS IoT Greengrass 코어 소프트웨어를 설치합니다.
+ 이전에 하드웨어 보안 모듈(HSM)의 프라이빗 키에서 사물 인증서를 생성한 경우 단계에 따라 프라이빗 키와 인증서가 있는 AWS IoT Greengrass 코어 소프트웨어를 HSM에 설치합니다.
#### 프라이빗 키 및 인증서 파일을 사용하여 AWS IoT Greengrass 코어 소프트웨어 설치
**AWS IoT Greengrass 코어 소프트웨어를 설치하려면**
1. AWS IoT Greengrass 코어 소프트웨어의 버전을 확인합니다.
+ *GreengrassInstaller*를 소프트웨어가 포함된 폴더의 경로로 바꿉니다.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
1. 텍스트 편집기를 사용하여 `config.yaml` 구성 파일을 생성하고 설치 관리자에 제공합니다.
예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.
```
nano GreengrassInstaller/config.yaml
```
다음 YAML 내용을 파일에 복사합니다. 이 부분 구성 파일은 시스템 파라미터와 Greengrass nucleus 파라미터를 지정합니다.
```
---
system:
certificateFilePath: "/greengrass/v2/device.pem.crt"
privateKeyPath: "/greengrass/v2/private.pem.key"
rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
rootpath: "/greengrass/v2"
thingName: "MyGreengrassCore"
services:
aws.greengrass.Nucleus:
componentType: "NUCLEUS"
version: "2.16.1"
configuration:
awsRegion: "us-west-2"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
fipsMode: "true"
iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
greengrassDataPlaneEndpoint: "iotData"
iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
```
뒤이어 다음과 같이 하세요.
+ `/greengrass/v2`의 각 인스턴스를 Greengrass 루트 폴더로 바꿉니다.
+ *MyGreengrassCore*를 AWS IoT 사물 이름으로 바꿉니다.
+ *2.16.1*을 AWS IoT Greengrass 코어 소프트웨어 버전으로 바꿉니다.
+ *us-west-2*를 리소스를 생성한 AWS 리전 으로 바꿉니다.
+ *GreengrassCoreTokenExchangeRoleAlias*를 토큰 교환 역할 별칭의 이름으로 바꿉니다.
+ *iotDataEndpoint*를 AWS IoT 데이터 엔드포인트로 바꿉니다.
+ *iotCredEndpoint*를 자격 AWS IoT 증명 엔드포인트로 바꿉니다.
1. 설치 관리자를 실행하고, `--init-config`를 지정하여 구성 파일을 제공합니다.
+ `/greengrass/v2` 또는 *C:\$1greengrass\$1v2*를 Greengrass 루트 폴더로 바꿉니다.
+ *GreengrassInstaller*의 각 인스턴스를 설치 관리자를 압축 해제한 폴더로 바꿉니다.
------
#### [ Linux or Unix ]
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
-jar ./GreengrassInstaller/lib/Greengrass.jar \
--init-config ./GreengrassInstaller/config.yaml \
--component-default-user ggc_user:ggc_group \
--setup-system-service true
```
------
#### [ Windows Command Prompt (CMD) ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
-jar ./GreengrassInstaller/lib/Greengrass.jar ^
--init-config ./GreengrassInstaller/config.yaml ^
--component-default-user ggc_user ^
--setup-system-service true
```
------
#### [ PowerShell ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
-jar ./GreengrassInstaller/lib/Greengrass.jar `
--init-config ./GreengrassInstaller/config.yaml `
--component-default-user ggc_user `
--setup-system-service true
```
------
**중요**
Windows 코어 디바이스에서는 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설정`--setup-system-service true`하도록를 지정해야 합니다.
`--setup-system-service true`를 지정하면 설치 관리자는 소프트웨어를 시스템 서비스로 설정하고 실행한 경우 `Successfully set up Nucleus as a system service`를 출력합니다. 그렇지 않은 경우 소프트웨어가 성공적으로 설치되면 설치 관리자에서 메시지가 출력되지 않습니다.
**참고**
`--provision true` 인수 없이 설치 관리자를 실행할 때는 `deploy-dev-tools` 인수를 사용하여 로컬 개발 도구를 배포할 수 없습니다. Greengrass CLI를 디바이스에 직접 배포하는 방법에 대한 자세한 내용은 [Greengrass 명령줄 인터페이스](gg-cli.md) 섹션을 참조하세요.
1. 루트 폴더의 파일을 확인하여 설치를 확인합니다.
------
#### [ Linux or Unix ]
```
ls /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
dir C:\greengrass\v2
```
------
#### [ PowerShell ]
```
ls C:\greengrass\v2
```
------
설치에 성공하면 루트 폴더에 `config`, `packages` 및 `logs`와 같은 여러 폴더가 포함됩니다.
#### HSM에서 프라이빗 키와 인증서를 사용하여 AWS IoT Greengrass 코어 소프트웨어 설치
**참고**
이 기능은 [Greengrass nucleus 구성 요소의](greengrass-nucleus-component.md) v2.5.3 이상에서 사용할 수 있습니다. AWS IoT Greengrass 는 현재 Windows 코어 디바이스에서이 기능을 지원하지 않습니다.
**AWS IoT Greengrass 코어 소프트웨어를 설치하려면**
1. AWS IoT Greengrass 코어 소프트웨어의 버전을 확인합니다.
+ *GreengrassInstaller*를 소프트웨어가 포함된 폴더의 경로로 바꿉니다.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
1. AWS IoT Greengrass 코어 소프트웨어가 HSM에서 프라이빗 키와 인증서를 사용하도록 하려면 AWS IoT Greengrass 코어 소프트웨어를 설치할 때 [PKCS\$111 공급자 구성 요소를](pkcs11-provider-component.md) 설치합니다. PKCS\$111 공급자 구성 요소는 설치 도중 구성할 수 있는 플러그인입니다. 다음 위치에서 PKCS\$111 공급자 구성 요소의 최신 버전을 다운로드할 수 있습니다.
+ [https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar](https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar)
PKCS\$111 공급자 플러그인을 `aws.greengrass.crypto.Pkcs11Provider.jar`이라는 파일에 다운로드합니다. *GreengrassInstaller*를 사용하려는 폴더로 바꿉니다.
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar > GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar
```
이 소프트웨어를 다운로드하면 [ Greengrass 코어 소프트웨어 라이선스 계약](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)에 동의하는 것입니다.
1. 텍스트 편집기를 사용하여 `config.yaml` 구성 파일을 생성하고 설치 관리자에 제공합니다.
예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.
```
nano GreengrassInstaller/config.yaml
```
다음 YAML 내용을 파일에 복사합니다. 이 부분 구성 파일은 시스템 파라미터, Greengrass nucleus 파라미터 및 PKCS\$111 공급자 파라미터를 지정합니다.
```
---
system:
certificateFilePath: "/greengrass/v2/device.pem.crt"
privateKeyPath: "/greengrass/v2/private.pem.key"
rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
rootpath: "/greengrass/v2"
thingName: "MyGreengrassCore"
services:
aws.greengrass.Nucleus:
componentType: "NUCLEUS"
version: "2.16.1"
configuration:
awsRegion: "us-west-2"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
fipsMode: "true"
iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
greengrassDataPlaneEndpoint: "iotData"
iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
```
뒤이어 다음과 같이 하세요.
+ PKCS\$111 URI의 각 *iotdevicekey* 인스턴스를 프라이빗 키를 생성하고 인증서를 가져온 객체 레이블로 바꿉니다.
+ `/greengrass/v2`의 각 인스턴스를 Greengrass 루트 폴더로 바꿉니다.
+ *MyGreengrassCore*를 AWS IoT 사물 이름으로 바꿉니다.
+ *2.16.1*을 AWS IoT Greengrass 코어 소프트웨어 버전으로 바꿉니다.
+ *us-west-2*를 리소스를 생성한 AWS 리전 으로 바꿉니다.
+ *GreengrassCoreTokenExchangeRoleAlias*를 토큰 교환 역할 별칭의 이름으로 바꿉니다.
+ 를 AWS IoT 데이터 엔드포인트`iotDataEndpoint`로 바꿉니다.
+ `iotCredEndpoint`를 AWS IoT 자격 증명 엔드포인트로 바꿉니다.
+ `aws.greengrass.crypto.Pkcs11Provider` 구성 요소의 구성 파라미터를 코어 디바이스의 HSM 구성 값으로 바꿉니다.
1. 설치 관리자를 실행하고, `--init-config`를 지정하여 구성 파일을 제공합니다.
+ `/greengrass/v2`를 Greengrass 루트 폴더로 바꿉니다.
+ *GreengrassInstaller*의 각 인스턴스를 설치 관리자를 압축 해제한 폴더로 바꿉니다.
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
-jar ./GreengrassInstaller/lib/Greengrass.jar \
--trusted-plugin ./GreengrassInstaller/aws.greengrass.crypto.Pkcs11Provider.jar \
--init-config ./GreengrassInstaller/config.yaml \
--component-default-user ggc_user:ggc_group \
--setup-system-service true
```
**중요**
Windows 코어 디바이스에서는 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설정`--setup-system-service true`하도록를 지정해야 합니다.
`--setup-system-service true`를 지정하면 설치 관리자는 소프트웨어를 시스템 서비스로 설정하고 실행한 경우 `Successfully set up Nucleus as a system service`를 출력합니다. 그렇지 않은 경우 소프트웨어가 성공적으로 설치되면 설치 관리자에서 메시지가 출력되지 않습니다.
**참고**
`--provision true` 인수 없이 설치 관리자를 실행할 때는 `deploy-dev-tools` 인수를 사용하여 로컬 개발 도구를 배포할 수 없습니다. Greengrass CLI를 디바이스에 직접 배포하는 방법에 대한 자세한 내용은 [Greengrass 명령줄 인터페이스](gg-cli.md) 섹션을 참조하세요.
1. 루트 폴더의 파일을 확인하여 설치를 확인합니다.
------
#### [ Linux or Unix ]
```
ls /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
dir C:\greengrass\v2
```
------
#### [ PowerShell ]
```
ls C:\greengrass\v2
```
------
설치에 성공하면 루트 폴더에 `config`, `packages` 및 `logs`와 같은 여러 폴더가 포함됩니다.
AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설치한 경우 설치 관리자가 소프트웨어를 실행합니다. 그렇지 않으면 소프트웨어를 수동으로 실행해야 합니다. 자세한 내용은 [AWS IoT Greengrass 코어 소프트웨어 실행](run-greengrass-core-v2.md) 단원을 참조하십시오.
소프트웨어를 구성하고 사용하는 방법에 대한 자세한 내용은 다음을 AWS IoT Greengrass참조하세요.
+ [AWS IoT Greengrass 코어 소프트웨어 구성](configure-greengrass-core-v2.md)
+ [AWS IoT Greengrass 구성 요소 개발](develop-greengrass-components.md)
+ [디바이스에 AWS IoT Greengrass 구성 요소 배포](manage-deployments.md)
+ [Greengrass 명령줄 인터페이스](gg-cli.md)
## 플릿 프로비저닝을 사용하여 FIPS 엔드포인트 설치
이 기능은 [Greengrass nucleus 구성 요소](greengrass-nucleus-component.md) v2.4.0 이상에서 사용할 수 있습니다.
AWS IoT Greengrass 코어 디바이스에 대한 AWS IoT 플릿 프로비저닝을 사용하여 코어 소프트웨어에 FIPS 엔드포인트를 설치합니다.
**참고**
플릿 프로비저닝 플러그인은 현재 HSM(하드웨어 보안 모듈)에 프라이빗 키 및 인증서 파일을 저장하는 것을 지원하지 않습니다. HSM을 사용하려면 [수동 프로비저닝으로 AWS IoT Greengrass 코어 소프트웨어를 설치합니다](#FIPS-fleet-provisioning).
AWS IoT 플릿 프로비저닝과 함께 AWS IoT Greengrass 코어 소프트웨어를 설치하려면가 Greengrass 코어 디바이스를 프로비저닝 AWS 계정 하는 데 AWS IoT 사용하는 리소스를에 설정해야 합니다. 이러한 리소스에는 프로비저닝 템플릿, 클레임 인증서 및 [토큰 교환 IAM 역할](device-service-role.md)이 포함됩니다. 이러한 리소스를 생성한 후 재사용하여 플릿에 여러 코어 디바이스를 프로비저닝할 수 있습니다. 자세한 내용은 [Greengrass 코어 디바이스에 대한 AWS IoT 플릿 프로비저닝 설정](fleet-provisioning-setup.md) 단원을 참조하십시오.
**중요**
AWS IoT Greengrass 코어 소프트웨어를 다운로드하기 전에 코어 디바이스가 AWS IoT Greengrass 코어 소프트웨어 v2.0을 설치하고 실행하기 위한 [요구 사항을](greengrass-nucleus-component.md#greengrass-v2-requirements) 충족하는지 확인합니다.
**Topics**
+ [사전 조건](#fleet-provisioning-prerequisites)
+ [AWS IoT 엔드포인트 검색](#retrieve-iot-endpoints)
+ [디바이스에 인증서 다운로드](#download-claim-certificates)
+ [디바이스 환경 설정](#set-up-device-environment-fleet-provisioning)
+ [AWS IoT Greengrass 코어 소프트웨어 다운로드](#download-greengrass-core-v2-fleet)
+ [AWS IoT 플릿 프로비저닝 플러그인 다운로드](#download-fleet-provisioning-plugin)
+ [AWS IoT Greengrass 코어 소프트웨어 설치](#run-greengrass-core-v2-installer-fleet-provisioning)
### 사전 조건
AWS IoT 플릿 프로비저닝과 함께 AWS IoT Greengrass 코어 소프트웨어를 설치하려면 먼저 [Greengrass 코어 디바이스에 대한 AWS IoT 플릿 프로비저닝을 설정해야](fleet-provisioning-setup.md) 합니다. 이 단계를 한 번 완료한 후 플릿 프로비저닝을 사용하여 원하는 수의 디바이스에 AWS IoT Greengrass 코어 소프트웨어를 설치할 수 있습니다.
### AWS IoT 엔드포인트 검색
에 대한 FIPS 엔드포인트를 가져 AWS 계정와 나중에 사용할 수 있도록 저장합니다. 디바이스에서는 이러한 엔드포인트를 사용하여 AWS IoT에 연결합니다. 해결 방법:
1. FIPS 데이터 [AWS IoT Core 데이터 플레인 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)에서 리전의 FIPS 데이터 엔드포인트를 가져옵니다. 의 FIPS 데이터 엔드포인트는 다음과 같아 AWS 계정 야 합니다. *data.iot-fips.us-west-2.amazonaws.com*
1. FIPS 데이터 [AWS IoT Core 데이터 플레인 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core-data-plane-endpoints)에서 리전의 FIPS 자격 증명 엔드포인트를 가져옵니다. 의 FIPS 자격 증명 엔드포인트는 다음과 같아 AWS 계정 야 합니다. *data.credentials.iot-fips.us-west-2.amazonaws.com*
### 디바이스에 인증서 다운로드
디바이스는 클레임 인증서와 프라이빗 키를 사용하여 AWS 리소스를 프로비저닝하고 X.509 디바이스 인증서를 획득하기 위한 요청을 인증합니다. 제조 중에 클레임 인증서와 프라이빗 키를 디바이스에 내장하거나 설치 중에 인증서와 키를 디바이스에 복사할 수 있습니다. 이 섹션에서는 클레임 인증서와 프라이빗 키를 디바이스에 복사합니다. 또한 Amazon 루트 CA(인증 기관) 인증서를 디바이스에 다운로드할 수도 있습니다.
**중요**
프로비저닝 클레임 프라이빗 키는 Greengrass 코어 디바이스 등 어디에서든 항상 보안 유지되어야 합니다. Amazon CloudWatch 지표 및 로그를 사용하여 디바이스 프로비저닝을 위한 클레임 인증서의 무단 사용과 같은 오용 징후를 모니터링하는 것이 좋습니다. 오용이 감지되면 프로비저닝 클레임 인증서를 디바이스 프로비저닝에 사용할 수 없도록 비활성화합니다. 자세한 내용은 *AWS IoT Core 개발자 안내서*의 [AWS IoT모니터링](https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html)를 참조하세요.
디바이스 수와에 자신을 등록하는 디바이스를 더 잘 관리할 수 있도록 AWS 계정플릿 프로비저닝 템플릿을 생성할 때 사전 프로비저닝 후크를 지정할 수 있습니다. 사전 프로비저닝 후크는 디바이스가 등록 중에 제공하는 템플릿 파라미터를 검증하는 AWS Lambda 함수입니다. 예를 들어 디바이스 ID를 데이터베이스와 비교하여 디바이스에 프로비저닝 권한이 있는지 확인하는 사전 프로비저닝 후크를 생성할 수 있습니다. 자세한 내용은 *AWS IoT Core 개발자 안내서*의 [사전 프로비저닝 후크](https://docs.aws.amazon.com/iot/latest/developerguide/pre-provisioning-hook.html)를 참조하세요.
**디바이스에 클레임 인증서 다운로드**
1. 클레임 인증서와 프라이빗 키를 디바이스에 복사합니다. 개발 컴퓨터와 디바이스에서 SSH 및 SCP가 활성화된 경우 개발 컴퓨터에서 `scp` 명령을 사용하여 클레임 인증서와 프라이빗 키를 전송할 수 있습니다. 다음 예제 명령은 개발 컴퓨터의 `claim-certs` 폴더에서 이러한 파일을 디바이스로 전송합니다. *device-ip-address*를 디바이스의 IP 주소로 바꿉니다.
```
scp -r claim-certs/ device-ip-address:~
```
1. 디바이스에 Greengrass 루트 폴더를 생성합니다. 나중에이 폴더에 AWS IoT Greengrass 코어 소프트웨어를 설치합니다.
**참고**
Windows의 경우 260자의 경로 길이 제한이 있습니다. Windows를 사용하는 경우 루트 폴더(예: `C:\greengrass\v2` 또는 `D:\greengrass\v2`)를 사용하여 Greengrass 구성 요소 경로를 260자 제한 미만으로 유지합니다.
------
#### [ Linux or Unix ]
+ `/greengrass/v2`를 사용할 폴더로 바꿉니다.
```
sudo mkdir -p /greengrass/v2
```
------
#### [ Windows Command Prompt ]
+ *C:\$1greengrass\$1v2*를 사용할 폴더로 바꿉니다.
```
mkdir C:\greengrass\v2
```
------
#### [ PowerShell ]
+ *C:\$1greengrass\$1v2*를 사용할 폴더로 바꿉니다.
```
mkdir C:\greengrass\v2
```
------
1. (Linux만 해당) Greengrass 루트 폴더의 상위 권한을 설정합니다.
+ */greengrass*를 루트 폴더의 상위로 바꿉니다.
```
sudo chmod 755 /greengrass
```
1. 클레임 인증서를 Greengrass 루트 폴더로 옮깁니다.
+ `/greengrass/v2` 또는 *C:\$1greengrass\$1v2*를 Greengrass 루트 폴더로 바꿉니다.
------
#### [ Linux or Unix ]
```
sudo mv ~/claim-certs /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
move %USERPROFILE%\claim-certs C:\greengrass\v2
```
------
#### [ PowerShell ]
```
mv -Path ~\claim-certs -Destination C:\greengrass\v2
```
------
1. CA1 인증서와 [CA3 인증서](https://www.amazontrust.com/repository/)를 모두 다운로드합니다.
------
#### [ Linux or Unix ]
```
sudo curl -o - https://www.amazontrust.com/repository/AmazonRootCA3.pem >> /greengrass/v2/AmazonRootCA1.pem
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
------
#### [ PowerShell ]
```
iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
```
------
### 디바이스 환경 설정
이 섹션의 단계에 따라 AWS IoT Greengrass 코어 디바이스로 사용할 Linux 또는 Windows 디바이스를 설정합니다.
#### Linux 디바이스 설정
**용 Linux 디바이스를 설정하려면 AWS IoT Greengrass V2**
1. AWS IoT Greengrass 코어 소프트웨어가 실행해야 하는 Java 런타임을 설치합니다. [Amazon Corretto](https://aws.amazon.com/corretto/) 또는 [OpenJDK](https://openjdk.java.net/) 장기 지원 버전을 사용하는 것이 좋습니다. 버전 8 이상이 필요합니다. 다음 명령은 디바이스에 OpenJDK를 설치하는 방법을 보여줍니다.
+ Debian 기반 또는 Ubuntu 기반 배포판의 경우:
```
sudo apt install default-jdk
```
+ Red Hat 기반 배포판의 경우:
```
sudo yum install java-11-openjdk-devel
```
+ 대상 Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
+ Amazon Linux 2023의 경우:
```
sudo dnf install java-11-amazon-corretto -y
```
설치가 완료되면 다음 명령을 실행하여 Linux 디바이스에서 Java가 실행되는지 확인합니다.
```
java -version
```
디바이스에서 실행되는 Java 버전이 명령을 통해 인쇄됩니다. 예를 들어 Debian 기반 배포의 경우 출력이 다음 샘플과 유사할 수 있습니다.
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
1. (선택 사항) 디바이스에서 구성 요소를 실행하는 기본 시스템 사용자와 그룹을 생성합니다. 설치 관리자 인수를 사용하여 설치하는 동안 AWS IoT Greengrass 코어 소프트웨어 `--component-default-user` 설치 관리자가이 사용자와 그룹을 생성하도록 선택할 수도 있습니다. 자세한 내용은 [설치 프로그램 인수](configure-installer.md) 단원을 참조하십시오.
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
1. AWS IoT Greengrass 코어 소프트웨어(일반적으로 `root`)를 실행하는 사용자에게 모든 사용자 및 모든 그룹에서를 실행할 수 `sudo` 있는 권한이 있는지 확인합니다.
1. 다음 명령을 실행하여 `/etc/sudoers` 파일을 엽니다.
```
sudo visudo
```
1. 사용자에 대한 권한이 다음 예제와 같은지 확인합니다.
```
root ALL=(ALL:ALL) ALL
```
1. (선택 사항) [컨테이너화된 Lambda 함수를 실행](run-lambda-functions.md)하려면 [cgroups](https://en.wikipedia.org/wiki/Cgroups) v1을 활성화하고 *memory* 및 *devices* cgroups를 활성화하고 탑재해야 합니다. 컨테이너화된 Lambda 함수를 실행할 계획이 없는 경우 이 단계를 건너뛸 수 있습니다.
이러한 cgroups 옵션을 활성화하려면 다음 Linux 커널 파라미터로 디바이스를 부팅합니다.
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
디바이스의 커널 파라미터를 보고 설정하는 방법에 대한 자세한 내용은 운영 체제 및 부트 로더 설명서를 참조하세요. 지침에 따라 커널 파라미터를 영구적으로 설정합니다.
1. [디바이스 요구 사항](greengrass-nucleus-component.md#greengrass-v2-requirements)의 요구 사항 목록에 따라 디바이스에 기타 모든 필수 종속성을 설치합니다.
#### Windows 디바이스 설정
**참고**
이 기능은 [Greengrass nucleus 구성 요소](greengrass-nucleus-component.md)의 v2.5.0 이상에서 사용할 수 있습니다.
**용 Windows 디바이스를 설정하려면 AWS IoT Greengrass V2**
1. AWS IoT Greengrass 코어 소프트웨어가 실행해야 하는 Java 런타임을 설치합니다. [Amazon Corretto](https://aws.amazon.com/corretto/) 또는 [OpenJDK](https://openjdk.java.net/) 장기 지원 버전을 사용하는 것이 좋습니다. 버전 8 이상이 필요합니다.
1. [PATH](https://en.wikipedia.org/wiki/PATH_(variable)) 시스템 변수에서 Java를 사용할 수 있는지 확인하고 사용할 수 없는 경우 추가합니다. LocalSystem 계정은 AWS IoT Greengrass 코어 소프트웨어를 실행하므로 사용자의 PATH 사용자 변수 대신 PATH 시스템 변수에 Java를 추가해야 합니다. 해결 방법:
1. Windows 키를 눌러 시작 메뉴를 엽니다.
1. 시작 메뉴에서 **environment variables**를 입력하여 시스템 옵션을 검색합니다.
1. 시작 메뉴 검색 결과에서 **시스템 환경 변수 편집**을 선택하여 **시스템 속성** 창을 엽니다.
1. **환경 변수...**를 선택하여 **환경 변수** 창을 엽니다.
1. **시스템 변수**에서 **경로**를 선택하고 **편집**을 선택합니다. **환경 변수 편집** 창에서 각 경로를 별도의 줄로 볼 수 있습니다.
1. Java 설치 `bin` 폴더의 경로가 있는지 확인합니다. 경로는 다음 예제와 유사할 수 있습니다.
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
1. **경로**에서 Java 설치 `bin` 폴더가 누락된 경우 **새로 만들기**를 선택하여 추가한 다음 **확인**을 선택합니다.
1. 관리자 권한으로 Windows 명령 프롬프트(`cmd.exe`)를 엽니다.
1. Windows 디바이스의 LocalSystem 계정에 기본 사용자를 생성합니다. *암호*를 안전한 암호로 바꿉니다.
```
net user /add ggc_user password
```
**작은 정보**
Windows 구성에 따라 사용자의 암호가 미래의 날짜에 만료되도록 설정할 수 있습니다. Greengrass 애플리케이션이 계속 작동하도록 하려면 암호가 만료되는 시기를 추적하고 만료되기 전에 이를 업데이트합니다. 사용자의 암호가 만료되지 않도록 설정할 수도 있습니다.
사용자와 암호가 만료되는 시기를 확인하려면 다음 명령을 실행합니다.
```
net user ggc_user | findstr /C:expires
```
사용자의 암호가 만료되지 않도록 설정하려면 다음 명령을 실행합니다.
```
wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
```
[`wmic` 명령이 더는 사용되지 않는](https://learn.microsoft.com/en-us/windows/win32/wmisdk/wmic) Windows 10 이상을 사용하는 경우 다음 PowerShell 명령을 실행합니다.
```
Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
```
1. Microsoft에서 [PsExec 유틸리티](https://docs.microsoft.com/en-us/sysinternals/downloads/psexec)를 다운로드하여 디바이스에 설치합니다.
1. PsExec 유틸리티를 사용하여 기본 사용자의 사용자 이름과 암호를 LocalSystem 계정의 Credential Manager 인스턴스에 저장합니다. 이전에 설정한 사용자의 암호로 *암호*를 바꿉니다.
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
**PsExec License Agreement**가 열리면 **Accept**를 선택하여 라이선스에 동의하고 명령을 실행합니다.
**참고**
Windows 디바이스에서 LocalSystem 계정은 Greengrass nucleus를 실행하고 PsExec 유틸리티를 사용하여 기본 사용자 정보를 LocalSystem 계정에 저장해야 합니다. Credential Manager 애플리케이션을 사용하면 이 정보가 LocalSystem 계정 대신 현재 로그인한 사용자의 Windows 계정에 저장됩니다.
### AWS IoT Greengrass 코어 소프트웨어 다운로드
다음 위치에서 최신 버전의 AWS IoT Greengrass 코어 소프트웨어를 다운로드할 수 있습니다.
+ [https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip](https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip)
**참고**
다음 위치에서 특정 버전의 AWS IoT Greengrass 코어 소프트웨어를 다운로드할 수 있습니다. 다운로드할 버전으로 *version*을 바꿉니다.
```
https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
```
**AWS IoT Greengrass 코어 소프트웨어를 다운로드하려면**
1. 코어 디바이스에서 AWS IoT Greengrass 코어 소프트웨어를 라는 파일에 다운로드합니다`greengrass-nucleus-latest.zip`.
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
```
------
이 소프트웨어를 다운로드하면 [ Greengrass 코어 소프트웨어 라이선스 계약](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)에 동의하는 것입니다.
1. (선택 사항) Greengrass nucleus 소프트웨어 서명을 확인하려면
**참고**
이 기능은 Greengrass nucleus 버전 2.9.5 이상에서 사용할 수 있습니다.
1. 다음 명령을 사용하여 Greengrass nucleus 아티팩트의 서명을 확인합니다.
------
#### [ Linux or Unix ]
```
jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
파일 이름은 설치하는 JDK 버전에 따라 다르게 보일 수 있습니다. *`jdk17.0.6_10`*을 설치한 JDK 버전으로 바꿉니다.
```
"C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
파일 이름은 설치하는 JDK 버전에 따라 다르게 보일 수 있습니다. *`jdk17.0.6_10`*을 설치한 JDK 버전으로 바꿉니다.
```
'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
1. `jarsigner` 간접 호출 시 확인 결과를 나타내는 출력이 생성됩니다.
1. Greengrass nucleus zip 파일이 서명되면 출력에 다음 문이 포함됩니다.
```
jar verified.
```
1. Greengrass nucleus zip 파일이 서명되지 않으면 출력에 다음 문이 포함됩니다.
```
jar is unsigned.
```
1. `-verify` 및 `-certs` 옵션과 함께 Jarsigner `-verbose` 옵션을 제공한 경우 출력에는 자세한 서명자 인증서 정보도 포함됩니다.
1. 디바이스의 폴더에 AWS IoT Greengrass 코어 소프트웨어의 압축을 풉니다. *GreengrassInstaller*를 사용하려는 폴더로 바꿉니다.
------
#### [ Linux or Unix ]
```
unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
```
------
1. (선택 사항) 다음 명령을 실행하여 AWS IoT Greengrass 코어 소프트웨어의 버전을 확인합니다.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
**중요**
v2.4.0 이전 버전의 Greengrass nucleus를 설치하는 경우 AWS IoT Greengrass 코어 소프트웨어를 설치한 후에는이 폴더를 제거하지 마십시오. AWS IoT Greengrass 코어 소프트웨어는이 폴더의 파일을 사용하여 실행합니다.
최신 버전의 소프트웨어를 다운로드한 경우 v2.4.0 이상을 설치하고 AWS IoT Greengrass 코어 소프트웨어를 설치한 후이 폴더를 제거할 수 있습니다.
### AWS IoT 플릿 프로비저닝 플러그인 다운로드
다음 위치에서 최신 버전의 AWS IoT 플릿 프로비저닝 플러그인을 다운로드할 수 있습니다.
+ [https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar](https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar)
**참고**
다음 위치에서 특정 버전의 AWS IoT 플릿 프로비저닝 플러그인을 다운로드할 수 있습니다. *version*을 다운로드할 버전으로 바꿉니다. 플릿 프로비저닝 플러그인의 각 버전에 대한 자세한 내용은 [AWS IoT 플릿 프로비저닝 플러그인 변경 로그](fleet-provisioning-changelog.md) 섹션을 참조하세요.
```
https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-version.jar
```
플릿 프로비저닝 플러그인은 오픈 소스입니다. 소스 코드를 보려면 GitHub의 [AWS IoT 플릿 프로비저닝 플러그인](https://github.com/aws-greengrass/aws-greengrass-fleet-provisioning-by-claim)을 참조하세요.
**AWS IoT 플릿 프로비저닝 플러그인을 다운로드하려면**
+ 디바이스에서 AWS IoT 플릿 프로비저닝 플러그인을 라는 파일에 다운로드합니다`aws.greengrass.FleetProvisioningByClaim.jar`. *GreengrassInstaller*를 사용하려는 폴더로 바꿉니다.
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar > GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar > GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar -OutFile GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
```
------
이 소프트웨어를 다운로드하면 [ Greengrass 코어 소프트웨어 라이선스 계약](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)에 동의하는 것입니다.
### AWS IoT Greengrass 코어 소프트웨어 설치
다음 작업을 지정하는 인수를 사용하여 설치 관리자를 실행합니다.
+ 플릿 프로비저닝 플러그인을 사용하여 AWS 리소스를 프로비저닝하도록 지정하는 부분 구성 파일에서를 설치합니다. AWS IoT Greengrass 코어 소프트웨어는 디바이스에 있는 모든 Greengrass 구성 요소의 구성을 지정하는 구성 파일을 사용합니다. 설치 관리자는 사용자가 제공하는 부분 구성 파일과 플릿 프로비저닝 플러그인이 생성하는 AWS 리소스에서 전체 구성 파일을 생성합니다.
+ `ggc_user` 시스템 사용자를 사용하도록 지정하여 코어 디바이스에서 소프트웨어 구성 요소를 실행합니다. Linux 디바이스에서 이 명령은 `ggc_group` 시스템 그룹을 사용하도록 지정하고 설치 관리자가 시스템 사용자와 그룹을 생성합니다.
+ AWS IoT Greengrass 코어 소프트웨어를 부팅 시 실행되는 시스템 서비스로 설정합니다. Linux 디바이스에서는 [Systemd](https://en.wikipedia.org/wiki/Systemd) init 시스템이 필요합니다.
**중요**
Windows 코어 디바이스에서는 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설정해야 합니다.
지정할 수 있는 인수에 대한 자세한 내용은 [설치 프로그램 인수](configure-installer.md) 섹션을 참조하세요.
**참고**
메모리가 제한된 디바이스 AWS IoT Greengrass 에서를 실행하는 경우 AWS IoT Greengrass 코어 소프트웨어에서 사용하는 메모리 양을 제어할 수 있습니다. 메모리 할당을 제어하기 위해 nucleus 구성 요소의 `jvmOptions` 구성 파라미터에서 JVM 힙 크기 옵션을 설정할 수 있습니다. 자세한 내용은 [JVM 옵션으로 메모리 할당 제어](configure-greengrass-core-v2.md#jvm-tuning) 단원을 참조하십시오.
**AWS IoT Greengrass 코어 소프트웨어를 설치하려면**
1. AWS IoT Greengrass 코어 소프트웨어의 버전을 확인합니다.
+ *GreengrassInstaller*를 소프트웨어가 포함된 폴더의 경로로 바꿉니다.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
1. 텍스트 편집기를 사용하여 `config.yaml` 구성 파일을 생성하고 설치 관리자에 제공합니다.
예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.
```
nano GreengrassInstaller/config.yaml
```
다음 YAML 콘텐츠를 파일에 복사합니다. 이 부분 구성 파일은 플릿 프로비저닝 플러그인의 파라미터를 지정합니다. 지정할 수 있는 옵션에 대한 자세한 내용은 [AWS IoT 플릿 프로비저닝 플러그인 구성](fleet-provisioning-configuration.md) 섹션을 참조하세요.
------
#### [ Linux or Unix ]
```
---
services:
aws.greengrass.Nucleus:
version: "2.16.1"
configuration:
fipsMode: "true"
greengrassDataPlaneEndpoint: "iotData"
aws.greengrass.FleetProvisioningByClaim:
configuration:
rootPath: "/greengrass/v2"
awsRegion: "us-west-2"
iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
provisioningTemplate: "GreengrassFleetProvisioningTemplate"
claimCertificatePath: "/greengrass/v2/claim-certs/claim.pem.crt"
claimCertificatePrivateKeyPath: "/greengrass/v2/claim-certs/claim.private.pem.key"
rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
templateParameters:
ThingName: "MyGreengrassCore"
ThingGroupName: "MyGreengrassCoreGroup"
```
------
#### [ Windows ]
```
---
services:
aws.greengrass.Nucleus:
version: "2.16.1"
aws.greengrass.FleetProvisioningByClaim:
configuration:
rootPath: "C:\\greengrass\\v2"
awsRegion: "us-west-2"
iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
iotCredentialEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
provisioningTemplate: "GreengrassFleetProvisioningTemplate"
claimCertificatePath: "C:\\greengrass\\v2\\claim-certs\\claim.pem.crt"
claimCertificatePrivateKeyPath: "C:\\greengrass\\v2\\claim-certs\\claim.private.pem.key"
rootCaPath: "C:\\greengrass\\v2\\AmazonRootCA1.pem"
templateParameters:
ThingName: "MyGreengrassCore"
ThingGroupName: "MyGreengrassCoreGroup"
```
------
뒤이어 다음과 같이 하세요.
+ *2.16.1*을 AWS IoT Greengrass 코어 소프트웨어 버전으로 바꿉니다.
+ `/greengrass/v2`의 각 인스턴스 또는 *C:\$1greengrass\$1v2*를 Greengrass 루트 폴더로 바꿉니다.
**참고**
Windows 디바이스에서는 경로 구분자를 이중 백슬래시(`\\`)로 지정해야 합니다(예: `C:\\greengrass\\v2`).
+ *us-west-2*를 프로비저닝 템플릿 및 기타 리소스를 생성한 AWS 리전으로 바꿉니다.
+ 를 AWS IoT 데이터 엔드포인트`iotDataEndpoint`로 바꿉니다.
+ `iotCredentialEndpoint`를 AWS IoT 자격 증명 엔드포인트로 바꿉니다.
+ *GreengrassCoreTokenExchangeRoleAlias*를 토큰 교환 역할 별칭의 이름으로 바꿉니다.
+ *GreengrassFleetProvisioningTemplate*을 플릿 프로비저닝 템플릿의 이름으로 바꿉니다.
+ `claimCertificatePath`를 디바이스의 클레임 인증서 경로로 바꿉니다.
+ `claimCertificatePrivateKeyPath`를 디바이스의 클레임 인증서 프라이빗 키 경로로 바꿉니다.
+ 템플릿 파라미터(`templateParameters`)를 디바이스 프로비저닝에 사용하는 값으로 바꿉니다. 이 예제는 `ThingName` 및 `ThingGroupName` 파라미터를 정의하는 [예제 템플릿](fleet-provisioning-setup.md#example-fleet-provisioning-template)을 참조합니다.
1. 설치 관리자를 실행합니다. `--trusted-plugin`을 지정하여 플릿 프로비저닝 플러그인을 제공하고, `--init-config`를 지정하여 구성 파일을 제공합니다.
+ `/greengrass/v2`를 Greengrass 루트 폴더로 바꿉니다.
+ *GreengrassInstaller*의 각 인스턴스를 설치 관리자를 압축 해제한 폴더로 바꿉니다.
------
#### [ Linux or Unix ]
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
-jar ./GreengrassInstaller/lib/Greengrass.jar \
--trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar \
--init-config ./GreengrassInstaller/config.yaml \
--component-default-user ggc_user:ggc_group \
--setup-system-service true
```
------
#### [ Windows Command Prompt (CMD) ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
-jar ./GreengrassInstaller/lib/Greengrass.jar ^
--trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar ^
--init-config ./GreengrassInstaller/config.yaml ^
--component-default-user ggc_user ^
--setup-system-service true
```
------
#### [ PowerShell ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
-jar ./GreengrassInstaller/lib/Greengrass.jar `
--trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar `
--init-config ./GreengrassInstaller/config.yaml `
--component-default-user ggc_user `
--setup-system-service true
```
------
**중요**
Windows 코어 디바이스에서는 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설정`--setup-system-service true`하도록를 지정해야 합니다.
`--setup-system-service true`를 지정하면 설치 관리자는 소프트웨어를 시스템 서비스로 설정하고 실행한 경우 `Successfully set up Nucleus as a system service`를 출력합니다. 그렇지 않은 경우 소프트웨어가 성공적으로 설치되면 설치 관리자에서 메시지가 출력되지 않습니다.
**참고**
`--provision true` 인수 없이 설치 관리자를 실행할 때는 `deploy-dev-tools` 인수를 사용하여 로컬 개발 도구를 배포할 수 없습니다. Greengrass CLI를 디바이스에 직접 배포하는 방법에 대한 자세한 내용은 [Greengrass 명령줄 인터페이스](gg-cli.md) 섹션을 참조하세요.
1. 루트 폴더의 파일을 확인하여 설치를 확인합니다.
------
#### [ Linux or Unix ]
```
ls /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
dir C:\greengrass\v2
```
------
#### [ PowerShell ]
```
ls C:\greengrass\v2
```
------
설치에 성공하면 루트 폴더에 `config`, `packages` 및 `logs`와 같은 여러 폴더가 포함됩니다.
AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설치한 경우 설치 관리자가 소프트웨어를 실행합니다. 그렇지 않으면 소프트웨어를 수동으로 실행해야 합니다. 자세한 내용은 [AWS IoT Greengrass 코어 소프트웨어 실행](run-greengrass-core-v2.md) 단원을 참조하십시오.
소프트웨어를 구성하고 사용하는 방법에 대한 자세한 내용은 다음을 AWS IoT Greengrass참조하세요.
+ [AWS IoT Greengrass 코어 소프트웨어 구성](configure-greengrass-core-v2.md)
+ [AWS IoT Greengrass 구성 요소 개발](develop-greengrass-components.md)
+ [디바이스에 AWS IoT Greengrass 구성 요소 배포](manage-deployments.md)
+ [Greengrass 명령줄 인터페이스](gg-cli.md)
## 자동 리소스 프로비저닝을 사용하여 FIPS 엔드포인트 설치
AWS IoT Greengrass 코어 소프트웨어에는 디바이스를 Greengrass 코어 디바이스로 설정하는 설치 프로그램이 포함되어 있습니다. 디바이스를 빠르게 설정하기 위해 설치 관리자는 코어 디바이스가 작동하는 데 필요한 AWS IoT 사물, AWS IoT 사물 그룹, IAM 역할 및 AWS IoT 역할 별칭을 프로비저닝할 수 있습니다. 설치 관리자는 또한 로컬 개발 도구를 코어 디바이스에 배포할 수 있으므로 디바이스를 사용하여 사용자 지정 소프트웨어 구성 요소를 개발하고 테스트할 수 있습니다. 설치 관리자에서 이러한 리소스를 프로비저닝하고 배포를 생성하려면 AWS 자격 증명이 필요합니다.
디바이스에 AWS 자격 증명을 제공할 수 없는 경우 코어 디바이스가 AWS 작동하는 데 필요한 리소스를 프로비저닝할 수 있습니다. 개발 도구를 코어 디바이스에 배포하여 개발 디바이스로 사용할 수도 있습니다. 이렇게 하면 설치 관리자 실행 시 디바이스에 더 적은 권한을 제공할 수 있습니다. 자세한 내용은 [수동 리소스 프로비저닝을 사용하여 AWS IoT Greengrass 코어 소프트웨어 설치](manual-installation.md) 단원을 참조하십시오.
**중요**
AWS IoT Greengrass 코어 소프트웨어를 다운로드하기 전에 코어 디바이스가 AWS IoT Greengrass 코어 소프트웨어 v2.0 설치 및 실행 [요구 사항을](greengrass-nucleus-component.md#greengrass-v2-requirements) 충족하는지 확인합니다.
**Topics**
+ [디바이스 환경 설정](#set-up-device-environment)
+ [디바이스에 AWS 자격 증명 제공](#provide-installer-aws-credentials-auto)
+ [AWS IoT Greengrass 코어 소프트웨어 다운로드](#download-greengrass-core-v2-auto)
+ [AWS IoT Greengrass 코어 소프트웨어 설치](#run-greengrass-core-v2-installer-auto)
### 디바이스 환경 설정
이 섹션의 단계에 따라 AWS IoT Greengrass 코어 디바이스로 사용할 Linux 또는 Windows 디바이스를 설정합니다.
#### Linux 디바이스 설정
**용 Linux 디바이스를 설정하려면 AWS IoT Greengrass V2**
1. AWS IoT Greengrass 코어 소프트웨어가 실행해야 하는 Java 런타임을 설치합니다. [Amazon Corretto](https://aws.amazon.com/corretto/) 또는 [OpenJDK](https://openjdk.java.net/) 장기 지원 버전을 사용하는 것이 좋습니다. 버전 8 이상이 필요합니다. 다음 명령은 디바이스에 OpenJDK를 설치하는 방법을 보여줍니다.
+ Debian 기반 또는 Ubuntu 기반 배포판의 경우:
```
sudo apt install default-jdk
```
+ Red Hat 기반 배포판의 경우:
```
sudo yum install java-11-openjdk-devel
```
+ 대상 Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
+ Amazon Linux 2023의 경우:
```
sudo dnf install java-11-amazon-corretto -y
```
설치가 완료되면 다음 명령을 실행하여 Linux 디바이스에서 Java가 실행되는지 확인합니다.
```
java -version
```
디바이스에서 실행되는 Java 버전이 명령을 통해 인쇄됩니다. 예를 들어 Debian 기반 배포의 경우 출력이 다음 샘플과 유사할 수 있습니다.
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
1. (선택 사항) 디바이스에서 구성 요소를 실행하는 기본 시스템 사용자와 그룹을 생성합니다. 설치 관리자 인수를 사용하여 설치하는 동안 AWS IoT Greengrass 코어 소프트웨어 `--component-default-user` 설치 관리자가이 사용자와 그룹을 생성하도록 선택할 수도 있습니다. 자세한 내용은 [설치 프로그램 인수](configure-installer.md) 단원을 참조하십시오.
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
1. AWS IoT Greengrass 코어 소프트웨어(일반적으로 `root`)를 실행하는 사용자에게 모든 사용자 및 모든 그룹에서를 실행할 수 `sudo` 있는 권한이 있는지 확인합니다.
1. 다음 명령을 실행하여 `/etc/sudoers` 파일을 엽니다.
```
sudo visudo
```
1. 사용자에 대한 권한이 다음 예제와 같은지 확인합니다.
```
root ALL=(ALL:ALL) ALL
```
1. (선택 사항) [컨테이너화된 Lambda 함수를 실행](run-lambda-functions.md)하려면 [cgroups](https://en.wikipedia.org/wiki/Cgroups) v1을 활성화하고 *memory* 및 *devices* cgroups를 활성화하고 탑재해야 합니다. 컨테이너화된 Lambda 함수를 실행할 계획이 없는 경우 이 단계를 건너뛸 수 있습니다.
이러한 cgroups 옵션을 활성화하려면 다음 Linux 커널 파라미터로 디바이스를 부팅합니다.
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
디바이스의 커널 파라미터를 보고 설정하는 방법에 대한 자세한 내용은 운영 체제 및 부트 로더 설명서를 참조하세요. 지침에 따라 커널 파라미터를 영구적으로 설정합니다.
1. [디바이스 요구 사항](greengrass-nucleus-component.md#greengrass-v2-requirements)의 요구 사항 목록에 따라 디바이스에 기타 모든 필수 종속성을 설치합니다.
#### Windows 디바이스 설정
**참고**
이 기능은 [Greengrass nucleus 구성 요소](greengrass-nucleus-component.md)의 v2.5.0 이상에서 사용할 수 있습니다.
**용 Windows 디바이스를 설정하려면 AWS IoT Greengrass V2**
1. AWS IoT Greengrass 코어 소프트웨어가 실행해야 하는 Java 런타임을 설치합니다. [Amazon Corretto](https://aws.amazon.com/corretto/) 또는 [OpenJDK](https://openjdk.java.net/) 장기 지원 버전을 사용하는 것이 좋습니다. 버전 8 이상이 필요합니다.
1. [PATH](https://en.wikipedia.org/wiki/PATH_(variable)) 시스템 변수에서 Java를 사용할 수 있는지 확인하고 사용할 수 없는 경우 추가합니다. LocalSystem 계정은 AWS IoT Greengrass 코어 소프트웨어를 실행하므로 사용자의 PATH 사용자 변수 대신 PATH 시스템 변수에 Java를 추가해야 합니다. 해결 방법:
1. Windows 키를 눌러 시작 메뉴를 엽니다.
1. 시작 메뉴에서 **environment variables**를 입력하여 시스템 옵션을 검색합니다.
1. 시작 메뉴 검색 결과에서 **시스템 환경 변수 편집**을 선택하여 **시스템 속성** 창을 엽니다.
1. **환경 변수...**를 선택하여 **환경 변수** 창을 엽니다.
1. **시스템 변수**에서 **경로**를 선택하고 **편집**을 선택합니다. **환경 변수 편집** 창에서 각 경로를 별도의 줄로 볼 수 있습니다.
1. Java 설치 `bin` 폴더의 경로가 있는지 확인합니다. 경로는 다음 예제와 유사할 수 있습니다.
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
1. **경로**에서 Java 설치 `bin` 폴더가 누락된 경우 **새로 만들기**를 선택하여 추가한 다음 **확인**을 선택합니다.
1. 관리자 권한으로 Windows 명령 프롬프트(`cmd.exe`)를 엽니다.
1. Windows 디바이스의 LocalSystem 계정에 기본 사용자를 생성합니다. *암호*를 안전한 암호로 바꿉니다.
```
net user /add ggc_user password
```
**작은 정보**
Windows 구성에 따라 사용자의 암호가 미래의 날짜에 만료되도록 설정할 수 있습니다. Greengrass 애플리케이션이 계속 작동하도록 하려면 암호가 만료되는 시기를 추적하고 만료되기 전에 이를 업데이트합니다. 사용자의 암호가 만료되지 않도록 설정할 수도 있습니다.
사용자와 암호가 만료되는 시기를 확인하려면 다음 명령을 실행합니다.
```
net user ggc_user | findstr /C:expires
```
사용자의 암호가 만료되지 않도록 설정하려면 다음 명령을 실행합니다.
```
wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
```
[`wmic` 명령이 더는 사용되지 않는](https://learn.microsoft.com/en-us/windows/win32/wmisdk/wmic) Windows 10 이상을 사용하는 경우 다음 PowerShell 명령을 실행합니다.
```
Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
```
1. Microsoft에서 [PsExec 유틸리티](https://docs.microsoft.com/en-us/sysinternals/downloads/psexec)를 다운로드하여 디바이스에 설치합니다.
1. PsExec 유틸리티를 사용하여 기본 사용자의 사용자 이름과 암호를 LocalSystem 계정의 Credential Manager 인스턴스에 저장합니다. 이전에 설정한 사용자의 암호로 *암호*를 바꿉니다.
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
**PsExec License Agreement**가 열리면 **Accept**를 선택하여 라이선스에 동의하고 명령을 실행합니다.
**참고**
Windows 디바이스에서 LocalSystem 계정은 Greengrass nucleus를 실행하고 PsExec 유틸리티를 사용하여 기본 사용자 정보를 LocalSystem 계정에 저장해야 합니다. Credential Manager 애플리케이션을 사용하면 이 정보가 LocalSystem 계정 대신 현재 로그인한 사용자의 Windows 계정에 저장됩니다.
### 디바이스에 AWS 자격 증명 제공
설치 관리자가 필요한 AWS 리소스를 프로비저닝할 수 있도록 디바이스에 AWS 자격 증명을 제공합니다. 필요한 권한에 대한 자세한 정보는 [설치 관리자가 리소스를 프로비저닝하기 위한 최소 IAM 정책](provision-minimal-iam-policy.md) 섹션을 참조하세요.
**디바이스에 AWS 자격 증명을 제공하려면**
+ 설치 관리자가 코어 디바이스에 대한 AWS IoT 및 IAM 리소스를 프로비저닝할 수 있도록 디바이스에 AWS 자격 증명을 제공합니다. 보안을 강화하려면 프로비저닝에 필요한 최소 권한만 허용하는 IAM 역할에 대한 임시 자격 증명을 받는 것이 좋습니다. 자세한 내용은 [설치 관리자가 리소스를 프로비저닝하기 위한 최소 IAM 정책](provision-minimal-iam-policy.md) 섹션을 참조하세요.
**참고**
설치 관리자에서는 자격 증명을 저장하거나 저장하지 않습니다.
디바이스에서 다음 중 하나를 수행하여 자격 증명을 검색하고 AWS IoT Greengrass 코어 소프트웨어 설치 관리자가 사용할 수 있도록 합니다.
+ (권장)의 임시 자격 증명 사용 AWS IAM Identity Center
1. IAM Identity Center에서 액세스 키 ID, 비밀 액세스 키, 세션 토큰을 제공합니다. 자세한 내용은 *IAM Identity Center 사용 설명서*의 [임시 자격 증명 가져오기 및 새로 고침](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html#how-to-get-temp-credentials)에서 **수동 자격 증명 새로 고침**을 참조하세요.
1. 다음 명령을 실행하여 AWS IoT Greengrass 코어 소프트웨어에 자격 증명을 제공합니다.
------
#### [ Linux or Unix ]
```
export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
```
------
#### [ Windows Command Prompt (CMD) ]
```
set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
```
------
#### [ PowerShell ]
```
$env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
$env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
```
------
+ IAM 역할에서 임시 보안 인증을 사용합니다.
1. 수임하는 IAM 역할에서 액세스 키 ID, 비밀 액세스 키, 세션 토큰을 제공합니다. 이러한 자격 증명을 검색하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*에서 [임시 보안 인증 요청](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)을 참조하세요.
1. 다음 명령을 실행하여 AWS IoT Greengrass 코어 소프트웨어에 자격 증명을 제공합니다.
------
#### [ Linux or Unix ]
```
export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
```
------
#### [ Windows Command Prompt (CMD) ]
```
set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
```
------
#### [ PowerShell ]
```
$env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
$env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
```
------
+ IAM 사용자의 장기 자격 증명 사용:
1. IAM 사용자의 액세스 키 ID 및 비밀 액세스 키를 제공합니다. 나중에 삭제하는 프로비저닝을 위한 IAM 사용자를 생성할 수 있습니다. 사용자에게 제공할 IAM 정책은 [설치 관리자가 리소스를 프로비저닝하기 위한 최소 IAM 정책](provision-minimal-iam-policy.md) 섹션을 참조하세요. 장기 자격 증명을 검색하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*에서 [IAM 사용자의 액세스 키 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)를 참조하세요.
1. 다음 명령을 실행하여 AWS IoT Greengrass 코어 소프트웨어에 자격 증명을 제공합니다.
------
#### [ Linux or Unix ]
```
export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
```
------
#### [ Windows Command Prompt (CMD) ]
```
set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
```
------
#### [ PowerShell ]
```
$env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
```
------
1. (선택 사항) Greengrass 디바이스를 프로비저닝하기 위해 IAM 사용자를 생성한 경우 사용자를 삭제합니다.
1. (선택 사항) 기존 IAM 사용자의 액세스 키 ID 및 비밀 액세스 키를 사용한 경우 해당 키가 더 이상 유효하지 않도록 사용자의 키를 업데이트합니다. 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [액세스 키 업데이트](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)를 참조하세요.
### AWS IoT Greengrass 코어 소프트웨어 다운로드
다음 위치에서 최신 버전의 AWS IoT Greengrass 코어 소프트웨어를 다운로드할 수 있습니다.
+ [https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip](https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip)
**참고**
다음 위치에서 특정 버전의 AWS IoT Greengrass 코어 소프트웨어를 다운로드할 수 있습니다. 다운로드할 버전으로 *version*을 바꿉니다.
```
https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
```
**AWS IoT Greengrass 코어 소프트웨어를 다운로드하려면**
1. 코어 디바이스에서 AWS IoT Greengrass 코어 소프트웨어를 라는 파일에 다운로드합니다`greengrass-nucleus-latest.zip`.
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
```
------
이 소프트웨어를 다운로드하면 [ Greengrass 코어 소프트웨어 라이선스 계약](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)에 동의하는 것입니다.
1. (선택 사항) Greengrass nucleus 소프트웨어 서명을 확인하려면
**참고**
이 기능은 Greengrass nucleus 버전 2.9.5 이상에서 사용할 수 있습니다.
1. 다음 명령을 사용하여 Greengrass nucleus 아티팩트의 서명을 확인합니다.
------
#### [ Linux or Unix ]
```
jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
파일 이름은 설치하는 JDK 버전에 따라 다르게 보일 수 있습니다. *`jdk17.0.6_10`*을 설치한 JDK 버전으로 바꿉니다.
```
"C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
파일 이름은 설치하는 JDK 버전에 따라 다르게 보일 수 있습니다. *`jdk17.0.6_10`*을 설치한 JDK 버전으로 바꿉니다.
```
'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
1. `jarsigner` 간접 호출 시 확인 결과를 나타내는 출력이 생성됩니다.
1. Greengrass nucleus zip 파일이 서명되면 출력에 다음 문이 포함됩니다.
```
jar verified.
```
1. Greengrass nucleus zip 파일이 서명되지 않으면 출력에 다음 문이 포함됩니다.
```
jar is unsigned.
```
1. `-verify` 및 `-certs` 옵션과 함께 Jarsigner `-verbose` 옵션을 제공한 경우 출력에는 자세한 서명자 인증서 정보도 포함됩니다.
1. 디바이스의 폴더에 AWS IoT Greengrass 코어 소프트웨어의 압축을 풉니다. *GreengrassInstaller*를 사용하려는 폴더로 바꿉니다.
------
#### [ Linux or Unix ]
```
unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
```
------
1. (선택 사항) 다음 명령을 실행하여 AWS IoT Greengrass 코어 소프트웨어의 버전을 확인합니다.
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
**중요**
v2.4.0 이전 버전의 Greengrass nucleus를 설치하는 경우 AWS IoT Greengrass 코어 소프트웨어를 설치한 후에는이 폴더를 제거하지 마십시오. AWS IoT Greengrass 코어 소프트웨어는이 폴더의 파일을 사용하여 실행합니다.
최신 버전의 소프트웨어를 다운로드한 경우 v2.4.0 이상을 설치하고 AWS IoT Greengrass 코어 소프트웨어를 설치한 후이 폴더를 제거할 수 있습니다.
### AWS IoT Greengrass 코어 소프트웨어 설치
다음 작업을 지정하는 인수를 사용하여 설치 관리자 실행:
+ 코어 디바이스가 작동하는 데 필요한 AWS 리소스를 생성합니다.
+ `ggc_user` 시스템 사용자를 사용하도록 지정하여 코어 디바이스에서 소프트웨어 구성 요소를 실행합니다. Linux 디바이스에서 이 명령은 `ggc_group` 시스템 그룹을 사용하도록 지정하고 설치 관리자가 시스템 사용자와 그룹을 생성합니다.
+ AWS IoT Greengrass 코어 소프트웨어를 부팅 시 실행되는 시스템 서비스로 설정합니다. Linux 디바이스에서는 [Systemd](https://en.wikipedia.org/wiki/Systemd) init 시스템이 필요합니다.
**중요**
Windows 코어 디바이스에서는 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설정해야 합니다.
로컬 개발 도구를 사용하여 개발 디바이스를 설정하려면 `--deploy-dev-tools true` 인수를 지정합니다. 설치 완료 후 로컬 개발 도구를 배포하는 데 최대 1분이 걸릴 수 있습니다.
지정할 수 있는 인수에 대한 자세한 내용은 [설치 프로그램 인수](configure-installer.md) 섹션을 참조하세요.
**참고**
메모리가 제한된 디바이스 AWS IoT Greengrass 에서를 실행하는 경우 AWS IoT Greengrass 코어 소프트웨어에서 사용하는 메모리 양을 제어할 수 있습니다. 메모리 할당을 제어하기 위해 nucleus 구성 요소의 `jvmOptions` 구성 파라미터에서 JVM 힙 크기 옵션을 설정할 수 있습니다. 자세한 내용은 [JVM 옵션으로 메모리 할당 제어](configure-greengrass-core-v2.md#jvm-tuning) 단원을 참조하십시오.
**AWS IoT Greengrass 코어 소프트웨어를 설치하려면**
1. 텍스트 편집기를 사용하여 `config.yaml` 구성 파일을 생성하고 설치 관리자에 제공합니다.
예를 들어 Linux 기반 시스템에서 다음 명령을 실행하면 GNU nano를 사용하여 파일을 생성할 수 있습니다.
```
nano GreengrassInstaller/config.yaml
```
다음 YAML 내용을 파일에 복사합니다. 이 부분 구성 파일은 시스템 파라미터와 Greengrass nucleus 파라미터를 지정합니다.
```
---
services:
aws.greengrass.Nucleus:
configuration:
fipsMode: "true"
iotDataEndpoint: "data.iot-fips.us-west-2.amazonaws.com"
iotCredEndpoint: "data.credentials.iot-fips.us-west-2.amazonaws.com"
greengrassDataPlaneEndpoint: "iotData"
```
+ *us-west-2*를 리소스를 생성한 AWS 리전 으로 바꿉니다.
+ *iotDataEndpoint*를 AWS IoT 데이터 엔드포인트로 바꿉니다.
+ *iotCredEndpoint*를 AWS IoT 자격 증명 엔드포인트로 바꿉니다.
1. AWS IoT Greengrass 코어 설치 관리자를 실행합니다. 다음과 같이 명령의 인수 값을 바꿉니다.
**참고**
Windows의 경우 260자의 경로 길이 제한이 있습니다. Windows를 사용하는 경우 `C:\greengrass\v2` 또는 `D:\greengrass\v2`와 같은 루트 폴더를 사용하여 Greengrass 구성 요소 경로를 260자 제한 미만으로 유지합니다.
1. `/greengrass/v2` 또는 *C:\$1greengrass\$1v2*: AWS IoT Greengrass 코어 소프트웨어를 설치하는 데 사용할 루트 폴더의 경로입니다.
1. *GreengrassInstaller*. AWS IoT Greengrass 코어 소프트웨어 설치 관리자를 압축 해제한 폴더의 경로입니다.
1. *region*. 리소스를 찾거나 생성할 AWS 리전 입니다.
1. *MyGreengrassCore*. Greengrass 코어 디바이스에 대한 AWS IoT 사물의 이름입니다. 사물이 존재하지 않는 경우 설치 관리자가 이를 생성합니다. 설치 관리자는 인증서를 다운로드하여 AWS IoT 사물로 인증합니다. 자세한 내용은 [에 대한 디바이스 인증 및 권한 부여 AWS IoT Greengrass](device-auth.md) 단원을 참조하십시오.
**참고**
사물 이름에는 콜론(`:`) 문자를 포함할 수 없습니다.
1. *MyGreengrassCoreGroup*. Greengrass 코어 디바이스의 AWS IoT 사물 그룹 이름입니다. 사물 그룹이 존재하지 않는 경우 설치 관리자가 이를 생성하고 사물을 추가합니다. 사물 그룹이 존재하고 활성 배포가 있는 경우 코어 디바이스는 배포에서 지정한 소프트웨어를 다운로드하고 실행합니다.
**참고**
사물 그룹 이름에는 콜론(`:`) 문자를 포함할 수 없습니다.
1. *GreengrassV2IoTThingPolicy*. Greengrass 코어 디바이스가 AWS IoT 및와 통신할 수 있도록 허용하는 AWS IoT 정책의 이름입니다 AWS IoT Greengrass. 정책이 없는 경우 AWS IoT 설치 관리자는이 이름으로 허용 AWS IoT 정책을 생성합니다. 사용 사례에 대해 이 정책의 권한을 제한할 수 있습니다. 자세한 내용은 [AWS IoT Greengrass V2 코어 디바이스에 대한 최소 AWS IoT 정책](device-auth.md#greengrass-core-minimal-iot-policy) 단원을 참조하십시오.
1. *GreengrassV2TokenExchangeRole*. Greengrass 코어 디바이스가 임시 AWS 자격 증명을 가져오도록 허용하는 IAM 역할의 이름입니다. 역할이 없는 경우 설치 관리자는 이를 생성하고 `GreengrassV2TokenExchangeRoleAccess`라는 정책을 생성 및 연결합니다. 자세한 내용은 [코어 디바이스가 AWS 서비스와 상호 작용할 수 있도록 권한 부여](device-service-role.md) 단원을 참조하십시오.
1. *GreengrassCoreTokenExchangeRoleAlias*. Greengrass 코어 디바이스가 나중에 임시 자격 증명을 가져올 수 있도록 허용하는 IAM 역할의 별칭입니다. 역할 별칭이 없는 경우 설치 관리자에서 이를 생성하고 지정한 IAM 역할로 가리킵니다. 자세한 내용은 [코어 디바이스가 AWS 서비스와 상호 작용할 수 있도록 권한 부여](device-service-role.md) 단원을 참조하십시오.
------
#### [ Linux or Unix ]
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
-jar ./GreengrassInstaller/lib/Greengrass.jar \
--aws-region region \
--thing-name MyGreengrassCore \
--thing-group-name MyGreengrassCoreGroup \
--thing-policy-name GreengrassV2IoTThingPolicy \
--tes-role-name GreengrassV2TokenExchangeRole \
--tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \
--component-default-user ggc_user:ggc_group \
--provision true \
--init-config ./GreengrassInstaller/config.yaml \
--setup-system-service true
```
------
#### [ Windows Command Prompt (CMD) ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
-jar ./GreengrassInstaller/lib/Greengrass.jar ^
--aws-region region ^
--thing-name MyGreengrassCore ^
--thing-group-name MyGreengrassCoreGroup ^
--thing-policy-name GreengrassV2IoTThingPolicy ^
--tes-role-name GreengrassV2TokenExchangeRole ^
--tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias ^
--component-default-user ggc_user ^
--provision true ^
--setup-system-service true
```
------
#### [ PowerShell ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
-jar ./GreengrassInstaller/lib/Greengrass.jar `
--aws-region region `
--thing-name MyGreengrassCore `
--thing-group-name MyGreengrassCoreGroup `
--thing-policy-name GreengrassV2IoTThingPolicy `
--tes-role-name GreengrassV2TokenExchangeRole `
--tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias `
--component-default-user ggc_user `
--provision true `
--setup-system-service true
```
------
**중요**
Windows 코어 디바이스에서는 AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설정`--setup-system-service true`하도록를 지정해야 합니다.
설치 관리자가 성공하면 다음 메시지가 인쇄됩니다.
+ `--provision`을 지정하면 리소스가 성공적으로 구성된 경우 설치 관리자에서 `Successfully configured Nucleus with provisioned resource details`가 인쇄됩니다.
+ `--deploy-dev-tools`를 지정하면 배포가 성공적으로 생성된 경우 설치 관리자에서 `Configured Nucleus to deploy aws.greengrass.Cli component`가 인쇄됩니다.
+ `--setup-system-service true`를 지정하면 소프트웨어가 설정되고 서비스로 실행되면 설치 관리자에서 `Successfully set up Nucleus as a system service`가 인쇄됩니다.
+ `--setup-system-service true`를 지정하지 않으면 소프트웨어가 실행되면 설치 관리자에서 `Launched Nucleus successfully`가 인쇄됩니다.
1. [Greengrass nucleus](greengrass-nucleus-component.md) v2.0.4 이상을 설치한 경우 이 단계를 건너뜁니다. 최신 버전의 소프트웨어를 다운로드한 경우 v2.0.4 이상을 설치한 것입니다.
다음 명령을 실행하여 AWS IoT Greengrass 코어 소프트웨어 루트 폴더에 필요한 파일 권한을 설정합니다. `/greengrass/v2`를 설치 명령에서 지정한 루트 폴더로 바꾸고 */greengrass*를 루트 폴더의 상위 폴더로 바꿉니다.
```
sudo chmod 755 /greengrass/v2 && sudo chmod 755 /greengrass
```
AWS IoT Greengrass 코어 소프트웨어를 시스템 서비스로 설치한 경우 설치 관리자가 소프트웨어를 실행합니다. 그렇지 않으면 소프트웨어를 수동으로 실행해야 합니다. 자세한 내용은 [AWS IoT Greengrass 코어 소프트웨어 실행](run-greengrass-core-v2.md) 단원을 참조하십시오.
**참고**
기본적으로 설치 관리자가 생성하는 IAM 역할은 S3 버킷의 구성 요소 아티팩트에 대한 액세스를 허용하지 않습니다. Amazon S3에서 아티팩트를 정의하는 사용자 지정 구성 요소를 배포하려면 코어 디바이스가 구성 요소 아티팩트를 검색할 수 있도록 역할에 권한을 추가해야 합니다. 자세한 내용은 [구성 요소 아티팩트에 대한 S3 버킷 액세스 허용](device-service-role.md#device-service-role-access-s3-bucket) 단원을 참조하십시오.
구성 요소 아티팩트에 대한 S3 버킷이 아직 없는 경우 버킷을 생성한 후 권한을 추가할 수 있습니다.
소프트웨어를 구성하고 사용하는 방법에 대한 자세한 내용은 다음을 AWS IoT Greengrass참조하세요.
+ [AWS IoT Greengrass 코어 소프트웨어 구성](configure-greengrass-core-v2.md)
+ [AWS IoT Greengrass 구성 요소 개발](develop-greengrass-components.md)
+ [디바이스에 AWS IoT Greengrass 구성 요소 배포](manage-deployments.md)
+ [Greengrass 명령줄 인터페이스](gg-cli.md)
## FIPS 규정 준수 자사 구성 요소
| | |
| --- | --- |
| aws.greengrass.Nucleus | data.iot-fips.us-east-1.amazonaws.com |
| | greengrass-fips.us-east-1.amazonaws.com |
| | data.credentials.iot-fips.us-east-1.amazonaws.com |
| aws.greengrass.TokenExchangeService | data.credentials.iot-fips.us-east-1.amazonaws.com |
| aws.greengrass.Cli | |
| aws.greengrass.StreamManager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/greengrass/v2/developerguide/FIPS.html) 스트림 관리자가 AWS IoT 분석 FIPS 엔드포인트를 지원하지 않음 |
| aws.greengrass.LogManager | logs-fips.us-east-1.amazonaws.com |
| aws.greengrass.crypto.Pkcs11Provider | |
| aws.greengrass.ShadowManager | |
| aws.greengrass.DockerApplicationManager | ecr-fips.us-east-1.amazonaws.com |
| aws.greengrass.SecretManager | secretsmanager-fips.us-east-1.amazonaws.com |
| aws.greengrass.telemetry.NucleusEmitter | |
| aws.greengrass.clientdevices.IPDetector | |
| aws.greengrass.DiskSpooler | |
# AWS IoT Greengrass의 복원성
AWS 글로벌 인프라는 Amazon Web Services Regions 및 가용 영역을 중심으로 구축되어 있습니다. 각 AWS 리전은 물리적으로 분리되고 격리된 다수의 가용 영역을 제공하며 이러한 가용 영역은 짧은 지연 시간, 높은 처리량 및 높은 중복성을 갖춘 네트워크에 연결되어 있습니다. 가용 영역을 사용하면 중단 없이 영역 간에 자동으로 장애 극복 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 다중 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.
자세한 내용은 [AWS 글로벌 인프라](https://aws.amazon.com/about-aws/global-infrastructure/)를 참조하세요.
AWS 글로벌 인프라뿐만 아니라 AWS IoT Greengrass도 데이터 복원력과 백업 요구 사항을 지원하는 다양한 기능을 제공합니다.
+ 로컬 파일 시스템 및 CloudWatch Logs에 로그를 기록하도록 Greengrass 코어 디바이스를 구성할 수 있습니다. 코어 디바이스에서는 연결이 끊어지는 경우 파일 시스템에 계속 메시지를 로깅할 수 있습니다. 다시 연결되면 로그 메시지를 CloudWatch Logs에 씁니다. 자세한 내용은 [AWS IoT Greengrass 로그 모니터링](monitor-logs.md) 섹션을 참조하세요.
+ 배포 중 코어 디바이스의 전원이 꺼지면 AWS IoT Greengrass 코어 소프트웨어가 다시 시작된 후 배포를 재개합니다.
+ 코어 디바이스의 연결이 끊어지는 경우 Greengrass 클라이언트 디바이스에서는 로컬 네트워크를 통해 계속 통신할 수 있습니다.
+ [스트림 관리자](manage-data-streams.md) 스트림을 읽고 로컬 스토리지 대상으로 데이터를 보내는 Greengrass 구성 요소를 작성할 수 있습니다.
# 의 인프라 보안 AWS IoT Greengrass
관리형 서비스인는 [Amazon Web Services: 보안 프로세스 개요](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) 백서에 설명된 AWS 글로벌 네트워크 보안 절차로 AWS IoT Greengrass 보호됩니다.
AWS 에서 게시한 API 호출을 사용하여 네트워크를 AWS IoT Greengrass 통해에 액세스합니다. 클라이언트가 전송 계층 보안(TLS) 1.2 이상을 지원해야 합니다. TLS 1.3 이상을 권장합니다. 클라이언트는 DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)와 같은 PFS(전달 완전 보안)가 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
요청은 액세스 키 ID 및 IAM 보안 주체와 관련된 보안 액세스 키를 사용하여 서명해야 합니다. 또는 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.
환경에서 AWS IoT Greengrass 디바이스는 X.509 인증서와 암호화 키를 사용하여에 연결하고 인증합니다 AWS 클라우드. 자세한 내용은 [에 대한 디바이스 인증 및 권한 부여 AWS IoT Greengrass](device-auth.md) 단원을 참조하십시오.
# 의 구성 및 취약성 분석 AWS IoT Greengrass
IoT 환경은 다양한 기능을 수행하고 장기적으로 사용되며 지리적으로 분산된 다수의 장치로 구성될 수 있습니다. 이러한 특성으로 인해 장치 설정이 복잡해지고 오류가 발생하기 쉬워집니다. 장치가 컴퓨팅 파워, 메모리 및 스토리지 기능에서 제한되는 경우가 있으므로 장치 자체에서 암호화 및 다른 보안 형태의 사용이 제한됩니다. 또한 장치에서 알려진 취약성이 있는 소프트웨어를 사용하는 경우도 있습니다. 이러한 요소로 인해 IoT 장치가 해커의 매력적인 대상이 되며, 장치를 지속적으로 보호하기 어렵게 됩니다.
AWS IoT Device Defender 는 보안 문제와 모범 사례와의 편차를 식별하는 도구를 제공하여 이러한 문제를 해결합니다. AWS IoT Device Defender 를 사용하여 연결된 디바이스를 분석, 감사 및 모니터링하여 비정상적인 동작을 감지하고 보안 위험을 완화할 수 있습니다. AWS IoT Device Defender 는 디바이스를 감사하여 보안 모범 사례를 준수하고 디바이스에서 비정상적인 동작을 감지할 수 있도록 합니다. 따라서 장치 전반에 걸쳐 일관된 보안 정책을 시행하고 장치가 손상된 경우 신속하게 대응할 수 있습니다. 자세한 정보는 다음 주제를 참조하세요.
+ [Device Defender 구성 요소](device-defender-component.md)
+ *AWS IoT Core 개발자 안내서*의 [AWS IoT Device Defender](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender.html)
AWS IoT Greengrass 환경에서는 다음 고려 사항에 유의해야 합니다.
+ 물리적 장치, 장치의 파일 시스템 및 로컬 네트워크를 보호하는 것은 사용자의 책임입니다.
+ AWS IoT Greengrass 는 Greengrass 컨테이너에서 실행되는지 여부에 관계없이 사용자 정의 Greengrass 구성 요소에 대해 네트워크 격리를 적용하지 않습니다. 따라서 Greengrass 구성 요소는 네트워크를 통해 시스템 또는 외부에서 실행 중인 다른 프로세스와 통신할 수 있습니다.
# AWS IoT Greengrass V2의 코드 무결성
AWS IoT Greengrass에서는 AWS IoT Greengrass 코어 소프트웨어가 실행되는 디바이스로 AWS 클라우드의 소프트웨어 구성 요소가 배포됩니다. 이러한 소프트웨어 구성 요소에는 [AWS에서 제공하는 구성 요소](public-components.md)와 AWS 계정에 업로드하는 [사용자 지정 구성 요소](create-components.md)가 포함되어 있습니다. 모든 구성 요소는 레시피로 구성되어 있습니다. 레시피에서는 구성 요소의 메타데이터와 아티팩트(컴파일된 코드 및 정적 리소스와 같은 구성 요소 바이너리) 수가 정의됩니다. 구성 요소 아티팩트는 Amazon S3에 저장됩니다.
Greengrass 구성 요소를 개발하고 배포할 때 AWS 계정 및 디바이스에서 구성 요소 아티팩트로 작업하는 다음과 같은 기본 단계를 따릅니다.
1. 아티팩트를 생성하고 S3 버킷에 업로드합니다.
1. 각 아티팩트의 [암호화 해시](https://en.wikipedia.org/wiki/Cryptographic_hash_function)가 계산되는 구성 요소를 AWS IoT Greengrass 서비스의 레시피 및 아티팩트에서 생성합니다.
1. 각 아티팩트의 무결성이 다운로드되고 확인되는 Greengrass 코어 디바이스에 구성 요소를 배포합니다.
AWS에서는 Greengrass 코어 디바이스에 구성 요소를 배포하는 경우를 포함하여 S3 버킷에 아티팩트를 업로드한 후 아티팩트의 무결성 유지 관리를 담당합니다. S3 버킷에 아티팩트를 업로드하기 전에 소프트웨어 아티팩트를 보호할 책임은 사용자에게 있습니다. 구성 요소 아티팩트를 업로드하는 S3 버킷을 포함하여 AWS 계정의 리소스에 대한 액세스 권한을 보호할 책임도 사용자에게 있습니다.
**참고**
Amazon S3에서는 S3 버킷 AWS 계정의 구성 요소 아티팩트가 변경되지 않도록 보호하는 데 사용할 수 있는 S3 Object Lock이라는 특성이 제공됩니다. S3 Object Lock을 사용하여 구성 요소 아티팩트 삭제 또는 덮어쓰기를 방지할 수 있습니다. 자세한 내용은 **Amazon Simple Storage Service 사용 설명서의 [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)을 참조하세요.
AWS에서 퍼블릭 구성 요소를 게시할 때와 사용자가 사용자 지정 구성 요소를 업로드할 때 AWS IoT Greengrass에서는 각 구성 요소 아티팩트에 대한 암호화 다이제스트가 계산됩니다. AWS IoT Greengrass에서는 해당 다이제스트 계산에 사용되는 각 아티팩트의 다이제스트와 해시 알고리즘이 포함되도록 구성 요소 레시피가 업데이트됩니다. 아티팩트가 AWS 클라우드에서나 다운로드 중에 변경되면 파일 다이제스트가 AWS IoT Greengrass를 통해 구성 요소 레시피에 저장되는 다이제스트와 일치하지 않기 때문에 이 다이제스트를 통해 아티팩트의 무결성이 보장됩니다. 자세한 내용은 [구성 요소 레시피 참조의 아티팩트](component-recipe-reference.md#manifest-artifacts-definition)를 참조하세요.
코어 디바이스에 구성 요소를 배포하면 AWS IoT Greengrass 코어 소프트웨어에서는 구성 요소 레시피와 레시피를 통해 정의되는 각 구성 요소 아티팩트가 다운로드됩니다. AWS IoT Greengrass 코어 소프트웨어에서는 다운로드된 각 아티팩트 파일의 다이제스트가 계산되고 레시피에 있는 해당 아티팩트의 다이제스트와 비교됩니다. 다이제스트가 일치하지 않으면 배포에 실패하고, AWS IoT Greengrass 코어 소프트웨어에서는 디바이스의 파일 시스템에서 다운로드된 아티팩트가 삭제됩니다. 코어 디바이스와 간 연결과 AWS IoT Greengrass의 보호 방식에 대한 자세한 내용은 [전송 중 암호화](encryption-in-transit.md) 단원을 참조하세요.
코어 디바이스의 파일 시스템에서 구성 요소 아티팩트 파일을 보호할 책임은 사용자에게 있습니다. AWS IoT Greengrass 코어 소프트웨어에서는 Greengrass 루트 폴더의 `packages` 폴더에 아티팩트가 저장됩니다. AWS IoT Device Defender를 사용하여 코어 디바이스를 분석하고, 감사하고, 모니터링할 수 있습니다. 자세한 내용은 [의 구성 및 취약성 분석 AWS IoT Greengrass](vulnerability-analysis-and-management.md) 섹션을 참조하세요.
# AWS IoT Greengrass 및 인터페이스 VPC 엔드포인트(AWS PrivateLink)
*인터페이스 VPC 엔드포인트를 생성하여 VPC*와 AWS IoT Greengrass 컨트롤 플레인 간에 프라이빗 연결을 설정할 수 있습니다. 이 엔드포인트를 사용하여 AWS IoT Greengrass 서비스의 구성 요소, 배포 및 코어 디바이스를 관리할 수 있습니다. 인터페이스 엔드포인트는 인터넷 게이트웨이[AWS PrivateLink](https://aws.amazon.com/privatelink), NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결 없이 비공개로 AWS IoT Greengrass APIs에 액세스할 수 있는 기술로 구동됩니다. VPC의 인스턴스는 AWS IoT Greengrass APIs. VPC와 간의 트래픽 AWS IoT Greengrass 은 Amazon 네트워크를 벗어나지 않습니다.
각 인터페이스 엔드포인트는 서브넷에서 하나 이상의 [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)로 표현됩니다.
자세한 내용은 *Amazon VPC 사용 설명서*의 [인터페이스 VPC 엔드포인트(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)를 참조하세요.
**Topics**
+ [AWS IoT Greengrass VPC 엔드포인트에 대한 고려 사항](#vpc-endpoint-considerations)
+ [AWS IoT Greengrass 컨트롤 플레인 작업을 위한 인터페이스 VPC 엔드포인트 생성](#create-vpc-endpoint-control-plane)
+ [에 대한 VPC 엔드포인트 정책 생성 AWS IoT Greengrass](#vpc-endpoint-policy)
+ [VPC에서 AWS IoT Greengrass 코어 디바이스 작동](#vpc-operate-device-vpce)
## AWS IoT Greengrass VPC 엔드포인트에 대한 고려 사항
에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 *Amazon VPC 사용 설명서*의 [인터페이스 엔드포인트 속성 및 제한 사항을](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) AWS IoT Greengrass검토하세요. 추가적으로, 다음 사항을 고려하세요.
+ AWS IoT Greengrass 는 VPC에서 모든 컨트롤 플레인 API 작업을 호출할 수 있도록 지원합니다. 컨트롤 플레인은 [CreateDeployment](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_CreateDeployment.html) 및 [ListEffectiveDeployments](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_ListEffectiveDeployments.html)와 같은 작업을 포함합니다. 컨트롤 플레인은 데이터 플레인 작업인 [ResolveComponentCandidates](device-auth.md#iot-policies) 및 [Discover](greengrass-discover-api.md)와 같은 작업을 포함하지 **않습니다.
+ 에 대한 VPC 엔드포인트 AWS IoT Greengrass 는 현재 AWS 중국 리전에서 지원되지 않습니다.
## AWS IoT Greengrass 컨트롤 플레인 작업을 위한 인터페이스 VPC 엔드포인트 생성
Amazon VPC 콘솔 또는 AWS Command Line Interface ()를 사용하여 AWS IoT Greengrass 컨트롤 플레인의 VPC 엔드포인트를 생성할 수 있습니다AWS CLI. 자세한 내용은 *Amazon VPC 사용 설명서*의 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)을 참조하세요.
다음 서비스 이름을 AWS IoT Greengrass 사용하여 용 VPC 엔드포인트를 생성합니다.
+ com.amazonaws.*region*.greengrass
엔드포인트에 대해 프라이빗 DNS를 활성화하는 경우 리전의 기본 DNS 이름, 예를 들어를 AWS IoT Greengrass 사용하여에 API 요청을 할 수 있습니다`greengrass.us-east-1.amazonaws.com`. 프라이빗 DNS는 기본적으로 활성화되어 있습니다.
자세한 내용은 *Amazon VPC 사용 설명서*의 [인터페이스 엔드포인트를 통해 서비스 액세스](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)를 참조하세요.
## 에 대한 VPC 엔드포인트 정책 생성 AWS IoT Greengrass
AWS IoT Greengrass 컨트롤 플레인 운영에 대한 컨트롤 액세스를 제어하는 VPC 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 이 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 보안 주체.
+ 보안 주체가 수행할 수 있는 작업입니다.
+ 보안 주체가 작업을 수행할 수 있는 리소스입니다.
자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC 엔드포인트를 통해 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)를 참조하세요.
**Example 예: AWS IoT Greengrass 작업에 대한 VPC 엔드포인트 정책**
다음은에 대한 엔드포인트 정책의 예입니다 AWS IoT Greengrass. 엔드포인트에 연결되면이 정책은 모든 리소스의 모든 보안 주체에 대해 나열된 AWS IoT Greengrass 작업에 대한 액세스 권한을 부여합니다.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"greengrass:ListEffectiveDeployments"
],
"Resource": "*"
}
]
}
```
## VPC에서 AWS IoT Greengrass 코어 디바이스 작동
퍼블릭 인터넷 액세스 없이도 Greengrass 코어 디바이스를 작동하고 VPC에서 배포를 수행할 수 있습니다. 최소한 다음 VPC 엔드포인트를 해당 DNS 별칭으로 설정해야 합니다. VPC 엔드포인트 생성 및 사용 방법에 대한 자세한 내용은 *Amazon VPC 사용 설명서*에서 [VPC 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)을 참조하세요.
**참고**
DNS 레코드를 자동으로 생성하기 위한 VPC 기능은 AWS IoT data 및 AWS IoT 자격 증명에 대해 비활성화됩니다. 이러한 엔드포인트에 연결하려면 프라이빗 DNS 레코드를 수동으로 생성해야 합니다. 자세한 내용은 [Private DNS for interface endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-private-dns)를 참조하세요. AWS IoT Core VPC 제한 사항에 대한 자세한 내용은 [VPC 엔드포인트의 제한을](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations) 참조하세요.
### 사전 조건
+ 수동 프로비저닝 단계를 사용하여 AWS IoT Greengrass 코어 소프트웨어를 설치해야 합니다. 자세한 내용은 [수동 리소스 프로비저닝을 사용하여 AWS IoT Greengrass 코어 소프트웨어 설치](manual-installation.md) 단원을 참조하십시오.
### 제한 사항
+ 중국 리전 및 AWS GovCloud (US) Regions에서는 VPC에서 Greengrass 코어 디바이스를 작동할 수 없습니다.
+ AWS IoT data 및 AWS IoT 자격 증명 공급자 VPC 엔드포인트의 제한 사항에 대한 자세한 내용은 [제한을 참조하세요](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations).
### Greengrass 코어 디바이스가 VPC에서 작동하도록 설정
****
1. 의 AWS IoT 엔드포인트를 가져 AWS 계정와 나중에 사용할 수 있도록 저장합니다. 디바이스에서는 이러한 엔드포인트를 사용하여 AWS IoT에 연결합니다. 해결 방법:
1. 의 AWS IoT 데이터 엔드포인트를 가져옵니다 AWS 계정.
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
1. 의 AWS IoT 자격 증명 엔드포인트를 가져옵니다 AWS 계정.
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
요청에 성공하는 경우 응답은 다음 예제와 유사합니다.
```
{
"endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
1. AWS IoT data 및 AWS IoT 자격 증명 엔드포인트에 대한 Amazon VPC 인터페이스를 생성합니다.
1. [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) **엔드포인트** 콘솔로 이동한 다음 왼쪽 메뉴의 **Virtual Private Cloud(VPC)**에서 **엔드포인트**를 선택한 다음 **엔드포인트 생성**을 선택합니다.
1. **엔드포인트 생성** 페이지에서 다음 정보를 지정합니다.
+ **서비스 범주**에서 **AWS 서비스**를 선택합니다.
+ **서비스 이름**에 키워드 `iot`를 입력하여 검색합니다. 표시된 `iot` 서비스 목록에서 엔드포인트를 선택합니다.
AWS IoT Core 데이터 영역에 대한 VPC 엔드포인트를 생성하는 경우 해당 리전의 AWS IoT Core 데이터 영역 API 엔드포인트를 선택합니다. 엔드포인트 형식은 `com.amazonaws.region.iot.data`이(가) 될 것입니다.
AWS IoT Core 자격 증명 공급자에 대한 VPC 엔드포인트를 생성하는 경우 해당 리전의 AWS IoT Core 자격 증명 공급자 엔드포인트를 선택합니다. 엔드포인트 형식은 `com.amazonaws.region.iot.credentials`이(가) 될 것입니다.
**참고**
중국 리전의 AWS IoT Core 데이터 영역에 대한 서비스 이름은 형식입니다`cn.com.amazonaws.region.iot.data`. 중국 리전에서는 AWS IoT Core 자격 증명 공급자에 대한 VPC 엔드포인트 생성이 지원되지 않습니다.
+ **VPC** 및 **서브넷**에서 엔드포인트를 생성하려는 VPC 및 엔드포인트 네트워크를 생성하려는 가용 영역(AZ)을 선택합니다.
+ **DNS 이름 활성화**에서 **이 엔드포인트에 대해 활성화**를 선택하지 않도록 합니다. AWS IoT Core 데이터 영역이나 AWS IoT Core 자격 증명 공급자 모두 아직 프라이빗 DNS 이름을 지원하지 않습니다.
+ **보안 그룹**에서 엔드포인트 네트워크 인터페이스와 연결하려는 보안 그룹을 선택합니다.
+ 선택적으로 태그를 추가하거나 제거할 수 있습니다. 태그는 엔드포인트와 연결하는 데 사용하는 이름-값 페어입니다.
1. VPC 엔드포인트를 생성하려면 **엔드포인트 생성**을 선택합니다.
1. AWS PrivateLink 엔드포인트를 생성한 후 엔드포인트의 **세부 정보** 탭에 DNS 이름 목록이 표시됩니다. 이러한 DNS 이름 중 하나를 사용하여 [프라이빗 호스팅 영역을 구성](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#connect-iot-core-create-phz-lns)할 수 있습니다.
1. Amazon S3 엔드포인트를 생성합니다. 자세한 내용은 [Create a VPC endpoint for Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#s3-creating-vpc)를 참조하세요.
1. [AWS제공 Greengrass 구성 요소](https://docs.aws.amazon.com/greengrass/v2/developerguide/public-components.html)를 사용하는 경우 추가 엔드포인트 및 구성이 필요할 수 있습니다. 엔드포인트 요구 사항을 보려면 AWS제공 구성 요소의 목록에서 구성 요소를 선택하고 요구 사항 섹션을 살펴보세요. 예를 들어 [로그 관리자 구성 요소 요구 사항](log-manager-component.md#log-manager-component-requirements)에서는 이 구성 요소가 엔드포인트 `logs.region.amazonaws.com`에 대한 아웃바운드 요청을 수행할 수 있어야 한다고 조언합니다.
자체 구성 요소를 사용하는 경우 종속성을 검토하고 추가 테스트를 수행하여 추가 엔드포인트가 필요한지 확인해야 할 수 있습니다.
1. Greengrass nucleus 구성에서 `greengrassDataPlaneEndpoint`는 **iotdata**로 설정해야 합니다. 자세한 내용은 [Greengrass nucleus 구성](greengrass-nucleus-component.md#greengrass-nucleus-component-configuration)을 참조하세요.
1. 사용자가 `us-east-1` 리전에 있는 경우 Greengrass nucleus 구성에서 구성 파라미터 `s3EndpointType`을 **REGIONAL**로 설정합니다. 이 기능은 Greengrass nucleus 버전 2.11.3 이상에서 사용할 수 있습니다.
**Example 예: 구성 요소 구성**
```
{
"aws.greengrass.Nucleus": {
"configuration": {
"awsRegion": "us-east-1",
"iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
"iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
"greengrassDataPlaneEndpoint": "iotdata",
"s3EndpointType": "REGIONAL"
...
}
}
}
```
다음 표에서는 해당 사용자 지정 프라이빗 DNS 별칭에 대한 정보를 제공합니다.
| 서비스 | VPC 엔드포인트 서비스 이름 | VPC 엔드포인트 유형 | 사용자 지정 프라이빗 DNS 별칭 | 참고 |
| --- | --- | --- | --- | --- |
| AWS IoT data | `com.amazonaws.region.iot.data` | 인터페이스 | `prefix-ats.iot.region.amazonaws.com` | 프라이빗 DNS 레코드는 계정의 AWS IoT data 엔드포인트인와 일치해야 합니다`aws iot describe–endpoint ––endpoint–type iot:Data-ATS`. |
| AWS IoT 자격 증명 | `com.amazonaws.region.iot.credentials` | 인터페이스 | `prefix.credentials.iot.region.amazonaws.com` | 프라이빗 DNS 레코드는 계정 AWS IoT 자격 증명 엔드포인트와 일치해야 합니다`aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`. |
| Amazon S3 | `com.amazonaws.region.s3` | 인터페이스 | | DNS 레코드가 자동으로 생성됩니다. |
# 에 대한 보안 모범 사례 AWS IoT Greengrass
이 주제에는에 대한 보안 모범 사례가 포함되어 있습니다 AWS IoT Greengrass.
## 가능한 최소 권한 부여
구성 요소를 권한 없는 사용자로 실행하여 구성 요소에 대한 최소 권한 원칙을 따릅니다. 꼭 필요한 경우가 아니라면 구성 요소를 루트로 실행해서는 안 됩니다.
IAM 역할에서 최소한의 권한 세트를 사용합니다. IAM 정책의 `Action` 및 `Resource` 속성에 대한 `*` 와일드카드 사용을 제한합니다. 대신, 가능한 경우 한정된 작업과 리소스를 선언합니다. 최소 권한 및 기타 정책 모범 사례에 대한 자세한 내용은 [정책 모범 사례](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)을 참조하세요.
최소 권한 모범 사례는 Greengrass 코어에 연결하는 AWS IoT 정책에도 적용됩니다.
## Greengrass 구성 요소에서 자격 증명을 하드 코딩하지 마세요.
사용자 정의 Greengrass 구성 요소에서 자격 증명을 하드 코딩하지 마세요. 자격 증명에 대한 보호를 강화하려면 다음을 수행하십시오.
+ AWS 서비스와 상호 작용하려면 [Greengrass 코어 디바이스 서비스 역할](device-service-role.md)에서 특정 작업 및 리소스에 대한 권한을 정의합니다.
+ [보안 암호 관리자 구성 요소](secret-manager-component.md)를 사용하여 자격 증명을 저장합니다. 또는 함수가 AWS SDK를 사용하는 경우 기본 자격 증명 공급자 체인의 자격 증명을 사용합니다.
## 민감한 정보를 기록하지 않음
자격 증명 및 기타 개인 식별 정보(PII)의 로깅을 방지해야 합니다. 코어 장치의 로컬 로그에 액세스하기 위해 루트 권한이 필요하고 CloudWatch Logs에 대한 액세스를 위해 IAM 권한이 필요한 경우에도 다음과 같은 보호 조치를 구현하는 것이 좋습니다.
+ MQTT 주제 경로에는 민감한 정보를 사용하지 마십시오.
+ AWS IoT Core 레지스트리의 장치(사물) 이름, 유형 및 속성에 민감한 정보를 사용하지 마십시오.
+ 사용자 정의 Greengrass 구성 요소나 Lambda 함수에 민감한 정보를 기록하지 마세요.
+ Greengrass 리소스의 이름과 ID에 민감한 정보를 사용하지 마십시오.
+ 코어 디바이스
+ 구성 요소
+ 배포
+ Loggers
## 장치의 시계를 동기화 상태로 유지
장치에서는 정확한 시간을 유지하는 것이 중요합니다. X.509 인증서에는 만료 날짜와 시간이 있습니다. 장치의 시계는 서버 인증서가 여전히 유효한지 확인하는 데 사용됩니다. 장치 시계는 시간이 지나 드리프트 상태가 되거나 배터리가 방전될 수 있습니다.
자세한 내용은 *AWS IoT Core 개발자 안내서*의 [장치 시계를 동기화된 상태로 유지](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html#device-clock) 모범 사례를 참조하십시오.
## Cipher Suite 권장 사항
Greengrass 기본값은 디바이스에서 사용할 수 있는 최신 TLS Cipher Suite를 선택합니다. 디바이스에서 레거시 암호 제품군 사용을 비활성화하는 것이 좋습니다. 예: CBC 암호 제품군.
자세한 내용은 [Java Cryptography Configuration](https://www.java.com/configure_crypto.html)을 참조하세요.
## 다음 사항도 참조하세요.
+ *AWS IoT 개발자 안내서*의 [AWS IoT Core내 보안 모범 사례](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html)
+ * AWS 공식 블로그의 사물 인터넷*에서[ 산업용 IoT 솔루션에 대한 10가지 보안 황금률](https://aws.amazon.com/blogs/iot/ten-security-golden-rules-for-industrial-iot-solutions/)