Aviso de fim do suporte: em 7 de outubro de 2026, AWS o suporte para o. AWS IoT Greengrass Version 1 Depois de 7 de outubro de 2026, você não poderá mais acessar os AWS IoT Greengrass V1 recursos. Para obter mais informações, visite [Migrar de AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Função do grupo do Greengrass.
A função de grupo do Greengrass é um perfil do IAM que autoriza o código em execução em um núcleo do Greengrass a acessar seus recursos da AWS . Você cria a função e gerencia as permissões no AWS Identity and Access Management (IAM) e anexa a função ao seu grupo do Greengrass. Um grupo do Greengrass tem uma função de grupo única. Para adicionar ou alterar permissões, você pode anexar uma função diferente ou alterar as políticas do IAM anexadas à função.
A função deve ser definida AWS IoT Greengrass como uma entidade confiável. Dependendo do seu caso de negócio, a função de grupo pode conter políticas do IAM que definem:
+ Permissões para funções [Lambda](lambda-functions.md) definidas pelo usuário acessarem AWS serviços.
+ Permissões para [conectores](connectors.md) acessarem AWS serviços.
+ Permissões para que o [gerenciador de streams](stream-manager.md) exporte streams para o Kinesis Data Streams AWS IoT Analytics e o Kinesis Data Streams.
+ Permissões para permitir o [registro em log do CloudWatch ](greengrass-logs-overview.md).
As seções a seguir descrevem como anexar ou desanexar uma função de grupo do Greengrass no Console de gerenciamento da AWS ou. AWS CLI
+ [Gerenciar a função de grupo (console)](#manage-group-role-console)
+ [Gerenciar a função de grupo (CLI)](#manage-group-role-cli)
**nota**
Além da função de grupo que autoriza o acesso a partir do núcleo do Greengrass, você pode atribuir uma função de [serviço do Greengrass](service-role.md) que AWS IoT Greengrass permite AWS acessar recursos em seu nome.
## Gerenciar a função de grupo do Greengrass (console)
Você pode usar o AWS IoT console para as seguintes tarefas de gerenciamento de funções:
+ [Encontrar a função de grupo do Greengrass](#get-group-role-console)
+ [Adicionar ou alterar a função de grupo do Greengrass](#add-or-change-group-role-console)
+ [Remover a função de grupo do Greengrass](#remove-group-role-console)
**nota**
O usuário que está conectado ao console deve ter permissões para gerenciar a função.
### Encontrar a função de grupo do Greengrass (console)
Siga estas etapas para encontrar a função anexada a um grupo do Greengrass.
1. No painel de navegação do AWS IoT console, em **Gerenciar**, expanda dispositivos **Greengrass** e **escolha Grupos (**V1).
1. Selecione o grupo de destino.
1. Na página de configuração do grupo, selecione **Visualizar configurações**.
Se uma função estiver anexada ao grupo, ela será exibida em **Função de grupo**.
### Adicionar ou alterar a função de grupo do Greengrass (console)
Siga estas etapas para escolher uma função do IAM Conta da AWS para adicionar a um grupo do Greengrass.
Uma função de grupo tem os seguintes requisitos:
+ AWS IoT Greengrass definido como uma entidade confiável.
+ As políticas de permissão anexadas à função devem conceder aos seus AWS recursos as permissões exigidas pelas funções e conectores do Lambda no grupo e pelos componentes do sistema Greengrass.
**nota**
Recomendamos que você também inclua as chaves de contexto de condição global `aws:SourceArn` e `aws:SourceAccount` em sua política de confiança para ajudar a evitar o problema de segurança *confused deputy*. As chaves de contexto de condição restringem o acesso para permitir somente as solicitações provenientes da conta especificada e do espaço de trabalho do Greengrass. Para obter mais informações sobre o problema confused deputy, consulte [Prevenção do problema do substituto confuso entre serviços](cross-service-confused-deputy-prevention.md).
Use o console do IAM para criar e configurar o perfil e suas permissões. Para obter etapas que criam o exemplo de um perfil que permite acesso a uma tabela do Amazon DynamoDB, consulte [Configurar a função do grupo](config-iam-roles.md). Para ver as etapas gerais, consulte [Criação de uma função para um AWS serviço (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) no *Guia do usuário do IAM*.
Depois que a função for configurada, use o AWS IoT console para adicionar a função ao grupo.
**nota**
Este procedimento é necessário apenas para escolher uma função para o grupo. Não é necessário depois de alterar as permissões da função de grupo selecionada no momento.
1. No painel de navegação do AWS IoT console, em **Gerenciar**, expanda dispositivos **Greengrass** e **escolha Grupos (**V1).
1. Selecione o grupo de destino.
1. Na página de configuração do grupo, selecione **Visualizar configurações**.
1. Em **Função do grupo**, selecione adicionar ou alterar a função:
+ Para adicionar a função, selecione **Associar função** e, em seguida, selecione sua função na lista de funções. Essas são as suas funções Conta da AWS que se definem AWS IoT Greengrass como uma entidade confiável.
+ Para escolher uma função diferente, selecione **Editar função** e, em seguida, selecione sua função na lista de funções.
1. Selecione **Salvar**.
### Remover a função de grupo do Greengrass (console)
Siga estas etapas para separar a função de um grupo do Greengrass.
1. No painel de navegação do AWS IoT console, em **Gerenciar**, expanda dispositivos **Greengrass** e **escolha Grupos (**V1).
1. Selecione o grupo de destino.
1. Na página de configuração do grupo, selecione **Visualizar configurações**.
1. Em **Função do grupo**, selecione **Desassociar função**.
1. Na caixa de diálogo de confirmação, selecione **Desassociar função**. Esta etapa remove a função do grupo, mas não exclui a função. Se você quiser excluir a função, use o console do IAM.
## Gerenciar a função de grupo do Greengrass (CLI)
Você pode usar o AWS CLI para as seguintes tarefas de gerenciamento de funções:
+ [Obter a função de grupo do Greengrass](#get-group-role)
+ [Criar a função de grupo do Greengrass](#create-group-role)
+ [Remover a função de grupo do Greengrass](#remove-group-role)
### Obter a função de grupo do Greengrass (CLI)
Siga estas etapas para descobrir se um grupo do Greengrass tem uma função associada.
1. Obtenha o ID do grupo-alvo na lista de seus grupos.
```
aws greengrass list-groups
```
Esta é uma resposta de exemplo do `list-groups`. Cada grupo na resposta inclui uma propriedade `Id` que contém o ID do grupo.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Para obter mais informações, incluindo exemplos que usam a opção `query` para filtrar resultados, consulte [Obter o ID do grupo](deployments.md#api-get-group-id).
1. Copie da saída o `Id` do grupo de destino.
1. Obtenha a função de grupo. *group-id*Substitua pelo ID do grupo-alvo.
```
aws greengrass get-associated-role --group-id group-id
```
Se uma função estiver associada ao seu grupo do Greengrass, os seguintes metadados de função serão retornados.
```
{
"AssociatedAt": "timestamp",
"RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
Se o seu grupo não tiver uma função associada, o seguinte erro será retornado.
```
An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.
```
### Criar a função de grupo do Greengrass (CLI)
Siga estas etapas para criar uma função e associá-la a um grupo do Greengrass.
**Para criar a função de grupo usando o IAM**
1. Crie a função com uma política de confiança que AWS IoT Greengrass permita assumir a função. Este exemplo cria uma função chamada `MyGreengrassGroupRole`, mas você pode usar um nome diferente. Recomendamos que você também inclua as chaves de contexto de condição global `aws:SourceArn` e `aws:SourceAccount` em sua política de confiança para ajudar a evitar o problema de segurança *confused deputy*. As chaves de contexto de condição restringem o acesso para permitir somente as solicitações provenientes da conta especificada e do espaço de trabalho do Greengrass. Para obter mais informações sobre o problema confused deputy, consulte [Prevenção do problema do substituto confuso entre serviços](cross-service-confused-deputy-prevention.md).
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
1. Copie o ARN da função dos metadados da função na saída. Você usará o ARN para associar a função ao seu grupo.
1. Anexe políticas gerenciadas ou em linha à função para dar suporte ao seu caso de negócio. Por exemplo, se uma função do Lambda definida pelo usuário ler do Amazon S3, você pode anexar a política gerenciada `AmazonS3ReadOnlyAccess` à função.
```
aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
```
Se for bem-sucedido, nenhuma resposta será retornada.
**Como associar a função ao seu grupo do Greengrass**
1. Obtenha o ID do grupo-alvo na lista de seus grupos.
```
aws greengrass list-groups
```
Esta é uma resposta de exemplo do `list-groups`. Cada grupo na resposta inclui uma propriedade `Id` que contém o ID do grupo.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Para obter mais informações, incluindo exemplos que usam a opção `query` para filtrar resultados, consulte [Obter o ID do grupo](deployments.md#api-get-group-id).
1. Copie da saída o `Id` do grupo de destino.
1. Associe a função ao grupo. *group-id*Substitua pelo ID do grupo-alvo e *role-arn* pelo ARN da função do grupo.
```
aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn
```
Se houver êxito, a resposta a seguir será retornada.
```
{
"AssociatedAt": "timestamp"
}
```
### Remover a função de grupo do Greengrass (CLI)
Siga estas etapas para desassociar a função de grupo do seu grupo do Greengrass.
1. Obtenha o ID do grupo-alvo na lista de seus grupos.
```
aws greengrass list-groups
```
Esta é uma resposta de exemplo do `list-groups`. Cada grupo na resposta inclui uma propriedade `Id` que contém o ID do grupo.
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
Para obter mais informações, incluindo exemplos que usam a opção `query` para filtrar resultados, consulte [Obter o ID do grupo](deployments.md#api-get-group-id).
1. Copie da saída o `Id` do grupo de destino.
1. Desassocie a função do seu grupo. *group-id*Substitua pelo ID do grupo-alvo.
```
aws greengrass disassociate-role-from-group --group-id group-id
```
Se houver êxito, a resposta a seguir será retornada.
```
{
"DisassociatedAt": "timestamp"
}
```
**nota**
Você pode excluir a função de grupo se não estiver usando. Primeiro, use [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) para desanexar cada política gerenciada da função e, depois, use [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) para excluir a função. Para obter mais informações sobre como excluir uma função, consulte [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) no *Manual do usuário do IAM*.
## Consulte também
+ Tópicos relacionados no *Guia do usuário do IAM*
+ [Criação de uma função para delegar permissões a um serviço AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ [Modificar uma função](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)
+ [Adicionar e remover permissões de identidade IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [Excluir funções ou perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)
+ AWS IoT Greengrass comandos na *Referência de AWS CLI Comandos*
+ [list-groups](https://docs.aws.amazon.com/cli/latest/reference/greengrass/list-groups.html)
+ [associate-role-to-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-role-to-group.html)
+ [disassociate-role-from-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-role-from-group.html)
+ [get-associated-role](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-associated-role.html)
+ Comandos do IAM disponíveis na *Referência de comandos do AWS CLI *
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)