终止支持通知:2026 年 10 月 7 日, AWS 将停止对的支持。 AWS IoT Greengrass Version 1 2026 年 10 月 7 日之后,您将无法再访问这些 AWS IoT Greengrass V1 资源。如需了解更多信息,请访问[迁移自 AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的身份和访问管理 AWS IoT Greengrass
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权*(拥有权限)使用 AWS IoT Greengrass 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**注意**
本主题介绍 IAM 的概念和功能。有关所支持的 IAM 功能的信息 AWS IoT Greengrass,请参阅[如何 AWS IoT Greengrass 与 IAM 配合使用](security_iam_service-with-iam.md)。
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对的身份和访问问题进行故障排除 AWS IoT Greengrass](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[如何 AWS IoT Greengrass 与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[基于身份的策略示例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 访问控制列表 (ACLs)
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
Amazon S3 和 Amazon VPC 就是支持的服务示例 ACLs。 AWS WAF要了解更多信息 ACLs,请参阅《*亚马逊简单存储服务开发者指南*》中的[访问控制列表 (ACL) 概述](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
## 另请参阅
+ [如何 AWS IoT Greengrass 与 IAM 配合使用](security_iam_service-with-iam.md)
+ [基于身份的策略示例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
+ [对的身份和访问问题进行故障排除 AWS IoT Greengrass](security_iam_troubleshoot.md)
# 如何 AWS IoT Greengrass 与 IAM 配合使用
在使用 IAM 管理访问权限之前 AWS IoT Greengrass,您应该了解可与之配合使用的 IAM 功能 AWS IoT Greengrass。
| IAM 功能 | Greengrass 支持吗? |
| --- | --- |
| [具有资源级权限的基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [访问控制列表 (ACLs)](#security_iam_service-with-iam-acls) | 否 |
| [基于标签的授权](#security_iam_service-with-iam-tags) | 否 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 否 |
| [服务角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
有关其他 AWS 服务如何与 IAM 配合使用的高级视图,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 基于身份的策略 AWS IoT Greengrass
借助 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及允许或拒绝操作的条件。 AWS IoT Greengrass 支持特定的操作、资源和条件键。要了解您在策略中使用的所有元素,请参阅 *IAM 用户指南*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
策略操作在操作前 AWS IoT Greengrass 使用`greengrass:`前缀。例如,要允许某人使用 `ListGroups` API 操作列出其中的群组 AWS 账户,您可以将该`greengrass:ListGroups`操作包含在他们的策略中。策略语句必须包括 `Action` 或 `NotAction` 元素。 AWS IoT Greengrass 定义了自己的一组操作,这些操作描述了可使用该服务执行的任务。
要在单个语句中指定多项操作,请在方括号 (`[` `]`) 中列出这些操作,并用逗号将它们分隔开,如下所示:
```
"Action": [
"greengrass:action1",
"greengrass:action2",
"greengrass:action3"
]
```
您可以使用通配符 (`*`) 指定多个操作。例如,要指定以单词 `List` 开头的所有操作,包括以下操作:
```
"Action": "greengrass:List*"
```
**注意**
我们建议您避免使用通配符来指定服务的所有可用操作。最佳做法是,您应在策略中授予最低特权和范围狭窄的权限。有关更多信息,请参阅 [授予可能的最低权限](security-best-practices.md#least-privilege)。
有关 AWS IoT Greengrass 操作的完整列表,请参阅 *IAM 用户指南 AWS IoT Greengrass*中的[定义操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
下表 ARNs 包含可在策略声明`Resource`元素中使用的 AWS IoT Greengrass 资源。有关 AWS IoT Greengrass 操作支持的资源级权限的映射,请参阅 *IAM 用户*指南 AWS IoT Greengrass中[定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)。
| 资源 | 进行筛选 |
| --- | --- |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listgroups-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listgroups-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/groups/\$1\$1GroupId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listgroupversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listgroupversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/groups/\$1\$1GroupId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listgroupcertificateauthorities-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listgroupcertificateauthorities-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/groups/\$1\$1GroupId\$1/certificateauthorities/\$1\$1CertificateAuthorityId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listdeployments-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listdeployments-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/groups/\$1\$1GroupId\$1/deployments/\$1\$1DeploymentId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listbulkdeployments-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listbulkdeployments-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/bulk/deployments/\$1\$1BulkDeploymentId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listconnectordefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listconnectordefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/connectors/\$1\$1ConnectorDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listconnectordefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listconnectordefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/connectors/\$1\$1ConnectorDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listcoredefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listcoredefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/cores/\$1\$1CoreDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listcoredefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listcoredefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/cores/\$1\$1CoreDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listdevicedefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listdevicedefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/devices/\$1\$1DeviceDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listdevicedefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listdevicedefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/devices/\$1\$1DeviceDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listfunctiondefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listfunctiondefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/functions/\$1\$1FunctionDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listfunctiondefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listfunctiondefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/functions/\$1\$1FunctionDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listloggerdefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listloggerdefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/loggers/\$1\$1LoggerDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listloggerdefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listloggerdefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/loggers/\$1\$1LoggerDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listresourcedefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listresourcedefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/resources/\$1\$1ResourceDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listresourcedefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listresourcedefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/resources/\$1\$1ResourceDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listsubscriptiondefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listsubscriptiondefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/subscriptions/\$1\$1SubscriptionDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listsubscriptiondefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listsubscriptiondefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/subscriptions/\$1\$1SubscriptionDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/definitions-connectivityinfo.html](https://docs.aws.amazon.com/greengrass/v1/apireference/definitions-connectivityinfo.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/things/\$1\$1ThingName\$1/connectivityInfo |
以下示例`Resource`元素指定了位于美国西部(俄勒冈)地区的群组的 ARN: AWS 账户 `123456789012`
```
"Resource": "arn:aws:greengrass:us-west-2:123456789012:/greengrass/groups/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
或者,要指定属于特定群组的所有群组 AWS 区域,请使用通配符代替群组 ID: AWS 账户
```
"Resource": "arn:aws:greengrass:us-west-2:123456789012:/greengrass/groups/*"
```
某些 AWS IoT Greengrass 操作(例如,某些列表操作)无法对特定资源执行。在这种情况下,您必须单独使用通配符。
```
"Resource": "*"
```
要在语句 ARNs 中指定多个资源,请将它们列在方括号 (`[``]`) 之间,并用逗号分隔,如下所示:
```
"Resource": [
"resource-arn1",
"resource-arn2",
"resource-arn3"
]
```
有关 ARN 格式的更多信息,请参阅中的 A [mazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。*Amazon Web Services 一般参考*
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS IoT Greengrass 支持以下全局条件键。
| Key | 说明 |
| --- | --- |
| aws:CurrentTime | 通过检查当前日期和时间的 date/time 条件来筛选访问权限。 |
| aws:EpochTime | 通过检查当前日期和时间(以纪元或 Unix 时间为单位)的 date/time 条件来筛选访问权限。 |
| aws:MultiFactorAuthAge | 检查使用 Multi-Factor Authentication (MFA) 颁发请求中的 MFA 验证的安全凭证之前经过的时间(以秒为单位)以筛选访问。 |
| aws:MultiFactorAuthPresent | 检查是否使用 Multi-Factor Authentication (MFA) 验证发出当前请求的临时安全凭证以筛选访问。 |
| aws:RequestTag/\$1\$1TagKey\$1 | 根据每个必需标签的允许值集筛选创建请求。 |
| aws:ResourceTag/\$1\$1TagKey\$1 | 根据与资源关联的标签值筛选操作。 |
| aws:SecureTransport | 检查是否使用 SSL 发送请求以筛选访问。 |
| aws:TagKeys | 根据在请求中是否具有必需标签以筛选创建请求。 |
| aws:UserAgent | 按请求者的客户端应用程序筛选访问。 |
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看 AWS IoT Greengrass 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
## 基于资源的政策 AWS IoT Greengrass
AWS IoT Greengrass 不支持[基于资源的策略](security-iam.md#security_iam_access-manage-resource-based-policies)。
## 访问控制列表 (ACLs)
AWS IoT Greengrass 不支持[ACLs](security-iam.md#security_iam_access-manage-acl)。
## 基于 AWS IoT Greengrass 标签的授权
AWS IoT Greengrass 不支持基于标签的授权。
## 的 IAM 角色适用于 AWS IoT Greengrass
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您内部具有特定权限 AWS 账户 的实体。
### 将临时凭证与 AWS IoT Greengrass
临时凭证可用于进行联合身份登录,代入 IAM 角色或代入跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
在 Greengrass 核心上,[组角色](group-role.md)的临时凭证可供用户定义的 Lambda 函数和连接器使用。如果您的 Lambda 函数使用 AWS 软件开发工具包,则无需添加逻辑即可获取证书,因为 AWS 软件开发工具包会为您执行此操作。
### 服务关联角色
AWS IoT Greengrass 不支持[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
AWS IoT Greengrass 使用服务角色代表您访问您的部分 AWS 资源。有关更多信息,请参阅 [Greengrass 服务角色](service-role.md)。
### 在 AWS IoT Greengrass 控制台中选择 IAM 角色
在 AWS IoT Greengrass 控制台中,您可能需要从账户中的 IAM 角色列表中选择一个 Greengrass 服务角色或 Greengrass 群组角色。
+ Greengrass 服务角色 AWS IoT Greengrass 允许您代表您在其他服务中访问 AWS 您的资源。通常,您不需要选择服务角色,因为控制台可以为您创建和配置服务角色。有关更多信息,请参阅 [Greengrass 服务角色](service-role.md)。
+ Greengrass 群组角色用于允许群组中的 Greengrass Lambda 函数和连接器访问您的资源。 AWS 它还可以授予将流导出到 AWS 服务和写入 CloudWatch 日志的 AWS IoT Greengrass 权限。有关更多信息,请参阅 [Greengrass 组角色](group-role.md)。
# Greengrass 服务角色
Greengrass 服务角色 AWS Identity and Access Management 是一个 (IAM) 服务角色,它 AWS IoT Greengrass 授权代表您访问服务中的资源。 AWS 这使得可以执行基本任务,例如检索 AWS Lambda 函数和管理 AWS IoT 阴影。 AWS IoT Greengrass
AWS IoT Greengrass 要允许访问您的资源,Greengrass 服务角色必须与 AWS 账户 您的关联并 AWS IoT Greengrass 指定为可信实体。该角色必须包含[ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)托管策略或自定义策略,该策略定义了您所使用的 AWS IoT Greengrass 功能的等效权限。此策略由您维护 AWS 并定义了 AWS IoT Greengrass 用于访问您的 AWS 资源的权限集。
您可以在 s AWS 区域之间重复使用相同的 Greengrass 服务角色,但您必须在每个使用位置将其与您的账户相关联。 AWS 区域 AWS IoT Greengrass如果当前 AWS 账户 和区域中不存在服务角色,则群组部署将失败。
以下各节介绍如何在或中创建和管理 Greengrass 服务角色。 AWS 管理控制台 AWS CLI
+ [管理服务角色(控制台)](#manage-service-role-console)
+ [管理服务角色(CLI)](#manage-service-role-cli)
**注意**
除了授权服务级别访问权限的服务角色外,您还可以为*群组分配群组角色*。 AWS IoT Greengrass 群组角色是一个单独的 IAM 角色,用于控制 Greengrass Lambda 函数和群组中的连接器如何访问服务。 AWS
## 管理 Greengrass 服务角色(控制台)
通过 AWS IoT 控制台,您可以轻松管理您的 Greengrass 服务角色。例如,当您创建或部署 Greengrass 群组时,控制台会检查您 AWS 账户 是否已连接到当前在控制台中选择的 Greengrass 服务角色。 AWS 区域 如果没有,则控制台可以为您创建和配置服务角色。有关更多信息,请参阅 [创建 Greengrass 服务角色(控制台)](#create-service-role-console)。
您可以使用 AWS IoT 控制台执行以下角色管理任务:
+ [查找您的 Greengrass 服务角色](#get-service-role-console)
+ [创建 Greengrass 服务角色](#create-service-role-console)
+ [更改 Greengrass 服务角色](#update-service-role-console)
+ [移除 Greengrass 服务角色](#remove-service-role-console)
**注意**
登录到控制台的用户必须有权查看、创建或更改服务角色。
### 查找您的 Greengrass 服务角色(控制台)
使用以下步骤查找当前 AWS IoT Greengrass 正在使用的服务角色 AWS 区域。
1. 从[AWS IoT 控制台](https://console.aws.amazon.com/iot/)导航窗格中,选择**设置**。
1. 滚动到 **Greengrass 服务角色**部分以查看您的服务角色及其策略。
如果没有看到服务角色,可以让控制台为您创建或配置一个。有关更多信息,请参阅 [创建 Greengrass 服务角色](#create-service-role-console)。
### 创建 Greengrass 服务角色(控制台)
控制台可以为您创建和配置默认 Greengrass 服务角色。此角色具有以下属性:
| 属性 | 值 |
| --- | --- |
| Name | Greengrass\$1ServiceRole |
| 可信任的实体 | AWS service: greengrass |
| Policy | [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) |
**注意**
如果 [Greengrass 设备安装程序](quick-start.md)创建服务角色,则角色名称为 `GreengrassServiceRole_random-string`。
当您从 AWS IoT 控制台创建或部署 Greengrass 群组时,控制台会检查控制台中当前选择的 Greengrass 服务角色是否与您的关联。 AWS 账户 AWS 区域 否则,控制台会提示您 AWS IoT Greengrass 允许代表您读取和写入 AWS 服务。
如果您授予权限,控制台会检查您的 AWS 账户中是否存在名为 `Greengrass_ServiceRole` 的角色。
+ 如果该角色存在,则控制台会在当前版本 AWS 账户 中将该服务角色附加到您的 AWS 区域。
+ 如果该角色不存在,则控制台会创建一个默认 Greengrass 服务角色,并在当前版本中将其附加到你的。 AWS 账户 AWS 区域
**注意**
如果要使用自定义角色策略创建服务角色,请使用 IAM 控制台创建或修改角色。有关更多信息,请参阅 *IAM 用户指南*中的[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)或[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)。确保该角色针对您使用的功能和资源授予和 `AWSGreengrassResourceAccessRolePolicy` 托管策略同等的权限。我们建议您在信任策略中加入 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键,以帮助防止出现*混淆代理人*安全问题。条件上下文键可限制访问权限,仅允许来自指定账户和 Greengrass 工作空间的请求。有关混淆代理人问题的更多信息,请参阅 [防止跨服务混淆代理](cross-service-confused-deputy-prevention.md)。
如果您创建了服务角色,请返回 AWS IoT 控制台并将该角色附加到群组。可以在组的**设置**页面上的 **Greengrass 服务角色**下执行此操作。
### 更改 Greengrass 服务角色(控制台)
使用以下步骤选择其他 Greengrass 服务角色以附加到 AWS 账户 您当前在控制台中选择 AWS 区域 的服务角色。
1. 从[AWS IoT 控制台](https://console.aws.amazon.com/iot/)导航窗格中,选择**设置**。
1. 在 **Greengrass 服务角色**下,选择 **更改角色**。
“**更新 Greengrass 服务**角色” 对话框打开,其中显示了 AWS 账户 您中定义为可信实体的 IAM 角色。 AWS IoT Greengrass
1. 选择要附加的 Greengrass 服务角色。
1. 选择**附加角色**。
**注意**
要允许控制台为您创建默认 Greengrass 服务角色,请选择 **Create role for me (为我创建角色)**,而不是从列表中选择一个角色。如果您的 AWS 账户角色中包含名为 `Greengrass_ServiceRole` 的角色,则不会显示**为我创建角色**链接。
### 移除 Greengrass 服务角色(控制台)
使用以下步骤在控制台中当前选定的角色中将 Greengrass 服务角色与 AWS 账户 您的分离。 AWS 区域 这会撤消 AWS IoT Greengrass 访问当前 AWS AWS 区域服务的权限。
**重要**
移除服务角色可能会中断有效操作。
1. 从[AWS IoT 控制台](https://console.aws.amazon.com/iot/)导航窗格中,选择**设置**。
1. 在 **Greengrass 服务角色** 下,选择 **移除角色**。
1. 在确认对话框中,选择 **Detach (分离)**。
**注意**
如果您不再需要该角色,则可在 IAM 控制台中将其删除。有关更多信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
其他角色可能 AWS IoT Greengrass 允许访问您的资源。要查找允许 AWS IoT Greengrass 代表您使用权限的所有角色,请在 IAM 控制台的**角色**页面上的**可信实体**列中查找包含 **AWS 服务: greengrass** 的角色。
## 管理 Greengrass 服务角色 (CLI)
在以下步骤中,我们假设已安装并配置为使用您的 AWS 账户 ID。 AWS CLI 有关更多信息,请参阅[《*AWS Command Line Interface 用户指南》 AWS CLI*中的安装 AWS 命令行界面](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)和[配置](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
您可以将 AWS CLI 用于以下角色管理任务:
+ [获取您的 Greengrass 服务角色](#get-service-role)
+ [创建 Greengrass 服务角色](#create-service-role)
+ [删除 Greengrass 服务角色](#remove-service-role)
### 获取 Greengrass 服务角色 (CLI)
使用以下步骤查明 Greengrass 服务角色是否与您的相关联。 AWS 账户 AWS 区域
+ 获取服务角色。*region*替换为你的 AWS 区域 (例如,`us-west-2`)。
```
aws Greengrass get-service-role-for-account --region region
```
如果 Greengrass 服务角色已与您的账户关联,则将返回以下角色元数据。
```
{
"AssociatedAt": "timestamp",
"RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
如果未返回任何角色元数据,则您必须创建服务角色(如果该角色不存在)并将其与您在 AWS 区域中的账户关联。
### 创建 Greengrass 服务角色 (CLI)
使用以下步骤创建角色,并将其与您的 AWS 账户关联。
**使用 IAM 创建服务角色**
1. 使用允许代入该角色 AWS IoT Greengrass 的信任策略创建角色。此示例将创建一个名为 `Greengrass_ServiceRole` 的角色,但您也可以使用其他名称。我们建议您在信任策略中加入 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键,以帮助防止出现*混淆代理人*安全问题。条件上下文键可限制访问权限,仅允许来自指定账户和 Greengrass 工作空间的请求。有关混淆代理人问题的更多信息,请参阅 [防止跨服务混淆代理](cross-service-confused-deputy-prevention.md)。
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
1. 从输出中的角色元数据复制角色 ARN。使用该 ARN 将角色与您的账户关联。
1. 将 `AWSGreengrassResourceAccessRolePolicy` 策略附加到该角色。
```
aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
```
**将服务角色与您的关联 AWS 账户**
+ 将角色与您的账户关联。*role-arn*替换为服务角色 ARN 和您*region*的 AWS 区域 (例如)。`us-west-2`
```
aws greengrass associate-service-role-to-account --role-arn role-arn --region region
```
如果成功,将返回以下响应。
```
{
"AssociatedAt": "timestamp"
}
```
### 删除 Greengrass 服务角色 (CLI)
使用以下步骤解除 Greengrass 服务角色与您的 AWS 账户的关联。
+ 取消服务角色与您的账户的关联。*region*替换为你的 AWS 区域 (例如,`us-west-2`)。
```
aws greengrass disassociate-service-role-from-account --region region
```
如果成功,将返回以下响应。
```
{
"DisassociatedAt": "timestamp"
}
```
**注意**
如果您未在任何服务角色中使用该角色,则应将其删除 AWS 区域。先使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) 从角色中移除 `AWSGreengrassResourceAccessRolePolicy` 托管策略,然后使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) 删除角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
## 另请参阅
+ 在 *IAM 用户指南*中@@ [创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ *《IAM 用户指南》*中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)
+ *IAM 用户指南*中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
+ AWS IoT Greengrass 命令*参考中的AWS CLI 命令*
+ [associate-service-role-to-账户](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-service-role-to-account.html)
+ [disassociate-service-role-from-账户](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-service-role-from-account.html)
+ [get-service-role-for-账户](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-service-role-for-account.html)
+ *AWS CLI 命令参考*中的 IAM 命令
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)
# Greengrass 组角色
Greengrass 组角色是授权在 Greengrass 核心上运行的代码访问您的 AWS 资源的 IAM 角色。您可以在 AWS Identity and Access Management (IAM) 中创建角色并管理权限,并将该角色附加到您的 Greengrass 群组。一个 Greengrass 组有一个组角色。要添加或更改权限,您可以附加其他角色或更改附加到该角色的 IAM policies。
该角色必须定义 AWS IoT Greengrass 为可信实体。根据您的业务用例,组角色可能包含定义以下内容的 IAM policy:
+ 用户定义的 [Lambda 函数](lambda-functions.md)访问服务的权限 AWS 。
+ [连接](connectors.md)器访问 AWS 服务的权限。
+ [直播管理员有权将直播](stream-manager.md)导出到 Kinesis Data Streams AWS IoT Analytics 和 Kinesis Data Streams。
+ 允许 [CloudWatch 日志记录](greengrass-logs-overview.md) 的权限。
以下各节介绍如何在或中附加或分离 Greengrass 群组角色。 AWS 管理控制台 AWS CLI
+ [管理组角色(控制台)](#manage-group-role-console)
+ [管理组角色 (CLI)](#manage-group-role-cli)
**注意**
除了授权从 Greengrass 核心进行访问的群组角色外,您还可以分配一个 Greengrass 服务角色以允许代表您访问[资源](service-role.md)。 AWS IoT Greengrass AWS
## 管理 Greengrass 组角色(控制台)
您可以使用 AWS IoT 控制台执行以下角色管理任务:
+ [查找您的 Greengrass 组角色](#get-group-role-console)
+ [添加或更改 Greengrass 组角色](#add-or-change-group-role-console)
+ [移除 Greengrass 组角色](#remove-group-role-console)
**注意**
登录到控制台的用户必须具有管理该角色的权限。
### 查找您的 Greengrass 组角色(控制台)
请按照以下步骤查找附加到 Greengrass 组的角色。
1. **在 AWS IoT 控制台导航窗格的**管理**下,展开 **Greengrass** 设备,然后选择群组 (V1)。**
1. 选择目标组。
1. 在组配置页面上,选择**查看设置**。
如果某个角色已附加到该组,它会显示在**组角色)**下。
### 添加或更改 Greengrass 组角色(控制台)
按照以下步骤从您的中选择一个 IAM 角色 AWS 账户 以添加到 Greengrass 群组。
组角色具有以下要求:
+ AWS IoT Greengrass 定义为可信实体。
+ 附加到该角色的权限策略必须向您的 AWS 资源授予群组中的 Lambda 函数和连接器以及 Greengrass 系统组件所需的权限。
**注意**
我们建议您在信任策略中加入 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键,以帮助防止出现*混淆代理人*安全问题。条件上下文键可限制访问权限,仅允许来自指定账户和 Greengrass 工作空间的请求。有关混淆代理人问题的更多信息,请参阅 [防止跨服务混淆代理](cross-service-confused-deputy-prevention.md)。
使用 IAM 控制台创建和配置此角色及其权限。有关创建允许访问 Amazon DynamoDB 表的示例角色的步骤,请参阅[配置组角色](config-iam-roles.md)。有关一般步骤,请参阅 *IAM 用户指南*中的[为 AWS 服务(控制台)创建角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)。
配置角色后,使用 AWS IoT 控制台将该角色添加到群组。
**注意**
仅在为组选择角色时才需要执行此过程。更改当前所选组角色的权限后,不需要执行此过程。
1. **在 AWS IoT 控制台导航窗格的**管理**下,展开 **Greengrass** 设备,然后选择群组 (V1)。**
1. 选择目标组。
1. 在组配置页面上,选择**查看设置**。
1. 在**组角色**下,选择添加或更改角色:
+ 要添加角色,请选择**关联角色**,然后从角色列表中选择您的角色。这些是您 AWS 账户 中定义 AWS IoT Greengrass 为可信实体的角色。
+ 要选择其他角色,请选择**编辑角色**,然后从角色列表中选择您的角色。
1. 选择**保存**。
### 移除 Greengrass 组角色(控制台)
请按照以下步骤从 Greengrass 组中移除角色。
1. **在 AWS IoT 控制台导航窗格的**管理**下,展开 **Greengrass** 设备,然后选择群组 (V1)。**
1. 选择目标组。
1. 在组配置页面上,选择**查看设置**。
1. 在**组角色**下,选择**取消关联角色**。
1. 在确认对话框中,选择**取消关联角色**。此步骤将从组中移除相应角色,但不真正删除该角色。如果要删除角色,请使用 IAM 控制台。
## 管理 Greengrass 组角色 (CLI)
您可以将 AWS CLI 用于以下角色管理任务:
+ [获取 Greengrass 组角色](#get-group-role)
+ [创建 Greengrass 组角色](#create-group-role)
+ [移除 Greengrass 组角色](#remove-group-role)
### 获取 Greengrass 组角色 (CLI)
请按照以下步骤查看 Greengrass 组是否具有关联的角色。
1. 从组列表中获取目标组的 ID。
```
aws greengrass list-groups
```
以下为 `list-groups` 响应示例。响应中的每个组都包括一个包含该组 ID 的 `Id` 属性。
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
有关更多信息,包括使用 `query` 选项筛选结果的示例,请参阅[获取组 ID](deployments.md#api-get-group-id)。
1. 从输出中复制目标组的 `Id`。
1. 获取组角色。*group-id*替换为目标群组的 ID。
```
aws greengrass get-associated-role --group-id group-id
```
如果某个角色与您的 Greengrass 组关联,将返回以下角色元数据。
```
{
"AssociatedAt": "timestamp",
"RoleArn": "arn:aws:iam::account-id:role/path/role-name"
}
```
如果您的组没有关联的角色,将返回以下错误。
```
An error occurred (404) when calling the GetAssociatedRole operation: You need to attach an IAM role to this deployment group.
```
### 创建 Greengrass 组角色 (CLI)
请按照以下步骤创建角色并将其与 Greengrass 组关联。
**要使用 IAM 创建组角色:**
1. 使用允许代入该角色 AWS IoT Greengrass 的信任策略创建角色。此示例将创建一个名为 `MyGreengrassGroupRole` 的角色,但您也可以使用其他名称。我们建议您在信任策略中加入 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键,以帮助防止出现*混淆代理人*安全问题。条件上下文键可限制访问权限,仅允许来自指定账户和 Greengrass 工作空间的请求。有关混淆代理人问题的更多信息,请参阅 [防止跨服务混淆代理](cross-service-confused-deputy-prevention.md)。
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:region:account-id:/greengrass/groups/group-id"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name MyGreengrassGroupRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:/greengrass/groups/group-id\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
```
------
1. 从输出中的角色元数据复制角色 ARN。使用该 ARN 将角色与您的组关联。
1. 将托管策略或内联策略附加到角色以支持您的业务案例。例如,如果用户定义的 Lambda 函数从 Amazon S3 中读取数据,可以将 `AmazonS3ReadOnlyAccess` 托管策略附加到该角色。
```
aws iam attach-role-policy --role-name MyGreengrassGroupRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
```
如果成功,将不返回任何响应。
**要将角色与您的 Greengrass 组关联,请执行以下操作:**
1. 从组列表中获取目标组的 ID。
```
aws greengrass list-groups
```
以下为 `list-groups` 响应示例。响应中的每个组都包括一个包含该组 ID 的 `Id` 属性。
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
有关更多信息,包括使用 `query` 选项筛选结果的示例,请参阅[获取组 ID](deployments.md#api-get-group-id)。
1. 从输出中复制目标组的 `Id`。
1. 将角色与您的组关联。*group-id*替换为目标群组的 ID *role-arn* 和群组角色的 ARN。
```
aws greengrass associate-role-to-group --group-id group-id --role-arn role-arn
```
如果成功,将返回以下响应。
```
{
"AssociatedAt": "timestamp"
}
```
### 移除 Greengrass 组角色 (CLI)
请按照以下步骤解除组角色与您的 Greengrass 组的关联。
1. 从组列表中获取目标组的 ID。
```
aws greengrass list-groups
```
以下为 `list-groups` 响应示例。响应中的每个组都包括一个包含该组 ID 的 `Id` 属性。
```
{
"Groups": [
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE/versions/4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"Name": "MyFirstGroup",
"LastUpdatedTimestamp": "2019-11-11T05:47:31.435Z",
"LatestVersion": "4cbc3f07-fc5e-48c4-a50e-7d356EXAMPLE",
"CreationTimestamp": "2019-11-11T05:47:31.435Z",
"Id": "00dedaaa-ac16-484d-ad77-c3eedEXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/00dedaaa-ac16-484d-ad77-c3eedEXAMPLE"
},
{
"LatestVersionArn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE/versions/8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"Name": "GreenhouseSensors",
"LastUpdatedTimestamp": "2020-01-07T19:58:36.774Z",
"LatestVersion": "8fe9e8ec-64d1-4647-b0b0-01dc8EXAMPLE",
"CreationTimestamp": "2020-01-07T19:58:36.774Z",
"Id": "036ceaf9-9319-4716-ba2a-237f9EXAMPLE",
"Arn": "arn:aws:us-west-2:123456789012:/greengrass/groups/036ceaf9-9319-4716-ba2a-237f9EXAMPLE"
},
...
]
}
```
有关更多信息,包括使用 `query` 选项筛选结果的示例,请参阅[获取组 ID](deployments.md#api-get-group-id)。
1. 从输出中复制目标组的 `Id`。
1. 解除该角色与您的组的关联。*group-id*替换为目标群组的 ID。
```
aws greengrass disassociate-role-from-group --group-id group-id
```
如果成功,将返回以下响应。
```
{
"DisassociatedAt": "timestamp"
}
```
**注意**
如果未使用组角色,可以将其删除。先使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) 从角色中移除每个托管的策略,然后使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) 删除该角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
## 另请参阅
+ *IAM 用户指南*中的相关主题
+ [创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ [修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)
+ [添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)
+ AWS IoT Greengrass 命令*参考中的AWS CLI 命令*
+ [list-groups](https://docs.aws.amazon.com/cli/latest/reference/greengrass/list-groups.html)
+ [associate-role-to-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-role-to-group.html)
+ [disassociate-role-from-group](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-role-from-group.html)
+ [get-associated-role](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-associated-role.html)
+ *AWS CLI 命令参考*中的 IAM 命令
+ [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)
# 防止跨服务混淆代理
混淆代理问题是一个安全性问题,即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务,使用其权限以在其他情况下该服务不应有访问权限的方式对另一个客户的资源进行操作。为防止这种情况, AWS 提供可帮助您保护所有服务的数据的工具,而这些服务中的服务主体有权限访问账户中的资源。
我们建议在资源策略中使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全局条件上下文密钥来限制为资源 AWS IoT Greengrass 提供其他服务的权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,`aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户必须使用相同的账户 ID。
`aws:SourceArn` 的值必须是与 `sts:AssumeRole` 请求关联的 Greengrass 客户资源。
防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果不知道资源的完整 ARN,或者正在指定多个资源,请针对 ARN 未知部分使用带有通配符(`*`)的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws:greengrass:region:account-id:*`。
有关使用 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键的策略示例,请参阅以下主题:
+ [创建 Greengrass 服务角色](service-role.md#create-service-role)
+ [创建 Greengrass 组角色](group-role.md#create-group-role)
+ [创建并配置 IAM 执行角色用于批量部署](bulk-deploy-cli.md#bulk-deploy-cli-create-role)
# 基于身份的策略示例 AWS IoT Greengrass
默认情况下,IAM 用户和角色没有创建或修改 AWS IoT Greengrass 资源的权限。他们也无法使用 AWS 管理控制台 AWS CLI、或 AWS API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
## 策略最佳实践
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 AWS IoT Greengrass 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定 AWS 服务的(例如)使用的,则也可以使用条件来授予对服务操作的访问权限 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## AWS 的托管策略 AWS IoT Greengrass
AWS IoT Greengrass 维护以下 AWS 托管策略,您可以使用这些策略向 IAM 用户和角色授予权限。
| 策略 | 说明 |
| --- | --- |
| [AWSGreengrassFullAccess](https://console.aws.amazon.com/iam/home?region=us-west-2#/policies/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSGreengrassFullAccess) | 允许对您的所有 AWS 资源执行所有 AWS IoT Greengrass 操作。建议 AWS IoT Greengrass [服务管理员](security-iam.md#security_iam_audience)或出于测试目的使用此政策。 |
| [ AWSGreengrassReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-west-2#/policies/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSGreengrassReadOnlyAccess) | 允许`List`和`Get` AWS IoT Greengrass 操作您的所有 AWS 资源。 |
| [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home?region=us-west-2#/policies/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2Fservice-role%2FAWSGreengrassResourceAccessRolePolicy) | 允许访问包括 AWS Lambda 和 Dev AWS IoT ice Shadow 在内的 AWS 服务的资源。这是用于 [Greengrass 服务角色](service-role.md)的默认策略。\$1本策略旨在提供一般的访问便捷性。您可以定义限制性更强的自定义策略。 |
| [Greengrass OTAUpdate ArtifactAccess](https://console.aws.amazon.com/iam/home?region=us-west-2#/policies/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2Fservice-role%2FGreengrassOTAUpdateArtifactAccess) | 允许对所有 AWS IoT Greengrass AWS 区域核心软件的 over-the-air (OTA) 更新工件进行只读访问。 |
## 策略示例
以下客户定义的策略示例可为常见方案授予权限。
**Topics**
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅《*IAM 用户指南*》中的[在 JSON 选项卡上创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
### 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 对的身份和访问问题进行故障排除 AWS IoT Greengrass
使用以下信息来帮助您诊断和修复在使用 AWS IoT Greengrass 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在以下位置执行操作 AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [错误:未授权 Greengrass 担任与该账户相关的服务角色,或错误:失败:TES 服务角色未与此账户关联。](#troubleshoot-assume-service-role)
+ [错误:在试图使用角色 arn:aws:iam:::role/ 访问 s3 url https://-greengrass-updates.s3..amazonaws.com/core//greengrass-core-.tar.gz 时权限被拒绝。](#troubleshoot-ota-region-access)
+ [设备影子未与云同步。](#troubleshoot-shadow-sync)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我是一名管理员,想允许其他人访问 AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [我想允许我以外的人 AWS 账户 访问我的 AWS IoT Greengrass 资源](#security_iam_troubleshoot-cross-account-access)
有关一般故障排除帮助,请参阅[故障排除 AWS IoT Greengrass](gg-troubleshooting.md)。
## 我无权在以下位置执行操作 AWS IoT Greengrass
如果您收到错误消息,提示您无权执行操作,必须联系您的管理员寻求帮助。您的管理员是指为您提供用户名和密码的那个人。
当 `mateojackson` IAM用户尝试查看有关核心定义版本的详细信息,但不具备 `greengrass:GetCoreDefinitionVersion` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDefinitionVersion on resource: resource: arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `greengrass:GetCoreDefinitionVersion` 操作访问 `arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE` 资源。
## 错误:未授权 Greengrass 担任与该账户相关的服务角色,或错误:失败:TES 服务角色未与此账户关联。
**解决方案:**当部署失败时,您可能会看到此错误。检查 Greengrass 服务角色是否与您在当前 AWS 区域中的 AWS 账户 相关联。有关更多信息,请参阅 [管理 Greengrass 服务角色 (CLI)](service-role.md#manage-service-role-cli)或 [管理 Greengrass 服务角色(控制台)](service-role.md#manage-service-role-console)。
## 错误:在试图使用角色 arn:aws:iam:::role/ 访问 s3 url https://-greengrass-updates.s3..amazonaws.com/core//greengrass-core-.tar.gz 时权限被拒绝。
**解决方案:**当 over-the-air (OTA) 更新失败时,您可能会看到此错误。在签署人角色策略中,将目标 AWS 区域 添加为 `Resource`。此签名者角色用于预签名 AWS IoT Greengrass 软件更新的 S3 URL。有关更多信息,请参阅 [S3 URL 签署人角色](core-ota-update.md#s3-url-signer-role)。
## 设备影子未与云同步。
**解决方案:**确保该角色 AWS IoT Greengrass 具有 [Greengrass](service-role.md) 服务角色的权限`iot:UpdateThingShadow`和`iot:GetThingShadow`操作。如果服务角色使用 `AWSGreengrassResourceAccessRolePolicy` 托管策略,则在默认情况下包含这些权限。
请参阅[影子同步超时问题排查](gg-troubleshooting.md#troubleshooting-shadow-sync)。
以下是您在使用 AWS IoT Greengrass时可能会遇到的一般 IAM 问题。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给。 AWS IoT Greengrass
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 AWS IoT Greengrass中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我是一名管理员,想允许其他人访问 AWS IoT Greengrass
要允许其他人访问 AWS IoT Greengrass,您必须向需要访问的人员或应用程序授予权限。如果使用 AWS IAM Identity Center 管理人员和应用程序,则可以向用户或组分配权限集来定义其访问权限级别。权限集会自动创建 IAM 策略并将其分配给与人员或应用程序关联的 IAM 角色。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
如果未使用 IAM Identity Center,则必须为需要访问的人员或应用程序创建 IAM 实体(用户或角色)。然后,您必须将策略附加到实体,以便在 AWS IoT Greengrass中向其授予正确的权限。授予权限后,向用户或应用程序开发人员提供凭证。他们将使用这些凭证访问 AWS。要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 我想允许我以外的人 AWS 账户 访问我的 AWS IoT Greengrass 资源
您可以创建一个 IAM 角色,其他账户中的用户或组织以外的人员可以使用该角色来访问您的 AWS 资源。您可以指定谁值得信赖,可以带入角色。有关更多信息,请参阅 [IAM 用户指南中的向您拥有的另一个 AWS 账户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM 用户提供访问权限和提供第三方拥有的 A* [mazon Web Services 账户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)的访问权限。
AWS IoT Greengrass 不支持基于资源的策略或访问控制列表 () ACLs 的跨账户访问。