本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS IoT Greengrass
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 托管策略: AWSGreengrassFullAccess](#aws-managed-policies-AWSGreengrassFullAccess)
+ [AWS 托管策略: AWSGreengrassReadOnlyAccess](#aws-managed-policies-AWSGreengrassReadOnlyAccess)
+ [AWS 托管策略: AWSGreengrassResourceAccessRolePolicy](#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)
+ [AWS IoT Greengrass AWS 托管策略的更新](#aws-managed-policy-updates)
## AWS 托管策略: AWSGreengrassFullAccess
您可以将 `AWSGreengrassFullAccess` 策略附加到 IAM 身份。
此策略授予管理权限,允许主体完全访问所有 AWS IoT Greengrass 操作。
**权限详细信息**
该策略包含以下权限:
+ `greengrass`:允许主体完全访问所有 AWS IoT Greengrass 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSGreengrassReadOnlyAccess
您可以将 `AWSGreengrassReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予只读权限,允许主体查看 AWS IoT Greengrass中的信息,但无法修改。例如,拥有这些权限的主体可以查看部署到 Greengrass 核心设备的组件列表,但无法创建部署以更改在该设备上运行的组件。
**权限详细信息**
该策略包含以下权限:
+ `greengrass` - 允许主体执行返回项目列表或项目详细信息的操作。这包括以 `List` 或 `Get` 开头的 API 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSGreengrassResourceAccessRolePolicy
您可以将该`AWSGreengrassResourceAccessRolePolicy`策略附加到您的 IAM 实体。 AWS IoT Greengrass 还将此策略附加 AWS IoT Greengrass 到允许代表您执行操作的服务角色。有关更多信息,请参阅 [Greengrass 服务角色](greengrass-service-role.md)。
此策略授予管理权限, AWS IoT Greengrass 允许执行基本任务,例如检索您的 Lambda 函数、 AWS IoT 管理设备影子和验证 Greengrass 客户端设备。
**权限详细信息**
该策略包含以下权限。
+ `greengrass` – 管理 Greengrass 资源。
+ `iot`(`*Shadow`)-管理名称中包含以下特殊标识符的 AWS IoT 阴影。 AWS IoT Greengrass 需要这些权限才能与核心设备通信。
+ `*-gci`— AWS IoT Greengrass 使用此影子存储核心设备连接信息,以便客户端设备可以发现并连接到核心设备。
+ `*-gcm`— AWS IoT Greengrass V1 使用此影子通知核心设备 Greengrass 组的证书颁发机构 (CA) 证书已轮换。
+ `*-gda`— AWS IoT Greengrass V1 使用此影子将部署通知核心设备。
+ `GG_*` – 未使用。
+ `iot`(`DescribeThing`和`DescribeCertificate`)-检索有关 AWS IoT 事物和证书的信息。这些权限是必需的,这样 AWS IoT Greengrass 才能验证连接到核心设备的客户端设备。有关更多信息,请参阅 [与本地 IoT 设备交互](interact-with-local-iot-devices.md)。
+ `lambda`— 检索有关 AWS Lambda 函数的信息。需要此权限才能让 AWS IoT Greengrass V1 能够将 Lambda 函数部署到 Greengrass 内核。有关更多信息,请参阅 *AWS IoT Greengrass V1* 开发人员指南中的在[AWS IoT Greengrass 核心上运行 Lambda 函数](https://docs.aws.amazon.com/greengrass/v1/developerguide/lambda-functions.html)。
+ `secretsmanager`— 检索名称以开头的 AWS Secrets Manager 机密的值`greengrass-`。 AWS IoT Greengrass V1 需要此权限才能将 Secrets Manager 机密部署到 Greengrass 内核。有关更多信息,请参阅 *AWS IoT Greengrass V1 开发人员指南*[中的将密钥部署到内 AWS IoT Greengrass 核](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html)。
+ `s3` – 从名称包含 `greengrass` 或 `sagemaker` 的 S3 存储桶中检索文件对象。这些权限是必需的,这样 AWS IoT Greengrass V1 才能部署您存储在 S3 存储桶中的机器学习资源。有关更多信息,请参阅《*AWS IoT Greengrass V1 开发者指南*》中的[机器学习资源](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html#ml-resources)。
+ `sagemaker`— 检索有关 Amazon SageMaker AI 机器学习推理模型的信息。 AWS IoT Greengrass V1 需要此权限才能将机器学习模型部署到 Greengrass 内核。有关更多信息,请参阅《*AWS IoT Greengrass V1 开发者*指南》中的[执行机器学习推理](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}
```
------
## AWS IoT Greengrass AWS 托管策略的更新
您可以查看自该服务开始跟踪这些更改之时 AWS IoT Greengrass 起的 AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提醒,请在 [AWS IoT Greengrass V2 文档历史记录页面](document-history.md)上订阅 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| AWS IoT Greengrass 已开始跟踪更改 | AWS IoT Greengrass 开始跟踪其 AWS 托管策略的更改。 | 2021 年 7 月 2 日 |