本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 AWS IoT Greengrass 与 IAM 配合使用
在使用 IAM 管理访问权限之前 AWS IoT Greengrass,您应该了解可与之配合使用的 IAM 功能 AWS IoT Greengrass。
| IAM 功能 | Greengrass 支持吗? |
| --- | --- |
| [具有资源级权限的基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [访问控制列表 (ACLs)](#security_iam_service-with-iam-acls) | 否 |
| [基于标签的授权](#security_iam_service-with-iam-tags) | 是 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 否 |
| [服务角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
有关其他 AWS 服务如何与 IAM 配合使用的高级视图,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 基于身份的策略 AWS IoT Greengrass
借助 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及允许或拒绝操作的条件。 AWS IoT Greengrass 支持特定的操作、资源和条件键。要了解您在策略中使用的所有元素,请参阅 *IAM 用户指南*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
策略操作在操作前 AWS IoT Greengrass 使用`greengrass:`前缀。例如,要允许某人使用 `ListCoreDevices` API 操作列出其中的核心设备 AWS 账户,您可以将该`greengrass:ListCoreDevices`操作包含在他们的策略中。策略声明必须包含`Action`或`NotAction`元素。 AWS IoT Greengrass 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项操作,请在方括号 (`[` `]`) 中列出这些操作,并用逗号将它们分隔开,如下所示:
```
"Action": [
"greengrass:action1",
"greengrass:action2",
"greengrass:action3"
]
```
您可以使用通配符 (`*`) 指定多个操作。例如,要指定以单词 `List` 开头的所有操作,包括以下操作:
```
"Action": "greengrass:List*"
```
**注意**
我们建议您避免使用通配符来指定服务的所有可用操作。最佳做法是,您应在策略中授予最低特权和范围狭窄的权限。有关更多信息,请参阅 [授予可能的最低权限](security-best-practices.md#least-privilege)。
有关 AWS IoT Greengrass 操作的完整列表,请参阅 *IAM 用户指南 AWS IoT Greengrass*中的[定义操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
下表 ARNs 包含可在策略声明`Resource`元素中使用的 AWS IoT Greengrass 资源。有关 AWS IoT Greengrass 操作支持的资源级权限的映射,请参阅 *IAM 用户*指南 AWS IoT Greengrass中[定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)。
某些 AWS IoT Greengrass 操作(例如,某些列表操作)无法对特定资源执行。在这种情况下,您必须单独使用通配符。
```
"Resource": "*"
```
要在语句 ARNs 中指定多个资源,请将它们列在方括号 (`[``]`) 之间,并用逗号分隔,如下所示:
```
"Resource": [
"resource-arn1",
"resource-arn2",
"resource-arn3"
]
```
有关 ARN 格式的更多信息,请参阅中的 A [mazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。*Amazon Web Services 一般参考*
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看 AWS IoT Greengrass 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
## 基于资源的政策 AWS IoT Greengrass
AWS IoT Greengrass 不支持[基于资源的策略](security-iam.md#security_iam_access-manage-resource-based-policies)。
## 访问控制列表 (ACLs)
AWS IoT Greengrass 不支持[ACLs](security-iam.md#security_iam_access-manage-acl)。
## 基于 AWS IoT Greengrass 标签的授权
您可以将标签附加到支持的 AWS IoT Greengrass 资源,也可以在请求中传递标签 AWS IoT Greengrass。要基于标签控制访问,您需要使用 `aws:ResourceTag/${TagKey}`、`aws:RequestTag/${TagKey}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关更多信息,请参阅 [标记您的 AWS IoT Greengrass Version 2 资源](tag-resources.md)。
## 的 IAM 角色适用于 AWS IoT Greengrass
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 AWS 账户 中具有特定权限的实体。
### 将临时证书与 AWS IoT Greengrass
临时凭证可用于进行联合身份登录,代入 IAM 角色或代入跨账户角色。您可以调用 AWS STS API 操作(如[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) )以获取临时安全凭证。
在 Greengrass 核心上,[设备角色](device-service-role.md)的临时凭证可供 Greengrass 组件使用。如果您的组件使用 AWS SDK,则无需添加逻辑即可获取凭证,因为 AWS SDK 会为您执行此操作。
### 服务关联角色
AWS IoT Greengrass 不支持[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
AWS IoT Greengrass 核心设备使用服务角色允许 Greengrass 组件和 Lambda 函数代表您访问您的部分资源。 AWS 有关更多信息,请参阅 [授权核心设备与 AWS 服务交互](device-service-role.md)。
AWS IoT Greengrass 使用服务角色代表您访问您的部分 AWS 资源。有关更多信息,请参阅 [Greengrass 服务角色](greengrass-service-role.md)。