本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 OTA 更新服務角色
<a name="create-service-role"></a>

OTA 更新服務會擔任此角色，以代表您建立和管理 OTA 更新任務。<a name="create-service-role-steps"></a>

**建立 OTA 服務角色**

1. 登入 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 從導覽窗格中，選擇 **Roles (角色)**。

1. 選擇建**立角色**。

1. 在**選取可信任執行個體類型**下，選取 **AWS 服務**。

1. 從 AWS 服務清單中選擇 **IoT**。

1. 在 **Select your use case (選取您的使用案例)** 下，選擇 **IoT**。

1. 選擇 **Next: Permissions (下一步：許可)**。

1. 選擇 **Next: Tags (下一步：標籤)**。

1. 選擇下**一步：檢閱**。

1. 輸入角色名稱和說明，然後選擇 **Create role (建立角色)**。

如需 IAM 角色的詳細資訊，請參閱 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。

**重要**  
若要解決混淆代理人安全問題，您必須遵循[AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/cross-service-confused-deputy-prevention.html)指南中的指示。<a name="add-ota-permissions"></a>

**將 OTA 更新許可新增到您的 OTA 服務角色**

1. 在 IAM 主控台頁面上的搜尋方塊中，輸入角色的名稱，然後從清單中選擇。

1. 選擇**連接政策**。

1. 在 **Search (搜尋)** 方塊中，輸入 "AmazonFreeRTOSOTAUpdate"，從篩選政策清單中選取 **AmazonFreeRTOSOTAUpdate**，然後選擇 **Attach policy (連接政策)** 將該政策連接至您的服務角色。<a name="add-iam-permissions"></a>

**將必要的 IAM 許可新增至 OTA 服務角色**

1. 在 IAM 主控台頁面上的搜尋方塊中，輸入角色的名稱，然後從清單中選擇。

1. 選擇**新增內嵌政策**。

1. 選擇 **JSON** 標籤。

1. 將下列政策文件複製並貼入文字方塊：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "iam:GetRole",
                   "iam:PassRole"
               ],
               "Resource": "arn:aws:iam::111122223333:role/your_role_name"
           }
       ]
   }
   ```

------

   請務必*將 your\$1account\$1id* 取代為 AWS 您的帳戶 ID，並將 *your\$1role\$1name* 取代為 OTA 服務角色的名稱。

1. 選擇**檢閱政策**。

1. 輸入政策名稱，然後選擇 **Create policy (建立政策)**。

**注意**  
如果您的 Amazon S3 儲存貯體名稱以 "afr-ota" 開頭，則不需要下列程序。如果這樣做， AWS 受管政策`AmazonFreeRTOSOTAUpdate`已包含必要的許可。<a name="add-s3-permissions"></a>

****將所需的 Amazon S3 許可新增至 OTA 服務角色****

1. 在 IAM 主控台頁面上的搜尋方塊中，輸入角色的名稱，然後從清單中選擇。

1. 選擇**新增內嵌政策**。

1. 選擇 **JSON** 標籤。

1. 將下列政策文件複製並貼入方塊。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObjectVersion",
                   "s3:GetObject",
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::example-bucket/*"
               ]
           }
       ]
   }
   ```

------

   此政策授予您的 OTA 服務角色讀取 Amazon S3 物件的許可。確保您將 *example-bucket* 取代為儲存貯體的名稱。

1. 選擇**檢閱政策**。

1. 輸入政策名稱，然後選擇 **Create policy (建立政策)**。