本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS IoT 機群佈建安裝 AWS IoT Greengrass 核心軟體
此功能適用於 [Greengrass 核元件](greengrass-nucleus-component.md)的 v2.4.0 和更新版本。
透過機 AWS IoT 群佈建,您可以設定 AWS IoT AWS IoT ,在裝置第一次連線到 時,產生並安全地將 X.509 裝置憑證和私有金鑰交付至您的裝置。 AWS IoT 提供由 Amazon 根憑證授權單位 (CA) 簽署的用戶端憑證。您也可以設定 AWS IoT 來指定您使用機群佈建佈建的 Greengrass 核心裝置的物件群組、物件類型和許可。您可以定義*佈建範本*,以定義 如何 AWS IoT 佈建每個裝置。佈建範本會指定佈建時要為裝置建立的物件、政策和憑證資源。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[佈建範本](https://docs.aws.amazon.com/iot/latest/developerguide/provision-template.html)。
AWS IoT Greengrass 提供機 AWS IoT 群佈建外掛程式,可讓您使用機 AWS IoT 群佈建建立 AWS 的資源來安裝 AWS IoT Greengrass Core 軟體。機群佈建外掛程式會*依宣告使用佈建*。裝置使用佈建宣告憑證和私有金鑰來取得可用於一般操作的唯一 X.509 裝置憑證和私有金鑰。您可以在製造期間將宣告憑證和私有金鑰嵌入每個裝置,讓您的客戶稍後可以在每個裝置上線時啟用裝置。您可以針對多個裝置使用相同的宣告憑證和私有金鑰。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[依宣告佈建](https://docs.aws.amazon.com/iot/latest/developerguide/provision-wo-cert.html#claim-based)。
**注意**
機群佈建外掛程式目前不支援在硬體安全模組 (HSM) 中存放私有金鑰和憑證檔案。若要使用 HSM,[請使用手動佈建安裝 AWS IoT Greengrass 核心軟體](manual-installation.md)。
若要使用機 AWS IoT 群佈建安裝 AWS IoT Greengrass 核心軟體,您必須在 中設定 AWS IoT AWS 帳戶 用來佈建 Greengrass 核心裝置的資源。這些資源包括佈建範本、宣告憑證和[字符交換 IAM 角色](device-service-role.md)。建立這些資源之後,您可以重複使用這些資源,在機群中佈建多個核心裝置。如需詳細資訊,請參閱[設定 Greengrass 核心裝置的 AWS IoT 機群佈建](fleet-provisioning-setup.md)。
**重要**
下載 AWS IoT Greengrass Core 軟體之前,請檢查您的核心裝置是否符合安裝和執行 AWS IoT Greengrass Core 軟體 v2.0 [的需求](greengrass-nucleus-component.md#greengrass-v2-requirements)。
**Topics**
+ [先決條件](#fleet-provisioning-prerequisites)
+ [擷取 AWS IoT 端點](#retrieve-iot-endpoints)
+ [下載憑證至裝置](#download-claim-certificates)
+ [設定裝置環境](#set-up-device-environment)
+ [下載 AWS IoT Greengrass 核心軟體](#download-greengrass-core-v2)
+ [下載 AWS IoT 機群佈建外掛程式](#download-fleet-provisioning-plugin)
+ [安裝 AWS IoT Greengrass 核心軟體](#run-greengrass-core-v2-installer-fleet)
+ [設定 Greengrass 核心裝置的 AWS IoT 機群佈建](fleet-provisioning-setup.md)
+ [設定 AWS IoT 機群佈建外掛程式](fleet-provisioning-configuration.md)
+ [AWS IoT 機群佈建外掛程式 changelog](fleet-provisioning-changelog.md)
## 先決條件
若要使用機 AWS IoT 群佈建安裝 AWS IoT Greengrass 核心軟體,您必須先[為 Greengrass 核心裝置設定 AWS IoT 機群佈建](fleet-provisioning-setup.md)。完成這些步驟一次後,您可以使用機群佈建,在任何數量的裝置上安裝 AWS IoT Greengrass Core 軟體。
## 擷取 AWS IoT 端點
取得 的 AWS IoT 端點 AWS 帳戶,並儲存它們以供稍後使用。您的裝置會使用這些端點來連線 AWS IoT。請執行下列操作:
1. 取得 AWS IoT 的資料端點 AWS 帳戶。
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
如果請求成功,回應看起來與下列範例類似。
```
{
"endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
1. 取得 的 AWS IoT 登入資料端點 AWS 帳戶。
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
如果請求成功,回應看起來與下列範例類似。
```
{
"endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
## 下載憑證至裝置
裝置使用宣告憑證和私有金鑰來驗證其佈建 AWS 資源和取得 X.509 裝置憑證的請求。您可以在製造期間將宣告憑證和私有金鑰嵌入裝置,或在安裝期間將憑證和金鑰複製到裝置。在本節中,您將宣告憑證和私有金鑰複製到裝置。您也可以將 Amazon 根憑證授權機構 (CA) 憑證下載到裝置。
**重要**
佈建宣告私有金鑰應隨時受到保護,包括在 Greengrass 核心裝置上。我們建議您使用 Amazon CloudWatch 指標和日誌來監控是否有濫用跡象,例如未經授權使用宣告憑證來佈建裝置。如果您偵測到濫用,請停用佈建宣告憑證,使其無法用於裝置佈建。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[監控 AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html)。
為了協助您更有效管理裝置數量,以及在 中自行註冊的裝置 AWS 帳戶,您可以在建立機群佈建範本時指定預先佈建掛鉤。預先佈建掛鉤是一種 AWS Lambda 函數,可驗證裝置在註冊期間提供的範本參數。例如,您可以建立預先佈建掛鉤,檢查資料庫的裝置 ID,以確認裝置具有佈建的許可。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[預先佈建掛](https://docs.aws.amazon.com/iot/latest/developerguide/pre-provisioning-hook.html)鉤。
**將宣告憑證下載至裝置**
1. 將宣告憑證和私有金鑰複製到裝置。如果在開發電腦和裝置上啟用 SSH 和 SCP,您可以使用開發電腦上的 `scp`命令來傳輸宣告憑證和私有金鑰。下列範例命令`claim-certs`會將開發電腦上名為 的資料夾傳輸至裝置。將 *device-ip-address* 取代為您裝置的 IP 地址。
```
scp -r claim-certs/ device-ip-address:~
```
1. 在裝置上建立 Greengrass 根資料夾。您稍後會將 AWS IoT Greengrass 核心軟體安裝到此資料夾。
**注意**
Windows 的路徑長度限制為 260 個字元。如果您使用的是 Windows,請使用根資料夾,例如 `C:\greengrass\v2`或 `D:\greengrass\v2` ,將 Greengrass 元件路徑保持在 260 個字元限制以下。
------
#### [ Linux or Unix ]
+ `/greengrass/v2` 將 取代為要使用的資料夾。
```
sudo mkdir -p /greengrass/v2
```
------
#### [ Windows Command Prompt ]
+ 將 *C:\$1greengrass\$1v2* 取代為要使用的資料夾。
```
mkdir C:\greengrass\v2
```
------
#### [ PowerShell ]
+ 將 *C:\$1greengrass\$1v2* 取代為要使用的資料夾。
```
mkdir C:\greengrass\v2
```
------
1. (僅限 Linux) 設定 Greengrass 根資料夾父項的許可。
+ 將 */greengrass* 取代為根資料夾的父系。
```
sudo chmod 755 /greengrass
```
1. 將宣告憑證移至 Greengrass 根資料夾。
+ 將 `/greengrass/v2`或 *C:\$1greengrass\$1v2* 取代為 Greengrass 根資料夾。
------
#### [ Linux or Unix ]
```
sudo mv ~/claim-certs /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
move %USERPROFILE%\claim-certs C:\greengrass\v2
```
------
#### [ PowerShell ]
```
mv -Path ~\claim-certs -Destination C:\greengrass\v2
```
------
1. 根據預設,下載 Amazon 根憑證授權機構 (CA) certificate. AWS IoT certificates 會與 Amazon 根憑證授權機構憑證相關聯。
------
#### [ Linux or Unix ]
```
sudo curl -o /greengrass/v2/AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -o C:\greengrass\v2\\AmazonRootCA1.pem https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
------
#### [ PowerShell ]
```
iwr -Uri https://www.amazontrust.com/repository/AmazonRootCA1.pem -OutFile C:\greengrass\v2\\AmazonRootCA1.pem
```
------
## 設定裝置環境
請依照本節中的步驟設定 Linux 或 Windows 裝置,以用作您的 AWS IoT Greengrass 核心裝置。
### 設定 Linux 裝置
**設定 的 Linux 裝置 AWS IoT Greengrass V2**
1. 安裝執行 AWS IoT Greengrass 核心軟體所需的 Java 執行時間。我們建議您使用 [Amazon Corretto](https://aws.amazon.com/corretto/) 或 [OpenJDK](https://openjdk.java.net/) 長期支援版本。第 8 版或更新版本為必要項目。下列命令說明如何在裝置上安裝 OpenJDK。
+ 針對 Debian 為基礎或 Ubuntu 為基礎的發行版本:
```
sudo apt install default-jdk
```
+ 針對 Red Hat 為基礎的發行版本:
```
sudo yum install java-11-openjdk-devel
```
+ 針對 Amazon Linux 2:
```
sudo amazon-linux-extras install java-openjdk11
```
+ 針對 Amazon Linux 2023:
```
sudo dnf install java-11-amazon-corretto -y
```
安裝完成時,請執行下列命令來驗證 Java 是否在您的 Linux 裝置上執行。
```
java -version
```
命令會列印在裝置上執行的 Java 版本。例如,在 Debian 型分佈上,輸出看起來可能會類似下列範例。
```
openjdk version "11.0.9.1" 2020-11-04
OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
```
1. (選用) 建立在裝置上執行元件的預設系統使用者和群組。您也可以選擇讓 AWS IoT Greengrass Core 軟體安裝程式在安裝期間使用`--component-default-user`安裝程式引數建立此使用者和群組。如需詳細資訊,請參閱[安裝程式引數](configure-installer.md)。
```
sudo useradd --system --create-home ggc_user
sudo groupadd --system ggc_group
```
1. 確認執行 AWS IoT Greengrass 核心軟體的使用者 (通常為 `root`) 具有使用任何使用者和任何群組執行 `sudo` 的許可。
1. 執行下列命令以開啟 `/etc/sudoers` 檔案。
```
sudo visudo
```
1. 確認使用者的許可如下範例所示。
```
root ALL=(ALL:ALL) ALL
```
1. (選用) 若要[執行容器化 Lambda 函數](run-lambda-functions.md),您必須啟用 [cgroups](https://en.wikipedia.org/wiki/Cgroups) v1,而且必須啟用和掛載*記憶體*和*裝置* cgroups。如果您不打算執行容器化 Lambda 函數,您可以略過此步驟。
若要啟用這些 cgroups 選項,請使用下列 Linux 核心參數啟動裝置。
```
cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0
```
如需有關檢視和設定裝置核心參數的資訊,請參閱作業系統和開機載入器的文件。依照指示永久設定核心參數。
1. 在裝置上安裝所有其他必要的相依性,如 中的需求清單所示[裝置要求](greengrass-nucleus-component.md#greengrass-v2-requirements)。
### 設定 Windows 裝置
**注意**
此功能適用於 [Greengrass 核元件](greengrass-nucleus-component.md)的 v2.5.0 和更新版本。
**為 設定 Windows 裝置 AWS IoT Greengrass V2**
1. 安裝執行 AWS IoT Greengrass 核心軟體所需的 Java 執行時間。我們建議您使用 [Amazon Corretto](https://aws.amazon.com/corretto/) 或 [OpenJDK](https://openjdk.java.net/) 長期支援版本。第 8 版或更新版本為必要項目。
1. 檢查 [PATH](https://en.wikipedia.org/wiki/PATH_(variable)) 系統變數上是否提供 Java,如果沒有,請新增它。LocalSystem 帳戶會執行 AWS IoT Greengrass Core 軟體,因此您必須將 Java 新增至 PATH 系統變數,而不是使用者的 PATH 使用者變數。請執行下列操作:
1. 按 Windows 鍵開啟開始選單。
1. 輸入 **environment variables** 以從開始功能表搜尋系統選項。
1. 在開始功能表搜尋結果中,選擇**編輯系統環境變數**以開啟**系統屬性**視窗。
1. 選擇**環境變數...**以開啟**環境變數**視窗。
1. 在**系統變數**下,選取**路徑**,然後選擇**編輯**。在**編輯環境變數**視窗中,您可以檢視個別行上的每個路徑。
1. 檢查 Java 安裝`bin`資料夾的路徑是否存在。路徑看起來可能會類似下列範例。
```
C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
```
1. 如果**路徑**中缺少 Java 安裝的`bin`資料夾,請選擇**新增**以新增,然後選擇**確定**。
1. 以管理員身分開啟 Windows 命令提示字元 (`cmd.exe`)。
1. 在 Windows 裝置上的 LocalSystem 帳戶中建立預設使用者。將*密碼*取代為安全密碼。
```
net user /add ggc_user password
```
**提示**
根據您的 Windows 組態,使用者的密碼可能會設定為在未來的日期過期。為了確保您的 Greengrass 應用程式持續運作,請追蹤密碼過期的時間,並在過期前更新它。您也可以將使用者的密碼設定為永不過期。
若要檢查使用者及其密碼何時過期,請執行下列命令。
```
net user ggc_user | findstr /C:expires
```
若要將使用者的密碼設定為永不過期,請執行下列命令。
```
wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
```
如果您使用的是[`wmic`已棄用命令](https://learn.microsoft.com/en-us/windows/win32/wmisdk/wmic)的 Windows 10 或更新版本,請執行下列 PowerShell 命令。
```
Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
```
1. 從 Microsoft 在裝置上下載並安裝 [PsExec 公用程式](https://docs.microsoft.com/en-us/sysinternals/downloads/psexec)。
1. 使用 PsExec 公用程式,將預設使用者的使用者名稱和密碼存放在 LocalSystem 帳戶的 Credential Manager 執行個體中。將*密碼*取代為您先前設定的使用者密碼。
```
psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password
```
如果 **PsExec License Agreement** 開啟,請選擇 以**Accept**同意授權並執行 命令。
**注意**
在 Windows 裝置上,LocalSystem 帳戶會執行 Greengrass 核,而且您必須使用 PsExec 公用程式將預設使用者資訊存放在 LocalSystem 帳戶中。使用 Credential Manager 應用程式會將此資訊存放在目前登入使用者的 Windows 帳戶中,而不是 LocalSystem 帳戶。
## 下載 AWS IoT Greengrass 核心軟體
您可以從下列位置下載最新版本的 AWS IoT Greengrass Core 軟體:
+ [https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip](https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip)
**注意**
您可以從下列位置下載特定版本的 AWS IoT Greengrass 核心軟體。將*版本*取代為要下載的版本。
```
https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
```
**下載 AWS IoT Greengrass 核心軟體**
1. 在您的核心裝置上,將 AWS IoT Greengrass Core 軟體下載至名為 的檔案`greengrass-nucleus-latest.zip`。
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip
```
------
下載此軟體,即表示您同意 [Greengrass 核心軟體授權合約](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)之規定。
1. (選用) 驗證 Greengrass 核軟體簽章
**注意**
此功能適用於 Greengrass 核版本 2.9.5 及更新版本。
1. 使用下列命令來驗證 Greengrass 核子成品的簽章:
------
#### [ Linux or Unix ]
```
jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
檔案名稱看起來可能會有所不同,視您安裝的 JDK 版本而定。*`jdk17.0.6_10`* 將 取代為您安裝的 JDK 版本。
```
"C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
檔案名稱看起來可能會有所不同,視您安裝的 JDK 版本而定。*`jdk17.0.6_10`* 將 取代為您安裝的 JDK 版本。
```
'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
```
------
1. `jarsigner` 調用會產生輸出,指出驗證的結果。
1. 如果已簽署 Greengrass 核 zip 檔案,輸出會包含下列陳述式:
```
jar verified.
```
1. 如果 Greengrass 核 zip 檔案未簽署,輸出會包含下列陳述式:
```
jar is unsigned.
```
1. 如果您提供 Jarsigner `-certs`選項以及 `-verify`和 `-verbose`選項,輸出也會包含詳細的簽署者憑證資訊。
1. 將 AWS IoT Greengrass Core 軟體解壓縮至裝置上的資料夾。將 *GreengrassInstaller* 取代為您要使用的資料夾。
------
#### [ Linux or Unix ]
```
unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
```
------
#### [ Windows Command Prompt (CMD) ]
```
mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
```
------
#### [ PowerShell ]
```
Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller
rm greengrass-nucleus-latest.zip
```
------
1. (選用) 執行下列命令以查看 AWS IoT Greengrass 核心軟體版本。
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
**重要**
如果您安裝的 Greengrass 核版本早於 2.4.0 版,請勿在安裝 AWS IoT Greengrass 核心軟體之後移除此資料夾。Core AWS IoT Greengrass 軟體會使用此資料夾中的檔案來執行。
如果您下載最新版本的軟體,請安裝 v2.4.0 或更新版本,並在安裝 AWS IoT Greengrass Core 軟體後移除此資料夾。
## 下載 AWS IoT 機群佈建外掛程式
您可以從下列位置下載最新版本的 AWS IoT 機群佈建外掛程式:
+ [https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar](https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar)
**注意**
您可以從下列位置下載特定版本的 AWS IoT 機群佈建外掛程式。將*版本*取代為要下載的版本。如需每個機群佈建外掛程式版本的詳細資訊,請參閱 [AWS IoT 機群佈建外掛程式 changelog](fleet-provisioning-changelog.md)。
```
https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-version.jar
```
機群佈建外掛程式是開放原始碼。若要檢視其原始程式碼,請參閱 GitHub 上的[AWS IoT 機群佈建外掛程式](https://github.com/aws-greengrass/aws-greengrass-fleet-provisioning-by-claim)。
**下載 AWS IoT 機群佈建外掛程式**
+ 在您的裝置上,將 AWS IoT 機群佈建外掛程式下載至名為 的檔案`aws.greengrass.FleetProvisioningByClaim.jar`。將 *GreengrassInstaller* 取代為您要使用的資料夾。
------
#### [ Linux or Unix ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar > GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
```
------
#### [ Windows Command Prompt (CMD) ]
```
curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar > GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
```
------
#### [ PowerShell ]
```
iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/aws-greengrass-FleetProvisioningByClaim/fleetprovisioningbyclaim-latest.jar -OutFile GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar
```
------
下載此軟體,即表示您同意 [Greengrass 核心軟體授權合約](https://greengrass-release-license.s3.us-west-2.amazonaws.com/greengrass-license-v1.pdf)之規定。
## 安裝 AWS IoT Greengrass 核心軟體
使用指定下列動作的引數執行安裝程式:
+ 從指定使用機群佈建外掛程式佈建 AWS 資源的部分組態檔案安裝 。Core AWS IoT Greengrass 軟體使用組態檔案,指定裝置上每個 Greengrass 元件的組態。安裝程式會從您提供的部分組態檔案和機群佈建外掛程式建立 AWS 的資源建立完整的組態檔案。
+ 指定 以使用`ggc_user`系統使用者在核心裝置上執行軟體元件。在 Linux 裝置上,此命令也會指定 使用`ggc_group`系統群組,安裝程式會為您建立系統使用者和群組。
+ 將 AWS IoT Greengrass Core 軟體設定為開機時執行的系統服務。在 Linux 裝置上,這需要 [Systemd](https://en.wikipedia.org/wiki/Systemd) init 系統。
**重要**
在 Windows 核心裝置上,您必須將 AWS IoT Greengrass Core 軟體設定為系統服務。
如需可指定引數的詳細資訊,請參閱 [安裝程式引數](configure-installer.md)。
**注意**
如果您在記憶體有限的 AWS IoT Greengrass 裝置上執行 ,您可以控制 AWS IoT Greengrass Core 軟體使用的記憶體量。若要控制記憶體配置,您可以在核心元件的`jvmOptions`組態參數中設定 JVM 堆積大小選項。如需詳細資訊,請參閱[使用 JVM 選項控制記憶體配置](configure-greengrass-core-v2.md#jvm-tuning)。
**安裝 AWS IoT Greengrass 核心軟體**
1. 檢查 AWS IoT Greengrass Core 軟體的版本。
+ 將 *GreengrassInstaller* 取代為包含軟體之資料夾的路徑。
```
java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
```
1. 使用文字編輯器來建立名為 的組態檔案`config.yaml`,以提供給安裝程式。
例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。
```
nano GreengrassInstaller/config.yaml
```
將下列 YAML 內容複製到 檔案。此部分組態檔案會指定機群佈建外掛程式的參數。如需您可以指定之選項的詳細資訊,請參閱 [設定 AWS IoT 機群佈建外掛程式](fleet-provisioning-configuration.md)。
------
#### [ Linux or Unix ]
```
---
services:
aws.greengrass.Nucleus:
version: "2.16.1"
aws.greengrass.FleetProvisioningByClaim:
configuration:
rootPath: "/greengrass/v2"
awsRegion: "us-west-2"
iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
iotCredentialEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
provisioningTemplate: "GreengrassFleetProvisioningTemplate"
claimCertificatePath: "/greengrass/v2/claim-certs/claim.pem.crt"
claimCertificatePrivateKeyPath: "/greengrass/v2/claim-certs/claim.private.pem.key"
rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
templateParameters:
ThingName: "MyGreengrassCore"
ThingGroupName: "MyGreengrassCoreGroup"
```
------
#### [ Windows ]
```
---
services:
aws.greengrass.Nucleus:
version: "2.16.1"
aws.greengrass.FleetProvisioningByClaim:
configuration:
rootPath: "C:\\greengrass\\v2"
awsRegion: "us-west-2"
iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
iotCredentialEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
provisioningTemplate: "GreengrassFleetProvisioningTemplate"
claimCertificatePath: "C:\\greengrass\\v2\\claim-certs\\claim.pem.crt"
claimCertificatePrivateKeyPath: "C:\\greengrass\\v2\\claim-certs\\claim.private.pem.key"
rootCaPath: "C:\\greengrass\\v2\\AmazonRootCA1.pem"
templateParameters:
ThingName: "MyGreengrassCore"
ThingGroupName: "MyGreengrassCoreGroup"
```
------
然後,執行下列動作:
+ 將 *2.16.1* 取代為 AWS IoT Greengrass 核心軟體版本。
+ 將 `/greengrass/v2`或 *C:\$1greengrass\$1v2* 的每個執行個體取代為 Greengrass 根資料夾。
**注意**
在 Windows 裝置上,您必須將路徑分隔符號指定為雙反斜線 (`\\`),例如 `C:\\greengrass\\v2`。
+ 將 *us-west-2* 取代為您建立佈建範本和其他資源 AWS 的區域。
+ 將 取代`iotDataEndpoint`為您的 AWS IoT 資料端點。
+ 將 取代`iotCredentialEndpoint`為您的 AWS IoT 登入資料端點。
+ 以字符交換角色別名的名稱取代 *GreengrassCoreTokenExchangeRoleAlias*。
+ 以機群佈建範本的名稱取代 *GreengrassFleetProvisioningTemplate*。
+ 將 取代`claimCertificatePath`為裝置上的宣告憑證路徑。
+ 將 取代`claimCertificatePrivateKeyPath`為裝置上的宣告憑證私有金鑰路徑。
+ 將範本參數 (`templateParameters`) 取代為用來佈建裝置的值。此範例是指定義 `ThingName`和 `ThingGroupName` 參數[的範例範本](fleet-provisioning-setup.md#example-fleet-provisioning-template)。
**注意**
在此組態檔案中,您可以自訂其他組態選項,例如要使用的連接埠和網路代理,如下列範例所示。如需詳細資訊,請參閱 [Greengrass 核組態](greengrass-nucleus-component.md#greengrass-nucleus-component-configuration)。
```
---
services:
aws.greengrass.Nucleus:
version: "2.16.1"
configuration:
mqtt:
port: 443
greengrassDataPlanePort: 443
networkProxy:
noProxyAddresses: "http://192.168.0.1,www.example.com"
proxy:
url: "http://my-proxy-server:1100"
username: "Mary_Major"
password: "pass@word1357"
aws.greengrass.FleetProvisioningByClaim:
configuration:
rootPath: "/greengrass/v2"
awsRegion: "us-west-2"
iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
iotCredentialEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
provisioningTemplate: "GreengrassFleetProvisioningTemplate"
claimCertificatePath: "/greengrass/v2/claim-certs/claim.pem.crt"
claimCertificatePrivateKeyPath: "/greengrass/v2/claim-certs/claim.private.pem.key"
rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
templateParameters:
ThingName: "MyGreengrassCore"
ThingGroupName: "MyGreengrassCoreGroup"
mqttPort: 443
proxyUrl: "http://my-proxy-server:1100"
proxyUserName: "Mary_Major"
proxyPassword: "pass@word1357"
```
```
---
services:
aws.greengrass.Nucleus:
version: "2.16.1"
configuration:
mqtt:
port: 443
greengrassDataPlanePort: 443
networkProxy:
noProxyAddresses: "http://192.168.0.1,www.example.com"
proxy:
url: "http://my-proxy-server:1100"
username: "Mary_Major"
password: "pass@word1357"
aws.greengrass.FleetProvisioningByClaim:
configuration:
rootPath: "C:\\greengrass\\v2"
awsRegion: "us-west-2"
iotDataEndpoint: "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
iotCredentialEndpoint: "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
iotRoleAlias: "GreengrassCoreTokenExchangeRoleAlias"
provisioningTemplate: "GreengrassFleetProvisioningTemplate"
claimCertificatePath: "C:\\greengrass\\v2\\claim-certs\\claim.pem.crt"
claimCertificatePrivateKeyPath: "C:\\greengrass\\v2\\claim-certs\\claim.private.pem.key"
rootCaPath: "C:\\greengrass\\v2\\AmazonRootCA1.pem"
templateParameters:
ThingName: "MyGreengrassCore"
ThingGroupName: "MyGreengrassCoreGroup"
mqttPort: 443
proxyUrl: "http://my-proxy-server:1100"
proxyUserName: "Mary_Major"
proxyPassword: "pass@word1357"
```
若要使用 HTTPS 代理,您必須使用 1.1.0 版或更新版本的機群佈建外掛程式。您必須另外在 `rootCaPath`下指定 `system`,如下列範例所示。
```
---
system:
rootCaPath: "/greengrass/v2/AmazonRootCA1.pem"
services:
...
```
```
---
system:
rootCaPath: "C:\\greengrass\\v2\\AmazonRootCA1.pem"
services:
...
```
1. 執行安裝程式。指定 `--trusted-plugin`以提供機群佈建外掛程式,並指定 `--init-config` 提供組態檔案。
+ `/greengrass/v2` 將 取代為 Greengrass 根資料夾。
+ 將 *GreengrassInstaller* 的每個執行個體取代為您解壓縮安裝程式的資料夾。
------
#### [ Linux or Unix ]
```
sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \
-jar ./GreengrassInstaller/lib/Greengrass.jar \
--trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar \
--init-config ./GreengrassInstaller/config.yaml \
--component-default-user ggc_user:ggc_group \
--setup-system-service true
```
------
#### [ Windows Command Prompt (CMD) ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^
-jar ./GreengrassInstaller/lib/Greengrass.jar ^
--trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar ^
--init-config ./GreengrassInstaller/config.yaml ^
--component-default-user ggc_user ^
--setup-system-service true
```
------
#### [ PowerShell ]
```
java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" `
-jar ./GreengrassInstaller/lib/Greengrass.jar `
--trusted-plugin ./GreengrassInstaller/aws.greengrass.FleetProvisioningByClaim.jar `
--init-config ./GreengrassInstaller/config.yaml `
--component-default-user ggc_user `
--setup-system-service true
```
------
**重要**
在 Windows 核心裝置上,您必須指定 `--setup-system-service true`將 AWS IoT Greengrass Core 軟體設定為系統服務。
如果您指定 `--setup-system-service true`,安裝程式會在設定並執行軟體做為系統服務`Successfully set up Nucleus as a system service`時列印。否則,如果安裝程式成功安裝軟體,就不會輸出任何訊息。
**注意**
當您在沒有 `deploy-dev-tools`引數的情況下執行安裝程式時,無法使用 `--provision true`引數來部署本機開發工具。如需直接在您的裝置上部署 Greengrass CLI 的資訊,請參閱 [Greengrass 命令列界面](gg-cli.md)。
1. 透過檢視根資料夾中的檔案來驗證安裝。
------
#### [ Linux or Unix ]
```
ls /greengrass/v2
```
------
#### [ Windows Command Prompt (CMD) ]
```
dir C:\greengrass\v2
```
------
#### [ PowerShell ]
```
ls C:\greengrass\v2
```
------
如果安裝成功,根資料夾會包含數個資料夾,例如 `config`、 `packages`和 `logs`。
如果您將 AWS IoT Greengrass Core 軟體安裝為系統服務,安裝程式會為您執行軟體。否則,您必須手動執行軟體。如需詳細資訊,請參閱[執行 AWS IoT Greengrass 核心軟體](run-greengrass-core-v2.md)。
如需如何設定和使用軟體和 的詳細資訊 AWS IoT Greengrass,請參閱以下內容:
+ [設定 AWS IoT Greengrass 核心軟體](configure-greengrass-core-v2.md)
+ [開發 AWS IoT Greengrass 元件](develop-greengrass-components.md)
+ [將 AWS IoT Greengrass 元件部署至裝置](manage-deployments.md)
+ [Greengrass 命令列界面](gg-cli.md)
# 設定 Greengrass 核心裝置的 AWS IoT 機群佈建
若要[使用機群佈建安裝 AWS IoT Greengrass 核心軟體](fleet-provisioning.md),您必須先在 中設定下列資源 AWS 帳戶。這些資源可讓裝置向 註冊, AWS IoT 並以 Greengrass 核心裝置的形式運作。請遵循本節中的步驟,在 中建立和設定這些資源 AWS 帳戶。
+ 權杖交換 IAM 角色,核心裝置會使用該角色來授權對 AWS 服務的呼叫。
+ 指向字符交換角色 AWS IoT 的角色別名。
+ (選用) 政策,核心裝置會使用該 AWS IoT 政策來授權對 AWS IoT 和 AWS IoT Greengrass 服務的呼叫。此 AWS IoT 政策必須允許指向字符交換 AWS IoT 角色的角色別名`iot:AssumeRoleWithCertificate`許可。
您可以針對機群中的所有核心裝置使用單一 AWS IoT 政策,也可以設定機群佈建範本來為每個核心裝置建立 AWS IoT 政策。
+ AWS IoT 機群佈建範本。此範本必須指定下列項目:
+ 物件 AWS IoT 資源。您可以指定現有物件群組的清單,以便在元件上線時將元件部署到每個裝置。
+ AWS IoT 政策資源。此資源可以定義下列其中一個屬性:
+ 現有 AWS IoT 政策的名稱。如果您選擇此選項,則您從此範本建立的核心裝置會使用相同的 AWS IoT 政策,而且您可以以機群身分管理其許可。
+ AWS IoT 政策文件。如果您選擇此選項,您從此範本建立的每個核心裝置都會使用唯一的 AWS IoT 政策,而且您可以管理每個個別核心裝置的許可。
+ AWS IoT 憑證資源。此憑證資源必須使用 `AWS::IoT::Certificate::Id` 參數將憑證連接至核心裝置。如需詳細資訊,請參閱《 *AWS IoT 開發人員指南*》中的[Just-in-time佈建](https://docs.aws.amazon.com/iot/latest/developerguide/jit-provisioning.html)。
+ 機群 AWS IoT 佈建範本的佈建宣告憑證和私有金鑰。您可以在製造期間將此憑證和私有金鑰嵌入裝置,讓裝置可以在上線時自行註冊和佈建。
**重要**
佈建宣告私有金鑰應隨時受到保護,包括在 Greengrass 核心裝置上。我們建議您使用 Amazon CloudWatch 指標和日誌來監控是否有濫用跡象,例如未經授權使用宣告憑證來佈建裝置。如果您偵測到濫用,請停用佈建宣告憑證,使其無法用於裝置佈建。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[監控 AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html)。
為了協助您更有效管理在 中自行註冊的裝置數量和裝置 AWS 帳戶,您可以在建立機群佈建範本時指定預先佈建掛鉤。預先佈建掛鉤是一種 AWS Lambda 函數,可驗證裝置在註冊期間提供的範本參數。例如,您可以建立預先佈建掛鉤,檢查資料庫的裝置 ID,以確認裝置具有佈建的許可。如需詳細資訊,請參閱[《 開發人員指南》中的預先佈建掛](https://docs.aws.amazon.com/iot/latest/developerguide/pre-provisioning-hook.html)鉤。 *AWS IoT Core *
+ 您連接到佈建宣告憑證 AWS IoT 的政策,允許裝置註冊和使用機群佈建範本。
**Topics**
+ [建立權杖交換角色](#create-token-exchange-role)
+ [建立 AWS IoT 政策](#create-iot-policy)
+ [建立機群佈建範本](#create-provisioning-template)
+ [建立佈建宣告憑證和私有金鑰](#create-claim-certificates)
## 建立權杖交換角色
Greengrass 核心裝置使用稱為*字符交換角色的 IAM 服務角色*來授權呼叫 AWS 服務。裝置使用 AWS IoT 登入資料提供者取得此角色的臨時 AWS 登入資料,允許裝置與 互動 AWS IoT、將日誌傳送至 Amazon CloudWatch Logs,以及從 Amazon S3 下載自訂元件成品。如需詳細資訊,請參閱[授權核心裝置與 AWS 服務互動](device-service-role.md)。
您可以使用 AWS IoT *角色別名*來設定 Greengrass 核心裝置的字符交換角色。角色別名可讓您變更裝置的字符交換角色,但保持裝置的組態相同。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[授權直接呼叫 AWS 服務](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)。
在本節中,您會建立權杖交換 IAM 角色和指向角色 AWS IoT 的角色別名。如果您已經設定 Greengrass 核心裝置,您可以使用其權杖交換角色和角色別名,而不是建立新的權杖交換角色和角色別名。
**建立字符交換 IAM 角色**
1. 建立您的裝置可用作字符交換角色的 IAM 角色。請執行下列操作:
1. 建立檔案,其中包含權杖交換角色所需的信任政策文件。
例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。
```
nano device-role-trust-policy.json
```
將下列 JSON 複製到 檔案。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "credentials.iot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. 使用信任政策文件建立權杖交換角色。
+ 將 *GreengrassV2TokenExchangeRole* 取代為要建立的 IAM 角色名稱。
```
aws iam create-role --role-name GreengrassV2TokenExchangeRole --assume-role-policy-document file://device-role-trust-policy.json
```
如果請求成功,回應看起來與下列範例類似。
```
{
"Role": {
"Path": "/",
"RoleName": "GreengrassV2TokenExchangeRole",
"RoleId": "AROAZ2YMUHYHK5OKM77FB",
"Arn": "arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole",
"CreateDate": "2021-02-06T00:13:29+00:00",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "credentials.iot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
}
```
1. 建立檔案,其中包含字符交換角色所需的存取政策文件。
例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。
```
nano device-role-access-policy.json
```
將下列 JSON 複製到 檔案。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
**注意**
此存取政策不允許存取 S3 儲存貯體中的元件成品。若要部署定義 Amazon S3 中成品的自訂元件,您必須將許可新增至角色,以允許核心裝置擷取元件成品。如需詳細資訊,請參閱[允許存取元件成品的 S3 儲存貯體](device-service-role.md#device-service-role-access-s3-bucket)。
如果您還沒有元件成品的 S3 儲存貯體,您可以在建立儲存貯體之後新增這些許可。
1. 從政策文件中建立 IAM 政策。
+ 將 *GreengrassV2TokenExchangeRoleAccess* 取代為要建立的 IAM 政策名稱。
```
aws iam create-policy --policy-name GreengrassV2TokenExchangeRoleAccess --policy-document file://device-role-access-policy.json
```
如果請求成功,回應看起來與下列範例類似。
```
{
"Policy": {
"PolicyName": "GreengrassV2TokenExchangeRoleAccess",
"PolicyId": "ANPAZ2YMUHYHACI7C5Z66",
"Arn": "arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2021-02-06T00:37:17+00:00",
"UpdateDate": "2021-02-06T00:37:17+00:00"
}
}
```
1. 將 IAM 政策連接至字符交換角色。
+ 將 *GreengrassV2TokenExchangeRole* 取代為 IAM 角色的名稱。
+ 將政策 ARN 取代為您在上一個步驟中建立的 IAM 政策 ARN。
```
aws iam attach-role-policy --role-name GreengrassV2TokenExchangeRole --policy-arn arn:aws:iam::123456789012:policy/GreengrassV2TokenExchangeRoleAccess
```
如果請求成功,命令不會有任何輸出。
1. 建立指向字符交換 AWS IoT 角色的角色別名。
+ 以要建立的角色別名名稱取代 *GreengrassCoreTokenExchangeRoleAlias*。
+ 將角色 ARN 取代為您在上一個步驟中建立之 IAM 角色的 ARN。
```
aws iot create-role-alias --role-alias GreengrassCoreTokenExchangeRoleAlias --role-arn arn:aws:iam::123456789012:role/GreengrassV2TokenExchangeRole
```
如果請求成功,回應看起來與下列範例類似。
```
{
"roleAlias": "GreengrassCoreTokenExchangeRoleAlias",
"roleAliasArn": "arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
}
```
**注意**
若要建立角色別名,您必須具有傳遞字符交換 IAM 角色的許可 AWS IoT。如果您在嘗試建立角色別名時收到錯誤訊息,請檢查您的 AWS 使用者是否具有此許可。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[授予使用者將角色傳遞至 AWS 服務的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)。
## 建立 AWS IoT 政策
將裝置註冊為 AWS IoT 物件後,該裝置可以使用數位憑證進行身分驗證 AWS。此憑證包含一或多個政策,這些 AWS IoT 政策定義裝置可搭配憑證使用的許可。這些政策允許裝置與 AWS IoT 和 通訊 AWS IoT Greengrass。
透過機 AWS IoT 群佈建,裝置會連線至 AWS IoT 以建立和下載裝置憑證。在下一個區段中建立的機群佈建範本中,您可以指定是否將相同的 AWS IoT 政策 AWS IoT 連接到所有裝置的憑證,或為每個裝置建立新的政策。
在本節中,您會建立 AWS IoT 連接到所有裝置憑證 AWS IoT 的政策。透過此方法,您可以將所有裝置的許可管理為機群。如果您想要為每個裝置建立新的 AWS IoT 政策,您可以略過本節,並在定義機群範本時參考其中的政策。
**建立 AWS IoT 政策**
+ 建立 AWS IoT 政策來定義 Greengrass 核心裝置機群的 AWS IoT 許可。下列政策允許存取所有 MQTT 主題和 Greengrass 操作,因此您的裝置可以使用需要新 Greengrass 操作的自訂應用程式和未來變更。此政策也允許 `iot:AssumeRoleWithCertificate`許可,允許您的裝置使用您在上一節中建立的字符交換角色。您可以根據使用案例來限制此政策關閉。如需詳細資訊,請參閱[AWS IoT Greengrass V2 核心裝置的最低 AWS IoT 政策](device-auth.md#greengrass-core-minimal-iot-policy)。
請執行下列操作:
1. 建立檔案,其中包含 Greengrass 核心裝置所需的 AWS IoT 政策文件。
例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。
```
nano greengrass-v2-iot-policy.json
```
將下列 JSON 複製到 檔案。
+ 以您在上一節中建立 AWS IoT 的角色別名 ARN 取代`iot:AssumeRoleWithCertificate`資源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Publish",
"iot:Subscribe",
"iot:Receive",
"iot:Connect",
"greengrass:*"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iot:AssumeRoleWithCertificate",
"Resource": "arn:aws:iot:us-east-1:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias"
}
]
}
```
------
1. 從 AWS IoT 政策文件中建立政策。
+ 將 *GreengrassV2IoTThingPolicy* 取代為要建立的政策名稱。
```
aws iot create-policy --policy-name GreengrassV2IoTThingPolicy --policy-document file://greengrass-v2-iot-policy.json
```
如果請求成功,回應看起來與下列範例類似。
------
#### [ JSON ]
****
```
{
"policyName": "GreengrassV2IoTThingPolicy",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassV2IoTThingPolicy",
"policyDocument": "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Action\": [
\"iot:Publish\",
\"iot:Subscribe\",
\"iot:Receive\",
\"iot:Connect\",
\"greengrass:*\"
],
\"Resource\": [
\"*\"
]
},
{
\"Effect\": \"Allow\",
\"Action\": \"iot:AssumeRoleWithCertificate\",
\"Resource\": \"arn:aws:iot:us-west-2:123456789012:rolealias/GreengrassCoreTokenExchangeRoleAlias\"
}
]
}",
"policyVersionId": "1"
}
```
------
## 建立機群佈建範本
AWS IoT 機群佈建範本定義如何佈建 AWS IoT 物件、政策和憑證。若要使用機群佈建外掛程式佈建 Greengrass 核心裝置,您必須建立指定下列項目的範本:
+ 物件 AWS IoT 資源。您可以指定現有物件群組的清單,以便在元件上線時將元件部署到每個裝置。
+ AWS IoT 政策資源。此資源可以定義下列其中一個屬性:
+ 現有 AWS IoT 政策的名稱。如果您選擇此選項,您從此範本建立的核心裝置會使用相同的 AWS IoT 政策,而且您可以將其許可做為機群管理。
+ AWS IoT 政策文件。如果您選擇此選項,您從此範本建立的每個核心裝置都會使用唯一的 AWS IoT 政策,而且您可以管理每個個別核心裝置的許可。
+ AWS IoT 憑證資源。此憑證資源必須使用 `AWS::IoT::Certificate::Id` 參數將憑證連接至核心裝置。如需詳細資訊,請參閱《 *AWS IoT 開發人員指南*》中的[Just-in-time佈建](https://docs.aws.amazon.com/iot/latest/developerguide/jit-provisioning.html)。
在範本中,您可以指定 將 AWS IoT 物件新增至現有物件群組的清單。當核心裝置 AWS IoT Greengrass 第一次連線至 時,它會針對其成員所在的每個物件群組接收 Greengrass 部署。您可以使用物件群組,在裝置上線後立即將最新的軟體部署到每個裝置。如需詳細資訊,請參閱[將 AWS IoT Greengrass 元件部署至裝置](manage-deployments.md)。
在佈建裝置 AWS 帳戶 時, AWS IoT 服務需要許可,才能在 中建立和更新 AWS IoT 資源。若要授予 AWS IoT 服務存取權,您可以建立 IAM 角色,並在建立範本時提供該角色。 AWS IoT 提供受管政策 [AWSIoTThingsRegistration](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTThingsRegistration),允許存取佈建裝置時 AWS IoT 可能使用的所有許可。您可以使用此受管政策,或建立自訂政策,針對您的使用案例縮小受管政策中的許可範圍。
在本節中,您會建立允許 AWS IoT 佈建裝置資源的 IAM 角色,並建立使用該 IAM 角色的機群佈建範本。
**建立機群佈建範本**
1. 建立 AWS IoT 可在 中佈建資源的 IAM 角色 AWS 帳戶。請執行下列操作:
1. 建立檔案,其中包含允許 AWS IoT 擔任角色的信任政策文件。
例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。
```
nano aws-iot-trust-policy.json
```
將下列 JSON 複製到 檔案。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "iot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 使用信任政策文件建立 IAM 角色。
+ 將 *GreengrassFleetProvisioningRole* 取代為要建立的 IAM 角色名稱。
```
aws iam create-role --role-name GreengrassFleetProvisioningRole --assume-role-policy-document file://aws-iot-trust-policy.json
```
如果請求成功,回應看起來與下列範例類似。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect",
"iot:Publish",
"iot:Subscribe",
"iot:Receive"
],
"Resource": "*"
}
]
}
```
------
1. 檢閱 [AWSIoTThingsRegistration](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSIoTThingsRegistration) 政策,允許存取佈建裝置時 AWS IoT 可能使用的所有許可。您可以使用此受管政策,或建立自訂政策,為您的使用案例定義縮小範圍的許可。如果您選擇建立自訂政策,請現在執行此操作。
1. 將 IAM 政策連接至機群佈建角色。
+ 將 *GreengrassFleetProvisioningRole* 取代為 IAM 角色的名稱。
+ 如果您在上一個步驟中建立了自訂政策,請將政策 ARN 取代為要使用的 IAM 政策的 ARN。
```
aws iam attach-role-policy --role-name GreengrassFleetProvisioningRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSIoTThingsRegistration
```
如果請求成功,命令不會有任何輸出。
1. (選用) 建立*預先佈建掛鉤*,這是 AWS Lambda 驗證裝置在註冊期間提供之範本參數的 函數。您可以使用預先佈建掛鉤,進一步控制您的 中加入哪些裝置以及裝置數量 AWS 帳戶。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[預先佈建掛](https://docs.aws.amazon.com/iot/latest/developerguide/pre-provisioning-hook.html)鉤。
1. 建立機群佈建範本。請執行下列操作:
1. 建立 檔案以包含佈建範本文件。
例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。
```
nano greengrass-fleet-provisioning-template.json
```
撰寫佈建範本文件。您可以從下列範例佈建範本開始,該範本指定 建立具有下列屬性的 AWS IoT 物件:
+ 物件的名稱是您在`ThingName`範本參數中指定的值。
+ 物件是您在`ThingGroupName`範本參數中指定之物件群組的成員。物件群組必須存在於您的 中 AWS 帳戶。
+ 物件的憑證已`GreengrassV2IoTThingPolicy`附加名為 AWS IoT 的政策。
如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[佈建範本](https://docs.aws.amazon.com/iot/latest/developerguide/provision-template.html)。
```
{
"Parameters": {
"ThingName": {
"Type": "String"
},
"ThingGroupName": {
"Type": "String"
},
"AWS::IoT::Certificate::Id": {
"Type": "String"
}
},
"Resources": {
"MyThing": {
"OverrideSettings": {
"AttributePayload": "REPLACE",
"ThingGroups": "REPLACE",
"ThingTypeName": "REPLACE"
},
"Properties": {
"AttributePayload": {},
"ThingGroups": [
{
"Ref": "ThingGroupName"
}
],
"ThingName": {
"Ref": "ThingName"
}
},
"Type": "AWS::IoT::Thing"
},
"MyPolicy": {
"Properties": {
"PolicyName": "GreengrassV2IoTThingPolicy"
},
"Type": "AWS::IoT::Policy"
},
"MyCertificate": {
"Properties": {
"CertificateId": {
"Ref": "AWS::IoT::Certificate::Id"
},
"Status": "Active"
},
"Type": "AWS::IoT::Certificate"
}
}
}
```
**注意**
*MyThing*、*MyPolicy* 和 *MyCertificate* 是任意名稱,可識別機群佈建範本中的每個資源規格。 AWS IoT 不會在從範本建立的資源中使用這些名稱。您可以使用這些名稱,或將其取代為可協助您識別範本中每個資源的值。
1. 從佈建範本文件建立機群佈建範本。
+ 將 *GreengrassFleetProvisioningTemplate* 取代為要建立的範本名稱。
+ 將範本描述取代為您的範本描述。
+ 將佈建角色 ARN 取代為您先前建立之角色的 ARN。
------
#### [ Linux or Unix ]
```
aws iot create-provisioning-template \
--template-name GreengrassFleetProvisioningTemplate \
--description "A provisioning template for Greengrass core devices." \
--provisioning-role-arn "arn:aws:iam::123456789012:role/GreengrassFleetProvisioningRole" \
--template-body file://greengrass-fleet-provisioning-template.json \
--enabled
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iot create-provisioning-template ^
--template-name GreengrassFleetProvisioningTemplate ^
--description "A provisioning template for Greengrass core devices." ^
--provisioning-role-arn "arn:aws:iam::123456789012:role/GreengrassFleetProvisioningRole" ^
--template-body file://greengrass-fleet-provisioning-template.json ^
--enabled
```
------
#### [ PowerShell ]
```
aws iot create-provisioning-template `
--template-name GreengrassFleetProvisioningTemplate `
--description "A provisioning template for Greengrass core devices." `
--provisioning-role-arn "arn:aws:iam::123456789012:role/GreengrassFleetProvisioningRole" `
--template-body file://greengrass-fleet-provisioning-template.json `
--enabled
```
------
**注意**
如果您建立了預先佈建掛鉤,請使用 `--pre-provisioning-hook`引數指定預先佈建掛鉤 Lambda 函數的 ARN。
```
--pre-provisioning-hook targetArn=arn:aws:lambda:us-west-2:123456789012:function:GreengrassPreProvisioningHook
```
如果請求成功,回應看起來與下列範例類似。
```
{
"templateArn": "arn:aws:iot:us-west-2:123456789012:provisioningtemplate/GreengrassFleetProvisioningTemplate",
"templateName": "GreengrassFleetProvisioningTemplate",
"defaultVersionId": 1
}
```
## 建立佈建宣告憑證和私有金鑰
宣告憑證是 X.509 憑證,允許裝置註冊為 AWS IoT 實物,並擷取唯一 X.509 裝置憑證以用於一般操作。建立宣告憑證後,您可以連接 AWS IoT 政策,允許裝置使用它來建立唯一的裝置憑證,並使用機群佈建範本進行佈建。具有宣告憑證的裝置只能使用您在政策中 AWS IoT 允許的佈建範本進行佈建。
在本節中,您會建立宣告憑證,並將其設定為讓裝置與您在上一節中建立的機群佈建範本搭配使用。
**重要**
佈建宣告私有金鑰應隨時受到保護,包括在 Greengrass 核心裝置上。我們建議您使用 Amazon CloudWatch 指標和日誌來監控是否有濫用跡象,例如未經授權使用宣告憑證來佈建裝置。如果您偵測到濫用,請停用佈建宣告憑證,使其無法用於裝置佈建。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[監控 AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html)。
為了協助您更有效管理裝置數量,以及在 中自行註冊的裝置 AWS 帳戶,您可以在建立機群佈建範本時指定預先佈建掛鉤。預先佈建掛鉤是一種 AWS Lambda 函數,可驗證裝置在註冊期間提供的範本參數。例如,您可以建立預先佈建掛鉤,檢查資料庫的裝置 ID,以確認裝置具有佈建的許可。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[預先佈建掛](https://docs.aws.amazon.com/iot/latest/developerguide/pre-provisioning-hook.html)鉤。
**建立佈建宣告憑證和私有金鑰**
1. 建立資料夾以下載宣告憑證和私有金鑰。
```
mkdir claim-certs
```
1. 建立並儲存憑證和私有金鑰以用於佈建。 AWS IoT 提供由 Amazon 根憑證授權機構 (CA) 簽署的用戶端憑證。
------
#### [ Linux or Unix ]
```
aws iot create-keys-and-certificate \
--certificate-pem-outfile "claim-certs/claim.pem.crt" \
--public-key-outfile "claim-certs/claim.public.pem.key" \
--private-key-outfile "claim-certs/claim.private.pem.key" \
--set-as-active
```
------
#### [ Windows Command Prompt (CMD) ]
```
aws iot create-keys-and-certificate ^
--certificate-pem-outfile "claim-certs/claim.pem.crt" ^
--public-key-outfile "claim-certs/claim.public.pem.key" ^
--private-key-outfile "claim-certs/claim.private.pem.key" ^
--set-as-active
```
------
#### [ PowerShell ]
```
aws iot create-keys-and-certificate `
--certificate-pem-outfile "claim-certs/claim.pem.crt" `
--public-key-outfile "claim-certs/claim.public.pem.key" `
--private-key-outfile "claim-certs/claim.private.pem.key" `
--set-as-active
```
------
如果請求成功,回應會包含憑證的相關資訊。儲存憑證的 ARN 以供稍後使用。
1. 建立並連接 AWS IoT 政策,允許裝置使用憑證來建立唯一的裝置憑證,並使用機群佈建範本進行佈建。下列政策允許存取裝置佈建 MQTT API。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[裝置佈建 MQTT API](https://docs.aws.amazon.com/iot/latest/developerguide/fleet-provision-api.html)。
請執行下列操作:
1. 建立檔案,其中包含 Greengrass 核心裝置所需的 AWS IoT 政策文件。
例如,在以 Linux 為基礎的系統上,您可以執行下列命令來使用 GNU nano 來建立 檔案。
```
nano greengrass-provisioning-claim-iot-policy.json
```
將下列 JSON 複製到 檔案。
+ 將每個*區域*執行個體取代為您設定機群佈建 AWS 區域 的 。
+ 將 *account-id* 的每個執行個體取代為您的 AWS 帳戶 ID。
+ 以您在上一節中建立的機群佈建範本名稱取代 *GreengrassFleetProvisioningTemplate* 的每個執行個體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iot:Connect",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iot:Publish",
"iot:Receive"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/$aws/certificates/create/*",
"arn:aws:iot:us-east-1:123456789012:topic/$aws/provisioning-templates/GreengrassFleetProvisioningTemplate/provision/*"
]
},
{
"Effect": "Allow",
"Action": "iot:Subscribe",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/certificates/create/*",
"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/provisioning-templates/GreengrassFleetProvisioningTemplate/provision/*"
]
}
]
}
```
------
1. 從 AWS IoT 政策文件建立政策。
+ 將 *GreengrassProvisioningClaimPolicy* 取代為要建立的政策名稱。
```
aws iot create-policy --policy-name GreengrassProvisioningClaimPolicy --policy-document file://greengrass-provisioning-claim-iot-policy.json
```
如果請求成功,回應看起來與下列範例類似。
------
#### [ JSON ]
****
```
{
"policyName": "GreengrassProvisioningClaimPolicy",
"policyArn": "arn:aws:iot:us-west-2:123456789012:policy/GreengrassProvisioningClaimPolicy",
"policyDocument": "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Action\": \"iot:Connect\",
\"Resource\": \"*\"
},
{
\"Effect\": \"Allow\",
\"Action\": [
\"iot:Publish\",
\"iot:Receive\"
],
\"Resource\": [
\"arn:aws:iot:us-east-1:123456789012:topic/$aws/certificates/create/*\",
\"arn:aws:iot:us-east-1:123456789012:topic/$aws/provisioning-templates/GreengrassFleetProvisioningTemplate/provision/*\"
]
},
{
\"Effect\": \"Allow\",
\"Action\": \"iot:Subscribe\",
\"Resource\": [
\"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/certificates/create/*\",
\"arn:aws:iot:us-east-1:123456789012:topicfilter/$aws/provisioning-templates/GreengrassFleetProvisioningTemplate/provision/*\"
]
}
]
}",
"policyVersionId": "1"
}
```
------
1. 將 AWS IoT 政策連接至佈建宣告憑證。
+ 將 *GreengrassProvisioningClaimPolicy* 取代為要連接的政策名稱。
+ 將目標 ARN 取代為佈建宣告憑證的 ARN。
```
aws iot attach-policy --policy-name GreengrassProvisioningClaimPolicy --target arn:aws:iot:us-west-2:123456789012:cert/aa0b7958770878eabe251d8a7ddd547f4889c524c9b574ab9fbf65f32248b1d4
```
如果請求成功,命令不會有任何輸出。
您現在擁有佈建宣告憑證和私有金鑰,裝置可用來向 註冊 AWS IoT ,並將自己佈建為 Greengrass 核心裝置。您可以在製造期間將宣告憑證和私有金鑰嵌入裝置,或在安裝 AWS IoT Greengrass 核心軟體之前將憑證和金鑰複製到裝置。如需詳細資訊,請參閱[使用 AWS IoT 機群佈建安裝 AWS IoT Greengrass 核心軟體](fleet-provisioning.md)。
# 設定 AWS IoT 機群佈建外掛程式
AWS IoT 機群佈建外掛程式提供下列組態參數,您可以在[使用機群佈建安裝 AWS IoT Greengrass Core 軟體](fleet-provisioning.md)時自訂這些參數。
`rootPath`
要做為 AWS IoT Greengrass Core 軟體根目錄的資料夾路徑。
`awsRegion`
機群佈建外掛程式用來佈建 AWS 資源 AWS 區域 的 。
`iotDataEndpoint`
您 AWS IoT 的資料端點 AWS 帳戶。
`iotCredentialEndpoint`
您 的 AWS IoT 登入資料端點 AWS 帳戶。
`iotRoleAlias`
指向字符交換 IAM AWS IoT 角色的角色別名。 AWS IoT 登入資料提供者會擔任此角色,以允許 Greengrass 核心裝置與 AWS 服務互動。如需詳細資訊,請參閱[授權核心裝置與 AWS 服務互動](device-service-role.md)。
`provisioningTemplate`
用於佈建 AWS 資源的 AWS IoT 機群佈建範本。此範本必須指定下列項目:
+ AWS IoT 物件資源。您可以指定現有物件群組的清單,以便在元件上線時將元件部署到每個裝置。
+ AWS IoT 政策資源。此資源可以定義下列其中一個屬性:
+ 現有 AWS IoT 政策的名稱。如果您選擇此選項,您從此範本建立的核心裝置會使用相同的 AWS IoT 政策,而且您可以將其許可做為機群管理。
+ AWS IoT 政策文件。如果您選擇此選項,您從此範本建立的每個核心裝置都會使用唯一的 AWS IoT 政策,而且您可以管理每個個別核心裝置的許可。
+ AWS IoT 憑證資源。此憑證資源必須使用 `AWS::IoT::Certificate::Id` 參數將憑證連接至核心裝置。如需詳細資訊,請參閱《 *AWS IoT 開發人員指南*》中的[Just-in-time佈建](https://docs.aws.amazon.com/iot/latest/developerguide/jit-provisioning.html)。
如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[佈建範本](https://docs.aws.amazon.com/iot/latest/developerguide/provision-template.html)。
`claimCertificatePath`
您在 中指定之佈建範本的佈建宣告憑證路徑`provisioningTemplate`。如需詳細資訊,請參閱 *AWS IoT Core API 參考*中的 [CreateProvisioningClaim](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateProvisioningClaim.html)。
`claimCertificatePrivateKeyPath`
您在 中指定的佈建範本之佈建宣告憑證私有金鑰的路徑`provisioningTemplate`。如需詳細資訊,請參閱 *AWS IoT Core API 參考*中的 [CreateProvisioningClaim](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateProvisioningClaim.html)。
佈建宣告私有金鑰應隨時受到保護,包括在 Greengrass 核心裝置上。我們建議您使用 Amazon CloudWatch 指標和日誌來監控是否有濫用跡象,例如未經授權使用宣告憑證來佈建裝置。如果您偵測到濫用,請停用佈建宣告憑證,使其無法用於裝置佈建。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[監控 AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html)。
為了協助您更有效管理裝置數量,以及在 中自行註冊的裝置 AWS 帳戶,您可以在建立機群佈建範本時指定預先佈建掛鉤。預先佈建掛鉤是一種 AWS Lambda 函數,可驗證裝置在註冊期間提供的範本參數。例如,您可以建立預先佈建掛鉤,檢查資料庫的裝置 ID,以確認裝置具有佈建的許可。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[預先佈建掛](https://docs.aws.amazon.com/iot/latest/developerguide/pre-provisioning-hook.html)鉤。
`rootCaPath`
Amazon 根憑證授權機構 (CA) 憑證的路徑。
`templateParameters`
(選用) 要提供給機群佈建範本的參數映射。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[佈建範本的參數一節](https://docs.aws.amazon.com/iot/latest/developerguide/provision-template.html#parameters-section)。
`deviceId`
(選用) 當機群佈建外掛程式建立 MQTT 連線時,用作用戶端 ID 的裝置識別符 AWS IoT。
預設:隨機 UUID。
`mqttPort`
(選用) 用於 MQTT 連線的連接埠。
預設:`8883`
`proxyUrl`
(選用) 代理伺服器的 URL,格式為 `scheme://userinfo@host:port`。若要使用 HTTPS 代理,您必須使用 1.1.0 版或更新版本的機群佈建外掛程式。
+ `scheme` – 結構描述,必須是 `http`或 `https`。
**重要**
Greengrass 核心裝置必須執行 [Greengrass 核 v](greengrass-nucleus-component.md)2.5.0 或更新版本,才能使用 HTTPS 代理。
如果您設定 HTTPS 代理,則必須將代理伺服器 CA 憑證新增至核心裝置的 Amazon 根 CA 憑證。如需詳細資訊,請參閱[讓核心裝置信任 HTTPS 代理](configure-greengrass-core-v2.md#https-proxy-certificate-trust)。
+ `userinfo` – (選用) 使用者名稱和密碼資訊。如果您在 中指定此資訊`url`,Greengrass 核心裝置會忽略 `username`和 `password` 欄位。
+ `host` – 代理伺服器的主機名稱或 IP 地址。
+ `port` – (選用) 連接埠號碼。如果您未指定連接埠,則 Greengrass 核心裝置會使用下列預設值:
+ `http` – 80
+ `https` – 443
`proxyUserName`
(選用) 驗證代理伺服器的使用者名稱。
`proxyPassword`
(選用) 驗證代理伺服器的使用者名稱。
csrPath
(選用) 憑證簽署請求 (CSR) 檔案的路徑,用於從 CSR 建立裝置憑證。如需詳細資訊,請參閱《 * AWS IoT Core 開發人員指南*》中的[依宣告佈建](https://docs.aws.amazon.com/iot/latest/developerguide/provision-wo-cert.html#claim-based)。
csrPrivateKeyPath
(選用,如果宣告`csrPath`則為必要) 用於產生 CSR 的私有金鑰路徑。私有金鑰必須已用於產生 CSR。如需詳細資訊,請參閱《 *AWS IoT Core 開發人員指南*》中的[依宣告佈建](https://docs.aws.amazon.com/iot/latest/developerguide/provision-wo-cert.html#claim-based)。
certificatePath
(選用) 用來儲存下載裝置憑證的路徑。
privateKeyPath
(選用) 用來儲存下載裝置私有金鑰的路徑。
# AWS IoT 機群佈建外掛程式 changelog
下表說明透過宣告外掛程式 () 進行機 AWS IoT 群佈建的每個版本變更`aws.greengrass.FleetProvisioningByClaim`。
| 版本 | 變更 |
| --- | --- |
| 1.2.2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/greengrass/v2/developerguide/fleet-provisioning-changelog.html) |
| 1.2.1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/greengrass/v2/developerguide/fleet-provisioning-changelog.html) |
| 1.2.0 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/greengrass/v2/developerguide/fleet-provisioning-changelog.html) |
| 1.1.0 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/greengrass/v2/developerguide/fleet-provisioning-changelog.html) |
| 1.0.0 | 初始版本。 |