本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS IoT Greengrass
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 受管政策:AWSGreengrassFullAccess](#aws-managed-policies-AWSGreengrassFullAccess)
+ [AWS 受管政策:AWSGreengrassReadOnlyAccess](#aws-managed-policies-AWSGreengrassReadOnlyAccess)
+ [AWS 受管政策:AWSGreengrassResourceAccessRolePolicy](#aws-managed-policies-AWSGreengrassResourceAccessRolePolicy)
+ [AWS IoT Greengrass AWS 受管政策的更新](#aws-managed-policy-updates)
## AWS 受管政策:AWSGreengrassFullAccess
您可將 `AWSGreengrassFullAccess` 政策連接到 IAM 身分。
此政策會授予管理許可,允許委託人完整存取所有 AWS IoT Greengrass 動作。
**許可詳細資訊**
此政策包含以下許可:
+ `greengrass` – 允許主體完整存取所有 AWS IoT Greengrass 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:*"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSGreengrassReadOnlyAccess
您可將 `AWSGreengrassReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予唯讀許可,允許委託人檢視但不修改其中的資訊 AWS IoT Greengrass。例如,具有這些許可的主體可以檢視部署到 Greengrass 核心裝置的元件清單,但無法建立部署來變更在該裝置上執行的元件。
**許可詳細資訊**
此政策包含以下許可:
+ `greengrass` – 允許主體執行傳回項目清單或項目詳細資訊的動作。這包括以 `List`或 開頭的 API 操作`Get`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"greengrass:List*",
"greengrass:Get*"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSGreengrassResourceAccessRolePolicy
您可以將`AWSGreengrassResourceAccessRolePolicy`政策連接至 IAM 實體。 AWS IoT Greengrass 也會將此政策連接至允許 代表您 AWS IoT Greengrass 執行動作的服務角色。如需詳細資訊,請參閱[Greengrass 服務角色](greengrass-service-role.md)。
此政策授予管理許可, AWS IoT Greengrass 允許 執行基本任務,例如擷取 Lambda 函數、管理 AWS IoT 裝置影子,以及驗證 Greengrass 用戶端裝置。
**許可詳細資訊**
此政策包含以下許可。
+ `greengrass` – 管理 Greengrass 資源。
+ `iot` (`*Shadow`) – 管理名稱中具有下列特殊識別符的 AWS IoT 陰影。需要這些許可, AWS IoT Greengrass 才能與核心裝置通訊。
+ `*-gci` – AWS IoT Greengrass 使用此影子來存放核心裝置連線資訊,讓用戶端裝置可以探索並連線至核心裝置。
+ `*-gcm` – AWS IoT Greengrass V1 使用此影子來通知核心裝置 Greengrass 群組的憑證授權單位 (CA) 憑證已輪換。
+ `*-gda` – AWS IoT Greengrass V1 使用此影子來通知核心裝置部署。
+ `GG_*` – 未使用。
+ `iot` (`DescribeThing` 和 `DescribeCertificate`) – 擷取 AWS IoT 物件和憑證的相關資訊。需要這些許可, AWS IoT Greengrass 才能驗證連線至核心裝置的用戶端裝置。如需詳細資訊,請參閱[與本機 IoT 裝置互動](interact-with-local-iot-devices.md)。
+ `lambda` – 擷取 AWS Lambda 函數的相關資訊。需要此許可,V AWS IoT Greengrass V1 才能將 Lambda 函數部署到 Greengrass 核心。如需詳細資訊,請參閱《*AWS IoT Greengrass V1 開發人員指南*》中的[在 AWS IoT Greengrass 核心上執行 Lambda 函數](https://docs.aws.amazon.com/greengrass/v1/developerguide/lambda-functions.html)。
+ `secretsmanager` – 擷取名稱開頭為 之 AWS Secrets Manager 秘密的值`greengrass-`。需要此許可,V AWS IoT Greengrass V1 才能將 Secrets Manager 秘密部署到 Greengrass 核心。如需詳細資訊,請參閱《*AWS IoT Greengrass V1 開發人員指南*》中的[將秘密部署至 AWS IoT Greengrass 核心](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html)。
+ `s3` – 從名稱包含 `greengrass`或 的 S3 儲存貯體擷取檔案物件`sagemaker`。需要這些許可,V AWS IoT Greengrass V1 才能部署存放在 S3 儲存貯體中的機器學習資源。如需詳細資訊,請參閱《*AWS IoT Greengrass V1 開發人員指南*》中的[機器學習資源](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html#ml-resources)。
+ `sagemaker` – 擷取 Amazon SageMaker AI 機器學習推論模型的相關資訊。需要此許可,V AWS IoT Greengrass V1 才能將 ML 模型部署到 Greengrass 核心。如需詳細資訊,請參閱《*AWS IoT Greengrass V1 開發人員指南*》中的[執行機器學習推論](https://docs.aws.amazon.com/greengrass/v1/developerguide/ml-inference.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGreengrassAccessToShadows",
"Action": [
"iot:DeleteThingShadow",
"iot:GetThingShadow",
"iot:UpdateThingShadow"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:*:*:thing/GG_*",
"arn:aws:iot:*:*:thing/*-gcm",
"arn:aws:iot:*:*:thing/*-gda",
"arn:aws:iot:*:*:thing/*-gci"
]
},
{
"Sid": "AllowGreengrassToDescribeThings",
"Action": [
"iot:DescribeThing"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:thing/*"
},
{
"Sid": "AllowGreengrassToDescribeCertificates",
"Action": [
"iot:DescribeCertificate"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:*:*:cert/*"
},
{
"Sid": "AllowGreengrassToCallGreengrassServices",
"Action": [
"greengrass:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetLambdaFunctions",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassToGetGreengrassSecrets",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:secret:greengrass-*"
},
{
"Sid": "AllowGreengrassAccessToS3Objects",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::*Greengrass*",
"arn:aws:s3:::*GreenGrass*",
"arn:aws:s3:::*greengrass*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowGreengrassAccessToS3BucketLocation",
"Action": [
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowGreengrassAccessToSageMakerTrainingJobs",
"Action": [
"sagemaker:DescribeTrainingJob"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:*:*:training-job/*"
]
}
]
}
```
------
## AWS IoT Greengrass AWS 受管政策的更新
從此服務開始追蹤這些變更起 AWS IoT Greengrass ,您可以檢視 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 [AWS IoT Greengrass V2 文件歷史記錄頁面上](document-history.md)的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AWS IoT Greengrass 開始追蹤變更 | AWS IoT Greengrass 已開始追蹤其 AWS 受管政策的變更。 | 2021 年 7 月 2 日 |