Avis de fin de support : le 7 octobre 2026, AWS le support de. AWS IoT Greengrass Version 1 Après le 7 octobre 2026, vous ne pourrez plus accéder aux AWS IoT Greengrass V1 ressources. Pour plus d'informations, rendez-vous sur [Migrer depuis AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Résolution des problèmes d'identité et d'accès pour AWS IoT Greengrass
<a name="security_iam_troubleshoot"></a>

Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS IoT Greengrass IAM.

**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [Erreur : Greengrass n'est pas autorisé à assumer le rôle de service associé à ce compte, ou erreur : Échec : le rôle de service TES n'est pas associé à ce compte.](#troubleshoot-assume-service-role)
+ [Erreur : autorisation refusée lors de la tentative d'utilisation du rôle arn:aws:iam::<account-id>:role/<role-name> pour accéder à l'URL s3 https://<region>-greengrass-updates.s3.<region>.amazonaws.com/core/<architecture>/greengrass-core-<distribution-version>.tar.gz.](#troubleshoot-ota-region-access)
+ [Le shadow de l’appareil n'est pas synchronisé avec le cloud.](#troubleshoot-shadow-sync)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je suis administrateur et je souhaite autoriser d'autres personnes à accéder AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [Je souhaite autoriser des personnes extérieures à mon Compte AWS pour accéder à mon AWS IoT Greengrass resources](#security_iam_troubleshoot-cross-account-access)

Pour obtenir de l’aide relative à la résolution des problèmes généraux, veuillez consulter [Résolution des problèmes AWS IoT Greengrass](gg-troubleshooting.md).

## Je ne suis pas autorisé à effectuer une action dans AWS IoT Greengrass
<a name="security_iam_troubleshoot-no-permissions"></a>

Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à exécuter une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni votre nom d'utilisateur et votre mot de passe.

L'exemple d'erreur suivant se produit lorsque l'utilisateur `mateojackson` IAM essaie d'afficher les détails d'une version de définition de base, mais ne dispose pas des `greengrass:GetCoreDefinitionVersion` autorisations nécessaires.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDefinitionVersion on resource: resource: arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE
```

Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE` à l’aide de l’action `greengrass:GetCoreDefinitionVersion`.

## Erreur : Greengrass n'est pas autorisé à assumer le rôle de service associé à ce compte, ou erreur : Échec : le rôle de service TES n'est pas associé à ce compte.
<a name="troubleshoot-assume-service-role"></a>

**Solution :** vous pouvez voir cette erreur lorsque le déploiement échoue. Vérifiez qu'un rôle de service Greengrass est actuellement associé à votre rôle Compte AWS dans le service. Région AWS Pour plus d’informations, consultez [Gestion du rôle de service Greengrass (interface de ligne de commande)](service-role.md#manage-service-role-cli) ou [Gestion du rôle de service Greengrass (console)](service-role.md#manage-service-role-console).

## Erreur : autorisation refusée lors de la tentative d'utilisation du rôle arn:aws:iam::<account-id>:role/<role-name> pour accéder à l'URL s3 https://<region>-greengrass-updates.s3.<region>.amazonaws.com/core/<architecture>/greengrass-core-<distribution-version>.tar.gz.
<a name="troubleshoot-ota-region-access"></a>

**Solution :** vous pouvez voir cette erreur lorsqu'une mise à jour OTA échoue. Dans la politique de rôle du signataire, ajoutez la cible Région AWS en tant que`Resource`. Ce rôle de signataire est utilisé pour présigner l'URL S3 pour la mise à jour AWS IoT Greengrass logicielle. Pour plus d'informations, consultez [Rôle de signataire d'URL S3](core-ota-update.md#s3-url-signer-role).

## Le shadow de l’appareil n'est pas synchronisé avec le cloud.
<a name="troubleshoot-shadow-sync"></a>

**Solution :** assurez-vous qu'il AWS IoT Greengrass dispose d'autorisations `iot:UpdateThingShadow` et d'`iot:GetThingShadow`actions pour le rôle de [service Greengrass](service-role.md). Si le rôle de service utilise la stratégie gérée `AWSGreengrassResourceAccessRolePolicy`, ces autorisations sont incluses par défaut.

Consultez [Dépannage des problèmes de temporisation de la synchronisation shadow](gg-troubleshooting.md#troubleshooting-shadow-sync).

Les problèmes généraux liés à l'IAM que vous pouvez rencontrer lors de votre utilisation sont les AWS IoT Greengrass suivants.

## Je ne suis pas autorisé à effectuer iam : PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter `iam:PassRole` l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à AWS IoT Greengrass.

Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.

L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` essaie d’utiliser la console pour exécuter une action dans AWS IoT Greengrass. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary n'est pas autorisée à transmettre le rôle au service.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

## Je suis administrateur et je souhaite autoriser d'autres personnes à accéder AWS IoT Greengrass
<a name="security_iam_troubleshoot-admin-delegate"></a>

Pour autoriser d'autres personnes à y accéder AWS IoT Greengrass, vous devez accorder l'autorisation aux personnes ou aux applications qui ont besoin d'y accéder. Si vous utilisez AWS IAM Identity Center pour gérer des personnes et des applications, vous attribuez des ensembles d'autorisations aux utilisateurs ou aux groupes afin de définir leur niveau d'accès. Les ensembles d'autorisations créent et attribuent automatiquement des politiques IAM aux rôles IAM associés à la personne ou à l'application. Pour plus d'informations, consultez la section [Ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *guide de AWS IAM Identity Center l'utilisateur*.

Si vous n'utilisez pas IAM Identity Center, vous devez créer des entités IAM (utilisateurs ou rôles) pour les personnes ou les applications qui ont besoin d'un accès. Vous devez ensuite associer une politique à l'entité qui leur accorde les autorisations appropriées dans AWS IoT Greengrass. Une fois les autorisations accordées, fournissez les informations d'identification à l'utilisateur ou au développeur de l'application. Ils utiliseront ces informations d'identification pour y accéder AWS. Pour en savoir plus sur la création d'utilisateurs, de groupes, de politiques et d'autorisations [IAM, consultez la section Identités](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html), [politiques et autorisations IAM dans le guide de l'utilisateur *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).

## Je souhaite autoriser des personnes extérieures à mon Compte AWS pour accéder à mon AWS IoT Greengrass resources
<a name="security_iam_troubleshoot-cross-account-access"></a>

Vous pouvez créer un rôle IAM que les utilisateurs d'autres comptes ou des personnes extérieures à votre organisation peuvent utiliser pour accéder à vos AWS ressources. Vous pouvez spécifier qui est approuvé pour assumer le rôle. Pour plus d'informations, consultez les [sections Fournir un accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) et [Fournir un accès aux comptes Amazon Web Services détenus par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le Guide de l'*utilisateur IAM*.

AWS IoT Greengrass ne prend pas en charge l'accès entre comptes basé sur des politiques basées sur les ressources ou des listes de contrôle d'accès (ACL).