Pemberitahuan akhir dukungan: Pada 7 Oktober 2026, AWS akan menghentikan dukungan untuk. AWS IoT Greengrass Version 1 Setelah 7 Oktober 2026, Anda tidak akan lagi dapat mengakses sumber daya. AWS IoT Greengrass V1 Untuk informasi lebih lanjut, silakan kunjungi [Migrasi dari AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran layanan Greengrass
Peran layanan Greengrass adalah peran layanan (IAM) AWS Identity and Access Management yang AWS IoT Greengrass mengizinkan untuk mengakses sumber daya dari layanan atas nama Anda. AWS Hal ini memungkinkan AWS IoT Greengrass untuk melakukan tugas-tugas penting, seperti mengambil AWS Lambda fungsi Anda dan mengelola AWS IoT bayangan.
AWS IoT Greengrass Untuk memungkinkan mengakses sumber daya Anda, peran layanan Greengrass harus dikaitkan dengan Akun AWS Anda dan AWS IoT Greengrass ditentukan sebagai entitas tepercaya. Peran harus menyertakan kebijakan [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)terkelola atau kebijakan khusus yang menentukan izin setara untuk AWS IoT Greengrass fitur yang Anda gunakan. Kebijakan ini dikelola oleh AWS dan menentukan kumpulan izin yang AWS IoT Greengrass digunakan untuk mengakses sumber daya Anda AWS .
Anda dapat menggunakan kembali peran layanan Greengrass yang sama AWS Region di seluruh s, tetapi Anda harus mengaitkannya dengan akun Anda di setiap tempat yang Anda gunakan. AWS Region AWS IoT Greengrass Penerapan grup gagal jika peran layanan tidak ada di saat ini Akun AWS dan Wilayah.
Bagian berikut menjelaskan cara membuat dan mengelola peran layanan Greengrass di or. Konsol Manajemen AWS AWS CLI
+ [Mengelola peran layanan (konsol)](#manage-service-role-console)
+ [Mengelola peran layanan (CLI)](#manage-service-role-cli)
**catatan**
Selain peran layanan yang mengotorisasi akses tingkat layanan, Anda dapat menetapkan *peran grup ke grup*. AWS IoT Greengrass Peran grup adalah peran IAM terpisah yang mengontrol bagaimana fungsi dan konektor Greengrass Lambda dalam grup dapat mengakses layanan. AWS
## Mengelola peran layanan Greengrass (konsol)
AWS IoT Konsol memudahkan untuk mengelola peran layanan Greengrass Anda. Misalnya, saat Anda membuat atau menerapkan grup Greengrass, konsol akan memeriksa apakah Anda dilampirkan ke peran layanan Greengrass di yang saat Akun AWS ini dipilih di konsol. AWS Region Jika tidak, konsol dapat membuat dan mengonfigurasi peran layanan untuk Anda. Untuk informasi selengkapnya, lihat [Buat peran layanan Greengrass (konsol)](#create-service-role-console).
Anda dapat menggunakan AWS IoT konsol untuk tugas manajemen peran berikut:
+ [Temukan peran layanan Greengrass Anda](#get-service-role-console)
+ [Buat peran layanan Greengrass](#create-service-role-console)
+ [Ubah peran layanan Greengrass](#update-service-role-console)
+ [Lapaskan peran layanan Greengrass](#remove-service-role-console)
**catatan**
Pengguna yang masuk ke konsol harus memiliki izin untuk melihat, membuat, atau mengubah peran layanan.
### Temukan peran layanan Greengrass Anda (konsol)
Gunakan langkah-langkah berikut untuk menemukan peran layanan yang AWS IoT Greengrass digunakan saat ini AWS Region.
1. Dari panel navigasi [AWS IoT konsol](https://console.aws.amazon.com/iot/), pilih **Pengaturan**.
1. Gulir ke **Peran layanan Greengrass** untuk melihat peran layanan dan kebijakannya.
Jika Anda tidak melihat peran layanan, Anda dapat membiarkan konsol membuat atau mengonfigurasinya untuk Anda. Untuk informasi selengkapnya, lihat [Buat peran layanan Greengrass](#create-service-role-console).
### Buat peran layanan Greengrass (konsol)
Konsol dapat membuat dan mengkonfigurasi peran layanan Greengrass default untuk Anda. Peran ini memiliki properti berikut.
| Properti | Nilai |
| --- | --- |
| Nama | Greengrass\_ServiceRole |
| Entitas tepercaya | AWS service: greengrass |
| Kebijakan | [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) |
**catatan**
Jika [Penyiapan perangkat Greengrass](quick-start.md) membuat peran layanan, nama perannya adalah `GreengrassServiceRole_{{random-string}}`.
Saat Anda membuat atau menerapkan grup Greengrass dari AWS IoT konsol, konsol akan memeriksa apakah peran layanan Greengrass dikaitkan dengan peran layanan Greengrass yang saat ini dipilih di konsol. Akun AWS AWS Region Jika tidak, konsol meminta Anda untuk mengizinkan AWS IoT Greengrass membaca dan menulis ke AWS layanan atas nama Anda.
Jika Anda memberikan izin, konsol tersebut akan memeriksa apakah peran bernama `Greengrass_ServiceRole` ada di Akun AWS Anda.
+ Jika peran ada, konsol akan melampirkan peran layanan ke peran Anda Akun AWS saat ini AWS Region.
+ Jika peran tidak ada, konsol akan membuat peran layanan Greengrass default dan menempelkannya ke peran Anda saat ini. Akun AWS AWS Region
**catatan**
Jika Anda ingin membuat peran layanan dengan kebijakan peran kustom, gunakan konsol IAM untuk membuat atau mengubah peran. Untuk informasi selengkapnya, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) atau [Memodifikasi peran dalam Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) *IAM*. Pastikan bahwa peran memberikan izin yang setara dengan kebijakan terkelola `AWSGreengrassResourceAccessRolePolicy` untuk fitur dan sumber daya yang Anda gunakan. Kami menyarankan Anda juga menyertakan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global dalam kebijakan kepercayaan Anda untuk membantu mencegah masalah keamanan *wakil yang membingungkan*. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah wakil yang membingungkan, lihat[Cross-service pencegahan wakil bingung](cross-service-confused-deputy-prevention.md).
Jika Anda membuat peran layanan, kembali ke AWS IoT konsol dan lampirkan peran ke grup. Anda dapat melakukannya di bawah **peran layanan Greengrass** di halaman **Pengaturan** grup.
### Ubah peran layanan Greengrass (konsol)
Gunakan prosedur berikut untuk memilih peran layanan Greengrass yang berbeda untuk dilampirkan ke Akun AWS Anda di konsol yang AWS Region saat ini dipilih.
1. Dari panel navigasi [AWS IoT konsol](https://console.aws.amazon.com/iot/), pilih **Pengaturan**.
1. Di bawah **Peran layanan Greengrass**, pilih **Ubah peran**.
Kotak dialog **Perbarui peran layanan Greengrass** akan terbuka dan menampilkan peran IAM dalam Akun AWS Anda yang didefinisikan sebagai entitas tepercaya. AWS IoT Greengrass
1. Pilih peran layanan Greengrass untuk dilampirkan.
1. Pilih **Lampirkan peran**.
**catatan**
Untuk mengizinkan konsol untuk membuat peran layanan Greengrass default untuk Anda, pilih **Buat peran untuk saya** sebagai ganti memilih peran dari daftar. Tautan **Buat peran untuk saya** tidak muncul jika role bernama `Greengrass_ServiceRole` ada di Akun AWS.
### Lapaskan peran layanan Greengrass (konsol)
Gunakan prosedur berikut untuk melepaskan peran layanan Greengrass dari yang Akun AWS Anda pilih saat ini di AWS Region konsol. Ini mencabut izin AWS IoT Greengrass untuk mengakses AWS layanan saat ini. AWS Region
**penting**
Melepaskan peran layanan dapat mengganggu operasi aktif.
1. Dari panel navigasi [AWS IoT konsol](https://console.aws.amazon.com/iot/), pilih **Pengaturan**.
1. Di bawah **Peran layanan Greengrass**, pilih **Lepaskan peran**.
1. Dalam kotak dialog konfirmasi, pilih **Lepaskan**.
**catatan**
Jika Anda tidak lagi memerlukan peran tersebut, Anda dapat menghapusnya di konsol IAM. Untuk informasi lebih lanjut, lihat [Menghapus peran atau profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dalam *Panduan Pengguna IAM*.
Peran lain mungkin memungkinkan AWS IoT Greengrass untuk mengakses sumber daya Anda. Untuk menemukan semua peran yang mengizinkan AWS IoT Greengrass untuk mengasumsi izin atas nama Anda, di konsol IAM, pada halaman **Peran** tersebut, cari peran yang mencakup **AWS layanan: Greengrass** di kolom **entitas Terpercaya** ini.
## Mengelola peran layanan Greengrass (CLI)
Dalam prosedur berikut, kami berasumsi AWS CLI bahwa diinstal dan dikonfigurasi untuk menggunakan Akun AWS ID Anda. Untuk informasi selengkapnya, lihat [Menginstal antarmuka baris AWS perintah](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) dan [Mengkonfigurasi AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) dalam *Panduan AWS Command Line Interface Pengguna*.
Anda dapat menggunakan AWS CLI untuk tugas manajemen peran berikut:
+ [Dapatkan peran layanan Greengrass](#get-service-role)
+ [Buat peran layanan Greengrass](#create-service-role)
+ [Hapus peran layanan Greengrass](#remove-service-role)
### Dapatkan peran layanan Greengrass (CLI)
Gunakan prosedur berikut untuk mengetahui apakah peran layanan Greengrass dikaitkan dengan peran layanan Anda di. Akun AWS AWS Region
+ Dapatkan peran layanan. Ganti {{region}} dengan Anda AWS Region (misalnya,`us-west-2`).
```
aws Greengrass get-service-role-for-account --region {{region}}
```
Jika peran layanan Greengrass telah dikaitkan dengan akun Anda, metadata peran berikut akan dikembalikan.
```
{
"AssociatedAt": "{{timestamp}}",
"RoleArn": "arn:aws:iam::{{account-id}}:role/{{path/role-name}}"
}
```
Jika tidak ada metadata peran yang dikembalikan, maka Anda harus membuat peran layanan (jika tidak ada) dan mengaitkannya dengan akun di AWS Region.
### Buat peran layanan Greengrass (CLI)
Gunakan langkah-langkah berikut untuk membuat peran dan mengaitkannya dengan perangkat Akun AWS Anda.
**Untuk membuat peran layanan dengan menggunakan IAM.**
1. Buat peran dengan kebijakan kepercayaan yang memungkinkan AWS IoT Greengrass untuk mengambil peran. Contoh ini menciptakan peran bernama `Greengrass_ServiceRole`, tetapi Anda dapat menggunakan nama yang berbeda. Kami menyarankan Anda juga menyertakan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global dalam kebijakan kepercayaan Anda untuk membantu mencegah masalah keamanan *wakil yang membingungkan*. Kunci konteks kondisi membatasi akses untuk mengizinkan hanya permintaan yang berasal dari akun tertentu dan ruang kerja Greengrass. Untuk informasi lebih lanjut tentang masalah wakil yang membingungkan, lihat[Cross-service pencegahan wakil bingung](cross-service-confused-deputy-prevention.md).
------
#### [ Linux, macOS, or Unix ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "greengrass.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{account-id}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:greengrass:{{region}}:{{account-id}}:*"
}
}
}
]
}'
```
------
#### [ Windows command prompt ]
```
aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:{{region}}:{{account-id}}:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"{{account-id}}\"}}}]}"
```
------
1. Salin peran ARN dari metadata peran dalam output. Anda menggunakan ARN untuk mengasosiasikan peran dengan akun Anda.
1. Lampirkan kebijakan `AWSGreengrassResourceAccessRolePolicy` pada peran tersebut.
```
aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
```
**Untuk mengaitkan peran layanan dengan Akun AWS**
+ Hubungkan peran itu dengan akun Anda. Ganti {{role-arn}} dengan peran layanan ARN dan {{region}} dengan Anda AWS Region (misalnya,`us-west-2`).
```
aws greengrass associate-service-role-to-account --role-arn {{role-arn}} --region {{region}}
```
Jika berhasil, respons berikut dikembalikan.
```
{
"AssociatedAt": "{{timestamp}}"
}
```
### Menghapus peran layanan Greengrass (CLI)
Gunakan langkah-langkah berikut untuk memisahkan peran layanan Greengrass dari perangkat Akun AWS.
+ Lepaskan peran layanan dari akun Anda. Ganti {{region}} dengan Anda AWS Region (misalnya,`us-west-2`).
```
aws greengrass disassociate-service-role-from-account --region {{region}}
```
Jika berhasil, respon berikut dikembalikan.
```
{
"DisassociatedAt": "{{timestamp}}"
}
```
**catatan**
Anda harus menghapus peran layanan jika Anda tidak menggunakannya di salah satu AWS Region. Pertama gunakan [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) untuk melepaskan `AWSGreengrassResourceAccessRolePolicy` kebijakan terkelola dari peran, dan kemudian gunakan [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) untuk menghapus peran. Untuk informasi lebih lanjut, lihat [Menghapus peran atau profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dalam *Panduan Pengguna IAM*.
## Lihat juga
+ [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*
+ [Mengubah peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) di *Panduan Pengguna IAM*
+ [Menghapus peran atau profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) dalam *Panduan Pengguna IAM*.
+ AWS IoT Greengrass perintah dalam *Referensi AWS CLI Perintah*
+ [asosiasi-layanan-peran-ke-akun](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-service-role-to-account.html)
+ [disassociate-layanan-peran-dari-akun](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-service-role-from-account.html)
+ [dapatkan-layanan-peran-untuk-akun](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-service-role-for-account.html)
+ Perintah IAM di *Referensi Perintah AWS CLI *
+ [kebijakan peran-lampiran](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
+ [menciptakan-peran](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
+ [hapus-peran](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
+ [hapus-peran-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)