Avviso di fine del supporto: il 7 ottobre 2026, AWS il supporto per. AWS IoT Greengrass Version 1 Dopo il 7 ottobre 2026, non potrai più accedere alle risorse. AWS IoT Greengrass V1 Per ulteriori informazioni, visita [Migrate](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html) from. AWS IoT Greengrass Version 1
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Distribuisci segreti a AWS IoT Greengrass core
Questa funzionalità è disponibile per AWS IoT Greengrass Core v1.7 e versioni successive.
AWS IoT Greengrass ti consente di autenticarti con servizi e applicazioni dei dispositivi Greengrass senza password, token o altri segreti codificati.
Gestione dei segreti AWS è un servizio che puoi utilizzare per archiviare e gestire in modo sicuro i tuoi segreti nel cloud. AWS IoT Greengrass estende Secrets Manager ai dispositivi principali di Greengrass, in modo che i [connettori](connectors.md) e le funzioni Lambda possano utilizzare i segreti locali per interagire con servizi e applicazioni. Ad esempio, il connettore notifiche Twilio utilizza un token di autenticazione memorizzato localmente.
Per integrare un segreto in un gruppo Greengrass, è necessario creare una risorsa di gruppo che faccia riferimento al segreto Secrets Manager. Questa *risorsa segreta* fa riferimento al segreto del cloud tramite ARN. Per ulteriori informazioni su come creare, gestire e utilizzare le risorse segrete, consulta [Utilizzo delle risorse segrete](secrets-using.md).
AWS IoT Greengrass crittografa i tuoi segreti mentre sono in transito e a riposo. Durante l'implementazione di gruppo, AWS IoT Greengrass recupera il segreto da Secrets Manager e crea una copia locale crittografata sul core di Greengrass. Dopo aver ruotato i segreti del cloud in Secrets Manager, ridistribuisci il gruppo per propagare i valori aggiornati al core.
Lo schema seguente mostra il processo di alto livello di distribuzione di un segreto al core. I segreti vengono crittografati mentre sono in transito e quando sono inattivi.
L'utilizzo AWS IoT Greengrass per archiviare i segreti a livello locale offre i seguenti vantaggi:
+ **Disassociazione dal codice (non hardcoded).** Supporta le credenziali gestite a livello centralizzato e consente di proteggere i dati sensibili dal rischio di compromissione.
+ **Disponibile per gli scenari offline.** I connettori e le funzioni sono in grado di accedere in modo sicuro al software e ai servizi locali anche quando non sono connessi a Internet.
+ **Accesso controllato ai segreti** Solo le funzioni e i connettori autorizzati del gruppo possono accedere ai tuoi segreti. AWS IoT Greengrass utilizza la crittografia con chiave privata per proteggere i segreti. I segreti vengono crittografati mentre sono in transito e quando sono inattivi. Per ulteriori informazioni, consulta [Crittografia dei segreti](#secrets-encryption).
+ **Rotazione controllata.** Dopo aver ruotato i segreti in Secrets Manager, ridistribuisci il gruppo Greengrass per aggiornare le copie locali dei tuoi segreti. Per ulteriori informazioni, consulta [Creazione e gestione di segreti](secrets-using.md#secrets-create-manage).
**Importante**
AWS IoT Greengrass non aggiorna automaticamente i valori dei segreti locali dopo la rotazione delle versioni cloud. Per aggiornare i valori locali, è necessario distribuire di nuovo il gruppo.
## Crittografia dei segreti
AWS IoT Greengrass crittografa i segreti in transito e a riposo.
**Importante**
Assicurati che le funzioni Lambda definite dall'utente gestiscano i segreti in modo sicuro e non registrino alcun dato sensibile archiviato nel segreto. *Per ulteriori informazioni, consulta [Mitigare i rischi di registrazione e debug della funzione Lambda nella Guida per l'utente](https://docs.aws.amazon.com/secretsmanager/latest/userguide/best-practices.html#best-practice_lamda-debug-statements).Gestione dei segreti AWS * Sebbene questa documentazione si riferisca specificamente alle funzioni di rotazione, la raccomandazione si applica anche alle funzioni Greengrass Lambda.
**Crittografia in transito**
AWS IoT Greengrass utilizza Transport Layer Security (TLS) per crittografare tutte le comunicazioni su Internet e sulla rete locale. Ciò protegge i segreti durante il transito, il che si verifica quando i segreti vengono recuperati da Secrets Manager e distribuiti al core. Per informazioni sulle suite di cifratura TLS supportate, consulta [Supporto TLS per le suite di cifratura](gg-sec.md#gg-cipher-suites).
**Crittografia dei dati inattivi**
AWS IoT Greengrass utilizza la chiave privata specificata in [`config.json`](gg-core.md#config-json)per la crittografia dei segreti archiviati nel core. Pertanto, per la protezione dei segreti locali è fondamentale l'archiviazione sicura della chiave privata. Nel [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/), è responsabilità del cliente garantire l'archiviazione sicura della chiave privata sul dispositivo principale.
AWS IoT Greengrass supporta due modalità di archiviazione delle chiavi private:
+ Utilizzo dei moduli di sicurezza hardware Per ulteriori informazioni, consulta [Integrazione della sicurezza hardware](hardware-security.md).
**Nota**
Attualmente, AWS IoT Greengrass supporta solo il meccanismo di riempimento [PKCS \#1 v1.5](https://tools.ietf.org/html/rfc2313) per la crittografia e la decrittografia dei segreti locali quando si utilizzano chiavi private basate su hardware. Se stai seguendo le istruzioni fornite dal fornitore per generare manualmente chiavi private basate su hardware, assicurati di scegliere PKCS \#1 v1.5. AWS IoT Greengrass non supporta Optimal Asymmetric Encryption Padding (OAEP).
+ Utilizzo delle autorizzazioni del file system (impostazione predefinita).
La chiave privata viene utilizzata per proteggere la chiave di dati, utilizzate per crittografare i segreti locali. La chiave di dati viene ruotata con ciascuna distribuzione del gruppo.
Il AWS IoT Greengrass core è l'unica entità che ha accesso alla chiave privata. I connettori Greengrass o le funzioni Lambda che sono affiliati a una risorsa segreta ottengono il valore del segreto dal core.
## Requisiti
Di seguito sono indicati i requisiti per il supporto dei segreti locali:
+ È necessario utilizzare AWS IoT Greengrass Core v1.7 o versione successiva.
+ Per ottenere i valori dei segreti locali, le funzioni Lambda definite dall'utente devono AWS IoT Greengrass utilizzare Core SDK v1.3.0 o versione successiva.
+ La chiave privata utilizzata per la crittografia dei segreti locali deve essere specificata nel file di configurazione di Greengrass. Per impostazione predefinita, AWS IoT Greengrass utilizza la chiave privata principale memorizzata nel file system. Per fornire una chiave privata personalizzata, consulta [Specificare la chiave privata per la crittografia dei segreti](#secrets-config-private-key). Solo il tipo di chiave RSA è supportato.
**Nota**
Attualmente, AWS IoT Greengrass supporta solo il meccanismo di riempimento [PKCS \#1 v1.5](https://tools.ietf.org/html/rfc2313) per la crittografia e la decrittografia dei segreti locali quando si utilizzano chiavi private basate su hardware. Se stai seguendo le istruzioni fornite dal fornitore per generare manualmente chiavi private basate su hardware, assicurati di scegliere PKCS \#1 v1.5. AWS IoT Greengrass non supporta Optimal Asymmetric Encryption Padding (OAEP).
+ AWS IoT Greengrass devi avere l'autorizzazione per ottenere i tuoi valori segreti. Ciò consente di AWS IoT Greengrass recuperare i valori durante la distribuzione di gruppo. Se utilizzi il ruolo di servizio Greengrass predefinito, hai AWS IoT Greengrass già accesso ai segreti con nomi che iniziano con *greengrass* -. Per personalizzare l'accesso, consulta [Consenso AWS IoT Greengrass per ottenere valori segreti](#secrets-config-service-role).
**Nota**
Ti consigliamo di utilizzare questa convenzione di denominazione per identificare i segreti a cui AWS IoT Greengrass è consentito accedere, anche se personalizzi le autorizzazioni. La console utilizza diverse autorizzazioni per leggere i tuoi segreti, quindi è possibile che tu possa selezionare i segreti nella console che AWS IoT Greengrass non sono autorizzati a recuperare. L'utilizzo di una convenzione di denominazione può aiutarti a evitare un conflitto di autorizzazioni, che potrebbe causare un errore di distribuzione.
## Specificare la chiave privata per la crittografia dei segreti
In questa procedura, specifichi il percorso di una chiave privata utilizzata per la crittografia segreta locale. Deve essere una chiave RSA con una lunghezza minima di 2048 bit. Per ulteriori informazioni sulle chiavi private utilizzate nel AWS IoT Greengrass core, consulta. [AWS IoT Greengrass principi di sicurezza fondamentali](gg-sec.md#gg-principals)
AWS IoT Greengrass supporta due modalità di archiviazione delle chiavi private: basata su hardware o basata su file system (impostazione predefinita). Per ulteriori informazioni, consulta [Crittografia dei segreti](#secrets-encryption).
**Segui questa procedura solo** se desideri modificare la configurazione predefinita, che utilizza la chiave privata del core nel file system. Queste fasi presuppongono che il gruppo e il core siano stati creati come descritto nel [Modulo 2](module2.md) del tutorial Nozioni di base.
1. Apri il file [`config.json`](gg-core.md#config-json) disponibile nella directory `/{{greengrass-root}}/config`.
**Nota**
{{greengrass-root}}rappresenta il percorso in cui il software AWS IoT Greengrass Core è installato sul dispositivo. In genere, questa è la directory `/greengrass`.
1. Nell'oggetto `crypto.principals.SecretsManager`, per la proprietà `privateKeyPath`, immettere il percorso della chiave privata:
+ Se la chiave privata viene archiviata nel file system, specifica il percorso assoluto della chiave. Esempio:
```
"SecretsManager" : {
"privateKeyPath" : "file:///somepath/{{hash}}.private.key"
}
```
+ Se la chiave privata è archiviata in un modulo di sicurezza hardware (HSM), specifica il percorso utilizzando lo schema URI [RFC 7512 PKCS\#11](https://tools.ietf.org/html/rfc7512). Esempio:
```
"SecretsManager" : {
"privateKeyPath" : "pkcs11:object={{private-key-label}};type=private"
}
```
Per ulteriori informazioni, consulta [Configurazione di sicurezza hardware per un AWS IoT Greengrass core](hardware-security.md#configure-hardware-security).
**Nota**
Attualmente, AWS IoT Greengrass supporta solo il meccanismo di riempimento [PKCS \#1 v1.5](https://tools.ietf.org/html/rfc2313) per la crittografia e la decrittografia dei segreti locali quando si utilizzano chiavi private basate su hardware. Se stai seguendo le istruzioni fornite dal fornitore per generare manualmente chiavi private basate su hardware, assicurati di scegliere PKCS \#1 v1.5. AWS IoT Greengrass non supporta Optimal Asymmetric Encryption Padding (OAEP).
## Consenso AWS IoT Greengrass per ottenere valori segreti
In questa procedura, aggiungi una politica in linea al ruolo del servizio Greengrass che AWS IoT Greengrass consente di ottenere i valori dei tuoi segreti.
**Segui questa procedura solo** se desideri concedere autorizzazioni AWS IoT Greengrass personalizzate ai tuoi segreti o se il tuo ruolo di servizio Greengrass non include `AWSGreengrassResourceAccessRolePolicy` la policy gestita. `AWSGreengrassResourceAccessRolePolicy`*concede l'accesso ai segreti con nomi che iniziano con greengrass-.*
1. Eseguire i seguenti comandi della CLI per ottenere l'ARN del ruolo del servizio Greengrass:
```
aws greengrass get-service-role-for-account --region {{region}}
```
L'ARN restituito include il nome del ruolo.
```
{
"AssociatedAt": "{{time-stamp}}",
"RoleArn": "arn:aws:iam::{{account-id}}:role/service-role/{{role-name}}"
}
```
Puoi utilizzare l'ARN o il nome nella fase seguente.
1. Aggiungere una policy inline che autorizza l'azione `secretsmanager:GetSecretValue`. Per istruzioni, consulta [Aggiungere e rimuovere le politiche IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) per l'*utente IAM*.
È possibile concedere l'accesso granulare elencando esplicitamente i segreti oppure utilizzando uno schema di denominazione con il carattere jolly `*`. In alternativa, è possibile concedere l'accesso condizionale ai segreti con versioni o tag. Ad esempio, la seguente politica consente di AWS IoT Greengrass leggere solo i segreti specificati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{greengrass-SecretA-abc}}",
"arn:aws:secretsmanager:{{us-east-1}}:{{123456789012}}:secret:{{greengrass-SecretB-xyz}}"
]
}
]
}
```
------
**Nota**
Se utilizzi una AWS KMS chiave gestita dal cliente per crittografare i segreti, anche il tuo ruolo di servizio Greengrass deve consentire l'azione. `kms:Decrypt`
Per ulteriori informazioni sulle policy IAM per Secrets Manager, consulta [Authentication Gestione dei segreti AWS and access control for](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) and [Actions, resources and context keys che puoi utilizzare in una policy IAM o in una policy segreta Gestione dei segreti AWS nella Guida per](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_iam-permissions.html) *l'Gestione dei segreti AWS utente*.
## Consulta anche
+ [Che cos'è Gestione dei segreti AWS?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) nella *Guida per l'Gestione dei segreti AWS utente*
+ [PKCS \#1: RSA Encryption versione 1.5](https://tools.ietf.org/html/rfc2313)