终止支持通知:2026 年 10 月 7 日, AWS 将停止对的支持。 AWS IoT Greengrass Version 1 2026 年 10 月 7 日之后,您将无法再访问这些 AWS IoT Greengrass V1 资源。如需了解更多信息,请访问[迁移自 AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 AWS IoT Greengrass 与 IAM 配合使用
在使用 IAM 管理访问权限之前 AWS IoT Greengrass,您应该了解可与之配合使用的 IAM 功能 AWS IoT Greengrass。
| IAM 功能 | Greengrass 支持吗? |
| --- | --- |
| [具有资源级权限的基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [访问控制列表 (ACLs)](#security_iam_service-with-iam-acls) | 否 |
| [基于标签的授权](#security_iam_service-with-iam-tags) | 否 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 否 |
| [服务角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
有关其他 AWS 服务如何与 IAM 配合使用的高级视图,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 基于身份的策略 AWS IoT Greengrass
借助 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及允许或拒绝操作的条件。 AWS IoT Greengrass 支持特定的操作、资源和条件键。要了解您在策略中使用的所有元素,请参阅 *IAM 用户指南*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
策略操作在操作前 AWS IoT Greengrass 使用`greengrass:`前缀。例如,要允许某人使用 `ListGroups` API 操作列出其中的群组 AWS 账户,您可以将该`greengrass:ListGroups`操作包含在他们的策略中。策略语句必须包括 `Action` 或 `NotAction` 元素。 AWS IoT Greengrass 定义了自己的一组操作,这些操作描述了可使用该服务执行的任务。
要在单个语句中指定多项操作,请在方括号 (`[` `]`) 中列出这些操作,并用逗号将它们分隔开,如下所示:
```
"Action": [
"greengrass:action1",
"greengrass:action2",
"greengrass:action3"
]
```
您可以使用通配符 (`*`) 指定多个操作。例如,要指定以单词 `List` 开头的所有操作,包括以下操作:
```
"Action": "greengrass:List*"
```
**注意**
我们建议您避免使用通配符来指定服务的所有可用操作。最佳做法是,您应在策略中授予最低特权和范围狭窄的权限。有关更多信息,请参阅 [授予可能的最低权限](security-best-practices.md#least-privilege)。
有关 AWS IoT Greengrass 操作的完整列表,请参阅 *IAM 用户指南 AWS IoT Greengrass*中的[定义操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
下表 ARNs 包含可在策略声明`Resource`元素中使用的 AWS IoT Greengrass 资源。有关 AWS IoT Greengrass 操作支持的资源级权限的映射,请参阅 *IAM 用户*指南 AWS IoT Greengrass中[定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotgreengrass.html#awsiotgreengrass-actions-as-permissions)。
| 资源 | 进行筛选 |
| --- | --- |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listgroups-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listgroups-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/groups/\$1\$1GroupId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listgroupversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listgroupversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/groups/\$1\$1GroupId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listgroupcertificateauthorities-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listgroupcertificateauthorities-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/groups/\$1\$1GroupId\$1/certificateauthorities/\$1\$1CertificateAuthorityId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listdeployments-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listdeployments-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/groups/\$1\$1GroupId\$1/deployments/\$1\$1DeploymentId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listbulkdeployments-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listbulkdeployments-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/bulk/deployments/\$1\$1BulkDeploymentId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listconnectordefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listconnectordefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/connectors/\$1\$1ConnectorDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listconnectordefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listconnectordefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/connectors/\$1\$1ConnectorDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listcoredefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listcoredefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/cores/\$1\$1CoreDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listcoredefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listcoredefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/cores/\$1\$1CoreDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listdevicedefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listdevicedefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/devices/\$1\$1DeviceDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listdevicedefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listdevicedefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/devices/\$1\$1DeviceDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listfunctiondefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listfunctiondefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/functions/\$1\$1FunctionDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listfunctiondefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listfunctiondefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/functions/\$1\$1FunctionDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listloggerdefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listloggerdefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/loggers/\$1\$1LoggerDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listloggerdefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listloggerdefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/loggers/\$1\$1LoggerDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listresourcedefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listresourcedefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/resources/\$1\$1ResourceDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listresourcedefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listresourcedefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/resources/\$1\$1ResourceDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listsubscriptiondefinitions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listsubscriptiondefinitions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/subscriptions/\$1\$1SubscriptionDefinitionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/listsubscriptiondefinitionversions-get.html](https://docs.aws.amazon.com/greengrass/v1/apireference/listsubscriptiondefinitionversions-get.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/definition/subscriptions/\$1\$1SubscriptionDefinitionId\$1/versions/\$1\$1VersionId\$1 |
| [https://docs.aws.amazon.com/greengrass/v1/apireference/definitions-connectivityinfo.html](https://docs.aws.amazon.com/greengrass/v1/apireference/definitions-connectivityinfo.html) | arn:\$1\$1Partition\$1:greengrass:\$1\$1Region\$1:\$1\$1Account\$1:/greengrass/things/\$1\$1ThingName\$1/connectivityInfo |
以下示例`Resource`元素指定了位于美国西部(俄勒冈)地区的群组的 ARN: AWS 账户 `123456789012`
```
"Resource": "arn:aws:greengrass:us-west-2:123456789012:/greengrass/groups/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
或者,要指定属于特定群组的所有群组 AWS 区域,请使用通配符代替群组 ID: AWS 账户
```
"Resource": "arn:aws:greengrass:us-west-2:123456789012:/greengrass/groups/*"
```
某些 AWS IoT Greengrass 操作(例如,某些列表操作)无法对特定资源执行。在这种情况下,您必须单独使用通配符。
```
"Resource": "*"
```
要在语句 ARNs 中指定多个资源,请将它们列在方括号 (`[``]`) 之间,并用逗号分隔,如下所示:
```
"Resource": [
"resource-arn1",
"resource-arn2",
"resource-arn3"
]
```
有关 ARN 格式的更多信息,请参阅中的 A [mazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。*Amazon Web Services 一般参考*
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS IoT Greengrass 支持以下全局条件键。
| Key | 说明 |
| --- | --- |
| aws:CurrentTime | 通过检查当前日期和时间的 date/time 条件来筛选访问权限。 |
| aws:EpochTime | 通过检查当前日期和时间(以纪元或 Unix 时间为单位)的 date/time 条件来筛选访问权限。 |
| aws:MultiFactorAuthAge | 检查使用 Multi-Factor Authentication (MFA) 颁发请求中的 MFA 验证的安全凭证之前经过的时间(以秒为单位)以筛选访问。 |
| aws:MultiFactorAuthPresent | 检查是否使用 Multi-Factor Authentication (MFA) 验证发出当前请求的临时安全凭证以筛选访问。 |
| aws:RequestTag/\$1\$1TagKey\$1 | 根据每个必需标签的允许值集筛选创建请求。 |
| aws:ResourceTag/\$1\$1TagKey\$1 | 根据与资源关联的标签值筛选操作。 |
| aws:SecureTransport | 检查是否使用 SSL 发送请求以筛选访问。 |
| aws:TagKeys | 根据在请求中是否具有必需标签以筛选创建请求。 |
| aws:UserAgent | 按请求者的客户端应用程序筛选访问。 |
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看 AWS IoT Greengrass 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS IoT Greengrass](security_iam_id-based-policy-examples.md)
## 基于资源的政策 AWS IoT Greengrass
AWS IoT Greengrass 不支持[基于资源的策略](security-iam.md#security_iam_access-manage-resource-based-policies)。
## 访问控制列表 (ACLs)
AWS IoT Greengrass 不支持[ACLs](security-iam.md#security_iam_access-manage-acl)。
## 基于 AWS IoT Greengrass 标签的授权
AWS IoT Greengrass 不支持基于标签的授权。
## 的 IAM 角色适用于 AWS IoT Greengrass
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您内部具有特定权限 AWS 账户 的实体。
### 将临时凭证与 AWS IoT Greengrass
临时凭证可用于进行联合身份登录,代入 IAM 角色或代入跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
在 Greengrass 核心上,[组角色](group-role.md)的临时凭证可供用户定义的 Lambda 函数和连接器使用。如果您的 Lambda 函数使用 AWS 软件开发工具包,则无需添加逻辑即可获取证书,因为 AWS 软件开发工具包会为您执行此操作。
### 服务关联角色
AWS IoT Greengrass 不支持[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
AWS IoT Greengrass 使用服务角色代表您访问您的部分 AWS 资源。有关更多信息,请参阅 [Greengrass 服务角色](service-role.md)。
### 在 AWS IoT Greengrass 控制台中选择 IAM 角色
在 AWS IoT Greengrass 控制台中,您可能需要从账户中的 IAM 角色列表中选择一个 Greengrass 服务角色或 Greengrass 群组角色。
+ Greengrass 服务角色 AWS IoT Greengrass 允许您代表您在其他服务中访问 AWS 您的资源。通常,您不需要选择服务角色,因为控制台可以为您创建和配置服务角色。有关更多信息,请参阅 [Greengrass 服务角色](service-role.md)。
+ Greengrass 群组角色用于允许群组中的 Greengrass Lambda 函数和连接器访问您的资源。 AWS 它还可以授予将流导出到 AWS 服务和写入 CloudWatch 日志的 AWS IoT Greengrass 权限。有关更多信息,请参阅 [Greengrass 组角色](group-role.md)。