支援終止通知：2026 年 10 月 7 日 AWS 將停止 的支援 AWS IoT Greengrass Version 1。2026 年 10 月 7 日之後，您將無法再存取 AWS IoT Greengrass V1 資源。如需詳細資訊，請造訪[從 遷移 AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對 的身分和存取問題進行故障診斷 AWS IoT Greengrass
<a name="security_iam_troubleshoot"></a>

使用以下資訊來協助您診斷和修正使用 AWS IoT Greengrass 和 IAM 時可能遇到的常見問題。

**Topics**
+ [我未獲授權在 中執行動作 AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [錯誤：Greengrass 未獲授權，無法擔任與此帳戶關聯的服務角色，或錯誤：失敗：TES 服務角色並未與此帳戶關聯。](#troubleshoot-assume-service-role)
+ [錯誤：嘗試使用角色 arn：aws：iam：：<account-id>：role/<role-name> 存取 s3 url https://<region>-greengrass-updates.s3.<region>.amazonaws.com/core/<architecture>/greengrass-core-<distribution-version>.tar.gz 時，許可遭拒。](#troubleshoot-ota-region-access)
+ [裝置陰影與雲端不同步。](#troubleshoot-shadow-sync)
+ [我未獲授權執行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我是管理員，想要允許其他人存取 AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [我想要允許 以外的人員 AWS 帳戶 存取我的 AWS IoT Greengrass 資源](#security_iam_troubleshoot-cross-account-access)

如需一般的故障診斷協助，請參閱 [故障診斷 AWS IoT Greengrass](gg-troubleshooting.md)。

## 我未獲授權在 中執行動作 AWS IoT Greengrass
<a name="security_iam_troubleshoot-no-permissions"></a>

若您收到指出您未獲授權執行動作的錯誤，您必須聯絡管理員以取得協助。您的管理員是提供您使用者名稱和密碼的人員。

當 IAM `mateojackson` 使用者嘗試檢視核心定義版本的詳細資訊，但沒有`greengrass:GetCoreDefinitionVersion`許可時，會發生下列範例錯誤。

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDefinitionVersion on resource: resource: arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE
```

在此情況下，Mateo 會請求管理員更新他的政策，允許他使用 `arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE` 動作存取 `greengrass:GetCoreDefinitionVersion` 資源。

## 錯誤：Greengrass 未獲授權，無法擔任與此帳戶關聯的服務角色，或錯誤：失敗：TES 服務角色並未與此帳戶關聯。
<a name="troubleshoot-assume-service-role"></a>

**解決方案：**部署失敗時，您可能會看到此錯誤。檢查 Greengrass 服務角色是否與目前 AWS 帳戶 中的 相關聯 AWS 區域。如需詳細資訊，請參閱 [管理 Greengrass 服務角色 (CLI)](service-role.md#manage-service-role-cli) 或 [管理 Greengrass 服務角色 (主控台)](service-role.md#manage-service-role-console) 。

## 錯誤：嘗試使用角色 arn：aws：iam：：<account-id>：role/<role-name> 存取 s3 url https://<region>-greengrass-updates.s3.<region>.amazonaws.com/core/<architecture>/greengrass-core-<distribution-version>.tar.gz 時，許可遭拒。
<a name="troubleshoot-ota-region-access"></a>

**解決方案：**您可以在無線 (OTA) 更新失敗時查看此錯誤。在簽署者角色政策中，將目標新增 AWS 區域 為 `Resource`。此簽署者角色用於預先簽署 S3 URL 以進行 AWS IoT Greengrass 軟體更新。如需詳細資訊，請參閱 [S3 URL 簽署者角色](core-ota-update.md#s3-url-signer-role)。

## 裝置陰影與雲端不同步。
<a name="troubleshoot-shadow-sync"></a>

**解決方案：**確定 AWS IoT Greengrass 具有 [Greengrass 服務角色](service-role.md)中 `iot:UpdateThingShadow`和 `iot:GetThingShadow`動作的許可。如果服務角色使用 `AWSGreengrassResourceAccessRolePolicy` 受管政策，預設會包含這些權限。

請參閱 [陰影同步逾時問題故障診斷](gg-troubleshooting.md#troubleshooting-shadow-sync)。

以下是使用 時可能遇到的一般 IAM 問題 AWS IoT Greengrass。

## 我未獲授權執行 iam:PassRole
<a name="security_iam_troubleshoot-passrole"></a>

如果您收到錯誤，告知您未獲授權執行 `iam:PassRole` 動作，您的政策必須更新，允許您將角色傳遞給 AWS IoT Greengrass。

有些 AWS 服務 可讓您將現有角色傳遞給該服務，而不是建立新的服務角色或服務連結角色。如需執行此作業，您必須擁有將角色傳遞至該服務的許可。

名為 `marymajor` 的 IAM 使用者嘗試使用主控台在 AWS IoT Greengrass中執行動作時，發生下列範例錯誤。但是，動作要求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

在這種情況下，Mary 的政策必須更新，允許她執行 `iam:PassRole` 動作。

如果您需要協助，請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。

## 我是管理員，想要允許其他人存取 AWS IoT Greengrass
<a name="security_iam_troubleshoot-admin-delegate"></a>

若要允許其他人存取 AWS IoT Greengrass，您必須將許可授予需要存取的人員或應用程式。如果您使用 AWS IAM Identity Center 管理人員和應用程式，您可以將許可集指派給使用者或群組，以定義其存取層級。許可集會自動建立 IAM 政策，並將其指派給與該人員或應用程式相關聯的 IAM 角色。如需詳細資訊，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。

如果您不是使用 IAM Identity Center，則必須為需要存取的人員或應用程式建立 IAM 實體 （使用者或角色）。您接著必須將政策連接到實體，在 AWS IoT Greengrass中授予他們正確的許可。授予許可後，請將登入資料提供給使用者或應用程式開發人員。他們將使用這些登入資料來存取 AWS。若要進一步了解如何建立 IAM 使用者、群組、政策和許可，請參閱《IAM **[使用者指南》中的 IAM 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和[政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。

## 我想要允許 以外的人員 AWS 帳戶 存取我的 AWS IoT Greengrass 資源
<a name="security_iam_troubleshoot-cross-account-access"></a>

您可以建立 IAM 角色，讓其他帳戶中的使用者或您組織外部的人員可用來存取您的 AWS 資源。您可以指定要允許哪些信任對象擔任該角色。如需詳細資訊，請參閱《[IAM 使用者指南》中的提供存取權給您擁有 AWS 帳戶 的另一個 中的 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)，以及[提供存取權給第三方擁有的 Amazon Web Services 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。 **

AWS IoT Greengrass 不支援以資源型政策或存取控制清單 (ACLs) 為基礎的跨帳戶存取。