对IOT Core/PubSub/Shadows，Greengrass，IAM角色，服务角色和IPC的权限感到困惑。

【以下的回答经过翻译处理】 有几种不同的策略，理解何处应该放置可能会很困难，但理解各种资源类型及其范围可以帮助解决问题。

Greengrass组件通过IPC访问资源。IPC是本地Greengrass设备的资源。访问这些资源的“principle”是组件本身。您可以在组件配置中授予组件所需的权限。

一些IPC资源映射到存在于AWS IoT中的资源（例如Shadows、MQTT主题）。Greengrass core设备是访问这些资源的“主体”。为此，您需要在附加到Greengrass core证书的IoT策略中授予Greengrass权限。对于您的组件使用IoT Device SDK访问的任何内容，都应配置IoT策略。

其他时候，IPC资源映射到AWS的其他部分中的资源（例如存储在Secrets Manager中的密钥）。要访问这些资源，通常需要IAM凭据。Greengrass可以使用角色别名获取IAM凭据。对于您的组件使用常规AWS SDK访问的任何内容，都应配置此策略。

最后，您还可以将外部客户端设备连接到Greengrass。您可以配置Client Devices Auth组件，以定义客户端设备连接到本地MQTT代理时具有的权限。

对于大多数情况，您不需要担心服务角色。当使用客户端设备时，Greengrass云服务在一些情况下会使用它。您可以设置它一次（如果使用客户端设备），然后忘记它的存在。