將 Windchill 檔案儲存庫配置為使用 Amazon S3

企業管理 > 檔案存放與複製 > 檔案存放 > 使用外部檔案儲存庫 > 將 Windchill 檔案儲存庫配置為使用 Amazon S3

本節說明了 Windchill 正在 AWS 中執行時，欲在 Windchill 與 Amazon Web Services (AWS) 中使用 Amazon S3 所需的組態。

AWS 組態

欲在 AWS 中執行所需的組態包括新增原則與設定存取控制。您必須在 AWS 上配置權限並設定存取才能在 Windchill 中成功使用 AWS。

事前準備

針對 Windchill 配置 AWS 之前，請在 AWS 上建立以下圖元︰

• S3 貯體

• 存取金鑰

• 秘密存取金鑰

• IAM 角色

• KMS 金鑰 - 此圖元為選用，如果您計劃使用 KMS 加密，則必須建立此圖元。

為 IAM 使用者帳戶新增原則

您必須透過為 IAM 使用者帳戶新增原則來配置所需權限。執行下列步驟來新增原則︰

1. 登入 AWS 帳戶。

2. 按一下 Services > IAM。Welcome to Identity and Access Management 頁即會開啟。

3. 在 Users 標籤下的 User name 欄中選取要授與權限的使用者。Summary 頁即會開啟。

4. 新增下列原則︰

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListObjects",
"s3:GetObjectAcl",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
"arn:aws:s3:::<bucket_name>/*",
]
}
]
}

為 KMS 加密新增原則 (選用)

只有當您打算使用此加密類型時，才需要為 KMS 加密新增原則。執行「為 IAM 使用者帳戶新增原則」一節中的步驟新增下列原則︰

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:<region>:<ARN>:key/<KMS_Key_Name>",
]
}
]
}

配置存取控制

提供所需存取的先決條件是建立與 Windchill AWS 使用者對應的 Windchill 貯體和 Amazon S3 帳戶。您必須在 AWS 中向 Windchill 帳戶提供 List Objects、Write Objects 和 Read bucket permissions。

執行下列步驟來設定權限︰

1. 登入 AWS 帳戶，然後導覽至　Services > S3。Amazon S3 頁即會開啟。

2. 從 Bucket name 欄開啟 Windchill 帳戶的貯體。

3. 按一下 Permissions 標籤。

4. 在 Account 欄中按一下 Windchill AWS 使用者的帳戶名稱。

彈出視窗即會開啟。

5. 選取 List objects、Write objects 和 Read bucket permissions。

您也可以選取 Write bucket permissions，這並不是強制的。

6. 按一下 Save 以使權限生效。

Windchill 組態

您可以使用指令行工具配置 Amazon S3。

事前準備

此指令行工具由組態欄位組成。按下 ENTER 鍵可略過特定組態。指令行工具會顯示現有組態。組態會自動傳送到所有已註冊的檔案伺服器，即複本網站。

在 Windchill shell 中執行下列指令，來配置 Amazon S3 雲端服務︰

windchill com.ptc.windchill.objectstorage.amazons3.tools.S3ConfigurationTool configure -u <username> -p <password>。

如果是在 Windchill 叢集環境中，請從叢集中的每個節點執行上述指令。

執行下列步驟來配置帳戶︰

1. 驗證策略 - 鍵入用於提出 Amazon S3 請求的驗證策略。選項有 SECURITY_CREDENTIALS 和 IAM_ROLE。

2. AWS Access Key ID - 鍵入您 Amazon S3 帳戶的存取金鑰 ID。如果驗證策略為 SECURITY_CREDENTIALS，則適用。

3. AWS Secret Access Key - 鍵入您 Amazon S3 帳戶的秘密存取金鑰。如果驗證策略為 SECURITY_CREDENTIALS，則適用。

4. S3 Encryption Configurator Delegate Name -

如果您正在使用 S3 加密作為加密類型，您必須跳過 S3 Encryption Configurator Delegate Name 組態。

鍵入委派名稱以選擇加密類型。加密類型用來加密儲存在 Amazon S3 中的內容。

5. SSEKMSKeyProvider Delegate Name -

如果您已選擇 S3 加密或客戶金鑰加密，則必須跳過 SSEKMSKeyProvider Delegate Name 組態。

鍵入委派名稱以選擇 KMS 金鑰 ID。KMS 金鑰 ID 用來加密儲存在 Amazon S3 中的內容。

6. SSECSecKeyGenerator Delegate Name -

如果您已選擇 S3 加密或 KMS 金鑰，則必須跳過 SSECSecKeyGenerator Delegate Name 組態。

鍵入委派名稱以管理秘密金鑰。由委派傳回的秘密金鑰用來加密儲存在 Amazon S3 中的內容。

有關加密的詳細資訊，請參閱主題 Amazon S3 裝載的加密自訂。

如果變更與委派名稱相關的組態，請重新啟動主要伺服器與複本伺服器，以使組態生效。