Configuración de los depósitos de ficheros de Windchill para utilizar Amazon S3
En esta sección se explican las configuraciones necesarias en Windchill y Amazon Web Services (AWS) para permitir el uso de Amazon S3 cuando Windchill se ejecuta en AWS.
|
Las configuraciones que se describen en esta sección se deben realizar de nuevo después de actualizar o mejorar la versión de Windchill existente.
|
Configuración de AWS
En las configuraciones que se deben llevar a cabo en AWS se incluyen la adición de directivas y la configuración del control de acceso. Se deben configurar permisos y definir el acceso en AWS para que Windchill funcione correctamente con AWS.
Antes de comenzar
Cree las siguientes entidades en AWS antes de configurar AWS para Windchill:
• Agrupación S3
• Clave de acceso
• Clave de acceso secreta
• Rol IAM
• Clave KMS: esta entidad es opcional y debe crearse si se tiene previsto utilizar la codificación KMS.
Adición de directiva para una cuenta de usuario IAM
Se deben configurar los permisos necesarios mediante la adición de una directiva para una cuenta de usuario IAM. Lleve a cabo los siguientes pasos para añadir la directiva:
1. Conéctese a la cuenta de AWS.
2. Pulse en > . Se abre la página Welcome to Identity and Access Management.
3. En la ficha Users, seleccione el usuario al que desea conceder el permiso en la columna User name. Se abre la página Summary.
4. Añada la siguiente directiva:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectAcl",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
"arn:aws:s3:::<bucket_name>/*",
]
}
]
}
Adición de la directiva para la codificación KMS (opcional)
Añada la directiva para la codificación KMS solo si se va a utilizar este tipo de codificación. Realice los pasos de la sección "Adición de directiva para una cuenta de usuario IAM" y añada la siguiente directiva:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:<region>:<ARN>:key/<KMS_Key_Name>",
]
}
]
}
Configuración del control de acceso
Un requisito previo para proporcionar el acceso necesario es la creación de la agrupación de Windchill y la cuenta de Amazon S3 correspondiente para el usuario de AWS de Windchill. Se debe proporcionar List Objects, Write Objects y Read bucket permissions a la cuenta de Windchill en AWS.
Realice los siguientes pasos para definir los permisos:
1. Conéctese a la cuenta de AWS y navegue hasta > . Se abre la página Amazon S3.
2. Abra la agrupación para la cuenta de Windchill en la columna Bucket name.
3. Pulse en la ficha Permissions.
4. Pulse en el nombre de cuenta para el usuario de AWS de Windchill desde la columna Account.
Se abre una ventana emergente.
5. Seleccione List Objects, Write objects y Read bucket permissions.
|
También se puede seleccionar Write bucket permissions, aunque no es obligatorio.
|
6. Pulse en Save para que los permisos se apliquen.
Configuraciones de Windchill
Es posible configurar Amazon S3 con la herramienta de línea de comandos.
Antes de comenzar
Esta herramienta de línea de comandos consta de campos de configuración. Pulse INTRO para omitir una configuración específica. La herramienta de línea de comandos muestra la configuración existente. La configuración se difunde automáticamente a todos los servidores de ficheros registrados, es decir, los sitios de réplica.
Ejecute el siguiente comando en el shell de Windchill para configurar el servicio de nube de Amazon S3:
windchill com.ptc.windchill.objectstorage.amazons3.tools.S3ConfigurationTool configure -u <username> -p <password>.
|
En caso de un entorno de clúster de Windchill, ejecute el comando anterior desde cada nodo del clúster.
|
Realice los pasos siguientes para configurar la cuenta:
1. Estrategia de autentificación: escriba la estrategia de autentificación que se utiliza para realizar solicitudes de Amazon S3. Las opciones son SECURITY_CREDENTIALS e IAM_ROLE.
2. AWS Access Key ID: escriba el ID de clave de acceso para la cuenta de Amazon S3. Se aplica si la estrategia de autenticación es SECURITY_CREDENTIALS.
3. AWS Secret Access Key: escriba la clave de acceso secreta para la cuenta de Amazon S3. Se aplica si la estrategia de autenticación es SECURITY_CREDENTIALS.
4. AWS Partition Name: escriba el nombre de partición para su cuenta de Amazon S3. El nombre de partición por defecto es aws.
5. S3 Encryption Configurator Delegate Name:
|
Se debe omitir la configuración de S3 Encryption Configurator Delegate Name, si se utiliza el cifrado S3 como tipo de codificación.
|
Escriba el nombre de delegado que va a elegir el tipo de codificación. El tipo de codificación se utiliza para cifrar el contenido almacenado en Amazon S3.
6. SSEKMSKeyProvider Delegate Name:
|
Se debe omitir la configuración de SSEKMSKeyProvider Delegate Name si se ha elegido el cifrado S3 o el cifrado de clave de cliente.
|
Escriba el nombre de delegado que va a elegir el ID de clave KMS. El ID de clave KMS se utiliza para cifrar el contenido almacenado en Amazon S3.
7. SSECSecKeyGenerator Delegate Name:
|
Se debe omitir la configuración de SSECSecKeyGenerator Delegate Name si se ha elegido el cifrado S3 o la clave KMS.
|
Escriba el nombre de delegado que va a gestionar las claves secretas. La clave secreta que devuelve el delegado se utiliza para cifrar contenido almacenado en Amazon S3.
Para obtener más información sobre la codificación, consulte el tema
Personalización de la codificación para los montajes de Amazon S3.
|
Si se cambia la configuración relacionada con los nombres de delegado, reinicie los servidores principal y de réplicas para que surta efecto la configuración.
|