Configuration des coffres-forts Windchill pour l'utilisation d'Amazon S3
Cette section décrit les configurations requises dans Windchill et Amazon Web Services (AWS) pour autoriser l'utilisation d'Amazon S3 lorsque Windchill s'exécute dans AWS.
|
Les configurations décrites dans cette section doivent être réexécutées après la mise à jour ou la mise à niveau de la version existante de votre Windchill.
|
Configuration du AWS
Les configurations requises dans AWS incluent l'ajout de politiques et la configuration d'un contrôle d'accès. Vous devez configurer des permissions et définir un accès sur AWS pour que Windchill fonctionne correctement avec AWS.
Avant de commencer
Créez les entités suivantes sur AWS avant de configurer AWS pour Windchill :
• Catégorie S3
• Clé d'accès
• Clé d'accès secrète
• Rôle IAM
• Clé KMS : cette entité est facultative et doit être créée si vous envisagez d'utiliser le cryptage KMS.
Ajout d'une politique pour un compte utilisateur IAM
Vous devez configurer les permissions requises en ajoutant une politique pour un compte utilisateur IAM. Pour ajouter la politique, procédez comme suit :
1. Connectez-vous à votre compte AWS.
2. Cliquez sur > . La page Welcome to Identity and Access Management s'ouvre.
3. Dans l'onglet Users, sélectionnez l'utilisateur auquel vous souhaitez accorder la permission dans la colonne User name. La page Summary s'ouvre.
4. Ajoutez la politique suivante :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectAcl",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
"arn:aws:s3:::<bucket_name>/*",
]
}
]
}
Ajout d'une politique pour le cryptage KMS (facultatif)
Ajoutez la politique de cryptage KMS uniquement si vous envisagez d'utiliser ce type de cryptage. Suivez la procédure indiquée dans la section "Ajout d'une politique pour un compte utilisateur IAM" et ajoutez la politique suivante :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:<region>:<ARN>:key/<KMS_Key_Name>",
]
}
]
}
Configuration du contrôle d'accès
Pour fournir l'accès requis, vous devez au préalable avoir créé une catégorie Windchill et un compte Amazon S3 correspondant à l'utilisateur AWS Windchill. Vous devez fournir les permissions List Objects, Write Objects et Read bucket au compte Windchill dans AWS.
Pour définir les permissions, procédez comme suit :
1. Connectez-vous à votre compte AWS et accédez à > . La page Amazon S3 s'ouvre.
2. Ouvrez la catégorie du compte Windchill dans la colonne Bucket name.
3. Cliquez sur l'onglet Permissions.
4. Cliquez sur le nom de compte de l'utilisateur Windchill AWS dans la colonne Account.
Une fenêtre contextuelle s'ouvre.
5. Sélectionnez les permissions List objects, Write objects et Read bucket.
|
Vous pouvez également sélectionner les permissions Write bucket même si ce n'est pas obligatoire.
|
6. Cliquez sur Save pour que les permissions soient prises en compte.
Configurations de Windchill
Vous pouvez configurer Amazon S3 à l'aide de l'outil de ligne de commande.
Avant de commencer
Cet outil de ligne de commande se compose de champs de configuration. Pour ignorer une configuration spécifique, appuyez sur ENTREE. L'outil de ligne de commande affiche la configuration existante. La configuration est automatiquement diffusée à tous les serveurs de fichiers enregistrés, autrement dit aux sites répliqués.
Pour configurer le service Cloud Amazon S3, exécutez la commande ci-après au niveau du shell Windchill :
windchill com.ptc.windchill.objectstorage.amazons3.tools.S3ConfigurationTool configure -u <username> -p <password>.
|
Dans le cas d'un environnement Windchill configuré en grappe, exécutez la commande ci-dessus à partir de chaque noeud de la grappe.
|
Pour configurer le compte, procédez comme suit :
1. Stratégie d'authentification : saisissez la stratégie d'authentification qui est utilisée pour effectuer des demandes Amazon S3. Les options sont SECURITY_CREDENTIALS et IAM_ROLE.
2. AWS Access Key ID : saisissez l'ID de clé d'accès pour votre compte Amazon S3. Applicable si la stratégie d'authentification est SECURITY_CREDENTIALS.
3. AWS Secret Access Key : saisissez la clé d'accès secrète pour votre compte Amazon S3. Applicable si la stratégie d'authentification est SECURITY_CREDENTIALS.
4. AWS Partition Name : saisissez le nom de partition de votre compte Amazon S3. Le nom de partition par défaut est aws.
5. S3 Encryption Configurator Delegate Name —
|
Vous devez ignorer la configuration S3 Encryption Configurator Delegate Name si vous utilisez le cryptage S3 en tant que type de cryptage.
|
Saisissez le nom du délégué pour choisir le type de cryptage. Le type de cryptage est utilisé pour crypter le contenu stocké sur Amazon S3.
6. SSEKMSKeyProvider Delegate Name —
|
Vous devez ignorer la configuration SSEKMSKeyProvider Delegate Name si vous avez choisi le cryptage S3 ou de clé de client.
|
Saisissez le nom du délégué pour choisir l'ID de clé KMS. L'ID de clé KMS est utilisé pour crypter le contenu stocké sur Amazon S3.
7. SSECSecKeyGenerator Delegate Name —
|
Vous devez ignorer la configuration SSECSecKeyGenerator Delegate Name si vous avez choisi le cryptage S3 ou une clé KMS.
|
Saisissez le nom du délégué pour gérer les clés secrètes. La clé secrète renvoyée par le délégué est utilisée pour le cryptage du contenu stocké sur Amazon S3.
Pour en savoir plus sur le cryptage, consultez la rubrique
Personnalisation du cryptage pour les montages Amazon S3.
|
Si la configuration associée aux noms de délégués est modifiée, redémarrez le serveur principal et les serveurs répliqués pour que la configuration soit prise en compte.
|