Configurazione degli archivi file di Windchill per l'utilizzo di Amazon S3
Questa sezione illustra le configurazioni richieste in Windchill e Amazon Web Services (AWS) per consentire l'utilizzo di Amazon S3 quando Windchill è in esecuzione in AWS.
|
Le configurazioni descritte in questa sezione devono essere eseguite nuovamente dopo aver aggiornato la versione di Windchill esistente.
|
Configurazione di AWS
Le configurazioni che devono essere eseguite in AWS includono l'aggiunta di regole e l'impostazione del controllo di accesso. È necessario configurare permessi e impostare l'accesso su AWS per consentire il funzionamento di Windchill con AWS.
Informazioni preliminari
Prima di configurare AWS per Windchill, creare in AWS le entità riportate di seguito.
• Bucket S3
• Chiave di accesso
• Chiave di accesso segreta
• Ruolo IAM
• Chiave KMS - Questa entità è facoltativa e deve essere creata se si intende utilizzare la crittografia KMS.
Aggiunta di una regola per un account utente IAM
È necessario configurare i permessi richiesti aggiungendo una regola per un account utente IAM. Per aggiungere la regola, attenersi alla procedura descritta di seguito.
1. Accedere all'account AWS.
2. Fare clic su > . Viene visualizzata la pagina Welcome to Identity and Access Management.
3. Nella scheda Users selezionare l'utente a cui si intende concedere il permesso dalla colonna User name. Viene visualizzata la pagina Summary.
4. Aggiungere la regola seguente:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectAcl",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
"arn:aws:s3:::<bucket_name>/*",
]
}
]
}
Aggiunta di una regola per la crittografia KMS (facoltativo)
Aggiungere la regola per la crittografia KMS solo se si intende utilizzare questo tipo di crittografia. Eseguire i passi della sezione "Aggiunta di una regola per un account utente IAM" e aggiungere la regola seguente:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:<region>:<ARN>:key/<KMS_Key_Name>",
]
}
]
}
Configurazione del controllo di accesso
Per fornire l'accesso richiesto, è necessario creare il bucket Windchill e l'account Amazon S3 corrispondenti all'utente AWS di Windchill. È necessario fornire i valori di List Objects, Write Objects e Read bucket permissions all'account Windchill in AWS.
Per impostare i permessi, attenersi alla procedura descritta di seguito.
1. Accedere all'account AWS e passare a > . Viene visualizzata la pagina Amazon S3.
2. Aprire il bucket per l'account Windchill dalla colonna Bucket name.
3. Fare clic sulla scheda Permissions.
4. Fare clic sul nome dell'account per l'utente AWS di Windchill dalla colonna Account.
Viene visualizzata una finestra popup.
5. Selezionare List objects, Write objects e Read bucket permissions.
|
È inoltre possibile selezionare Write bucket permissions, sebbene non sia obbligatorio.
|
6. Fare clic su Save per rendere effettiva l'applicazione dei permessi.
Configurazioni di Windchill
È possibile configurare Amazon S3 mediante lo strumento da riga di comando.
Prima di iniziare
Lo strumento da riga di comando include campi di configurazione. Premere INVIO per ignorare una configurazione specifica. Lo strumento da riga di comando visualizza la configurazione esistente. La configurazione viene trasmessa automaticamente a tutti i file server registrati, ovvero i siti di replica.
Per configurare il servizio cloud di Amazon S3, eseguire nella shell di Windchill il comando riportato di seguito.
windchill com.ptc.windchill.objectstorage.amazons3.tools.S3ConfigurationTool configure -u <username> -p <password>.
|
Nel caso di un ambiente cluster Windchill, eseguire il comando precedente da ogni nodo del cluster.
|
Per configurare l'account, attenersi alla procedura riportata di seguito.
1. Strategia di autenticazione - Digitare la strategia di autenticazione utilizzata per creare richieste di Amazon S3. Le opzioni disponibili sono SECURITY_CREDENTIALS e IAM_ROLE.
2. AWS Access Key ID- Digitare l'ID chiave di accesso dell'account Amazon S3. Applicabile se la strategia di autenticazione è SECURITY_CREDENTIALS.
3. AWS Secret Access Key - Digitare la chiave di accesso segreta dell'account Amazon S3. Applicabile se la strategia di autenticazione è SECURITY_CREDENTIALS.
4. AWS Partition Name - Digitare il nome della partizione per l'account Amazon S3. Il nome della partizione di default è aws.
5. S3 Encryption Configurator Delegate Name —
|
Se si utilizza la crittografia S3 come tipo di crittografia, ignorare la configurazione di S3 Encryption Configurator Delegate Name.
|
Digitare il nome del delegato per scegliere il tipo di crittografia. Il tipo di crittografia viene utilizzato per crittografare il contenuto memorizzato in Amazon S3.
6. SSEKMSKeyProvider Delegate Name —
|
Se è stata scelta la crittografia S3 o la crittografia con le chiavi dei clienti, ignorare la configurazione di SSEKMSKeyProvider Delegate Name.
|
Digitare il nome del delegato per scegliere l'ID chiave KMS. L'ID chiave KMS viene utilizzato per crittografare il contenuto memorizzato in Amazon S3.
7. SSECSecKeyGenerator Delegate Name —
|
Se è stata scelta la crittografia S3 o la chiave KMS, ignorare la configurazione di SSECSecKeyGenerator Delegate Name.
|
Digitare il nome del delegato per gestire le chiavi private. La chiave privata restituita dal delegato viene utilizzata per crittografare il contenuto memorizzato in Amazon S3.
Per maggiori dettagli sulla crittografia, fare riferimento all'argomento
Personalizzazione della crittografia per i mount di Amazon S3.
|
Se la configurazione dei nomi di delegato viene modificata, riavviare i server principali e di replica per renderla effettiva.
|