Конфигурирование файловых архивов Windchill для использования Amazon S3
В этом разделе описаны конфигурации Windchill и Amazon Web Services (AWS), необходимые для использования Amazon S3 при выполнении Windchill в AWS.
|
Конфигурирование, описанное в этом разделе, необходимо выполнить снова после обновления существующей версии Windchill.
|
Конфигурация AWS
Конфигурации, требуемые для выполнения в AWS, включают добавление политик и настройку управления доступом. Для успешной работы с AWS необходимо настроить разрешения и задать доступ к AWS для Windchill.
Перед началом работы
Перед настройкой AWS для использования Windchill создайте в AWS следующие объекты:
• S3 Bucket
• Access Key
• Secret Access Key
• IAM Role
• KMS Key - этот объект является необязательным, его необходимо создать в том случае, если планируется использовать шифрование KMS.
Добавление политики для учетной записи IAM
Необходимо настроить требуемые разрешения, добавив политику для учетной записи IAM. Чтобы добавить политику, выполните следующие шаги.
1. Войдите в учетную запись AWS.
2. Щелкните > . Откроется страница Welcome to Identity and Access Management.
3. На вкладке Пользователи выберите пользователя, которому требуется предоставить разрешение, в столбце Имя пользователя.. Откроется страница Summary.
4. Добавьте следующую политику:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectAcl",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
"arn:aws:s3:::<bucket_name>/*",
]
}
]
}
Добавление политики для шифрования KMS (необязательно)
Добавьте политику для шифрования KMS только в том случае, если планируется использовать этот тип шифрования. Выполните шаги из раздела "Добавление политики для учетной записи IAM" и добавьте следующую политику:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:<region>:<ARN>:key/<KMS_Key_Name>",
]
}
]
}
Конфигурирование управления доступом
Необходимым условием для предоставления требуемого уровня доступа является создание блока Windchill и учетной записи Amazon S3, соответствующей пользователю Windchill AWS. Учетной записи в AWS необходимо предоставить разрешения на List Objects, Write Objects и Read bucket в Windchill.
Чтобы задать разрешения, выполните следующие шаги.
1. Войдите в учетную запись AWS и перейдите в раздел > . Откроется страница Amazon S3.
2. Откройте блок для учетной записи Windchill из столбца Bucket name.
3. Выберите вкладку Разрешения.
4. Щелкните имя учетной записи для пользователя Windchill AWS в столбце Account.
Откроется всплывающее окно.
5. Выберите разрешения List objects, Write objects и Read bucket.
|
Также можно выбрать разрешения на Write bucket, хотя это необязательно.
|
6. Щелкните Save, чтобы разрешения вступили в силу.
Конфигурации Windchill
Можно конфигурировать Amazon S3 с помощью инструмента командной строки.
Перед началом работы
Этот инструмент командной строки состоит из полей конфигурации. Нажмите клавишу Enter для пропуска конкретной конфигурации. Инструмент командной строки отображает существующую конфигурацию. Данная конфигурация распространяется на все зарегистрированные файловые серверы, т. е. сайты реплик, автоматически.
Для конфигурирования облачной службы Amazon S3 выполните следующую команду в оболочке Windchill:
windchill com.ptc.windchill.objectstorage.amazons3.tools.S3ConfigurationTool configure -u <username> -p <password>.
|
В случае кластерной среды Windchill выполните вышеуказанную команду из каждого узла в кластере.
|
Для конфигурирования учетной записи выполните следующие шаги.
1. Стратегия аутентификации - введите стратегию аутентификации, которая будет использоваться для создания запросов Amazon S3. Доступные опции: SECURITY_CREDENTIALS и IAM_ROLE.
2. AWS Access Key ID - введите идентификатор ключа доступа для учетной записи Amazon S3. Применимо, если используется стратегия аутентификации SECURITY_CREDENTIALS.
3. AWS Secret Access Key - введите секретный ключ доступа для учетной записи Amazon S3. Применимо, если используется стратегия аутентификации SECURITY_CREDENTIALS.
4. AWS Partition Name - введите имя раздела для учетной записи Amazon S3. Именем раздела по умолчанию является aws.
5. S3 Encryption Configurator Delegate Name -
|
необходимо пропустить конфигурацию S3 Encryption Configurator Delegate Name, если в качестве типа шифрования используется шифрование S3.
|
Введите наименование делегата, чтобы выбрать тип шифрования. Тип шифрования используется для шифрования содержимого, сохраняемого на Amazon S3.
6. SSEKMSKeyProvider Delegate Name -
|
необходимо пропустить конфигурирование SSEKMSKeyProvider Delegate Name, если выбрано шифрование S3 или шифрование с помощью клиентского ключа.
|
Введите наименование делегата, чтобы выбрать идентификатор ключа KMS. Идентификатор ключа KMS используется для шифрования содержимого, сохраняемого на Amazon S3.
7. SSECSecKeyGenerator Delegate Name -
|
необходимо пропустить конфигурирование SSECSecKeyGenerator Delegate Name, если выбрано шифрование S3 или шифрование с помощью ключа KMS.
|
Введите наименование делегата для управления секретными ключами. Секретный ключ, возвращенный делегатом, используется для шифрования содержимого, сохраняемого на Amazon S3.
Дополнительные сведения о шифровании см. в разделе
Настройка шифрования для подключений Amazon S3.
|
Если изменена конфигурация, связанная с наименованиями делегатов, перезапустите главный сервер и сервер реплик, чтобы изменения конфигурации начали действовать.
|