配置 Windchill 文件电子仓库以使用 Amazon S3
本部分介绍当 Windchill 在 AWS 中运行时,要在 Windchill 和 Amazon Web Services (AWS) 中使用 Amazon S3 所需的配置。
|
更新或升级现有 Windchill 版本后,必须重新执行本部分中所述的配置。
|
AWS 配置
要在 AWS 中执行所需的配置包括添加策略和设置访问控制。必须在 AWS 上针对 Windchill 配置权限和设置访问才能成功使用 AWS。
事前准备
在针对 Windchill 配置 AWS 之前,请在 AWS 上创建下列图元:
• S3 数据桶
• 访问密钥
• 秘密访问密钥
• IAM 角色
• KMS 密钥 - 此图元为可选项,如果您打算使用 KMS 加密,则必须进行创建。
为 IAM 用户帐户添加策略
必须通过为 IAM 用户帐户添加策略配置所需的权限。请执行以下步骤添加该策略:
1. 登录 AWS 帐户。
2. 单击 > 。Welcome to Identity and Access Management 页面随即打开。
3. 在 Users 选项卡的 User name 列中,选择要授予权限的用户。Summary 页面随即打开。
4. 添加以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectAcl",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
"arn:aws:s3:::<bucket_name>/*",
]
}
]
}
为 KMS 加密添加策略 (可选)
仅当您打算使用此加密类型时,才需要为 KMS 加密添加策略。执行“为 IAM 用户帐户添加策略”部分中介绍的步骤,然后添加以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:<region>:<ARN>:key/<KMS_Key_Name>",
]
}
]
}
配置访问控制
提供所需访问的先决条件为创建与 Windchill AWS 用户对应的 Windchill 数据桶和 Amazon S3 帐户。必须向 AWS 中的 Windchill 帐户提供 List Objects、Write Objects 和 Read bucket permissions。
请执行以下步骤设置权限:
1. 登录 AWS 帐户,然后导航至 > 。Amazon S3 页面随即打开。
2. 从 Bucket name 列为 Windchill 帐户打开数据桶。
3. 单击 Permissions 选项卡。
4. 从 Account 列为 Windchill AWS 用户单击帐户名称。
将打开一个弹出窗口。
5. 选择 List objects、Write objects 和 Read bucket permissions。
|
您也可以选择 Write bucket permissions,但不是必需的。
|
6. 单击 Save 以使权限生效。
Windchill 配置
可使用命令行工具配置 Amazon S3。
事前准备
此命令行工具由配置字段组成。按 ENTER 跳过特定配置。命令行工具将显示现有配置。配置将自动广播到所有已注册的文件服务器,即副本站点。
从 Windchill shell 运行以下命令来配置 Amazon S3 云服务:
windchill com.ptc.windchill.objectstorage.amazons3.tools.S3ConfigurationTool configure -u <username> -p <password>。
|
对于 Windchill 群集环境,从群集中的每个节点运行上述命令。
|
执行下列步骤以配置该帐户:
1. 身份验证策略 - 键入将用于发出 Amazon S3 请求的身份验证策略。选项为 SECURITY_CREDENTIALS 和 IAM_ROLE。
2. AWS Access Key ID - 键入 Amazon S3 帐户的访问密钥 ID。如果验证策略为 SECURITY_CREDENTIALS,则适用。
3. AWS Secret Access Key - 键入 Amazon S3 帐户的秘密访问密钥。如果验证策略为 SECURITY_CREDENTIALS,则适用。
4. AWS Partition Name - 键入 Amazon S3 帐户的分区名称。默认分区名称为 aws。
5. S3 Encryption Configurator Delegate Name -
|
如果当前使用的是 S3 加密类型,则必须跳过 S3 Encryption Configurator Delegate Name 配置。
|
键入要选择加密类型的委派名称。加密类型用于加密 Amazon S3 上存储的内容。
6. SSEKMSKeyProvider Delegate Name -
|
如果选择了 S3 加密或客户密钥加密,则必须跳过 SSEKMSKeyProvider Delegate Name 配置。
|
键入要选择 KMS 密钥 ID 的委派名称。KMS 密钥 ID 用于加密 Amazon S3 上存储的内容。
7. SSECSecKeyGenerator Delegate Name -
|
如果选择了 S3 加密或 KMS 密钥,则必须跳过 SSECSecKeyGenerator Delegate Name 配置。
|
键入要管理秘密密钥的委派名称。由委派返回的秘密密钥用于加密 Amazon S3 上存储的内容。
|
如果更改与委派名称相关的配置,请重新启动主服务器和副本服务器,以使这些配置生效。
|