將 Windchill 檔案儲存庫配置為使用 Amazon S3
本節說明了 Windchill 正在 AWS 中執行時,欲在 Windchill 與 Amazon Web Services (AWS) 中使用 Amazon S3 所需的組態。
|
您必須在更新或升級現有 Windchill 版本之後,再次執行本節所述的組態。
|
AWS 組態
欲在 AWS 中執行所需的組態包括新增原則與設定存取控制。您必須在 AWS 上配置權限並設定存取才能在 Windchill 中成功使用 AWS。
事前準備
針對 Windchill 配置 AWS 之前,請在 AWS 上建立以下圖元︰
• S3 貯體
• 存取金鑰
• 秘密存取金鑰
• IAM 角色
• KMS 金鑰 - 此圖元為選用,如果您計劃使用 KMS 加密,則必須建立此圖元。
為 IAM 使用者帳戶新增原則
您必須透過為 IAM 使用者帳戶新增原則來配置所需權限。執行下列步驟來新增原則︰
1. 登入 AWS 帳戶。
2. 按一下 > 。Welcome to Identity and Access Management 頁即會開啟。
3. 在 Users 標籤下的 User name 欄中選取要授與權限的使用者。Summary 頁即會開啟。
4. 新增下列原則︰
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectAcl",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
"arn:aws:s3:::<bucket_name>/*",
]
}
]
}
為 KMS 加密新增原則 (選用)
只有當您打算使用此加密類型時,才需要為 KMS 加密新增原則。執行「為 IAM 使用者帳戶新增原則」一節中的步驟新增下列原則︰
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:<region>:<ARN>:key/<KMS_Key_Name>",
]
}
]
}
配置存取控制
提供所需存取的先決條件是建立與 Windchill AWS 使用者對應的 Windchill 貯體和 Amazon S3 帳戶。您必須在 AWS 中向 Windchill 帳戶提供 List Objects、Write Objects 和 Read bucket permissions。
執行下列步驟來設定權限︰
1. 登入 AWS 帳戶,然後導覽至 > 。Amazon S3 頁即會開啟。
2. 從 Bucket name 欄開啟 Windchill 帳戶的貯體。
3. 按一下 Permissions 標籤。
4. 在 Account 欄中按一下 Windchill AWS 使用者的帳戶名稱。
彈出視窗即會開啟。
5. 選取 List objects、Write objects 和 Read bucket permissions。
|
您也可以選取 Write bucket permissions,這並不是強制的。
|
6. 按一下 Save 以使權限生效。
Windchill 組態
您可以使用指令行工具配置 Amazon S3。
事前準備
此指令行工具由組態欄位組成。按下 ENTER 鍵可略過特定組態。指令行工具會顯示現有組態。組態會自動傳送到所有已註冊的檔案伺服器,即複本網站。
在 Windchill shell 中執行下列指令,來配置 Amazon S3 雲端服務︰
windchill com.ptc.windchill.objectstorage.amazons3.tools.S3ConfigurationTool configure -u <username> -p <password>。
|
如果是在 Windchill 叢集環境中,請從叢集中的每個節點執行上述指令。
|
執行下列步驟來配置帳戶︰
1. 驗證策略 - 鍵入用於提出 Amazon S3 請求的驗證策略。選項有 SECURITY_CREDENTIALS 和 IAM_ROLE。
2. AWS Access Key ID - 鍵入您 Amazon S3 帳戶的存取金鑰 ID。如果驗證策略為 SECURITY_CREDENTIALS,則適用。
3. AWS Secret Access Key - 鍵入您 Amazon S3 帳戶的秘密存取金鑰。如果驗證策略為 SECURITY_CREDENTIALS,則適用。
4. AWS Partition Name - 鍵入 Amazon S3 帳戶的分割區名稱。預設分割區名稱為 aws。
5. S3 Encryption Configurator Delegate Name -
|
如果您正在使用 S3 加密作為加密類型,您必須跳過 S3 Encryption Configurator Delegate Name 組態。
|
鍵入委派名稱以選擇加密類型。加密類型用來加密儲存在 Amazon S3 中的內容。
6. SSEKMSKeyProvider Delegate Name -
|
如果您已選擇 S3 加密或客戶金鑰加密,則必須跳過 SSEKMSKeyProvider Delegate Name 組態。
|
鍵入委派名稱以選擇 KMS 金鑰 ID。KMS 金鑰 ID 用來加密儲存在 Amazon S3 中的內容。
7. SSECSecKeyGenerator Delegate Name -
|
如果您已選擇 S3 加密或 KMS 金鑰,則必須跳過 SSECSecKeyGenerator Delegate Name 組態。
|
鍵入委派名稱以管理秘密金鑰。由委派傳回的秘密金鑰用來加密儲存在 Amazon S3 中的內容。
有關加密的詳細資訊,請參閱主題
Amazon S3 裝載的加密自訂。
|
如果變更與委派名稱相關的組態,請重新啟動主要伺服器與複本伺服器,以使組態生效。
|