配置 Windchill 文件电子仓库以使用 Amazon S3

企业管理 > 文件存储和复制 > 文件存储 > 使用外部文件电子仓库 > 配置 Windchill 文件电子仓库以使用 Amazon S3

本部分介绍了当 Windchill 正在 AWS 中运行时，要在 Windchill 和 Amazon Web Services (AWS) 中使用 Amazon S3 所需的配置。

更新或升级现有 Windchill 版本后，必须重新执行本部分中所述的配置。

AWS 配置

要在 AWS 中执行所需的配置包括添加策略和设置访问控制。必须在 AWS 上针对 Windchill 配置权限和设置访问才能成功使用 AWS。

事前准备

在针对 Windchill 配置 AWS 之前，请在 AWS 上创建下列图元：

• S3 数据桶

• 访问密钥

• 秘密访问密钥

• IAM 角色

• KMS 密钥 - 此图元为可选项，如果您打算使用 KMS 加密，则必须进行创建。

为 IAM 用户帐户添加策略

必须通过为 IAM 用户帐户添加策略配置所需的权限。请执行以下步骤添加该策略：

1. 登录 AWS 帐户。

2. 单击 Services > IAM。Welcome to Identity and Access Management 页面随即打开。

3. 在 Users 选项卡的 User name 列中，选择要授予权限的用户。Summary 页面随即打开。

4. 添加以下策略：

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListObjects",
"s3:GetObjectAcl",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
"arn:aws:s3:::<bucket_name>/*",
]
}
]
}

为 KMS 加密添加策略 (可选)

仅当您打算使用此加密类型时，才需要为 KMS 加密添加策略。执行“为 IAM 用户帐户添加策略”部分中介绍的步骤，然后添加以下策略：

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:<region>:<ARN>:key/<KMS_Key_Name>",
]
}
]
}

配置访问控制

提供所需访问的先决条件为创建与 Windchill AWS 用户对应的 Windchill 数据桶和 Amazon S3 帐户。必须向 AWS 中的 Windchill 帐户提供 List Objects、Write Objects 和 Read bucket permissions。

请执行以下步骤设置权限：

1. 登录 AWS 帐户，然后导航至 Services > S3。Amazon S3 页面随即打开。

2. 从 Bucket name 列为 Windchill 帐户打开数据桶。

3. 单击 Permissions 选项卡。

4. 从 Account 列为 Windchill AWS 用户单击帐户名称。

将打开一个弹出窗口。

5. 选择 List objects、Write objects 和 Read bucket permissions。

您也可以选择 Write bucket permissions，但不是必需的。

6. 单击 Save 以使权限生效。

Windchill 配置

可使用命令行工具配置 Amazon S3。

事前准备

此命令行工具由配置字段组成。按 ENTER 键跳过特定配置。命令行工具将显示现有配置。配置将自动广播到所有已注册的文件服务器，即副本站点。

从 Windchill shell 运行以下命令来配置 Amazon S3 云服务：

windchill com.ptc.windchill.objectstorage.amazons3.tools.S3ConfigurationTool configure -u <username> -p <password>。

对于 Windchill 群集环境，从群集中的每个节点运行上述命令。

执行下列步骤以配置该帐户：

1. 身份验证策略 - 键入将用于发出 Amazon S3 请求的身份验证策略。选项为 SECURITY_CREDENTIALS 和 IAM_ROLE。

2. AWS Access Key ID - 键入 Amazon S3 帐户的访问密钥 ID。如果验证策略为 SECURITY_CREDENTIALS，则适用。

3. AWS Secret Access Key - 键入 Amazon S3 帐户的秘密访问密钥。如果验证策略为 SECURITY_CREDENTIALS，则适用。

4. S3 Encryption Configurator Delegate Name -

如果当前使用的是 S3 加密类型，则必须跳过 S3 Encryption Configurator Delegate Name 配置。

键入要选择加密类型的委派名称。加密类型用于加密 Amazon S3 上存储的内容。

5. SSEKMSKeyProvider Delegate Name -

如果选择了 S3 加密或客户密钥加密，则必须跳过 SSEKMSKeyProvider Delegate Name 配置。

键入要选择 KMS 密钥 ID 的委派名称。KMS 密钥 ID 用于加密 Amazon S3 上存储的内容。

6. SSECSecKeyGenerator Delegate Name -

如果选择了 S3 加密或 KMS 密钥，则必须跳过 SSECSecKeyGenerator Delegate Name 配置。

键入要管理秘密密钥的委派名称。由委派返回的秘密密钥用于加密 Amazon S3 上存储的内容。

有关加密的详细信息，请参阅主题 Amazon S3 安装的加密自定义。

如果更改与委派名称相关的配置，请重新启动主服务器和副本服务器，以使配置生效。