Windchill Dateidepots für die Verwendung von Amazon S3 konfigurieren
Dieser Abschnitt erläutert die in Windchill und Amazon Web Services (AWS) erforderlichen Konfigurationen, um die Verwendung von Amazon S3 zuzulassen, wenn Windchill in AWS ausgeführt wird.
|
|
Die in diesem Abschnitt beschriebenen Konfigurationen müssen erneut ausgeführt werden, nachdem Sie die vorhandene Windchill Version aktualisiert haben.
|
AWS-Konfiguration
Erforderliche Konfigurationen in AWS sind das Hinzufügen von Richtlinien und das Einrichten der Zugriffssteuerung. Sie müssen Berechtigungen konfigurieren und Zugriff auf AWS für Windchill festlegen, um erfolgreich mit AWS zu arbeiten.
Vorbereitung
Erstellen Sie die folgenden Entitäten in AWS, bevor Sie AWS für Windchill konfigurieren:
• S3-Bucket
• Zugriffsschlüssel
• Geheimer Zugriffsschlüssel
• IAM-Rolle
• KMS-Schlüssel – Diese Entität ist optional und muss erstellt werden, wenn Sie vorhaben, KMS-Verschlüsselung zu verwenden.
Richtlinie für ein IAM-Benutzerkonto hinzufügen
Sie müssen die erforderlichen Berechtigungen konfigurieren, indem Sie eine Richtlinie für ein IAM-Benutzerkonto hinzufügen. Gehen Sie wie folgt vor, um die Richtlinie hinzuzufügen:
1. Melden Sie sich bei Ihrem AWS-Konto an.
2. Klicken Sie auf > . Die Seite Welcome to Identity and Access Management wird geöffnet.
3. Wählen Sie auf der Registerkarte Users den Benutzer, dem Sie die Berechtigung gewähren möchten, aus der Tabelle User name aus. Die Seite Summary wird geöffnet.
4. Fügen Sie die folgende Richtlinie hinzu:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListObjects",
"s3:GetObjectAcl",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
"arn:aws:s3:::<bucket_name>/*",
]
}
]
}
Richtlinie für KMS-Verschlüsselung hinzufügen (optional)
Fügen Sie die Richtlinie für KMS-Verschlüsselung nur hinzu, wenn Sie beabsichtigen, diesen Verschlüsselungstyp zu verwenden. Führen Sie die Schritte im Abschnitt "Richtlinie für ein IAM-Benutzerkonto hinzufügen" durch, und fügen Sie die folgende Richtlinie hinzu:
Zugriffssteuerung konfigurieren
Eine Voraussetzung für die Bereitstellung des erforderlichen Zugriffs ist die Erstellung eines Windchill Bucket und Amazon S3-Kontos für den Windchill AWS-Benutzer. Sie müssen List Objects, Write Objects und Read bucket permissions für das Windchill Konto in AWS bereitstellen.
Um die Berechtigungen festzulegen, führen Sie die folgenden Schritte durch:
1. Melden Sie sich bei Ihrem AWS-Konto an, und navigieren Sie zu > . Die Seite Amazon S3 wird geöffnet.
2. Öffnen Sie den Bucket für das Windchill Konto aus der Spalte Bucket name.
3. Klicken Sie auf die Registerkarte Permissions.
4. Klicken Sie auf den Kontonamen für den Windchill AWS-Benutzer in der Spalte Account.
Ein Popup-Fenster wird geöffnet.
5. Wählen Sie List Objects, Write objects und Read bucket permissions aus.
|
|
Sie können auch Write bucket permissions auswählen, obwohl dies nicht obligatorisch ist.
|
6. Klicken Sie auf Save, damit die Berechtigungen wirksam werden.
Windchill Konfigurationen
Sie können Amazon S3 mithilfe des Befehlszeilentools konfigurieren.
Vorbereitung
Dieses Befehlszeilentool besteht aus Konfigurationsfeldern. Drücken Sie die EINGABETASTE, um eine bestimmte Konfiguration zu überspringen. Das Befehlszeilentool zeigt die vorhandene Konfiguration an. Die Konfiguration wird automatisch an alle registrierten Dateiserver, d.h. Replikat-Sites, gesendet.
Führen Sie den folgenden Befehl in der Windchill Shell aus, um den Cloud-Dienst Amazon S3 zu konfigurieren:
windchill com.ptc.windchill.objectstorage.amazons3.tools.S3ConfigurationTool configure -u <username> -p <password>.
|
|
Führen Sie bei einer Windchill Cluster-Umgebung den obigen Befehl von jedem Knoten im Cluster aus.
|
Führen Sie die folgenden Schritte aus, um das Konto zu konfigurieren.
1. Authentifizierungsstrategie – Geben Sie die Authentifizierungsstrategie ein, die für Amazon S3-Anforderungen verwendet wird. Optionen sind SECURITY_CREDENTIALS und IAM_ROLE.
2. AWS Access Key ID – Geben Sie Zugriffsschlüssel-ID für Ihr Amazon S3-Konto ein. Anwendbar, wenn die Authentifizierungsstrategie SECURITY_CREDENTIALS ist.
3. AWS Secret Access Key – Geben Sie den geheimen Zugriffsschlüssel für Ihr Amazon S3-Konto ein. Anwendbar, wenn die Authentifizierungsstrategie SECURITY_CREDENTIALS ist.
4. S3 Encryption Configurator Delegate Name —
|
|
Sie müssen die S3 Encryption Configurator Delegate Name-Konfiguration überspringen, wenn Sie die S3-Verschlüsselung als Verschlüsselungstyp verwenden.
|
Geben Sie den Delegate-Namen ein, um den Verschlüsselungstyp zu wählen. Der Verschlüsselungstyp wird verwendet, um den in Amazon S3 gespeicherten Inhalt zu verschlüsseln.
5. SSEKMSKeyProvider Delegate Name —
|
|
Sie müssen die SSEKMSKeyProvider Delegate Name-Konfiguration überspringen, wenn Sie S3-Verschlüsselung oder Kundenschlüsselverschlüsselung gewählt haben.
|
Geben Sie den Delegate-Namen ein, um die KMS-Schlüssel-ID zu wählen. Die KMS-Schlüssel-ID wird verwendet, um den in Amazon S3 gespeicherten Inhalt zu verschlüsseln.
6. SSECSecKeyGenerator Delegate Name —
|
|
Sie müssen die SSECSecKeyGenerator Delegate Name-Konfiguration überspringen, wenn Sie S3-Verschlüsselung oder KMS-Schlüssel gewählt haben.
|
Geben Sie den Delegate-Namen ein, um die geheimen Schlüssel zu verwalten. Der vom Delete zurückgegebene geheime Schlüssel wird verwendet, um den in Amazon S3 gespeicherten Inhalt zu verschlüsseln.
Weitere Einzelheiten zur Verschlüsselung finden Sie unter dem Thema
Verschlüsselungsanpassung für Amazon S3-Zuordnungen.
|
|
Wenn die Konfiguration für Delegate-Namen geändert wird, starten Sie die Master- und Replikatserver neu, damit die Konfiguration wirksam wird.
|
