Informationen zur AWS-Kontoverknüpfung

Die VMware Cloud on AWS CloudFormation-Vorlage (CFT) wird in der AWS-Region US West (Oregon) ausgeführt. Dies hat keine Auswirkung darauf, wo die resultierenden SDDCs erstellt werden, da die erforderlichen Berechtigungen in allen Regionen gültig sind, aber das AWS-Konto, das die CFT ausführt, darf nicht durch AWS Service Control Policies (SCP) vom Zugriff auf die Region Oregon ausgeschlossen sein. Sobald die CFT geladen ist, können Sie sie bearbeiten, um die Region zu ändern, falls erforderlich. Sie können den CFT in jeder beliebigen Region durchführen, sollten aber ein internes Dokument aufbewahren, aus dem hervorgeht, wo er durchgeführt wurde. Wenn Ihre Organisation keine Mitglieder hat, die auf die Region Oregon zugreifen können, können Sie das CFT entweder über den Link herunterladen, der bereitgestellt wird, wenn Sie auf AWS-KONSOLE MIT CLOUDFORMATION-VORLAGE ÖFFNEN klicken, oder diesen Link an einen AWS-Administrator senden, damit dieser ihn ausführt, da die Verknüpfung eines AWS-Kontos mit einer VMC-Organisation nur einmal erfolgt.

Als Teil der Kontoverknüpfung und regelmäßig während des laufenden SDDC-Betriebs nimmt das verknüpfte AWS-Konto eine Bestandsliste der VPCs und Subnetze des Unternehmens in allen Regionen auf, damit es über eine aktuelle Liste der AWS-Regionen und AZs verfügt, die dem Unternehmen zur Verfügung stehen. Dieser Vorgang kann fehlschlagen, wenn das Konto durch SCP für den Zugriff auf diese Regionen oder VPCs eingeschränkt ist. Diese Art von Fehler ist akzeptabel, wenn die eingeschränkten Regionen und VPCs nicht von VMware Cloud on AWS verwendet werden.

Wir empfehlen, vor der Verknüpfung von Konten in jedem AZ ein Subnetz anzulegen. Selbst wenn Sie später ein Teilnetz erstellen, steht ein AZ, das zum Zeitpunkt der Verknüpfung des Kontos kein Teilnetz hat, für die künftige Verwendung durch VMware Cloud on AWS nicht zur Verfügung, bis ein vom System initiierter erneuter Scan durchgeführt wird. Sie können einen erneuten Scan initiieren, indem Sie die CFT erneut ausführen. Wir empfehlen dies jedoch nicht für Unternehmen, die bereits verbunden sind und SDDCs bereitgestellt haben.

Weitere Informationen zur Kontoverknüpfung finden Sie im VMware Cloud Tech Zone Designlet VMware Cloud on AWS Connected VPC to Native AWS. Informationen zum Aufheben der Verknüpfung eines Kontos finden Sie im VMware Knowledge Base-Artikel 83400.

Von der Kontoverknüpfung verwendete AWS-Rollen

Die von der CFT erstellten IAM-Rollen gewähren den VMware AWS-Konten, die vom VMware Cloud on AWS Service für eine bestimmte AWS-Richtlinie verwendet werden, AWS AssumeRole-Rechte. Diese Richtlinie wird von AWS definiert und verwaltet, und aus Sicherheitsgründen hat VMware keine Rechte, sie zu ändern. Wenn Sie diese Rollen ändern oder löschen, wird die Kontoverbindung unterbrochen, die Kommunikation mit der verbundenen VPC schlägt fehl, und Sie können keine neuen SDDCs mehr bereitstellen oder neue Hosts zu bestehenden SDDCs hinzufügen, die mit diesem Konto verknüpft sind. Wenden Sie sich an den VMware Support, um Abhilfe zu schaffen.

AWS-Rollen und -Berechtigungen

Um die CloudFormation-Vorlage auszuführen, die eine VMware Cloud on AWS-Organisation mit einer AWS VPC verknüpft, muss Ihr AWS-Konto über die Berechtigungen verfügen, die unter Zum Ausführen der CFT erforderliche AWS-Berechtigungen aufgeführt sind. Die Kontoverknüpfung richtet den AWS AssumeRole-Zugriff auf die AWS-definierte Richtlinie AmazonVPCCrossAccountNetworkInterfaceOperations für die VMware-eigenen Konten ein, die im Abschnitt Von der Kontoverknüpfung verwendete AWS-Rollen genannt werden. Damit werden die Berechtigungen erteilt, die unter Für den laufenden SDDC-Betrieb erforderliche AWS-Berechtigungen aufgeführt sind.

Zum Ausführen der CFT erforderliche AWS-Berechtigungen

Das Konto, das diese Vorlage ausführt, muss über diese Berechtigungen verfügen.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}

Für den laufenden SDDC-Betrieb erforderliche AWS-Berechtigungen

Nach Abschluss der Kontoverknüpfung werden nur noch diese (über die IAM-Rollen gewährten) Berechtigungen benötigt.

Wichtig:

Sie dürfen keine dieser Rollen und Berechtigungen ändern. Wenn Sie dies tun, ist Ihr SDDC nicht mehr funktionsfähig.

Um das zugehörige Dokument "Berechtigungen für Richtlinien" anzuzeigen, melden Sie sich bei der AWS-Konsole an und öffnen Sie https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor. Hier ist die zusammenfassende Beschreibung dieser Richtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Da VMware Cloud on AWS diese AWS-Rechte für die SDDC-Bereitstellung und laufende Vorgänge wie Routing-Tabellen-Updates und Host-Austausche benötigt, müssen Sie dafür sorgen, dass die Rollen die AWS AssumeRole-Funktion nach Bedarf nutzen können und nicht durch AWS-Funktionen wie Control Tower Guardrails oder Service Control Policies (SCP) blockiert werden. Die IAM-Rollen erfordern nur einen minimalen Satz von Berechtigungen, die von AWS in der Richtlinie AmazonVPCCrossAccountNetworkInterfaceOperations verwaltet werden. Dies ist der einzige Zugriff, der von den durch die Vorlage erstellten IAM-Rollen gewährt wird.