Acerca de la vinculación de la cuenta de AWS

La plantilla CloudFormation (CFT) de VMware Cloud on AWS se ejecuta en la región oeste de EE. UU. (Oregón) de AWS. Esto no afecta al lugar en el que se crean los SDDC resultantes, ya que los permisos necesarios son válidos en todas las regiones, pero la cuenta de AWS que ejecuta el CFT no debe estar restringida por las directivas de control de servicios (SCP) de AWS para acceder a la región de Oregón. Una vez cargado el CFT, puede editarlo para cambiar la región si fuera necesario. Puede ejecutar el CFT en cualquier región, pero debe conservar un documento interno en el que conste dónde se ha ejecutado. Si su organización no tiene miembros que puedan acceder a la región de Oregón, puede descargar el CFT desde el vínculo proporcionado al hacer clic en ABRIR LA CONSOLA DE AWS CON LA PLANTILLA DE CLOUDFORMATION o simplemente puede enviar ese vínculo a un administrador de AWS para que lo ejecute, ya que la vinculación de una cuenta de AWS con una organización de VMC solo ocurre una vez.

Como parte de la vinculación de cuentas y de forma periódica durante las operaciones de SDDC en curso, la cuenta de AWS vinculada hace un inventario de las VPC y las subredes de la organización en todas las regiones para que pueda tener una lista actualizada de las regiones de AWS y las zonas de disponibilidad disponibles para la organización. Esta operación puede fallar si la cuenta está restringida por SCP para que acceda a esas regiones o VPC. Este tipo de error es aceptable si las regiones restringidas y las VPC no son utilizadas por VMware Cloud on AWS.

Le recomendamos que cree una subred en cada AZ antes de vincular cuentas. Cualquier AZ que no tenga una subred cuando se vincule la cuenta no estará disponible para su uso futuro por parte de VMware Cloud on AWS, incluso si crea una subred más adelante, hasta que se realice una nueva exploración iniciada por el sistema. Para iniciar una nueva exploración, puede ejecutar de nuevo el CFT, pero no se recomienda hacerlo para una organización que ya esté vinculada y tenga SDDC implementados.

Hay más información sobre la vinculación de cuentas en el VMware Cloud Tech Zone designlet VPC de VMware Cloud on AWS conectada a AWS nativa. Para obtener información sobre cómo desvincular una cuenta, consulte el artículo 83400.de la base de conocimientos de VMware.

Funciones de AWS utilizadas por la vinculación de cuentas

Las funciones de IAM creadas por el CFT conceden privilegios AssumeRole de AWS a las cuentas de VMware AWS utilizadas por el servicio VMware Cloud on AWS para una directiva de AWS específica. AWS define y administra esta directiva y, por motivos de seguridad, VMware no tiene derechos para cambiarla. Si modifica o elimina estas funciones, se interrumpe el vínculo de la cuenta, se produce un error en la comunicación con la VPC conectada y ya no se pueden implementar nuevos SDDC ni agregar nuevos hosts a los SDDC existentes vinculados a esa cuenta. Póngase en contacto con el soporte técnico de VMware para solicitar una corrección.

Funciones y permisos de AWS

Para ejecutar la plantilla CloudFormation que vincula una organización de VMware Cloud on AWS a una VPC de AWS, la cuenta de AWS debe tener los permisos que se muestran en Permisos de AWS necesarios para ejecutar CFT. La vinculación de cuentas configura acceso de AssumeRole de AWS a la directiva definida por AWS AmazonVPCCrossAccountNetworkInterfaceOperations para las cuentas que son propiedad de VMware que se muestran en Funciones de AWS utilizadas por la vinculación de cuentas, lo que concede los permisos que se muestran en Permisos de AWS necesarios para operaciones continuas de SDDC.

Permisos de AWS necesarios para ejecutar CFT

La cuenta que ejecuta esta plantilla debe tener estos permisos.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}

Permisos de AWS necesarios para operaciones continuas de SDDC

Una vez completada la vinculación de la cuenta, solo se necesitan estos permisos (concedidos por las funciones IAM).

Importante:

No debe cambiar ninguno de estos permisos ni funciones. De lo contrario, el SDDC podría no funcionar.

Para ver el documento Permisos de directiva asociado, inicie sesión en la consola de AWS y abra https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor. Esta es una descripción resumida de esa directiva.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Aunque VMware Cloud on AWS requiere estos derechos de AWS para la implementación del SDDC y operaciones continuas como las actualizaciones de la tabla de enrutamiento y reemplazos de hosts, debe asegurarse de que las funciones puedan usar la función AssumeRole de AWS según sea necesario y que no serán bloqueadas por funciones de AWS como Control Tower Guardrails o directivas de control de servicio (SCP). Las funciones de IAM solo requieren un conjunto mínimo de permisos, todos administrados por AWS en la directiva AmazonVPCCrossAccountNetworkInterfaceOperations. Este es el único acceso concedido por las funciones de IAM creadas por la plantilla.