La liaison de compte AWS fait partie du processus de déploiement du SDDC. Pour les nouveaux clients ou ceux qui prévoient de créer seulement quelques SDDC, le processus est simple et nécessite généralement peu ou pas d'intervention avec les objets et protocoles AWS sous-jacents. Les administrateurs qui déploient plusieurs SDDC peuvent avoir besoin d'une meilleure compréhension des détails de ce processus, ainsi que les rôles et autorisations AWS associés.

À propos de la liaison de compte AWS

Le modèle CloudFormation (CFT) de VMware Cloud on AWS s'exécute dans la région AWS appelée Ouest des États-Unis (Oregon). Cela n'affecte pas l'emplacement de création des SDDC résultants, car les autorisations requises sont valides dans toutes les régions, mais le compte AWS qui exécute le CFT ne doit pas être restreint par les règles de contrôle de service (SCP) AWS d'accéder à la région Oregon. Une fois le CFT chargé, vous pouvez le modifier pour changer la région si nécessaire. Vous pouvez exécuter le fichier CFT dans n'importe quelle région, mais il est conseillé de conserver un document interne indiquant l'emplacement où il a été exécuté. Si votre organisation ne dispose d'aucun membre pouvant accéder à la région Oregon, vous pouvez télécharger le fichier CFT à partir du lien fourni lorsque vous cliquez sur OUVRIR UNE CONSOLE AWS AVEC LE MODÈLE CLOUDFORMATION ou envoyer simplement ce lien à un administrateur AWS pour qu'il l'exécute, car la liaison d'un compte AWS à une organisation VMC ne se produit qu'une seule fois.

Dans le cadre de la liaison de compte et périodiquement lors des opérations de SDDC en cours, le compte AWS lié effectue un inventaire des VPC et sous-réseaux de l'organisation dans toutes les régions, afin qu'il puisse disposer d'une liste à jour des régions AWS et des zones AZ disponibles pour l'organisation. Cette opération peut échouer si le compte est empêché par SCP d'accéder à ces régions ou VPC. Ce type d'échec est acceptable si les régions et VPC restreints ne sont pas utilisés par VMware Cloud on AWS.

Nous vous recommandons de créer un sous-réseau dans chaque zone de disponibilité avant la liaison de compte. Toute zone de disponibilité ne disposant pas d'un sous-réseau lorsque le compte est lié sera indisponible pour une utilisation ultérieure par VMware Cloud on AWS, même si vous créez un sous-réseau ultérieurement jusqu'à ce qu'une réanalyse initiée par le système soit effectuée. Vous pouvez lancer une réanalyse en exécutant de nouveau le fichier CFT, mais cela n'est pas recommandé pour une organisation qui est déjà liée et sur laquelle des SDDC sont déployés.

Vous trouverez plus d'informations sur la liaison de compte dans le Designlet VMware Cloud Tech Zone VPC connecté à VMware Cloud on AWS vers un service AWS natif. Pour plus d'informations sur l'annulation du lien d'un compte, reportez-vous à l'article 83400 de la base de connaissances VMware.

Rôles AWS utilisés par la liaison de compte

Chaque fois que vous exécutez le CFT VMware Cloud on AWS, un nouvel ensemble de rôles AWS est défini et votre organisation VMware Cloud on AWS est mise à jour afin d'utiliser ces rôles pour les futurs déploiements de SDDC. Le CFT accorde à un ou plusieurs comptes AWS VMware l'accès à ces rôles dans votre compte AWS :
Tableau 1. Rôles AWS utilisés par la liaison de compte
Nom du rôle Entités approuvées Utilisé pour
vmware-sddc-formation-********-*-RemoteRoleService-********* 347******669 VMware Cloud on AWS utilise ces comptes pour interroger des ressources AWS telles que des sous-réseaux et des VPC, ainsi que pour la création et l'association ENI lors du déploiement du SDDC ou des ajouts d'hôtes.
vmware-sddc-formation-********-***-RemoteRolePayer-********* 909******262
vmware-sddc-formation-********-****-***-RemoteRole-************* ID de compte AWS à 12 chiffres, unique pour chaque organisation. VMware Cloud on AWS utilise ce compte pour les opérations en cours, telles que la mise à jour de tables de routage lors de l'ajout ou la suppression de segments, ou lorsqu'il se produit une migration ou un basculement NSX Edge.
Les SDDC existants continuent d'utiliser les rôles définis lors de la création du SDDC. Cela peut créer un scénario dans lequel plusieurs ensembles de rôles (et de CFT) sont actifs dans votre compte AWS. La suppression de l'un d'entre eux aura un impact sur les SDDC qui l'utilisent. Les rôles IAM et le CFT utilisés par un SDDC sont affichés sur la page VPC connecté de NSX Manager (également disponible sous l'onglet Mise en réseau et sécurité d'un SDDC).

Les rôles IAM créés par le CFT accordent des privilèges AssumeRole AWS aux comptes AWS VMware utilisés par le service VMware Cloud on AWS pour une stratégie AWS spécifique. Cette stratégie est définie et gérée par AWS et, pour des raisons de sécurité, VMware n'a pas le droit de la modifier. Si vous modifiez ou supprimez ces rôles, le lien du compte est rompu, la communication avec le VPC connecté échoue et vous ne pouvez plus déployer de nouveaux SDDC ou ajouter de nouveaux hôtes à des SDDC existants liés à ce compte. Contactez le support VMware pour demander une correction.

Rôles et autorisations AWS

Pour exécuter le modèle CloudFormation qui lie une organisation VMware Cloud on AWS à un VPC AWS, votre compte AWS doit disposer des autorisations affichées dans Autorisations AWS requises pour exécuter le CFT. La liaison de compte configure l'accès AWS AssumeRole à la stratégie définie par AWS AmazonVPCCrossAccountNetworkInterfaceOperations pour les comptes détenus par VMware affichés dans Rôles AWS utilisés par la liaison de compte, ce qui accorde les autorisations indiquées dans Autorisations AWS requises pour les opérations de SDDC en cours.

Autorisations AWS requises pour exécuter le CFT

Le compte qui exécute ce modèle doit disposer de ces autorisations.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}
Autorisations AWS requises pour les opérations de SDDC en cours
Une fois la liaison de compte terminée. seules ces autorisations (accordées par les rôles IAM) sont nécessaires.
Important :

Vous ne devez modifier aucun de ces rôles et autorisations. Cela rendrait votre SDDC inopérable.

Pour consulter le document Autorisations de stratégie associé, connectez-vous à la console AWS et ouvrez https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor. Voici la description récapitulative de cette stratégie.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Étant donné que VMware Cloud on AWS nécessite ces droits AWS pour le déploiement de SDDC et les opérations en cours telles que les mises à jour de la table de routage et les remplacements d'hôte, vous devez vous assurer que ces rôles peuvent utiliser la fonction AWS AssumeRole selon les besoins et ne sont pas bloqués par les fonctionnalités AWS telles que Control Tower Guardrails ou les stratégies SCP (Service Control Policies). Les rôles IAM nécessitent uniquement un ensemble minimal d'autorisations, toutes gérées par AWS dans la stratégie AmazonVPCCrossAccountNetworkInterfaceOperations. Il s'agit du seul accès accordé par les rôles IAM créés par le modèle.

Note :

Le CFT crée également une fonction lambda et lui accorde l'accès aux options Décrire les VPC, Décrire les tables de routage et Décrire les sous-réseaux dans le compte, ainsi que les droits de création de journaux. Cette fonction lambda n'est utilisée qu'une seule fois, lors de l'exécution du CFT. Son objectif est d'enregistrer l'exécution de la pile de formation de cloud avec VMware et de fournir les ARN des rôles créés. Une fois que le compte a été enregistré et s'affiche dans le contrôle de liste déroulante Choisir un compte AWS lors du workflow Déployer un SDDC depuis la console VMC, vous pouvez supprimer la fonction Lambda NotifyOfStatus et le rôle vmware-sddc-formation-******-*****-BasicLambdaRole-****** si nécessaire.