À propos de la liaison de compte AWS

Le modèle CloudFormation (CFT) de VMware Cloud on AWS s'exécute dans la région AWS appelée Ouest des États-Unis (Oregon). Cela n'affecte pas l'emplacement de création des SDDC résultants, car les autorisations requises sont valides dans toutes les régions, mais le compte AWS qui exécute le CFT ne doit pas être restreint par les règles de contrôle de service (SCP) AWS d'accéder à la région Oregon. Une fois le CFT chargé, vous pouvez le modifier pour changer la région si nécessaire. Vous pouvez exécuter le fichier CFT dans n'importe quelle région, mais il est conseillé de conserver un document interne indiquant l'emplacement où il a été exécuté. Si votre organisation ne dispose d'aucun membre pouvant accéder à la région Oregon, vous pouvez télécharger le fichier CFT à partir du lien fourni lorsque vous cliquez sur OUVRIR UNE CONSOLE AWS AVEC LE MODÈLE CLOUDFORMATION ou envoyer simplement ce lien à un administrateur AWS pour qu'il l'exécute, car la liaison d'un compte AWS à une organisation VMC ne se produit qu'une seule fois.

Dans le cadre de la liaison de compte et périodiquement lors des opérations de SDDC en cours, le compte AWS lié effectue un inventaire des VPC et sous-réseaux de l'organisation dans toutes les régions, afin qu'il puisse disposer d'une liste à jour des régions AWS et des zones AZ disponibles pour l'organisation. Cette opération peut échouer si le compte est empêché par SCP d'accéder à ces régions ou VPC. Ce type d'échec est acceptable si les régions et VPC restreints ne sont pas utilisés par VMware Cloud on AWS.

Nous vous recommandons de créer un sous-réseau dans chaque zone de disponibilité avant la liaison de compte. Toute zone de disponibilité ne disposant pas d'un sous-réseau lorsque le compte est lié sera indisponible pour une utilisation ultérieure par VMware Cloud on AWS, même si vous créez un sous-réseau ultérieurement jusqu'à ce qu'une réanalyse initiée par le système soit effectuée. Vous pouvez lancer une réanalyse en exécutant de nouveau le fichier CFT, mais cela n'est pas recommandé pour une organisation qui est déjà liée et sur laquelle des SDDC sont déployés.

Vous trouverez plus d'informations sur la liaison de compte dans le Designlet VMware Cloud Tech Zone VPC connecté à VMware Cloud on AWS vers un service AWS natif. Pour plus d'informations sur l'annulation du lien d'un compte, reportez-vous à l'article 83400 de la base de connaissances VMware.

Rôles AWS utilisés par la liaison de compte

Les rôles IAM créés par le CFT accordent des privilèges AssumeRole AWS aux comptes AWS VMware utilisés par le service VMware Cloud on AWS pour une stratégie AWS spécifique. Cette stratégie est définie et gérée par AWS et, pour des raisons de sécurité, VMware n'a pas le droit de la modifier. Si vous modifiez ou supprimez ces rôles, le lien du compte est rompu, la communication avec le VPC connecté échoue et vous ne pouvez plus déployer de nouveaux SDDC ou ajouter de nouveaux hôtes à des SDDC existants liés à ce compte. Contactez le support VMware pour demander une correction.

Rôles et autorisations AWS

Pour exécuter le modèle CloudFormation qui lie une organisation VMware Cloud on AWS à un VPC AWS, votre compte AWS doit disposer des autorisations affichées dans Autorisations AWS requises pour exécuter le CFT. La liaison de compte configure l'accès AWS AssumeRole à la stratégie définie par AWS AmazonVPCCrossAccountNetworkInterfaceOperations pour les comptes détenus par VMware affichés dans Rôles AWS utilisés par la liaison de compte, ce qui accorde les autorisations indiquées dans Autorisations AWS requises pour les opérations de SDDC en cours.

Autorisations AWS requises pour exécuter le CFT

Le compte qui exécute ce modèle doit disposer de ces autorisations.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}

Autorisations AWS requises pour les opérations de SDDC en cours

Une fois la liaison de compte terminée. seules ces autorisations (accordées par les rôles IAM) sont nécessaires.

Important :

Vous ne devez modifier aucun de ces rôles et autorisations. Cela rendrait votre SDDC inopérable.

Pour consulter le document Autorisations de stratégie associé, connectez-vous à la console AWS et ouvrez https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor. Voici la description récapitulative de cette stratégie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Étant donné que VMware Cloud on AWS nécessite ces droits AWS pour le déploiement de SDDC et les opérations en cours telles que les mises à jour de la table de routage et les remplacements d'hôte, vous devez vous assurer que ces rôles peuvent utiliser la fonction AWS AssumeRole selon les besoins et ne sont pas bloqués par les fonctionnalités AWS telles que Control Tower Guardrails ou les stratégies SCP (Service Control Policies). Les rôles IAM nécessitent uniquement un ensemble minimal d'autorisations, toutes gérées par AWS dans la stratégie AmazonVPCCrossAccountNetworkInterfaceOperations. Il s'agit du seul accès accordé par les rôles IAM créés par le modèle.