Il collegamento dell'account AWS fa parte del processo di distribuzione dell'SDDC. Per i nuovi clienti o per coloro che intendono creare solo alcuni SDDC, il processo è semplice e richiede in genere un coinvolgimento minimo o nessun coinvolgimento degli oggetti e dei protocolli AWS sottostanti. Per gli amministratori che distribuiscono più SDDC, potrebbe essere necessario comprendere meglio i dettagli di questo processo, insieme ai ruoli e alle autorizzazioni di AWS coinvolti.

Informazioni sul collegamento dell'account AWS

Il modello CloudFormation (CFT) di VMware Cloud on AWS viene eseguito nella regione Stati Uniti occidentali (Oregon) di AWS. Questo non influisce sulla posizione in cui vengono creati gli SDDC risultanti perché le autorizzazioni necessarie sono valide in tutte le regioni, ma i criteri SCP di AWS non devono impedire all'account AWS che esegue CFT di accedere alla regione Oregon. Una volta caricato il modello CFT, è possibile modificarlo per cambiare la regione, se necessario. È possibile eseguire il modello CFT in qualsiasi regione, ma è necessario tenere un documento interno che indichi dove è stato eseguito. Se l'organizzazione non ha membri che possono accedere alla regione Oregon, è possibile scaricare il modello CFT tramite il collegamento fornito quando si fa clic su APRI CONSOLE AWS CON MODELLO CLOUDFORMATION o semplicemente inviare tale collegamento a un amministratore di AWS per l'esecuzione poiché il collegamento di un account AWS a un'organizzazione VMC si verifica una volta sola.

Come parte del collegamento dell'account e periodicamente durante le operazioni relative all'SDDC in corso, l'account AWS collegato crea un inventario dei VPC e delle subnet dell'organizzazione in tutte le regioni in modo da poter disporre di un elenco aggiornato delle regioni di AWS e delle ZD disponibili per l'organizzazione. È possibile che questa operazione non riesca se l'accesso dell'account a tali regioni o VPC è limitato da SCP. Questo tipo di errore è accettabile purché le regioni e i VPC con restrizioni non vengano utilizzati da VMware Cloud on AWS.

È consigliabile creare una subnet in ogni ZD prima di collegare l'account. Qualsiasi ZD che non disponga di una subnet quando l'account viene collegato non potrà essere utilizzata in futuro da VMware Cloud on AWS anche se si crea una subnet in un secondo momento, finché non viene eseguita una nuova scansione avviata dal sistema. È possibile avviare una nuova scansione eseguendo di nuovo CFT, ma questa operazione non è consigliabile per un'organizzazione già collegata in cui sono stati distribuiti SDDC.

Ulteriori informazioni sul collegamento degli account sono disponibili in Designlet: VMware Cloud on AWS Connected VPC to Native AWS di VMware Cloud Tech Zone. Per informazioni su come scollegare un account, vedere l'articolo 83400 della Knowledge Base di VMware.

Ruoli AWS utilizzati dal collegamento degli account

Ogni volta che si esegue il modello CFT di VMware Cloud on AWS, viene definito un nuovo set di ruoli AWS e l'organizzazione VMware Cloud on AWS viene aggiornata in modo da utilizzare tali ruoli per le distribuzioni di SDDC future. CFT concede a uno o più account AWS di proprietà VMware l'accesso a questi ruoli nell'account AWS:
Tabella 1. Ruoli AWS utilizzati dal collegamento degli account
Nome ruolo Entità attendibili Utilizzato per
vmware-sddc-formation-********-*-RemoteRoleService-********* 347******669 VMware Cloud on AWS utilizza questi account per eseguire query sulle risorse AWS come subnet e VPC, nonché per la creazione e l'associazione di ENI durante la distribuzione di SDDC o le aggiunte di host.
vmware-sddc-formation-********-***-RemoteRolePayer-********* 909******262
vmware-sddc-formation-********-****-***-RemoteRole-************* ID account AWS di 12 cifre univoco per ogni organizzazione. VMware Cloud on AWS utilizza questo account per le operazioni in corso, come l'aggiornamento delle tabelle di routing quando vengono aggiunti o rimossi segmenti oppure si verifica la migrazione o il failover di un NSX Edge.
Poiché gli SDDC esistenti continuano a utilizzare i ruoli definiti al momento della creazione dell'SDDC, è possibile che si verifichi uno scenario in cui più set di ruoli (e CFT) sono attivi nell'account AWS e l'eliminazione di uno qualsiasi di questi set di ruoli influisce sugli SDDC che lo utilizzano. I ruoli IAM e il modello CFT utilizzati da un SDDC sono visibili nella pagina VPC connesso nella scheda Rete e sicurezza di un SDDC.

I ruoli IAM creati dal modello CFT concedono i privilegi AssumeRole di AWS agli account VMware AWS utilizzati dal servizio VMware Cloud on AWS per un criterio di AWS specifico. Questo criterio viene definito e gestito da AWS e, per motivi di sicurezza, VMware non dispone dei diritti necessari per modificarlo. Se si modificano o si eliminano questi ruoli, il collegamento dell'account viene interrotto, la comunicazione con il VPC connesso non riesce e non è più possibile distribuire nuovi SDDC o aggiungere nuovi host agli SDDC esistenti collegati a tale account. Per risolvere il problema, contattare l'assistenza VMware.

Istruzione autorizzazioni

Per eseguire il modello CloudFormation che collega un'organizzazione VMware Cloud on AWS a un VPC AWS, VMware deve aggiungere diversi ruoli e autorizzazioni di AWS necessari all'account AWS. Le autorizzazioni iniziali necessarie per il collegamento dell'account sono disponibili nella prima metà dell'istruzione e sono riportate qui con caratteri standard. L'account che esegue questo modello deve disporre di queste autorizzazioni. Una volta completato il collegamento dell'account, sono necessarie solo le autorizzazioni concesse dai ruoli IAM (qui indicate in corsivo).

Importante:

Non si devono modificare i ruoli e le autorizzazioni di AWS rimanenti, perché così facendo, l'SDDC risulterà inutilizzabile.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}
Poiché VMware Cloud on AWS richiede i diritti di AWS per la distribuzione e le operazioni in corso di SDDC, come gli aggiornamenti del routing e la sostituzione degli host, è necessario assicurarsi che questi ruoli possano utilizzare la funzione AssumeRole di AWS e non essere bloccati dalle funzionalità di AWS come Control Tower Guardrails o SCP. I ruoli IAM richiedono solo un set di autorizzazioni minimo, gestito da AWS nel criterio, ovvero AmazonVPCCrossAccountNetworkInterfaceOperations, che è l'unico accesso concesso dai ruoli IAM creati dal modello. Per visualizzare il documento relativo alle autorizzazioni dei criteri associato, accedere alla console di AWS e aprire https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor. Di seguito è disponibile una descrizione di riepilogo di tale criterio.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}