Il collegamento dell'account AWS fa parte del processo di distribuzione dell'SDDC. Per i nuovi clienti o per coloro che intendono creare solo alcuni SDDC, il processo è semplice e richiede in genere un coinvolgimento minimo o nessun coinvolgimento degli oggetti e dei protocolli AWS sottostanti. Per gli amministratori che distribuiscono più SDDC, potrebbe essere necessario comprendere meglio i dettagli di questo processo, insieme ai ruoli e alle autorizzazioni di AWS coinvolti.

Informazioni sul collegamento dell'account AWS

Il modello CloudFormation (CFT) di VMware Cloud on AWS viene eseguito nella regione Stati Uniti occidentali (Oregon) di AWS. Questo non influisce sulla posizione in cui vengono creati gli SDDC risultanti perché le autorizzazioni necessarie sono valide in tutte le regioni, ma i criteri SCP di AWS non devono impedire all'account AWS che esegue CFT di accedere alla regione Oregon. Una volta caricato il modello CFT, è possibile modificarlo per cambiare la regione, se necessario. È possibile eseguire il modello CFT in qualsiasi regione, ma è necessario tenere un documento interno che indichi dove è stato eseguito. Se l'organizzazione non ha membri che possono accedere all'area geografica Oregon, è possibile scaricare modello CFT tramite il collegamento fornito quando si fa clic su APRI CONSOLE AWS CON MODELLO CLOUDFORMATION o semplicemente inviare tale collegamento a un amministratore di AWS per l'esecuzione poiché il collegamento di un account AWS a un'organizzazione VMC si verifica una volta sola.

Come parte del collegamento dell'account e periodicamente durante le operazioni relative all'SDDC in corso, l'account AWS collegato crea un inventario dei VPC e delle subnet dell'organizzazione in tutte le regioni in modo da poter disporre di un elenco aggiornato delle regioni di AWS e delle ZD disponibili per l'organizzazione. È possibile che questa operazione non riesca se l'accesso dell'account a tali regioni o VPC è limitato da SCP. Questo tipo di errore è accettabile se le aree geografiche e i VPC con restrizioni non vengano utilizzati da VMware Cloud on AWS.

È consigliabile creare una subnet in ogni ZD prima di collegare l'account. Qualsiasi ZD che non disponga di una subnet quando l'account viene collegato non potrà essere utilizzata in futuro da VMware Cloud on AWS anche se si crea una subnet in un secondo momento, finché non viene eseguita una nuova scansione avviata dal sistema. È possibile avviare una nuova scansione eseguendo di nuovo CFT, ma questa operazione non è consigliabile per un'organizzazione già collegata in cui sono stati distribuiti SDDC.

Ulteriori informazioni sul collegamento degli account sono disponibili in Designlet: VMware Cloud on AWS Connected VPC to Native AWS di VMware Cloud Tech Zone. Per informazioni su come scollegare un account, vedere l'articolo 83400 della Knowledge Base di VMware.

Ruoli AWS utilizzati dal collegamento degli account

Ogni volta che si esegue il modello CFT di VMware Cloud on AWS, viene definito un nuovo set di ruoli AWS e l'organizzazione VMware Cloud on AWS viene aggiornata in modo da utilizzare tali ruoli per le distribuzioni di SDDC future. CFT concede a uno o più account AWS di proprietà VMware l'accesso a questi ruoli nell'account AWS:
Tabella 1. Ruoli AWS utilizzati dal collegamento degli account
Nome ruolo Entità attendibili Utilizzato per
vmware-sddc-formation-********-*-RemoteRoleService-********* 347******669 VMware Cloud on AWS utilizza questi account per eseguire query sulle risorse AWS come subnet e VPC, nonché per la creazione e l'associazione di ENI durante la distribuzione di SDDC o le aggiunte di host.
vmware-sddc-formation-********-***-RemoteRolePayer-********* 909******262
vmware-sddc-formation-********-****-***-RemoteRole-************* ID account AWS di 12 cifre univoco per ogni organizzazione. VMware Cloud on AWS utilizza questo account per le operazioni in corso, come l'aggiornamento delle tabelle di routing quando vengono aggiunti o rimossi segmenti oppure si verifica la migrazione o il failover di un NSX Edge.
Poiché gli SDDC esistenti continuano a utilizzare i ruoli definiti al momento della creazione dell'SDDC, è possibile che si verifichi uno scenario in cui più set di ruoli (e CFT) sono attivi nell'account AWS e l'eliminazione di uno qualsiasi di questi set di ruoli influisce sugli SDDC che lo utilizzano. I ruoli IAM e il modello CFT utilizzati da un SDDC sono visibili nella pagina VPC connesso di NSX Manager (disponibile anche nella scheda Rete e sicurezza di un SDDC).

I ruoli IAM creati dal modello CFT concedono i privilegi AssumeRole di AWS agli account VMware AWS utilizzati dal servizio VMware Cloud on AWS per un criterio di AWS specifico. Questo criterio viene definito e gestito da AWS e, per motivi di sicurezza, VMware non dispone dei diritti necessari per modificarlo. Se si modificano o si eliminano questi ruoli, il collegamento dell'account viene interrotto, la comunicazione con il VPC connesso non riesce e non è più possibile distribuire nuovi SDDC o aggiungere nuovi host agli SDDC esistenti collegati a tale account. Per risolvere il problema, contattare l'assistenza VMware.

Ruoli e autorizzazioni di AWS

Per eseguire il modello CloudFormation che collega un'organizzazione di VMware Cloud on AWS a un VPC AWS, l'account AWS deve disporre delle autorizzazioni indicate in Autorizzazioni di AWS necessarie per eseguire CFT. Il collegamento dell'account configura l'accesso AssumeRole di AWS al criterio definito da AWS AmazonVPCCrossAccountNetworkInterfaceOperations per gli account di proprietà di VMware indicati in Ruoli AWS utilizzati dal collegamento degli account, concedendo le autorizzazioni indicate in Autorizzazioni di AWS necessarie per le operazioni dell'SDDC in corso.

Autorizzazioni di AWS necessarie per eseguire CFT

L'account che esegue questo modello deve disporre di queste autorizzazioni.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}
Autorizzazioni di AWS necessarie per le operazioni dell'SDDC in corso
Una volta completato il collegamento dell'account, sono necessarie solo queste autorizzazioni (concesse dai ruoli IAM).
Importante:

Evitare di modificare questi ruoli e autorizzazioni, perché così facendo, l'SDDC risulterà inutilizzabile.

Per visualizzare il documento relativo alle autorizzazioni dei criteri associato, accedere alla console di AWS e aprire https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor. Di seguito è disponibile una descrizione di riepilogo di tale criterio.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Poiché VMware Cloud on AWS richiede questi diritti di AWS per la distribuzione e le operazioni in corso dell'SDDC, come gli aggiornamenti della tabella di routing e le sostituzioni degli host, è necessario assicurarsi che questi ruoli possano utilizzare nel modo opportuno la funzionalità AssumeRole di AWS e che non siano bloccati dalle funzionalità di AWS come Control Tower Guardrails o Service Control Policies (SCP). I ruoli IAM richiedono solo un set minimo di autorizzazioni, tutte gestite da AWS nel criterio AmazonVPCCrossAccountNetworkInterfaceOperations. Questo è l'unico accesso concesso dai ruoli IAM creati dal modello.

Nota:

Il modello CFT crea inoltre una funzione lambda e concede a tale funzione l'accesso a Descrivi VPC, Descrivi tabelle di routing e Descrivi subnet nell'account, nonché i diritti per la creazione dei registri. Questa funzione lambda viene utilizzata una sola volta, quando viene eseguito il modulo CFT. Il suo scopo è registrare il completamento dello stack di formazione del cloud in VMware e fornire gli ARN dei ruoli creati. Dopo che l'account è stato registrato e viene visualizzato nel controllo a discesa Scegli un account AWS durante il workflow di Distribuire un SDDC dalla console VMC, è possibile eliminare la funzione lambda NotifyOfStatus e il ruolo vmware-sddc-formation-******-*****-BasicLambdaRole-******, se necessario.