Informazioni sul collegamento dell'account AWS

Il modello CloudFormation (CFT) di VMware Cloud on AWS viene eseguito nella regione Stati Uniti occidentali (Oregon) di AWS. Questo non influisce sulla posizione in cui vengono creati gli SDDC risultanti perché le autorizzazioni necessarie sono valide in tutte le regioni, ma i criteri SCP di AWS non devono impedire all'account AWS che esegue CFT di accedere alla regione Oregon. Una volta caricato il modello CFT, è possibile modificarlo per cambiare la regione, se necessario. È possibile eseguire il modello CFT in qualsiasi regione, ma è necessario tenere un documento interno che indichi dove è stato eseguito. Se l'organizzazione non ha membri che possono accedere all'area geografica Oregon, è possibile scaricare modello CFT tramite il collegamento fornito quando si fa clic su APRI CONSOLE AWS CON MODELLO CLOUDFORMATION o semplicemente inviare tale collegamento a un amministratore di AWS per l'esecuzione poiché il collegamento di un account AWS a un'organizzazione VMC si verifica una volta sola.

Come parte del collegamento dell'account e periodicamente durante le operazioni relative all'SDDC in corso, l'account AWS collegato crea un inventario dei VPC e delle subnet dell'organizzazione in tutte le regioni in modo da poter disporre di un elenco aggiornato delle regioni di AWS e delle ZD disponibili per l'organizzazione. È possibile che questa operazione non riesca se l'accesso dell'account a tali regioni o VPC è limitato da SCP. Questo tipo di errore è accettabile se le aree geografiche e i VPC con restrizioni non vengano utilizzati da VMware Cloud on AWS.

È consigliabile creare una subnet in ogni ZD prima di collegare l'account. Qualsiasi ZD che non disponga di una subnet quando l'account viene collegato non potrà essere utilizzata in futuro da VMware Cloud on AWS anche se si crea una subnet in un secondo momento, finché non viene eseguita una nuova scansione avviata dal sistema. È possibile avviare una nuova scansione eseguendo di nuovo CFT, ma questa operazione non è consigliabile per un'organizzazione già collegata in cui sono stati distribuiti SDDC.

Ulteriori informazioni sul collegamento degli account sono disponibili in Designlet: VMware Cloud on AWS Connected VPC to Native AWS di VMware Cloud Tech Zone. Per informazioni su come scollegare un account, vedere l'articolo 83400 della Knowledge Base di VMware.

Ruoli AWS utilizzati dal collegamento degli account

I ruoli IAM creati dal modello CFT concedono i privilegi AssumeRole di AWS agli account VMware AWS utilizzati dal servizio VMware Cloud on AWS per un criterio di AWS specifico. Questo criterio viene definito e gestito da AWS e, per motivi di sicurezza, VMware non dispone dei diritti necessari per modificarlo. Se si modificano o si eliminano questi ruoli, il collegamento dell'account viene interrotto, la comunicazione con il VPC connesso non riesce e non è più possibile distribuire nuovi SDDC o aggiungere nuovi host agli SDDC esistenti collegati a tale account. Per risolvere il problema, contattare l'assistenza VMware.

Ruoli e autorizzazioni di AWS

Per eseguire il modello CloudFormation che collega un'organizzazione di VMware Cloud on AWS a un VPC AWS, l'account AWS deve disporre delle autorizzazioni indicate in Autorizzazioni di AWS necessarie per eseguire CFT. Il collegamento dell'account configura l'accesso AssumeRole di AWS al criterio definito da AWS AmazonVPCCrossAccountNetworkInterfaceOperations per gli account di proprietà di VMware indicati in Ruoli AWS utilizzati dal collegamento degli account, concedendo le autorizzazioni indicate in Autorizzazioni di AWS necessarie per le operazioni dell'SDDC in corso.

Autorizzazioni di AWS necessarie per eseguire CFT

L'account che esegue questo modello deve disporre di queste autorizzazioni.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}

Autorizzazioni di AWS necessarie per le operazioni dell'SDDC in corso

Una volta completato il collegamento dell'account, sono necessarie solo queste autorizzazioni (concesse dai ruoli IAM).

Importante:

Evitare di modificare questi ruoli e autorizzazioni, perché così facendo, l'SDDC risulterà inutilizzabile.

Per visualizzare il documento relativo alle autorizzazioni dei criteri associato, accedere alla console di AWS e aprire https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor. Di seguito è disponibile una descrizione di riepilogo di tale criterio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Poiché VMware Cloud on AWS richiede questi diritti di AWS per la distribuzione e le operazioni in corso dell'SDDC, come gli aggiornamenti della tabella di routing e le sostituzioni degli host, è necessario assicurarsi che questi ruoli possano utilizzare nel modo opportuno la funzionalità AssumeRole di AWS e che non siano bloccati dalle funzionalità di AWS come Control Tower Guardrails o Service Control Policies (SCP). I ruoli IAM richiedono solo un set minimo di autorizzazioni, tutte gestite da AWS nel criterio AmazonVPCCrossAccountNetworkInterfaceOperations. Questo è l'unico accesso concesso dai ruoli IAM creati dal modello.