AWS 계정 연결은 SDDC 배포 프로세스의 일부입니다. 신규 고객 또는 소수의 SDDC만 생성하려는 고객의 경우 프로세스가 간단하며 일반적으로 기본 AWS 개체 및 프로토콜에 대한 개입이 거의 또는 전혀 필요하지 않습니다. 여러 SDDC를 배포하는 관리자는 관련된 AWS 역할 및 사용 권한과 함께 이 프로세스의 세부 정보를 더 잘 이해해야 합니다.

AWS 계정 연결 정보

VMware Cloud on AWS CFT(CloudFormation 템플릿)는 AWS 미국 서부(오리건) 지역에서 실행됩니다. 필요한 사용 권한은 모든 지역에서 유효하기 때문에 결과 SDDC가 생성되는 위치에는 영향을 주지 않지만 CFT를 실행하는 AWS 계정은 AWS SCP(서비스 제어 정책)에 의해 오리건 지역 액세스가 제한되어서는 안 됩니다. CFT가 로드되면 필요한 경우 CFT를 편집하여 지역을 변경할 수 있습니다. 모든 지역에서 CFT를 실행할 수 있지만 CFT가 실행된 위치를 기록하는 내부 문서를 보관해야 합니다. 조직 내에 오리건 지역에 액세스할 수 있는 멤버가 없는 경우 CLOUDFORMATION 템플릿을 사용하여 AWS 콘솔 열기를 클릭할 때 제공되는 링크에서 CFT를 다운로드하거나 해당 링크를 AWS 관리자에게 전송하여 실행할 수 있습니다. AWS 계정을 VMC 조직에 연결하는 작업은 일회성이기 때문입니다.

계정 연결의 일부로 그리고 진행 중인 SDDC 작업 중에 주기적으로, 연결된 AWS 계정은 조직에서 사용할 수 있는 AWS 지역 및 AZ의 최신 목록을 유지할 수 있도록 모든 지역에서 조직의 VPC 및 서브넷에 대한 인벤토리를 가져옵니다. 계정이 SCP에 의해 해당 지역 또는 VPC에 액세스할 수 없도록 제한되는 경우 이 작업이 실패할 수 있습니다. 이러한 종류의 실패는 제한된 지역 및 VPC가 VMware Cloud on AWS에서 사용되지 않으면 허용됩니다.

계정을 연결하기 전에 모든 AZ에서 서브넷을 생성하는 것이 좋습니다. 계정이 연결될 때 서브넷이 없는 모든 AZ는 나중에 서브넷을 생성하더라도 시스템에서 시작한 다시 검색이 수행될 때까지 VMware Cloud on AWS에서 사용할 수 없습니다. CFT를 다시 실행하여 다시 검색을 시작할 수 있지만 이미 연결되어 있고 SDDC가 배포된 조직에는 이러한 방법을 사용하지 않는 것이 좋습니다.

VMware Cloud Tech Zone Designlet 네이티브 AWS에 대한 VMware Cloud on AWS 연결 VPC에서 계정 연결에 대한 자세한 내용을 참조할 수 있습니다. 계정 연결을 해제하는 방법에 대한 자세한 내용은 VMware 기술 자료 문서 83400을 참조하십시오.

계정 연결에 사용되는 AWS 역할

VMware Cloud on AWS CFT를 실행할 때마다 새로운 AWS 역할 집합이 정의되고 향후 SDDC 배포에 해당 역할을 사용하도록 VMware Cloud on AWS 조직이 업데이트됩니다. CFT는 VMware 소유 AWS 계정 하나 이상에 AWS 계정의 이러한 역할에 대한 액세스 권한을 부여합니다.
표 1. 계정 연결에 사용되는 AWS 역할
역할 이름 신뢰할 수 있는 엔티티 용도:
vmware-sddc-formation-********-*-RemoteRoleService-********* 347******669 VMware Cloud on AWS는 서브넷 및 VPC와 같은 AWS 리소스를 쿼리하고 SDDC 배포 또는 호스트 추가 중에 ENI를 생성하고 연결하는 데 이 계정을 사용합니다.
vmware-sddc-formation-********-***-RemoteRolePayer-********* 909******262
vmware-sddc-formation-********-****-***-RemoteRole-************* 각 조직에 대해 고유한 12자리 AWS 계정 ID입니다. VMware Cloud on AWS는 세그먼트가 추가 또는 제거되거나 NSX Edge 마이그레이션 또는 페일오버가 발생할 때 경로 테이블 업데이트와 같은 진행 중인 작업에 이 계정을 사용합니다.
기존 SDDC는 SDDC가 생성될 때 정의된 역할을 계속 사용하므로 AWS 계정에서 여러 역할(및 CFT) 집합이 활성 상태인 시나리오가 생성될 수 있으며 이러한 역할을 삭제하면 해당 역할을 사용하는 SDDC에 영향을 줄 수 있습니다. SDDC에서 사용되는 IAM 역할 및 CFT는 NSX Manager 연결된 VPC 페이지(SDDC의 네트워킹 및 보안 탭에서도 사용 가능)에 나타납니다.

CFT에서 생성된 IAM 역할은 특정 AWS 정책에 대해 VMware Cloud on AWS 서비스에서 사용하는 VMware AWS 계정에 AWS AssumeRole 권한을 부여합니다. 이 정책은 AWS에서 정의하고 관리하며 VMware는 보안상의 이유로 이 정책을 변경할 권한이 없습니다. 이러한 역할을 수정하거나 삭제하면 계정 링크가 끊어지고 연결된 VPC와의 통신이 실패하며 더 이상 새 SDDC를 배포하거나 해당 계정에 연결된 기존 SDDC에 새 호스트를 추가할 수 없습니다. 업데이트 적용을 요청하려면 VMware 지원에 문의하십시오.

AWS 역할 및 사용 권한

VMware Cloud on AWS 조직을 AWS VPC에 연결하는 CloudFormation 템플릿을 실행하려면 AWS 계정에 CFT를 실행하는 데 필요한 AWS 사용 권한에 표시된 사용 권한이 있어야 합니다 계정 연결은 계정 연결에 사용되는 AWS 역할에 표시된 VMware 소유 계정의 AWS 정의 정책 AmazonVPCCrossAccountNetworkInterfaceOperations에 대한 AWS AssumeRole 액세스를 설정합니다. 이는 진행 중인 SDDC 작업에 필요한 AWS 사용 권한에 표시된 사용 권한을 부여합니다.

CFT를 실행하는 데 필요한 AWS 사용 권한

이 템플릿을 실행하는 계정에는 다음 사용 권한이 있어야 합니다.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}
진행 중인 SDDC 작업에 필요한 AWS 사용 권한
계정 연결이 완료되면 이러한 사용 권한(IAM 역할에 의해 부여됨)만 필요합니다.
중요:

이러한 역할 및 사용 권한을 변경해서는 안 됩니다. 변경하면 SDDC를 작동할 수 없게 됩니다.

연결된 정책 사용 권한 문서를 보려면 AWS 콘솔에 로그인하고 https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor를 엽니다. 다음은 해당 정책에 대한 요약 설명입니다.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

VMware Cloud on AWS에는 SDDC 배포 및 진행 중인 작업(예: 라우팅 테이블 업데이트 호스트 교체)에 대한 이러한 AWS 권한이 필요하므로, 역할이 필요에 따라 AWS AssumeRole 함수를 사용할 수 있고 Control Tower 가드레일 또는 SCP(서비스 제어 정책)과 같은 AWS 기능에 의해 차단되지 않도록 해야 합니다. IAM 역할에는 정책 AmazonVPCCrossAccountNetworkInterfaceOperations에서 AWS를 통해 모두 관리되는 최소한의 사용 권한 집합만 필요합니다. 이 액세스 권한은 템플릿에 의해 생성된 IAM 역할이 부여하는 유일한 액세스 권한입니다.

참고:

또한 CFT는 Lambda 함수를 생성하고 계정의 VPC 설명, 경로 테이블 설명 및 서브넷 설명에 대한 액세스 권한은 물론 로그 생성 권한을 부여합니다. 이 Lambda 함수는 CFT가 실행될 때 한 번만 사용됩니다. 그 목적은 클라우드 형성 스택의 완료를 VMware에 등록하고 생성된 역할의 ARN을 제공하는 것입니다. 계정이 등록되고 워크플로 중에 AWS 계정 선택VMC 콘솔에서 SDDC 배포 드롭다운 컨트롤에 표시되면 필요한 경우 Lambda 함수 NotifyOfStatusvmware-sddc-formation-******-*****-BasicLambdaRole-****** 역할을 삭제할 수 있습니다.