AWS 계정 연결 정보

VMware Cloud on AWS CFT(CloudFormation 템플릿)는 AWS 미국 서부(오리건) 지역에서 실행됩니다. 필요한 사용 권한은 모든 지역에서 유효하기 때문에 결과 SDDC가 생성되는 위치에는 영향을 주지 않지만 CFT를 실행하는 AWS 계정은 AWS SCP(서비스 제어 정책)에 의해 오리건 지역 액세스가 제한되어서는 안 됩니다. CFT가 로드되면 필요한 경우 CFT를 편집하여 지역을 변경할 수 있습니다. 모든 지역에서 CFT를 실행할 수 있지만 CFT가 실행된 위치를 기록하는 내부 문서를 보관해야 합니다. 조직 내에 오리건 지역에 액세스할 수 있는 멤버가 없는 경우 CLOUDFORMATION 템플릿을 사용하여 AWS 콘솔 열기를 클릭할 때 제공되는 링크에서 CFT를 다운로드하거나 해당 링크를 AWS 관리자에게 전송하여 실행할 수 있습니다. AWS 계정을 VMC 조직에 연결하는 작업은 일회성이기 때문입니다.

계정 연결의 일부로 그리고 진행 중인 SDDC 작업 중에 주기적으로, 연결된 AWS 계정은 조직에서 사용할 수 있는 AWS 지역 및 AZ의 최신 목록을 유지할 수 있도록 모든 지역에서 조직의 VPC 및 서브넷에 대한 인벤토리를 가져옵니다. 계정이 SCP에 의해 해당 지역 또는 VPC에 액세스할 수 없도록 제한되는 경우 이 작업이 실패할 수 있습니다. 이러한 종류의 실패는 제한된 지역 및 VPC가 VMware Cloud on AWS에서 사용되지 않으면 허용됩니다.

계정을 연결하기 전에 모든 AZ에서 서브넷을 생성하는 것이 좋습니다. 계정이 연결될 때 서브넷이 없는 모든 AZ는 나중에 서브넷을 생성하더라도 시스템에서 시작한 다시 검색이 수행될 때까지 VMware Cloud on AWS에서 사용할 수 없습니다. CFT를 다시 실행하여 다시 검색을 시작할 수 있지만 이미 연결되어 있고 SDDC가 배포된 조직에는 이러한 방법을 사용하지 않는 것이 좋습니다.

VMware Cloud Tech Zone Designlet 네이티브 AWS에 대한 VMware Cloud on AWS 연결 VPC에서 계정 연결에 대한 자세한 내용을 참조할 수 있습니다. 계정 연결을 해제하는 방법에 대한 자세한 내용은 VMware 기술 자료 문서 83400을 참조하십시오.

계정 연결에 사용되는 AWS 역할

CFT에서 생성된 IAM 역할은 특정 AWS 정책에 대해 VMware Cloud on AWS 서비스에서 사용하는 VMware AWS 계정에 AWS AssumeRole 권한을 부여합니다. 이 정책은 AWS에서 정의하고 관리하며 VMware는 보안상의 이유로 이 정책을 변경할 권한이 없습니다. 이러한 역할을 수정하거나 삭제하면 계정 링크가 끊어지고 연결된 VPC와의 통신이 실패하며 더 이상 새 SDDC를 배포하거나 해당 계정에 연결된 기존 SDDC에 새 호스트를 추가할 수 없습니다. 업데이트 적용을 요청하려면 VMware 지원에 문의하십시오.

AWS 역할 및 사용 권한

VMware Cloud on AWS 조직을 AWS VPC에 연결하는 CloudFormation 템플릿을 실행하려면 AWS 계정에 CFT를 실행하는 데 필요한 AWS 사용 권한에 표시된 사용 권한이 있어야 합니다 계정 연결은 계정 연결에 사용되는 AWS 역할에 표시된 VMware 소유 계정의 AWS 정의 정책 AmazonVPCCrossAccountNetworkInterfaceOperations에 대한 AWS AssumeRole 액세스를 설정합니다. 이는 진행 중인 SDDC 작업에 필요한 AWS 사용 권한에 표시된 사용 권한을 부여합니다.

CFT를 실행하는 데 필요한 AWS 사용 권한

이 템플릿을 실행하는 계정에는 다음 사용 권한이 있어야 합니다.

{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeRouteTables",
 "ec2:CreateRoute",
 "ec2:DeleteRoute",
 "ec2:ReplaceRoute"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:DescribeNetworkInterfaces",
 "ec2:CreateNetworkInterface",
 "ec2:DeleteNetworkInterface",
 "ec2:CreateNetworkInterfacePermission",
 "ec2:ModifyNetworkInterfaceAttribute",
 "ec2:DescribeNetworkInterfaceAttribute",
 "ec2:DescribeVpcs",
 "ec2:DescribeSubnets"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ec2:AssignPrivateIpAddresses",
 "ec2:UnassignPrivateIpAddresses"
 ],
 "Resource": [
 "*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "cloudformation:CreateStack",
 "cloudformation:DescribeStacks",
 "cloudformation:DescribeStackEvents",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources",
 "cloudformation:GetTemplateSummary",
 "cloudformation:ListStackResources",
 "cloudformation:GetTemplate",
 "cloudformation:ListChangeSets",
 "cloudformation:GetStackPolicy"
 ],
 "Resource": "*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "iam:CreateRole",
 "iam:CreatePolicy",
 "iam:AttachRolePolicy",
 "iam:GetRole",
 "iam:PassRole",
 "iam:PutRolePolicy",
 "lambda:CreateFunction",
 "lambda:InvokeFunction",
 "lambda:GetFunctionConfiguration",
 "lambda:GetFunction",
 "cloudformation:DescribeStackResource",
 "cloudformation:DescribeStackResources"
 ],
 "Resource": "*"
 }
 ]
}

진행 중인 SDDC 작업에 필요한 AWS 사용 권한

계정 연결이 완료되면 이러한 사용 권한(IAM 역할에 의해 부여됨)만 필요합니다.

중요:

이러한 역할 및 사용 권한을 변경해서는 안 됩니다. 변경하면 SDDC를 작동할 수 없게 됩니다.

연결된 정책 사용 권한 문서를 보려면 AWS 콘솔에 로그인하고 https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor를 엽니다. 다음은 해당 정책에 대한 요약 설명입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

VMware Cloud on AWS에는 SDDC 배포 및 진행 중인 작업(예: 라우팅 테이블 업데이트 호스트 교체)에 대한 이러한 AWS 권한이 필요하므로, 역할이 필요에 따라 AWS AssumeRole 함수를 사용할 수 있고 Control Tower 가드레일 또는 SCP(서비스 제어 정책)과 같은 AWS 기능에 의해 차단되지 않도록 해야 합니다. IAM 역할에는 정책 AmazonVPCCrossAccountNetworkInterfaceOperations에서 AWS를 통해 모두 관리되는 최소한의 사용 권한 집합만 필요합니다. 이 액세스 권한은 템플릿에 의해 생성된 IAM 역할이 부여하는 유일한 액세스 권한입니다.