Rol de cuenta de administración

Cree un rol de cuenta de administración para que Qlik Cloud pueda configurar instancias e IPs elásticas dentro de su entorno de lakehouse.

Un rol de cuenta de administración es un rol IAM que usted crea para conceder a Qlik los permisos necesarios para interactuar con su entorno de AWS en su nombre. Este rol lo asume Qlik durante las operaciones de implementación y ejecución para acceder y administrar de forma segura los recursos de AWS necesarios para su lakehouse de Iceberg.

El rol va asociado a una política IAM personalizada que define las acciones específicas que Qlik está autorizado a realizar, como leer de y escribir en depósitos S3, administrar instancias EC2 e interactuar con otros servicios como AWS Glue o KMS.

Este rol garantiza un acceso seguro y con los mínimos privilegios a la vez que permite a Qlik automatizar y orquestar tareas clave como la administración de metadatos, el movimiento de datos y la ejecución de trabajos dentro de su cuenta de AWS.

Para que funcione correctamente, el rol debe crearse con la relación de confianza y la política de permisos necesarias, tal y como se indica en las instrucciones de configuración.

Requisitos previos

Asegúrese de que ha creado la VPC y la subred y las zonas de disponibilidad para alojar su Qlik Open Lakehouse, y de que dispone de los siguientes datos:

Su ID de cuenta de AWS.
La clave simétrica KMS ARN.

Crear un rol de cuenta de administración

Para crear un rol de cuenta de administración, haga lo siguiente:

En la consola de AWS, vaya a IAM
En Roles, haga clic en Crear rol y configúrelo:

Tipo de entidad de confianza: seleccione Política de confianza personalizada.

Sentencia: en el panel de código, pegue la política de entidad de confianza creada en la guía de configuración del rol de cuenta de administración en Qlik Cloud.

Cree el rol y tome nota del valor ARN. Esto debería recibir formato de la siguiente manera:

arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>.

Creación de una política

En IAM, haga clic en Roles y seleccione el rol que creó anteriormente.
Haga clic en Añadir permisos.
Seleccione Crear política inline.
En Editor de políticas, seleccione JSON. Pegue el texto y asegúrese de realizar los siguientes puntos:

Cambie el parámetro <AWS_ACCOUNT_ID> al de su cuenta.
Actualice el valor <KMS_SYMMETRIC_KEY_ARN> con su ARN de clave.


			{
			"Version": "2012-10-17",
			"Statement": [
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"ec2:CancelSpotInstanceRequests",
			"ec2:CreateLaunchTemplate",
			"ec2:CreateTags",
			"ec2:CreateVolume",
			"ec2:DescribeAddresses",
			"ec2:DescribeImageAttribute",
			"ec2:DescribeImages",
			"ec2:DescribeInstanceStatus",
			"ec2:DescribeInstanceTypeOfferings",
			"ec2:DescribeInstanceTypes",
			"ec2:DescribeInstances",
			"ec2:DescribeLaunchTemplateVersions",
			"ec2:DescribeLaunchTemplates",
			"ec2:DescribeSpotInstanceRequests",
			"ec2:DescribeSpotPriceHistory",
			"ec2:DescribeTags",
			"ec2:DescribeRegions",
			"ec2:DescribeSubnets",
			"ec2:DescribeRouteTables",
			"ec2:DescribeSecurityGroups",
			"ec2:RequestSpotInstances",
			"ec2:DescribeVolumes"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"arn:aws:ec2:*::image/*",
			"arn:aws:ec2:*:*:instance/*",
			"arn:aws:ec2:*:*:key-pair/*",
			"arn:aws:ec2:*:*:launch-template/*",
			"arn:aws:ec2:*:*:network-interface/*",
			"arn:aws:ec2:*:*:security-group/*",
			"arn:aws:ec2:*:*:subnet/*",
			"arn:aws:ec2:*:*:volume/*"
			],
			"Action": [
			"ec2:RunInstances"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"ec2:AttachVolume",
			"ec2:DeleteVolume",
			"ec2:DetachVolume",
			"ec2:DeleteLaunchTemplate",
			"ec2:TerminateInstances",
			"ec2:StartInstances",
			"ec2:ModifyLaunchTemplate",
			"ec2:DeleteLaunchTemplateVersions",
			"ec2:CreateLaunchTemplateVersion"
			],
			"Condition": {
			"Null": {
			"aws:ResourceTag/qlik_cluster": "false"
			}
			}
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"autoscaling:DeleteAutoScalingGroup",
			"autoscaling:DeletePolicy",
			"autoscaling:DeleteTags",
			"autoscaling:PutScalingPolicy",
			"autoscaling:StartInstanceRefresh",
			"autoscaling:TerminateInstanceInAutoScalingGroup",
			"autoscaling:UpdateAutoScalingGroup"
			],
			"Condition": {
			"Null": {
			"aws:ResourceTag/qlik_cluster": "false"
			}
			}
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"autoscaling:CreateAutoScalingGroup",
			"autoscaling:CreateOrUpdateTags",
			"autoscaling:DescribeAutoScalingGroups",
			"autoscaling:DescribeInstanceRefreshes",
			"autoscaling:DescribePolicies",
			"autoscaling:DescribeScalingActivities",
			"autoscaling:DescribeTags"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"ec2:DescribeRegions",
			"ec2:DescribeSubnets",
			"ec2:DescribeRouteTables",
			"ec2:DescribeSecurityGroups",
			"ec2:DescribeKeyPairs"			
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"cloudwatch:DescribeAlarmHistory",
			"cloudwatch:DescribeAlarms",
			"cloudwatch:DescribeAlarmsForMetric",
			"cloudwatch:GetMetricStatistics",
			"cloudwatch:ListMetrics",
			"cloudwatch:PutMetricData"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"cloudwatch:DeleteAlarms"
			],
			"Condition": {
			"Null": {
			"aws:ResourceTag/qlik_cluster": "false"
			}
			}
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"cloudwatch:PutMetricAlarm"
			],
			"Condition": {
			"Null": {
			"aws:RequestTag/qlik_cluster": "false"
			}
			}
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"iam:AddRoleToInstanceProfile",
			"iam:CreateServiceLinkedRole",
			"iam:GetPolicy",
			"iam:GetPolicyVersion",
			"iam:ListAccountAliases",
			"iam:ListAttachedRolePolicies",
			"iam:ListInstanceProfiles",
			"iam:ListInstanceProfilesForRole",
			"iam:ListPolicies",
			"iam:ListRoles",
			"iam:PassRole"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"*"
			],
			"Action": [
			"sts:DecodeAuthorizationMessage"
			]
			},
			{
			"Effect": "Allow",
			"Resource": [
			"arn:aws:ssm:*:<AWS_ACCOUNT_ID>:parameter/qlik/*"
				],
				"Action": [
				"ssm:PutParameter"
				]
				},
				{
				"Effect": "Allow",
				"Resource": [
				"<KMS_SYMMETRIC_KEY_ARN>"
					],
					"Action": [
					"kms:GenerateDataKeyPairWithoutPlaintext",
					"kms:Encrypt"
					]
					}
					]
					}

Justificaciones de los permisos exigidos

La tabla siguiente explica cada permiso del rol de cuenta de administración:

Política	Permisos	Explicación
EC2 - Resource Management Actions (Acciones de gestión de recursos)	{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CancelSpotInstanceRequests", "ec2:CreateLaunchTemplate", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeAddresses", "ec2:DescribeImageAttribute", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeInstances", "ec2:DescribeLaunchTemplateVersions", "ec2:DescribeLaunchTemplates", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeTags", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:RequestSpotInstances", "ec2:DescribeVolumes" ], "Effect": "Allow", "Resource": "" }, { "Action": "ec2:RunInstances", "Effect": "Allow", "Resource": [ "arn:aws:ec2:::subnet/", "arn:aws:ec2:::network-interface/", "arn:aws:ec2:::image/*" ] } ] }	Esta política concede a Qlik permiso para administrar instancias y recursos EC2, como volúmenes, grupos de seguridad y subredes. No se incluyen condiciones, ya que todos los métodos son acciones de descripción o de creación.
EC2 - Resource Manipulation Actions (Acciones de manipulación de recursos)	{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachVolume", "ec2:DeleteVolume", "ec2:DetachVolume", "ec2:DeleteLaunchTemplate", "ec2:TerminateInstances", "ec2:StartInstances", "ec2:ModifyLaunchTemplate", "ec2:DeleteLaunchTemplateVersions", "ec2:CreateLaunchTemplateVersion" ], "Condition": { "Null": { "aws:ResourceTag/qlik_cluster": "false" } }, "Effect": "Allow", "Resource": "" }, { "Action": [ "autoscaling:PutScalingPolicy", "autoscaling:UpdateAutoScalingGroup", "autoscaling:DeleteAutoScalingGroup", "autoscaling:DeletePolicy", "autoscaling:DeleteTags", "autoscaling:StartInstanceRefresh" ], "Condition": { "Null": { "aws:ResourceTag/qlik_cluster": "false" } }, "Effect": "Allow", "Resource": "" } ] }	Esta política concede a Qlik permiso para administrar las instancias EC2 y los recursos creados por Qlik, basados en la etiqueta, qlik_cluster. Los permisos incluyen acciones como adjuntar volúmenes, terminar instancias y modificar plantillas de lanzamiento.
EC2 - Validation Actions (Acciones de validación)	{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs" ], "Resource": "*" } ] }	Esta directiva concede a Qlik permisos para validar entradas al crear integraciones de red. Las acciones no son obligatorias y solo se requieren cuando se proporcionan entradas específicas.
IAM - Instance Profile Actions (Acciones en perfiles de instancias)	"Version": "2012-10-17", "Statement": [ { "Action": [ "iam:AddRoleToInstanceProfile", "iam:CreateServiceLinkedRole", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListAccountAliases", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfiles", "iam:ListInstanceProfilesForRole", "iam:ListPolicies", "iam:ListRoles", "iam:PassRole" ], "Effect": "Allow", "Resource": "*" } ] } `{`	Esta política permite que el rol de cuenta de administración administre los perfiles de las instancias EC2, incluyendo acciones como la creación de roles vinculados al servicio y el traspaso de roles a las instancias EC2.
STS - Authorization Action (Acción de autorización)	"Version": "2012-10-17", "Statement": [ { "Action": "sts:DecodeAuthorizationMessage", "Effect": "Allow", "Resource": "*" } ] } `{`	Esta política concede a Qlik permiso para descodificar mensajes de autorización para ayudar a solucionar problemas de autorización.
SSM - Secret Management Actions (Acciones de gestión de secretos)	"Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:PutParameter" ], "Effect": "Allow", "Resource": "arn:aws:ssm::<AWS_ACCOUNT_ID>:parameter/qlik/", } ] } `{`	Esta política concede al rol de cuenta de administración permiso para almacenar secretos en el almacén de parámetros de AWS Systems Manager. Estos secretos serán leídos por las instancias aprovisionadas por Qlik.<AWS_ACCOUNT_ID> es un valor configurado por el usuario
KMS	"Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:GenerateDataKeyPairWithoutPlaintext", "kms:Encrypt" ], "Resource": "<KMS_SYMMETRIC_KEY_ARN>" } ] } `{`	Esta política concede a Qlik permiso para generar pares de claves de cifrado sin acceso a la clave privada, y para cifrar datos que serán leídos y descifrados por máquinas aprovisionadas por Qlik. <KMS_SYMMETRIC_KEY_ARN> es un valor configurado por el usuario.

¿Esta página le ha sido útil?

Si encuentra algún problema con esta página o su contenido (errores tipográficos, pasos que faltan o errores técnicos), no dude en ponerse en contacto con nosotros.

Deje aquí sus comentarios