Beheerrol
Maak een beheerrol aan zodat u Qlik Cloud-exemplaren en elastische IP's kunt configureren binnen uw lakehouse-omgeving.
Een beheerrol is een IAM-rol die u aanmaakt om Qlik de nodige machtigingen te geven om namens u met uw AWS-omgeving te communiceren. Deze rol wordt overgenomen door Qlik tijdens de implementatie en runtimebewerkingen voor een veilige toegang tot en beheer van AWS-resources die nodig zijn voor uw Iceberg-lakehouse.
De rol is gekoppeld aan een aangepast IAM-beleid dat de specifieke acties definieert die Qlik mag uitvoeren, zoals het lezen van en schrijven naar S3-buckets, het beheren van EC2-exemplaren en communiceren met andere diensten zoals AWS Glue of KMS.
Deze rol zorgt voor veilige toegang met zo weinig mogelijk machtigingen, terwijl Qlik belangrijke taken zoals het beheer van metagegevens, gegevensverplaatsing en taakuitvoering binnen uw AWS-account kan automatiseren en organiseren.
Om correct te functioneren, moet de rol aangemaakt worden met de vereiste vertrouwensrelatie en machtigingsbeleid zoals beschreven in de installatie-instructies.
Vereisten
Zorg ervoor dat u de VPC, het subnet en de Availability Zones voor het hosten van uw Qlik Open Lakehouse hebt gemaakt en dat u de volgende gegevens hebt:
-
Uw AWS account-id.
-
De symmetrische KMS-sleutel van de ARN.
Een beheerrol aanmaken
Om een beheerrol te maken, doet u het volgende:
-
Ga in de AWS-console naar IAM
-
Klik in Rollen op Rol maken en configureer deze:
-
Vertrouwd entiteitstype: selecteer Aangepast vertrouwensbeleid.
-
Opdracht: plak in het codevenster het Vertrouwde entiteitsbeleid dat is gemaakt in de Configuratiegids beheerrol in Qlik Cloud.
-
Maak de rol aan en noteer de ARN-waarde. Dit moet als volgt worden geformatteerd:
arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>.
Een beleid maken
-
Klik in IAM op Rollen en selecteer de rol die u hierboven hebt aangemaakt.
-
Klik op Machtigingen toevoegen.
-
Selecteer Inline beleid maken.
-
In Beleidseditor selecteert u JSON. Plak de volgende tekst en doe het volgende:
-
Wijzig de parameter <AWS_ACCOUNT_ID> in uw account.
-
Werk de waarde <KMS_SYMMETRIC_KEY_ARN> bij met uw sleutel-ARN.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:CancelSpotInstanceRequests",
"ec2:CreateLaunchTemplate",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeAddresses",
"ec2:DescribeImageAttribute",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInstances",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeSpotPriceHistory",
"ec2:DescribeTags",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:RequestSpotInstances",
"ec2:DescribeVolumes"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:launch-template/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:volume/*"
],
"Action": [
"ec2:RunInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:AttachVolume",
"ec2:DeleteVolume",
"ec2:DetachVolume",
"ec2:DeleteLaunchTemplate",
"ec2:TerminateInstances",
"ec2:StartInstances",
"ec2:ModifyLaunchTemplate",
"ec2:DeleteLaunchTemplateVersions",
"ec2:CreateLaunchTemplateVersion"
],
"Condition": {
"Null": {
"aws:ResourceTag/qlik_cluster": "false"
}
}
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"autoscaling:DeleteAutoScalingGroup",
"autoscaling:DeletePolicy",
"autoscaling:DeleteTags",
"autoscaling:PutScalingPolicy",
"autoscaling:StartInstanceRefresh",
"autoscaling:TerminateInstanceInAutoScalingGroup",
"autoscaling:UpdateAutoScalingGroup"
],
"Condition": {
"Null": {
"aws:ResourceTag/qlik_cluster": "false"
}
}
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"autoscaling:CreateAutoScalingGroup",
"autoscaling:CreateOrUpdateTags",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeInstanceRefreshes",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScalingActivities",
"autoscaling:DescribeTags"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeKeyPairs"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricData"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"cloudwatch:DeleteAlarms"
],
"Condition": {
"Null": {
"aws:ResourceTag/qlik_cluster": "false"
}
}
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"cloudwatch:PutMetricAlarm"
],
"Condition": {
"Null": {
"aws:RequestTag/qlik_cluster": "false"
}
}
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateServiceLinkedRole",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:ListAccountAliases",
"iam:ListAttachedRolePolicies",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListPolicies",
"iam:ListRoles",
"iam:PassRole"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"sts:DecodeAuthorizationMessage"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:<AWS_ACCOUNT_ID>:parameter/qlik/*"
],
"Action": [
"ssm:PutParameter"
]
},
{
"Effect": "Allow",
"Resource": [
"<KMS_SYMMETRIC_KEY_ARN>"
],
"Action": [
"kms:GenerateDataKeyPairWithoutPlaintext",
"kms:Encrypt"
]
}
]
}
Redenen van vereiste machtiging
De volgende tabel biedt uitleg over elke machtiging van de beheerrol:
| Beleid | Machtigingen | Uitleg |
|---|---|---|
| EC2 - acties voor resourcebeheer |
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CancelSpotInstanceRequests", "ec2:CreateLaunchTemplate", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeAddresses", "ec2:DescribeImageAttribute", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeInstances", "ec2:DescribeLaunchTemplateVersions", "ec2:DescribeLaunchTemplates", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeTags", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:RequestSpotInstances", "ec2:DescribeVolumes" ], "Effect": "Allow", "Resource": "*" }, { "Action": "ec2:RunInstances", "Effect": "Allow", "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*::image/*" ] } ] } |
Dit beleid machtigt Qlik om EC2-exemplaren en -resources te beheren, zoals volumes, beveiligingsgroepen en subnetten. Er zijn geen voorwaarden opgenomen, omdat alle methoden ofwel beschrijf- of maakacties zijn. |
| EC2 - acties voor resourcemanipulatie |
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachVolume", "ec2:DeleteVolume", "ec2:DetachVolume", "ec2:DeleteLaunchTemplate", "ec2:TerminateInstances", "ec2:StartInstances", "ec2:ModifyLaunchTemplate", "ec2:DeleteLaunchTemplateVersions", "ec2:CreateLaunchTemplateVersion" ], "Condition": { "Null": { "aws:ResourceTag/qlik_cluster": "false" } }, "Effect": "Allow", "Resource": "*" }, { "Action": [ "autoscaling:PutScalingPolicy", "autoscaling:UpdateAutoScalingGroup", "autoscaling:DeleteAutoScalingGroup", "autoscaling:DeletePolicy", "autoscaling:DeleteTags", "autoscaling:StartInstanceRefresh" ], "Condition": { "Null": { "aws:ResourceTag/qlik_cluster": "false" } }, "Effect": "Allow", "Resource": "*" } ] } |
Dit beleid machtigt Qlik om de EC2-exemplaren en -resources te beheren die zijn aangemaakt door Qlik, gebaseerd op de tag qlik_cluster. Machtigingen omvatten acties zoals het koppelen van volumes, het beëindigen van exemplaren en het wijzigen van startsjablonen. |
| EC2 - validatieacties |
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs" ], "Resource": "*" } ] } |
Dit beleid machtigt Qlik om invoer te valideren bij het maken van netwerkintegraties. De acties zijn niet verplicht en alleen vereist als er specifieke invoer wordt geleverd. |
| IAM - acties voor exemplaarprofiel | "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:AddRoleToInstanceProfile", "iam:CreateServiceLinkedRole", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListAccountAliases", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfiles", "iam:ListInstanceProfilesForRole", "iam:ListPolicies", "iam:ListRoles", "iam:PassRole" ], "Effect": "Allow", "Resource": "*" } ] } | Met dit beleid kan de beheerrol EC2-exemplaarprofielen afhandelen, inclusief acties zoals het maken van servicegerelateerde rollen en het doorgeven van rollen aan EC2-exemplaren. |
| STS - autorisatie-actie | "Version": "2012-10-17", "Statement": [ { "Action": "sts:DecodeAuthorizationMessage", "Effect": "Allow", "Resource": "*" } ] } | Dit beleid machtigt Qlik om autorisatieberichten te decoderen om autorisatieproblemen op te lossen. |
| SSM - geheime beheeracties | "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:PutParameter" ], "Effect": "Allow", "Resource": "arn:aws:ssm:*:<AWS_ACCOUNT_ID>:parameter/qlik/*", } ] } | Dit beleid machtigt de beheerrol om geheimen op te slaan in de AWS Systems Manager Parameter Store. Deze geheimen worden gelezen door exemplaren die zijn ingericht door Qlik.<AWS_ACCOUNT_ID> is een door de gebruiker geconfigureerde waarde. |
| KMS | "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:GenerateDataKeyPairWithoutPlaintext", "kms:Encrypt" ], "Resource": "<KMS_SYMMETRIC_KEY_ARN>" } ] } | Dit beleid machtigt Qlik om encryptiesleutelparen te genereren zonder toegang tot de privésleutel, en om gegevens te versleutelen die worden gelezen en ontsleuteld door machines die door Qlik zijn ingericht. <KMS_SYMMETRIC_KEY_ARN> is een door de gebruiker geconfigureerde waarde. |