EC2 örnek profili
Qlik tarafından yönetilen EC2 örnekleriniz için bir IAM rolü tanımlayın. Bu rol, AWS göl evi ortamınızda çalışan örnekler tarafından kullanılır.
EC2 örnek profili, bir EC2 örneğine atanabilen bir IAM rolü için bir kapsayıcıdır. AWS kimlik bilgilerini örnek üzerinde depolamaya gerek kalmadan örneğin AWS hizmetlerine güvenli bir şekilde erişmesini sağlar.
Bir örnek, bir örnek profiliyle başlatıldığında, ilişkili IAM rolünün geçici kimlik bilgileri, örnek meta veri hizmeti aracılığıyla örnek üzerinde çalışan uygulamaların kullanımına otomatik olarak sunulur. Bu, örneğin Amazon S3, DynamoDB veya CloudWatch gibi AWS hizmetlerine yetkilendirilmiş API istekleri yapmasını sağlar.
Örnek şunları yaparak profillerinin kullanılması güvenliği artırır ve kimlik bilgisi yönetimini basitleştirir:
-
Uygulama kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerini ortadan kaldırma.
-
Kimlik bilgilerini otomatik olarak değiştirme.
-
Role eklenmiş ayrıntılı IAM politikaları aracılığıyla en az ayrıcalığı zorunlu kılma.
Örnek profilleri, EC2 örneklerinin diğer AWS kaynaklarıyla güvenli ve programlı bir şekilde etkileşime girmesi gereken senaryolarda yaygın olarak kullanılır.
Önkoşullar
VPC'yi, size ait Qlik Açık Göl Evi öğesini barındırmak için alt ağı ve Uygunluk Bölgelerini oluşturduğunuzdan ve aşağıdaki ayrıntılara sahip olduğunuzdan emin olun:
-
Dahili meta veri dosyalarını depolamak üzere Qlik için S3 demetinin URL'si.
-
Kümedeki örneği yönetmek üzere Qlik için Kinesis akışının adı.
Bir örnek profili oluşturma
Bir yönetim rolü oluşturmak için aşağıdakileri yapın:
-
AWS konsolu'nda IAM'ye gidin
-
Roller'de Rol oluştur'a tıklayın ve bunu yapılandırın:
-
Güvenilir varlık türü: Seçeneklerden AWS hizmeti'ni seçin.
-
Hizmet veya kullanım durumu: EC2'yi seçin.
-
Kullanım durumu: EC2'yi seçin.
-
Rolü oluşturun. Roller sayfasına dönün ve oluşturduğunuz role tıklayın.
-
Örnek profili ARN'si adının yanındaki Kopyala simgesine tıklayın ve bu değeri kaydedin.
-
İzin ekle'ye tıklayın ve Satır içi politikası oluştur'u seçin.
-
Politika düzenleyici: JSON öğesini seçin. Aşağıdaki metni yapıştırın ve şunlardan emin olun:
-
<INTERNAL_STREAM_NAME> parametresini Kinesis akışı olarak değiştirin.
-
<INTERNAL_BUCKET_NAME> parametresini S3 demeti olarak değiştirin.
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume",
"autoscaling:SetInstanceHealth"
],
"Condition": {
"Null": {
"aws:ResourceTag/qlik_cluster": "false"
}
}
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"cloudwatch:PutMetricData"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:kinesis:*:*:stream/<STREAM_NAME>"
],
"Action": [
"kinesis:PutRecord",
"kinesis:DescribeStreamSummary",
"kinesis:ListShards",
"kinesis:PutRecords",
"kinesis:GetShardIterator",
"kinesis:GetRecords",
"kinesis:DescribeStream",
"kinesis:ListStreamConsumers"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::<BUCKET_NAME>",
"arn:aws:s3:::<BUCKET_NAME>/*"
],
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"s3:DeleteObjectVersion",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetObjectVersion"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:*:parameter/qlik/*"
],
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
]
},
{
"Effect": "Allow",
"Resource": [
"<SYMMETRIC_KMS_KEY>"
],
"Action": [
"kms:*"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"sts:AssumeRole"
],
"Condition": {
"StringEquals": {
"sts:ExternalId": "6b69f9c3c8f502f2ddfc8434d443f172ebe4c032f4ef1a3c51215d27a58ca799"
}
}
}
]
}
Gereklilik izin gerekçeleri
Aşağıdaki tabloda EC2 örneğine verilen her izin açıklanmaktadır:
| Politika | İzinler | Açıklama |
|---|---|---|
| Hacim Politikası Ekle |
{ "Version": "2012-10-17", "Effect": "Allow", "Resource": [ "*" ], "Action": [ "ec2:AttachVolume", "ec2:DetachVolume", "autoscaling:SetInstanceHealth" ], "Condition": { "Null": { "aws:ResourceTag/qlik_cluster": "false" } } } ] } |
Bu politika, EC2 örneklerine Qlik tarafından oluşturulan Kalıcı EBS hacimlerini ekleme izinleri verir. Bu, verilerin Ağ Geçidi makinesi yükseltmeleri arasında kalıcı olmasını sağlar. |
| CloudWatch |
{ "Version": "2012-10-17", "Effect": "Allow", "Resource": [ "*" ], "Action": [ "cloudwatch:PutMetricData" } ] } |
Bu politika, EC2 örneklerinin Qlik kümelerini yazılım performansına göre otomatik olarak ölçeklendirmek için kullanılan CloudWatch'a özel ölçümler göndermesine olanak tanır. |
| Dahili Klasör |
{ "Version": "2012-10-17", "Effect": "Allow", "Resource": [ "arn:aws:kinesis:*:*:stream/<STREAM_NAME>" ], "Action": [ "kinesis:PutRecord", "kinesis:DescribeStreamSummary", "kinesis:ListShards", "kinesis:PutRecords", "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:DescribeStream", "kinesis:ListStreamConsumers" ] } ] } |
Bu politika, EC2 örneklerine Anahtar-Değer Saklama ve Dağıtılmış Kilitler gibi Küme Senkronizasyon hizmetleri tarafından kullanılan Kinesis klasörleriyle etkileşim izni verir. <INTERNAL_STREAM_NAME> kullanıcı tarafından yapılandırılan bir değerdir. |
| Dahili Demet |
{ "Version": "2012-10-17", "Effect": "Allow", "Resource": [ "arn:aws:s3:::<BUCKET_NAME>", "arn:aws:s3:::<BUCKET_NAME>/*" ], "Action": [ "s3:PutObject", "s3:GetObject", "s3:AbortMultipartUpload", "s3:DeleteObjectVersion", "s3:ListBucket", "s3:DeleteObject", "s3:GetObjectVersion" ] } ] } |
Politika, EC2 örneklerine dahili verileri depolama, okuma ve silme izinleri verir. Dahili veriler, işlenmek üzere ara depolamada tutulan gerçek kullanıcı verilerini içerir. <INTERNAL_BUCKET_NAME> kullanıcı tarafından yapılandırılan bir değerdir. |