Cómo utiliza Deadline Cloud las funciones de servicio de IAM Función de flota Función de anfitrión de flota gestionada por el cliente Función de cola Función de supervisión Personalización avanzada de los roles de Deadline Cloud

Roles de servicio

Cómo utiliza Deadline Cloud las funciones de servicio de IAM

Deadline Cloud asume automáticamente las funciones de IAM y proporciona credenciales temporales a los trabajadores, los puestos de trabajo y el monitor de Deadline Cloud. Este enfoque elimina la administración manual de credenciales y, al mismo tiempo, mantiene la seguridad mediante un control de acceso basado en roles.

Al crear monitores, flotas y colas, debe especificar las funciones de IAM que Deadline Cloud asume en su nombre. A continuación, los trabajadores y el monitor de Deadline Cloud reciben credenciales temporales de estas funciones para poder acceder a ellas. Servicios de AWS

Función de flota

Configura un rol de flota para dar a los trabajadores de Deadline Cloud los permisos que necesitan para recibir trabajo e informar sobre el progreso de ese trabajo.

Por lo general, no es necesario que configure este rol usted mismo. Este rol se puede crear automáticamente en la consola de Deadline Cloud para incluir los permisos necesarios. Utilice la siguiente guía para comprender las características específicas de esta función a la hora de solucionar problemas.

Al crear o actualizar flotas mediante programación, especifique el ARN del rol de la flota mediante las operaciones o API. CreateFleet UpdateFleet

¿Qué hace la función de flota

La función de flota proporciona a los trabajadores permisos para:

Reciba nuevos trabajos e informe sobre el progreso de los trabajos en curso al servicio Deadline Cloud
Gestione el ciclo de vida y el estado del trabajador
Registra eventos de registro en Amazon CloudWatch Logs para los registros de los trabajadores

Configure la política de confianza en los roles de la flota

Tu función en la flota debe confiar en el servicio Deadline Cloud y estar relacionada con tu granja específica.

Como práctica recomendada, la política de confianza debe incluir condiciones de seguridad para la protección de Confused Deputy. Para obtener más información sobre la protección de Confused Deputy, consulte la guía del usuario de Confused Deadline Cloud.

aws:SourceAccountgarantiza que solo los recursos de la misma Cuenta de AWS entidad puedan asumir esta función.
aws:SourceArnrestringe la asunción de funciones a una granja específica de Deadline Cloud.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowDeadlineCredentialsService",
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:YOUR_ACCOUNT_ID:farm/YOUR_FARM_ID"
        }
      }
    }
  ]
}

Adjunta los permisos del rol de Fleet

Adjunta la siguiente política AWS gestionada a tu función de flota:

AWSDeadlineCloud-FleetWorker

Esta política gestionada proporciona permisos para:

deadline:AssumeFleetRoleForWorker- Permite a los trabajadores actualizar sus credenciales.
deadline:UpdateWorker- Permite a los trabajadores actualizar su estado (por ejemplo, a PARADOS al salir).
deadline:UpdateWorkerSchedule- Para obtener trabajo e informar sobre el progreso.
deadline:BatchGetJobEntity- Para buscar información laboral.
deadline:AssumeQueueRoleForWorker- Para acceder a las credenciales de los roles de cola durante la ejecución de un trabajo.

Agregue permisos de KMS para granjas cifradas

Si su granja se creó con una clave KMS, añada estos permisos a su función de flota para garantizar que el trabajador pueda acceder a los datos cifrados de la granja.

Los permisos de KMS solo son necesarios si la granja tiene una clave de KMS asociada. La kms:ViaService condición debe usar el formatodeadline.{region}.amazonaws.com.

Al crear una flota, se crea un grupo de CloudWatch registros para esa flota. El servicio Deadline Cloud utiliza los permisos del trabajador para crear un flujo de registro específico para ese trabajador en particular. Una vez que el trabajador esté configurado y en funcionamiento, utilizará estos permisos para enviar los eventos del registro directamente a CloudWatch Logs.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "CreateLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": [
            "deadline.REGION.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "ManageLogEvents",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
    },
    {
      "Sid": "ManageKmsKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Resource": "YOUR_FARM_KMS_KEY_ARN",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "deadline.REGION.amazonaws.com"
        }
      }
    }
  ]
}

Modificar el rol de la flota

Los permisos para el rol de flota no se pueden personalizar. Los permisos descritos son siempre obligatorios y añadir permisos adicionales no tiene ningún efecto.

Función de anfitrión de flota gestionada por el cliente

Configura un WorkerHost rol si utilizas flotas gestionadas por el cliente en EC2 instancias de Amazon o hosts locales.

¿Qué hace el rol WorkerHost

Esta WorkerHost función impulsa a los trabajadores de los anfitriones de flotas gestionados por el cliente. Proporciona los permisos mínimos necesarios para que un anfitrión pueda:

Crea un trabajador en Deadline Cloud
Asuma el rol de flota para obtener las credenciales operativas
Etiquete a los trabajadores con etiquetas de flota (si la propagación de etiquetas está habilitada)

Configure los permisos de los WorkerHost roles

Adjunta la siguiente política AWS gestionada a tu WorkerHost rol:

AWSDeadlineCloud-WorkerHost

Esta política administrada proporciona permisos para:

deadline:CreateWorker- Permite al anfitrión registrar a un nuevo trabajador.
deadline:AssumeFleetRoleForWorker- Permite al anfitrión asumir el rol de flota.
deadline:TagResource- Permite etiquetar a los trabajadores durante la creación (si está activado).
deadline:ListTagsForResource- Permite leer las etiquetas de la flota para su propagación.

Comprenda el proceso de arranque

El WorkerHost rol solo se usa durante la puesta en marcha inicial del trabajador:

El agente de trabajo se inicia en el host con WorkerHost las credenciales.
Invoca deadline:CreateWorker para registrarse en Deadline Cloud.
A continuación, invoca deadline:AssumeFleetRoleForWorker para obtener las credenciales del rol de la flota.
A partir de este momento, el trabajador solo utilizará las credenciales del rol de flota para todas las operaciones.

El WorkerHost rol no se usa después de que el trabajador comience a correr. Esta política no es obligatoria para las flotas gestionadas por el Servicio. En las flotas gestionadas por el Servicio, el arranque se realiza automáticamente.

Función de cola

El trabajador asume la función de cola al procesar una tarea. Este rol proporciona los permisos necesarios para completar la tarea.

Al crear o actualizar colas mediante programación, especifique el ARN del rol de cola mediante las operaciones o API. CreateQueue UpdateQueue

Configure la política de confianza de los roles de cola

Tu rol de cola debe confiar en el servicio Deadline Cloud.

aws:SourceAccountgarantiza que solo los recursos de la misma Cuenta de AWS entidad puedan asumir esta función.
aws:SourceArnrestringe la asunción de funciones a una granja específica de Deadline Cloud.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "credentials.deadline.amazonaws.com",
          "deadline.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:us-west-2:123456789012:farm/{farm-id}"
        }        
      }
    }
  ]
}

Comprenda los permisos de los roles de cola

El rol de cola no usa una única política administrada. En su lugar, al configurar la cola en la consola, Deadline Cloud crea una política personalizada para la cola en función de la configuración.

Esta política creada automáticamente proporciona acceso a:

Adjuntos de trabajo

Acceso de lectura y escritura al bucket de Amazon S3 especificado para los archivos de entrada y salida de trabajos:


{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject", 
    "s3:ListBucket",
    "s3:GetBucketLocation"
  ],
  "Resource": [
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET",
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET/YOUR_PREFIX/*"
  ],
  "Condition": {
    "StringEquals": {
      "aws:ResourceAccount": "YOUR_ACCOUNT_ID"
    }
  }
}

Registros de trabajo

Acceso de lectura a CloudWatch los registros de los trabajos de esta cola. Cada cola tiene su propio grupo de registros y cada sesión tiene su propio flujo de registro:


{
  "Effect": "Allow",
  "Action": [
    "logs:GetLogEvents"
  ],
  "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
}

Software de terceros

Acceso para descargar software de terceros compatible con Deadline Cloud (como Maya, Blender y otros):


{
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetObject"
  ],
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "s3:DataAccessPointArn": "arn:aws:s3:*:*:accesspoint/deadline-software-*"
    },
    "StringEquals": {
      "s3:AccessPointNetworkOrigin": "VPC"
    }
  }
}

Añade permisos para tus trabajos

Añada permisos a su función de cola a los Servicios de AWS que necesiten acceder sus trabajos. Al escribir scripts de OpenJobDescription pasos, el SDK AWS CLI y el SDK utilizarán automáticamente las credenciales de tu rol de cola. Utilícela para acceder a los servicios adicionales necesarios para completar su trabajo.

Entre los casos de uso de ejemplo se incluyen:

para obtener datos personalizados
Permisos SSM para acceder a un servidor de licencias personalizado
CloudWatch para emitir métricas personalizadas
Permiso de Deadline Cloud para crear nuevos trabajos para flujos de trabajo dinámicos

Cómo se utilizan las credenciales de los roles de cola

Deadline Cloud proporciona credenciales de rol de cola para:

Trabajadores durante la ejecución del trabajo
Los usuarios utilizan la CLI de Deadline Cloud y supervisan cuando interactúan con los archivos adjuntos y registros de los trabajos

Deadline Cloud crea grupos de CloudWatch registros independientes para cada cola. Los trabajos utilizan las credenciales de los roles de cola para escribir registros en el grupo de registros de su cola. La CLI y el monitor de Deadline Cloud utilizan la función de cola (mediantedeadline:AssumeQueueRoleForRead) para leer los registros de trabajos del grupo de registros de la cola. La CLI y el monitor de Deadline Cloud utilizan la función de cola (mediantedeadline:AssumeQueueRoleForUser) para cargar o descargar datos adjuntos de trabajos.

Función de supervisión

Configura una función de monitor para que las aplicaciones web y de escritorio del monitor de Deadline Cloud accedan a tus recursos de Deadline Cloud.

Al crear o actualizar monitores mediante programación, especifique el ARN del rol de monitor mediante las CreateMonitor operaciones o API. UpdateMonitor

Qué hace la función de monitor

La función de monitor permite a Deadline Cloud Monitor proporcionar a los usuarios finales acceso a:

Funcionalidad básica requerida para los remitentes integrados, la CLI y el monitor de Deadline Cloud
Funcionalidad personalizada para usuarios finales

Configure la política de confianza de los roles de monitor

Su función de monitor debe confiar en el servicio Deadline Cloud.

aws:SourceAccountgarantiza que solo los recursos de la misma Cuenta de AWS entidad puedan asumir esta función.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        }
      }
    }
  ]
}

Adjunte permisos a la función de monitor

Adjunte todas las siguientes políticas AWS administradas a su función de monitor para un funcionamiento básico:

Cómo funciona la función de monitor

Cuando se utiliza el monitor de Deadline Cloud, cuando un usuario del servicio inicia sesión con la función de monitor, asume la función de monitor. La aplicación del monitor utiliza las credenciales del supuesto rol para mostrar la interfaz de usuario del monitor, que incluye la lista de granjas, flotas, colas y otra información.

Cuando se utiliza la aplicación de escritorio Deadline Cloud para monitorear, estas credenciales también están disponibles en la estación de trabajo mediante un perfil de AWS credenciales con nombre que corresponde al nombre del perfil proporcionado por el usuario final. Obtén más información sobre los perfiles con nombre en la guía de referencia del AWS SDK y las herramientas.

Este perfil con nombre es la forma en que la CLI de Deadline y los remitentes acceden a los recursos de Deadline Cloud.

Personalización de la función de monitor para casos de uso de escritorio avanzados

Siga estas pautas al modificar su función de monitor:

No elimines ninguna de las políticas gestionadas. Esto interrumpirá la funcionalidad del monitor.
Puede añadir permisos adicionales para los flujos de trabajo de creación de scripts avanzados.

Cómo utiliza Deadline Cloud Monitor las credenciales de los roles de monitor

El monitor de Deadline Cloud obtiene automáticamente las credenciales del rol de monitor cuando te autenticas. Esto permite que la aplicación de escritorio proporcione capacidades de monitoreo mejoradas más allá de las disponibles en un navegador web estándar.

Cuando inicias sesión con el monitor Deadline Cloud, este crea automáticamente un perfil que puedes usar con esa AWS herramienta AWS CLI o con cualquier otra. Este perfil usa las credenciales del rol de monitor, lo que te da acceso mediante programación en Servicios de AWS función de los permisos de tu rol de monitor.

Los remitentes de Deadline Cloud funcionan de la misma manera: utilizan el perfil creado por el monitor de Deadline Cloud para acceder Servicios de AWS con los permisos de rol adecuados.

Personalización avanzada de los roles de Deadline Cloud

Puedes ampliar las funciones de Deadline Cloud con permisos adicionales para habilitar casos de uso avanzados que vayan más allá de los flujos de trabajo de renderizado básicos. Este enfoque aprovecha el sistema de gestión de acceso de Deadline Cloud para controlar el acceso a otros usuarios en Servicios de AWS función de la cantidad de usuarios que estén en cola.

Colaboración en equipo con AWS CodeCommit

Añade AWS CodeCommit permisos a tu rol de Queue para permitir la colaboración en equipo en los repositorios de proyectos. Este enfoque utiliza el sistema de gestión de acceso de Deadline Cloud para casos de uso adicionales: solo los usuarios con acceso a la cola específica recibirán estos AWS CodeCommit permisos, lo que te permitirá gestionar el acceso al repositorio por proyecto mediante la suscripción a Deadline Cloud.

Esto resulta útil en situaciones en las que los artistas necesitan acceder a activos, scripts o archivos de configuración específicos del proyecto almacenados en AWS CodeCommit repositorios como parte de su flujo de trabajo de renderizado.

Añada AWS CodeCommit permisos al rol de cola

Agregue los siguientes permisos a su rol de cola para habilitar AWS CodeCommit el acceso:


{
  "Effect": "Allow",
  "Action": [
    "codecommit:GitPull",
    "codecommit:GitPush",
    "codecommit:GetRepository",
    "codecommit:ListRepositories"
  ],
  "Resource": "arn:aws:codecommit:REGION:YOUR_ACCOUNT_ID:PROJECT_REPOSITORY"
}

Configura un proveedor de credenciales en las estaciones de trabajo de los artistas

Configura cada estación de trabajo de artistas para que utilice las credenciales de cola de Deadline Cloud para acceder. AWS CodeCommit Esta configuración se realiza una vez por estación de trabajo.

Para configurar el proveedor de credenciales

Agregue un perfil de proveedor de credenciales a su archivo de AWS configuración ()~/.aws/config:


[profile queue-codecommit]
credential_process = deadline queue export-credentials --farm-id farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX --queue-id queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Configura Git para usar este perfil en los AWS CodeCommit repositorios:


git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.helper '!aws codecommit credential-helper --profile queue-codecommit $@'
git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.UseHttpPath true

Sustituya farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX y queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX por su granja y cola IDs actuales. REGIONSustitúyala por tu AWS región (por ejemplo,us-west-2).

Se utiliza AWS CodeCommit con credenciales de cola

Una vez configuradas, las operaciones de Git utilizarán automáticamente las credenciales del rol de cola al acceder a los AWS CodeCommit repositorios. El deadline queue export-credentials comando devuelve credenciales temporales con el siguiente aspecto:


{
  "Version": 1,
  "AccessKeyId": "ASIA...",
  "SecretAccessKey": "...",
  "SessionToken": "...",
  "Expiration": "2025-11-10T23:02:23+00:00"
}

Estas credenciales se actualizan automáticamente según sea necesario y las operaciones de Git funcionarán sin problemas:


git clone https://git-codecommit.REGION.amazonaws.com/v1/repos/PROJECT_REPOSITORY
git pull
git push

Los artistas ahora pueden acceder a los repositorios de proyectos con sus permisos de cola sin necesidad de credenciales independientes. AWS CodeCommit Solo los usuarios con acceso a la cola específica podrán acceder al repositorio asociado, lo que permitirá un control de acceso detallado a través del sistema de membresía de colas de Deadline Cloud.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWSpolíticas gestionadas

Resolución de problemas