Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôles du service
Comment Deadline Cloud utilise les rôles de service IAM
Deadline Cloud assume automatiquement les rôles IAM et fournit des informations d'identification temporaires aux employés, aux tâches et au moniteur Deadline Cloud. Cette approche élimine la gestion manuelle des informations d'identification tout en préservant la sécurité grâce à un contrôle d'accès basé sur les rôles.
Lorsque vous créez des moniteurs, des flottes et des files d'attente, vous spécifiez les rôles IAM que Deadline Cloud assume en votre nom. Les travailleurs et le moniteur Deadline Cloud reçoivent ensuite des informations d'identification temporaires provenant de ces rôles pour y accéderServices AWS.
Rôle de la flotte
Configurez un rôle dans le parc pour donner aux employés de Deadline Cloud les autorisations dont ils ont besoin pour recevoir le travail et rendre compte de l'avancement de ce travail.
Il n'est généralement pas nécessaire de configurer ce rôle vous-même. Ce rôle peut être créé pour vous dans la console Deadline Cloud afin d'inclure les autorisations nécessaires. Utilisez le guide suivant pour comprendre les spécificités de ce rôle à des fins de dépannage.
Lorsque vous créez ou mettez à jour des flottes par programmation, spécifiez l'ARN du rôle de flotte à l'aide des opérations de l'API CreateFleet orUpdateFleet.
À quoi sert le rôle de la flotte
Le rôle de flotte fournit aux travailleurs les autorisations nécessaires pour :
-
Recevez de nouveaux travaux et signalez l'avancement des travaux en cours au service Deadline Cloud
-
Gérez le cycle de vie et le statut des employés
-
Enregistrer les événements dans Amazon CloudWatch Logs pour les journaux des employés
Configurez la politique de confiance relative aux rôles de la flotte
Votre rôle dans la flotte doit faire confiance au service Deadline Cloud et être limité à votre ferme spécifique.
À titre de bonne pratique, la politique de confiance devrait inclure des conditions de sécurité pour la protection des adjoints confus. Pour en savoir plus sur la protection contre Confused Deputy, consultez Confused Deputy dans le guide de l'utilisateur de Deadline Cloud.
-
aws:SourceAccountgarantit que seules ses ressources Compte AWS peuvent assumer ce rôle. -
aws:SourceArnlimite l'attribution des rôles à une ferme Deadline Cloud spécifique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDeadlineCredentialsService", "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": { "Service": "credentials.deadline.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": "YOUR_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:deadline:REGION:YOUR_ACCOUNT_ID:farm/YOUR_FARM_ID" } } } ] }
Associer les autorisations du rôle Fleet
Associez la politique AWS gérée suivante au rôle de votre flotte :
Cette politique gérée fournit des autorisations pour :
-
deadline:AssumeFleetRoleForWorker- Permet aux employés d'actualiser leurs informations d'identification. -
deadline:UpdateWorker- Permet aux travailleurs de mettre à jour leur statut (par exemple, en le faisant passer à STOPPÉ à la sortie). -
deadline:UpdateWorkerSchedule- Pour obtenir du travail et rendre compte des progrès réalisés. -
deadline:BatchGetJobEntity- Pour récupérer des informations sur le travail. -
deadline:AssumeQueueRoleForWorker- Pour accéder aux informations d'identification du rôle de file d'attente lors de l'exécution de la tâche.
Ajouter des autorisations KMS pour les fermes chiffrées
Si votre ferme a été créée à l'aide d'une clé KMS, ajoutez ces autorisations à votre rôle dans la flotte pour garantir que le travailleur puisse accéder aux données chiffrées de la ferme.
Les autorisations KMS ne sont nécessaires que si votre parc dispose d'une clé KMS associée. La kms:ViaService condition doit utiliser le formatdeadline..{region}.amazonaws.com
Lors de la création d'une flotte, un groupe de CloudWatch journaux Logs est créé pour cette flotte. Les autorisations du travailleur sont utilisées par le service Deadline Cloud pour créer un flux de journal spécifique à ce travailleur en particulier. Une fois le programme de travail configuré et exécuté, il utilisera ces autorisations pour envoyer les événements du journal directement à CloudWatch Logs.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateLogStream", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "deadline.REGION.amazonaws.com" ] } } }, { "Sid": "ManageLogEvents", "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:GetLogEvents" ], "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*" }, { "Sid": "ManageKmsKey", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "YOUR_FARM_KMS_KEY_ARN", "Condition": { "StringEquals": { "kms:ViaService": "deadline.REGION.amazonaws.com" } } } ] }
Modifier le rôle de la flotte
Les autorisations relatives au rôle de flotte ne sont pas personnalisables. Les autorisations décrites sont toujours obligatoires et l'ajout d'autorisations supplémentaires n'a aucun effet.
Rôle d'hôte de flotte géré par le client
Configurez un WorkerHost rôle si vous utilisez des flottes gérées par le client sur des EC2 instances Amazon ou des hôtes locaux.
À quoi sert le WorkerHost rôle
Ce WorkerHost rôle permet de dynamiser les travailleurs des hébergeurs de flotte gérés par le client. Il fournit les autorisations minimales nécessaires à un hôte pour :
-
Créer un travailleur dans Deadline Cloud
-
Assumez le rôle de flotte pour récupérer les informations d'identification opérationnelles
-
Étiquetez les travailleurs avec des étiquettes de flotte (si la propagation des balises est activée)
Configurer les autorisations de WorkerHost rôle
Associez la politique AWS gérée suivante à votre WorkerHost rôle :
Cette politique gérée fournit des autorisations pour :
-
deadline:CreateWorker- Permet à l'hôte d'enregistrer un nouveau travailleur. -
deadline:AssumeFleetRoleForWorker- Permet à l'hôte d'assumer le rôle de flotte. -
deadline:TagResource- Permet de baliser les travailleurs lors de la création (si activé). -
deadline:ListTagsForResource- Permet de lire les étiquettes des flottes pour la propagation.
Comprendre le processus de bootstrap
Le WorkerHost rôle est uniquement utilisé lors du démarrage initial du worker :
-
L'agent de travail démarre sur l'hôte à l'aide des WorkerHost informations d'identification.
-
Il invite
deadline:CreateWorkerà s'inscrire auprès de Deadline Cloud. -
Il lance ensuite un appel
deadline:AssumeFleetRoleForWorkerpour récupérer les informations d'identification des rôles de la flotte. -
À partir de ce moment, le travailleur utilise uniquement les informations d'identification du rôle de flotte pour toutes les opérations.
Le WorkerHost rôle n'est pas utilisé une fois que le programme de travail a commencé à fonctionner. Cette politique n'est pas requise pour les flottes gérées par le Service. Dans les flottes gérées par le Service, le démarrage est effectué automatiquement.
Rôle de file d'attente
Le rôle de file d'attente est assumé par le travailleur lors du traitement d'une tâche. Ce rôle fournit les autorisations nécessaires pour effectuer la tâche.
Lorsque vous créez ou mettez à jour des files d'attente par programmation, spécifiez l'ARN du rôle de file d'attente à l'aide des opérations de l'API CreateQueue orUpdateQueue.
Configurer la politique de confiance des rôles dans la file d'attente
Votre rôle dans la file d'attente doit faire confiance au service Deadline Cloud.
À titre de bonne pratique, la politique de confiance devrait inclure des conditions de sécurité pour la protection des adjoints confus. Pour en savoir plus sur la protection contre Confused Deputy, consultez Confused Deputy dans le guide de l'utilisateur de Deadline Cloud.
-
aws:SourceAccountgarantit que seules ses ressources Compte AWS peuvent assumer ce rôle. -
aws:SourceArnlimite l'attribution des rôles à une ferme Deadline Cloud spécifique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "credentials.deadline.amazonaws.com", "deadline.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "YOUR_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:deadline:us-west-2:123456789012:farm/{farm-id}" } } } ] }
Comprendre les autorisations des rôles de file d'attente
Le rôle de file d'attente n'utilise aucune politique gérée unique. Au lieu de cela, lorsque vous configurez votre file d'attente dans la console, Deadline Cloud crée une politique personnalisée pour votre file d'attente en fonction de votre configuration.
Cette politique créée automatiquement donne accès à :
Pièces jointes aux offres d'emploi
Accès en lecture et en écriture au compartiment Amazon S3 que vous avez spécifié pour les fichiers d'entrée et de sortie des tâches :
{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET", "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET/YOUR_PREFIX/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "YOUR_ACCOUNT_ID" } } }
Journaux d'emplois
Accès en lecture aux CloudWatch journaux pour les tâches de cette file d'attente. Chaque file d'attente possède son propre groupe de journaux et chaque session possède son propre flux de journaux :
{ "Effect": "Allow", "Action": [ "logs:GetLogEvents" ], "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*" }
Logiciels tiers
Accès au téléchargement de logiciels tiers pris en charge par Deadline Cloud (tels que Maya, Blender, etc.) :
{ "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": "*", "Condition": { "ArnLike": { "s3:DataAccessPointArn": "arn:aws:s3:*:*:accesspoint/deadline-software-*" }, "StringEquals": { "s3:AccessPointNetworkOrigin": "VPC" } } }
Ajoutez des autorisations pour vos tâches
Ajoutez des autorisations à votre rôle de file d'attente pour Services AWS que vos tâches puissent accéder. Lorsque vous écrivez des scripts d' OpenJobDescription étape, le SDK AWS CLI and utilise automatiquement les informations d'identification de votre rôle dans la file d'attente. Utilisez-le pour accéder aux services supplémentaires nécessaires pour terminer votre travail.
Les exemples de cas d’utilisation incluent :
-
pour récupérer des données personnalisées
-
Autorisations SSM pour un tunnel vers un serveur de licences personnalisé
-
CloudWatch pour émettre des métriques personnalisées
-
Deadline Cloud autorise la création de nouvelles tâches pour les flux de travail dynamiques
Comment les informations d'identification du rôle de file d'attente sont utilisées
Deadline Cloud fournit les informations d'identification des rôles de file d'attente pour :
-
Travailleurs pendant l'exécution des tâches
-
Utilisateurs via la CLI et le moniteur de Deadline Cloud lorsqu'ils interagissent avec les pièces jointes et les journaux des tâches
Deadline Cloud crée des groupes de CloudWatch journaux de journaux distincts pour chaque file d'attente. Les tâches utilisent les informations d'identification du rôle de file d'attente pour écrire des journaux dans le groupe de journaux de leur file d'attente. La CLI et le moniteur de Deadline Cloud utilisent le rôle de file d'attente (viadeadline:AssumeQueueRoleForRead) pour lire les journaux des tâches à partir du groupe de journaux de la file d'attente. La CLI et le moniteur de Deadline Cloud utilisent le rôle de file d'attente (viadeadline:AssumeQueueRoleForUser) pour charger ou télécharger les données des pièces jointes aux tâches.
Rôle du moniteur
Configurez un rôle de moniteur pour permettre aux applications Web et de bureau de surveillance de Deadline Cloud d'accéder à vos ressources Deadline Cloud.
Lorsque vous créez ou mettez à jour des moniteurs par programmation, spécifiez l'ARN du rôle de moniteur à l'aide des opérations de l'UpdateMonitorAPI CreateMonitor or.
À quoi sert le rôle de moniteur
Le rôle de moniteur permet au moniteur Deadline Cloud de fournir aux utilisateurs finaux l'accès à :
-
Fonctionnalités de base requises pour les soumissionnaires intégrés, la CLI et le moniteur de Deadline Cloud
-
Fonctionnalités personnalisées pour les utilisateurs finaux
Configurer la politique de confiance relative aux rôles de surveillance
Votre rôle de moniteur doit faire confiance au service Deadline Cloud.
À titre de bonne pratique, la politique de confiance devrait inclure des conditions de sécurité pour la protection des adjoints confus. Pour en savoir plus sur la protection contre Confused Deputy, consultez Confused Deputy dans le guide de l'utilisateur de Deadline Cloud.
aws:SourceAccountgarantit que seules ses ressources Compte AWS peuvent assumer ce rôle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "credentials.deadline.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "YOUR_ACCOUNT_ID" } } } ] }
Associer des autorisations aux rôles de surveillance
Associez toutes les politiques AWS gérées suivantes à votre rôle de moniteur pour un fonctionnement de base :
Fonctionnement du rôle de moniteur
Lorsque vous utilisez le moniteur Deadline Cloud, lorsqu'un utilisateur du service se connecte, le rôle de moniteur est assumé. Les informations d'identification du rôle assumé sont utilisées par l'application de surveillance pour afficher l'interface utilisateur du moniteur, y compris la liste des fermes, du parc, des files d'attente et d'autres informations.
Lorsque vous utilisez l'application de bureau Deadline Cloud Monitor, ces informations d'identification sont également mises à disposition sur le poste de travail à l'aide d'un profil AWS d'identification nommé correspondant au nom de profil fourni par l'utilisateur final. Pour en savoir plus sur les profils nommés, consultez le guide de référence du AWS SDK et des outils.
Ce profil nommé permet à la CLI de Deadline et aux soumissionnaires d'accéder aux ressources de Deadline Cloud.
Personnalisation du rôle de moniteur pour les cas d'utilisation avancés des ordinateurs de bureau
Suivez ces directives lorsque vous modifiez votre rôle de moniteur :
-
Ne supprimez aucune des politiques gérées. Cela interrompra les fonctionnalités du moniteur.
-
Vous pouvez ajouter des autorisations supplémentaires pour les flux de travail de script avancés.
Comment Deadline Cloud Monitor utilise les informations d'identification des rôles de surveillance
Deadline Cloud Monitor obtient automatiquement les informations d'identification du rôle de moniteur lorsque vous vous authentifiez. Cela permet à l'application de bureau de fournir des fonctionnalités de surveillance améliorées au-delà de ce qui est disponible dans un navigateur Web standard.
Lorsque vous vous connectez avec le moniteur Deadline Cloud, celui-ci crée automatiquement un profil que vous pouvez utiliser avec cet outil AWS CLI ou tout autre AWS outil. Ce profil utilise les informations d'identification du rôle de moniteur, ce qui vous donne un accès programmatique en Services AWS fonction des autorisations associées à votre rôle de moniteur.
Les expéditeurs de Deadline Cloud fonctionnent de la même manière : ils utilisent le profil créé par le moniteur Deadline Cloud pour y accéder Services AWS avec les autorisations de rôle appropriées.
Personnalisation avancée des rôles de Deadline Cloud
Vous pouvez étendre les rôles de Deadline Cloud avec des autorisations supplémentaires afin de permettre des cas d'utilisation avancés allant au-delà des flux de travail de rendu de base. Cette approche s'appuie sur le système de gestion des accès de Deadline Cloud pour contrôler l'accès à d'autres en Services AWS fonction de l'adhésion à la file d'attente.
Collaboration d'équipe avec AWS CodeCommit
Ajoutez AWS CodeCommit des autorisations à votre rôle de file d'attente pour permettre la collaboration en équipe sur les référentiels de projets. Cette approche utilise le système de gestion des accès de Deadline Cloud pour des cas d'utilisation supplémentaires : seuls les utilisateurs ayant accès à la file d'attente spécifique recevront ces AWS CodeCommit autorisations, ce qui vous permet de gérer l'accès au référentiel par projet via l'adhésion à la file d'attente Deadline Cloud.
Cela est utile pour les scénarios dans lesquels les artistes ont besoin d'accéder à des ressources, à des scripts ou à des fichiers de configuration spécifiques au projet stockés dans des AWS CodeCommit référentiels dans le cadre de leur flux de travail de rendu.
Ajouter des AWS CodeCommit autorisations au rôle de file d'attente
Ajoutez les autorisations suivantes à votre rôle de file d'attente pour permettre AWS CodeCommit l'accès :
{ "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush", "codecommit:GetRepository", "codecommit:ListRepositories" ], "Resource": "arn:aws:codecommit:REGION:YOUR_ACCOUNT_ID:PROJECT_REPOSITORY" }
Configurer le fournisseur d'informations d'identification sur les postes de travail des artistes
Configurez chaque poste de travail artistique pour utiliser les informations d'identification de la file d'attente Deadline Cloud pour AWS CodeCommit y accéder. Cette configuration est effectuée une fois par poste de travail.
Pour configurer le fournisseur d'informations d'identification
-
Ajoutez un profil de fournisseur d'informations d'identification à votre fichier de AWS configuration (
~/.aws/config) :[profile queue-codecommit] credential_process = deadline queue export-credentials --farm-idfarm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX--queue-idqueue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX -
Configurez Git pour utiliser ce profil pour les AWS CodeCommit référentiels :
git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.helper '!aws codecommit credential-helper --profile queue-codecommit $@' git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.UseHttpPath true
Remplacez farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX et queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX par votre ferme et votre file d'attente réelles IDs. Remplacez REGION par votre AWS région (par exemple,us-west-2).
Utilisation AWS CodeCommit avec les informations d'identification de file
Une fois configurées, les opérations Git utiliseront automatiquement les informations d'identification du rôle de file d'attente lors de l'accès aux AWS CodeCommit référentiels. La deadline queue export-credentials commande renvoie des informations d'identification temporaires qui ressemblent à ceci :
{ "Version": 1, "AccessKeyId": "ASIA...", "SecretAccessKey": "...", "SessionToken": "...", "Expiration": "2025-11-10T23:02:23+00:00" }
Ces informations d'identification sont automatiquement actualisées selon les besoins, et les opérations Git fonctionneront parfaitement :
git clone https://git-codecommit.REGION.amazonaws.com/v1/repos/PROJECT_REPOSITORYgit pull git push
Les artistes peuvent désormais accéder aux référentiels de projets en utilisant leurs autorisations de file d'attente sans avoir besoin d'informations d'AWS CodeCommitidentification distinctes. Seuls les utilisateurs ayant accès à la file d'attente spécifique pourront accéder au référentiel associé, ce qui permettra un contrôle d'accès précis via le système d'adhésion à la file d'attente de Deadline Cloud.
