Peran layanan - AWSBatas Waktu Cloud
Bagaimana Deadline Cloud menggunakan peran layanan IAMPeran armadaPeran tuan rumah armada yang dikelola pelangganPeran antrianMemantau peranKustomisasi lanjutan dari peran Deadline Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran layanan

Bagaimana Deadline Cloud menggunakan peran layanan IAM

Deadline Cloud secara otomatis mengasumsikan peran IAM dan memberikan kredensyal sementara kepada pekerja, pekerjaan, dan monitor Deadline Cloud. Pendekatan ini menghilangkan manajemen kredensi manual sambil menjaga keamanan melalui kontrol akses berbasis peran.

Saat membuat monitor, armada, dan antrian, Anda menentukan peran IAM yang diasumsikan Deadline Cloud atas nama Anda. Pekerja dan monitor Deadline Cloud kemudian menerima kredensi sementara dari peran ini untuk diakses. Layanan AWS

Peran armada

Konfigurasikan peran armada untuk memberi pekerja Deadline Cloud izin yang mereka perlukan untuk menerima pekerjaan dan melaporkan kemajuan pekerjaan itu.

Anda biasanya tidak perlu mengonfigurasi peran ini sendiri. Peran ini dapat dibuat untuk Anda di konsol Deadline Cloud untuk menyertakan izin yang diperlukan. Gunakan panduan berikut untuk memahami secara spesifik peran ini untuk pemecahan masalah.

Saat membuat atau memperbarui armada secara terprogram, tentukan peran armada ARN menggunakan operasi atau API. CreateFleet UpdateFleet

Apa peran armada

Peran armada memberi pekerja izin untuk:

  • Menerima pekerjaan baru dan melaporkan kemajuan pekerjaan yang sedang berlangsung ke layanan Deadline Cloud

  • Mengelola siklus hidup dan status pekerja

  • Rekam peristiwa log ke Amazon CloudWatch Logs untuk log pekerja

Menyiapkan kebijakan kepercayaan peran armada

Peran armada Anda harus mempercayai layanan Deadline Cloud dan dicakup ke peternakan spesifik Anda.

Sebagai praktik terbaik, kebijakan kepercayaan harus mencakup kondisi keamanan untuk perlindungan Deputi Bingung. Untuk mempelajari lebih lanjut tentang perlindungan Deputi Bingung, lihat Deputi Bingung di Panduan Pengguna Cloud Tenggat Waktu.

  • aws:SourceAccountmemastikan hanya sumber daya dari yang sama yang Akun AWS dapat mengambil peran ini.

  • aws:SourceArnmembatasi asumsi peran ke pertanian Cloud Deadline tertentu.

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowDeadlineCredentialsService",
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:YOUR_ACCOUNT_ID:farm/YOUR_FARM_ID"
        }
      }
    }
  ]
}

Lampirkan izin peran Armada

Lampirkan kebijakan AWS terkelola berikut ke peran armada Anda:

AWSDeadlineCloud-FleetWorker

Kebijakan terkelola ini memberikan izin untuk:

  • deadline:AssumeFleetRoleForWorker- Memungkinkan pekerja untuk menyegarkan kredensialnya.

  • deadline:UpdateWorker- Memungkinkan pekerja untuk memperbarui status mereka (misalnya, untuk BERHENTI saat keluar).

  • deadline:UpdateWorkerSchedule- Untuk mendapatkan pekerjaan dan melaporkan kemajuan.

  • deadline:BatchGetJobEntity- Untuk mengambil informasi pekerjaan.

  • deadline:AssumeQueueRoleForWorker- Untuk mengakses kredensyal peran antrian selama eksekusi pekerjaan.

Tambahkan izin KMS untuk peternakan terenkripsi

Jika peternakan Anda dibuat menggunakan kunci KMS, tambahkan izin ini ke peran armada Anda untuk memastikan pekerja dapat mengakses data terenkripsi di peternakan.

Izin KMS hanya diperlukan jika peternakan Anda memiliki kunci KMS terkait. kms:ViaServiceKondisi harus menggunakan formatdeadline.{region}.amazonaws.com.

Saat membuat armada, grup CloudWatch log Log dibuat untuk armada tersebut. Izin pekerja digunakan oleh layanan Deadline Cloud untuk membuat aliran log khusus untuk pekerja tertentu. Setelah pekerja diatur dan dijalankan, pekerja akan menggunakan izin ini untuk mengirim peristiwa log langsung ke CloudWatch Log.

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "CreateLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": [
            "deadline.REGION.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "ManageLogEvents",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
    },
    {
      "Sid": "ManageKmsKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Resource": "YOUR_FARM_KMS_KEY_ARN",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "deadline.REGION.amazonaws.com"
        }
      }
    }
  ]
}

Memodifikasi peran armada

Izin untuk peran armada tidak dapat disesuaikan. Izin yang dijelaskan selalu diperlukan dan menambahkan izin tambahan tidak berpengaruh.

Peran tuan rumah armada yang dikelola pelanggan

Siapkan WorkerHost peran jika Anda menggunakan armada yang dikelola pelanggan di EC2 instans Amazon atau host lokal.

Apa WorkerHost perannya

WorkerHost Peran bootstrap pekerja pada host armada yang dikelola pelanggan. Ini memberikan izin minimal yang diperlukan untuk host untuk:

  • Buat pekerja di Deadline Cloud

  • Asumsikan peran armada untuk mengambil kredensi operasional

  • Beri tag pekerja dengan tag armada (jika propagasi tag diaktifkan)

Siapkan izin WorkerHost peran

Lampirkan kebijakan AWS terkelola berikut ke WorkerHost peran Anda:

AWSDeadlineCloud-WorkerHost

Kebijakan terkelola ini memberikan izin untuk:

  • deadline:CreateWorker- Memungkinkan tuan rumah untuk mendaftarkan pekerja baru.

  • deadline:AssumeFleetRoleForWorker- Memungkinkan tuan rumah untuk mengambil peran armada.

  • deadline:TagResource- Memungkinkan menandai pekerja selama pembuatan (jika diaktifkan).

  • deadline:ListTagsForResource- Memungkinkan membaca tag armada untuk propagasi.

Memahami proses bootstrap

WorkerHost Peran ini hanya digunakan selama startup pekerja awal:

  1. Agen pekerja memulai pada host menggunakan WorkerHost kredensil.

  2. Ini memanggil deadline:CreateWorker untuk mendaftar dengan Deadline Cloud.

  3. Kemudian memanggil deadline:AssumeFleetRoleForWorker untuk mengambil kredensi peran armada.

  4. Mulai saat ini, pekerja hanya menggunakan kredensi peran armada untuk semua operasi.

WorkerHost Peran tidak digunakan setelah pekerja mulai berjalan. Kebijakan ini tidak diperlukan untuk armada yang dikelola Layanan. Dalam armada yang dikelola Layanan, bootstrap dilakukan secara otomatis.

Peran antrian

Peran antrian diasumsikan oleh pekerja saat memproses tugas. Peran ini memberikan izin yang diperlukan untuk menyelesaikan tugas.

Saat membuat atau memperbarui antrian secara terprogram, tentukan peran antrian ARN menggunakan operasi atau API. CreateQueue UpdateQueue

Menyiapkan kebijakan kepercayaan peran antrian

Peran antrian Anda harus mempercayai layanan Deadline Cloud.

Sebagai praktik terbaik, kebijakan kepercayaan harus mencakup kondisi keamanan untuk perlindungan Deputi Bingung. Untuk mempelajari lebih lanjut tentang perlindungan Deputi Bingung, lihat Deputi Bingung di Panduan Pengguna Cloud Tenggat Waktu.

  • aws:SourceAccountmemastikan hanya sumber daya dari yang sama yang Akun AWS dapat mengambil peran ini.

  • aws:SourceArnmembatasi asumsi peran ke pertanian Cloud Deadline tertentu.

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "credentials.deadline.amazonaws.com",
          "deadline.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:us-west-2:123456789012:farm/{farm-id}"
        }        
      }
    }
  ]
}

Memahami izin peran antrian

Peran antrian tidak menggunakan satu kebijakan terkelola. Sebagai gantinya, saat Anda mengonfigurasi antrian di konsol, Deadline Cloud membuat kebijakan khusus untuk antrian berdasarkan konfigurasi Anda.

Kebijakan yang dibuat secara otomatis ini menyediakan akses ke:

Lampiran Job

Akses baca dan tulis ke bucket Amazon S3 yang Anda tentukan untuk file input dan output pekerjaan:

{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject", 
    "s3:ListBucket",
    "s3:GetBucketLocation"
  ],
  "Resource": [
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET",
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET/YOUR_PREFIX/*"
  ],
  "Condition": {
    "StringEquals": {
      "aws:ResourceAccount": "YOUR_ACCOUNT_ID"
    }
  }
}

Log Job

Baca akses ke CloudWatch Log untuk pekerjaan dalam antrian ini. Setiap antrian memiliki grup lognya sendiri dan setiap sesi memiliki aliran lognya sendiri:

{
  "Effect": "Allow",
  "Action": [
    "logs:GetLogEvents"
  ],
  "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
}

Perangkat lunak pihak ketiga

Akses untuk mengunduh perangkat lunak pihak ketiga yang didukung oleh Deadline Cloud (seperti Maya, Blender, dan lainnya):

{
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetObject"
  ],
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "s3:DataAccessPointArn": "arn:aws:s3:*:*:accesspoint/deadline-software-*"
    },
    "StringEquals": {
      "s3:AccessPointNetworkOrigin": "VPC"
    }
  }
}

Tambahkan izin untuk pekerjaan Anda

Tambahkan izin ke peran antrian Anda untuk pekerjaan Layanan AWS yang perlu diakses. Saat menulis skrip OpenJobDescription langkah, SDK AWS CLI dan akan secara otomatis menggunakan kredensil dari peran antrian Anda. Gunakan ini untuk mengakses layanan tambahan yang diperlukan untuk menyelesaikan pekerjaan Anda.

Contoh kasus penggunaan meliputi:

  • untuk mengambil data kustom

  • Izin SSM untuk terowongan ke server lisensi khusus

  • CloudWatch untuk memancarkan metrik khusus

  • Batas waktu izin Cloud untuk membuat pekerjaan baru untuk alur kerja dinamis

Bagaimana kredensial peran antrian digunakan

Deadline Cloud menyediakan kredensi peran antrian untuk:

  • Pekerja selama eksekusi pekerjaan

  • Pengguna melalui Deadline Cloud CLI dan monitor saat berinteraksi dengan lampiran pekerjaan dan log

Deadline Cloud membuat grup CloudWatch log Log terpisah untuk setiap antrian. Pekerjaan menggunakan kredensyal peran antrian untuk menulis log ke grup log antrean mereka. CLI dan monitor Deadline Cloud menggunakan peran antrian (deadline:AssumeQueueRoleForReadmelalui) untuk membaca log pekerjaan dari grup log antrian. CLI dan monitor Deadline Cloud menggunakan peran antrian (deadline:AssumeQueueRoleForUsermelalui) untuk mengunggah atau mengunduh data lampiran pekerjaan.

Memantau peran

Konfigurasikan peran monitor untuk memberi Deadline Cloud monitor web dan aplikasi desktop akses ke sumber daya Deadline Cloud Anda.

Saat membuat atau memperbarui monitor secara terprogram, tentukan peran monitor ARN menggunakan operasi atau API. CreateMonitor UpdateMonitor

Apa yang dilakukan peran monitor

Peran monitor memungkinkan monitor Deadline Cloud untuk memberi pengguna akhir akses ke:

  • Fungsionalitas dasar yang diperlukan untuk Deadline Cloud Integrated Submitters, CLI dan monitor

  • Fungsionalitas khusus untuk pengguna akhir

Menyiapkan kebijakan kepercayaan peran monitor

Peran monitor Anda harus mempercayai layanan Deadline Cloud.

Sebagai praktik terbaik, kebijakan kepercayaan harus mencakup kondisi keamanan untuk perlindungan Deputi Bingung. Untuk mempelajari lebih lanjut tentang perlindungan Deputi Bingung, lihat Deputi Bingung di Panduan Pengguna Cloud Tenggat Waktu.

aws:SourceAccountmemastikan hanya sumber daya dari yang sama yang Akun AWS dapat mengambil peran ini.

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        }
      }
    }
  ]
}

Lampirkan izin peran monitor

Lampirkan semua kebijakan AWS terkelola berikut ke peran monitor Anda untuk operasi dasar:

Cara kerja peran monitor

Saat menggunakan monitor Deadline Cloud, ketika pengguna layanan masuk menggunakan peran monitor diasumsikan. Kredensi peran asumsi digunakan oleh aplikasi monitor untuk menampilkan UI monitor, termasuk daftar peternakan, armada, antrian, dan informasi lainnya.

Saat menggunakan aplikasi desktop monitor Deadline Cloud, kredenal ini juga tersedia di workstation menggunakan profil AWS kredensi bernama yang sesuai dengan nama profil yang diberikan oleh pengguna akhir. Pelajari lebih lanjut tentang profil bernama dalam panduan referensi AWS SDK dan Alat.

Profil bernama ini adalah bagaimana Deadline CLI dan pengirim mengakses sumber daya Deadline Cloud.

Menyesuaikan peran monitor untuk kasus penggunaan desktop tingkat lanjut

Ikuti panduan ini saat memodifikasi peran monitor Anda:

  • Jangan hapus salah satu kebijakan terkelola. Ini akan merusak fungsionalitas monitor.

  • Anda dapat menambahkan izin tambahan untuk alur kerja skrip lanjutan.

Bagaimana monitor Deadline Cloud menggunakan kredensi peran monitor

Deadline Cloud monitor secara otomatis memperoleh kredensi peran monitor saat Anda mengautentikasi. Ini memungkinkan aplikasi desktop untuk menyediakan kemampuan pemantauan yang ditingkatkan di luar apa yang tersedia di browser web standar.

Saat Anda masuk dengan monitor Deadline Cloud, secara otomatis membuat profil yang dapat Anda gunakan dengan AWS CLI atau AWS alat lainnya. Profil ini menggunakan kredensi peran monitor, memberi Anda akses terprogram Layanan AWS berdasarkan izin dalam peran monitor Anda.

Deadline Pengirim Cloud bekerja dengan cara yang sama - mereka menggunakan profil yang dibuat oleh monitor Deadline Cloud untuk mengakses Layanan AWS dengan izin peran yang sesuai.

Kustomisasi lanjutan dari peran Deadline Cloud

Anda dapat memperpanjang peran Deadline Cloud dengan izin tambahan untuk mengaktifkan kasus penggunaan lanjutan di luar alur kerja rendering dasar. Pendekatan ini memanfaatkan sistem manajemen akses Deadline Cloud untuk mengontrol akses tambahan Layanan AWS berdasarkan keanggotaan antrian.

Kolaborasi tim dengan AWS CodeCommit

Tambahkan AWS CodeCommit izin ke peran Antrian Anda untuk mengaktifkan kolaborasi tim di repositori proyek. Pendekatan ini menggunakan sistem manajemen akses Deadline Cloud untuk kasus penggunaan tambahan - hanya pengguna dengan akses ke antrian tertentu yang akan menerima AWS CodeCommit izin ini, memungkinkan Anda mengelola akses repositori per proyek melalui keanggotaan antrian Deadline Cloud.

Ini berguna untuk skenario di mana artis perlu mengakses aset, skrip, atau file konfigurasi khusus proyek yang disimpan dalam AWS CodeCommit repositori sebagai bagian dari alur kerja rendering mereka.

Tambahkan AWS CodeCommit izin ke peran antrian

Tambahkan izin berikut ke peran antrian Anda untuk mengaktifkan AWS CodeCommit akses:

{
  "Effect": "Allow",
  "Action": [
    "codecommit:GitPull",
    "codecommit:GitPush",
    "codecommit:GetRepository",
    "codecommit:ListRepositories"
  ],
  "Resource": "arn:aws:codecommit:REGION:YOUR_ACCOUNT_ID:PROJECT_REPOSITORY"
}

Menyiapkan penyedia kredensi di workstation artis

Konfigurasikan setiap workstation artis untuk menggunakan kredenal antrian Deadline Cloud untuk akses. AWS CodeCommit Pengaturan ini dilakukan sekali per workstation.

Untuk mengkonfigurasi penyedia kredensi

  1. Tambahkan profil penyedia kredensi ke file AWS konfigurasi () ~/.aws/config Anda:

    [profile queue-codecommit]
credential_process = deadline queue export-credentials --farm-id farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX --queue-id queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

  2. Konfigurasikan Git untuk menggunakan profil ini untuk AWS CodeCommit repositori:

    git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.helper '!aws codecommit credential-helper --profile queue-codecommit $@'
git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.UseHttpPath true

Ganti farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX dan queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX dengan pertanian dan antrian IDs Anda yang sebenarnya. Ganti REGION dengan AWS wilayah Anda (misalnya,us-west-2).

Menggunakan AWS CodeCommit dengan kredensi antrian

Setelah dikonfigurasi, operasi Git akan secara otomatis menggunakan kredensi peran antrian saat mengakses repositori. AWS CodeCommit deadline queue export-credentialsPerintah mengembalikan kredensyal sementara yang terlihat seperti ini:

{
  "Version": 1,
  "AccessKeyId": "ASIA...",
  "SecretAccessKey": "...",
  "SessionToken": "...",
  "Expiration": "2025-11-10T23:02:23+00:00"
}

Kredensi ini secara otomatis disegarkan sesuai kebutuhan, dan operasi Git akan bekerja dengan lancar:

git clone https://git-codecommit.REGION.amazonaws.com/v1/repos/PROJECT_REPOSITORY
git pull
git push

Artis sekarang dapat mengakses repositori proyek menggunakan izin antrian mereka tanpa memerlukan kredensil terpisah. AWS CodeCommit Hanya pengguna dengan akses ke antrian tertentu yang dapat mengakses repositori terkait, memungkinkan kontrol akses berbutir halus melalui sistem keanggotaan antrian Deadline Cloud.