In che modo Deadline Cloud utilizza i ruoli del servizio IAM Ruolo della flotta Ruolo di host della flotta gestito dal cliente Ruolo di coda Ruolo di monitoraggio Personalizzazione avanzata dei ruoli di Deadline Cloud

Ruoli di servizio

In che modo Deadline Cloud utilizza i ruoli del servizio IAM

Deadline Cloud assume automaticamente i ruoli IAM e fornisce credenziali temporanee ai lavoratori, ai lavori e al monitor di Deadline Cloud. Questo approccio elimina la gestione manuale delle credenziali mantenendo al contempo la sicurezza attraverso il controllo degli accessi basato sui ruoli.

Quando crei monitor, flotte e code, specifichi i ruoli IAM che Deadline Cloud assume per tuo conto. I lavoratori e il monitor Deadline Cloud ricevono quindi le credenziali temporanee di accesso da questi ruoli. Servizi AWS

Ruolo della flotta

Configura un ruolo della flotta per concedere ai lavoratori di Deadline Cloud le autorizzazioni necessarie per ricevere il lavoro e segnalare lo stato di avanzamento del lavoro.

Di solito non devi configurare questo ruolo da solo. Questo ruolo può essere creato per te nella console Deadline Cloud per includere le autorizzazioni necessarie. Utilizza la seguente guida per comprendere le specifiche di questo ruolo per la risoluzione dei problemi.

Quando crei o aggiorni le flotte a livello di codice, specifica l'ARN del ruolo della flotta utilizzando le operazioni o API. CreateFleet UpdateFleet

Cosa fa il ruolo della flotta

Il ruolo della flotta fornisce ai lavoratori le autorizzazioni per:

Ricevi nuovi lavori e segnala lo stato di avanzamento del lavoro in corso al servizio Deadline Cloud
Gestisci il ciclo di vita e lo status dei lavoratori
Registra gli eventi di registro su Amazon CloudWatch Logs per i log dei lavoratori

Imposta la policy di fiducia dei ruoli della flotta

Il tuo ruolo nella flotta deve basarsi sul servizio Deadline Cloud ed essere circoscritto alla tua azienda agricola specifica.

Come best practice, la politica di fiducia dovrebbe includere le condizioni di sicurezza per la protezione di Confused Deputy. Per saperne di più sulla protezione di Confused Deputy, consulta Confused Deputy nella Guida per l'utente di Deadline Cloud.

aws:SourceAccountassicura che solo le risorse dello stesso Account AWS possano assumere questo ruolo.
aws:SourceArnlimita l'assunzione del ruolo a una specifica Deadline Cloud farm.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowDeadlineCredentialsService",
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:YOUR_ACCOUNT_ID:farm/YOUR_FARM_ID"
        }
      }
    }
  ]
}

Allega le autorizzazioni del ruolo Fleet

Allega la seguente politica AWS gestita al tuo ruolo nella flotta:

AWSDeadlineCloud-FleetWorker

Questa politica gestita fornisce le autorizzazioni per:

deadline:AssumeFleetRoleForWorker- Consente ai lavoratori di aggiornare le proprie credenziali.
deadline:UpdateWorker- Consente ai lavoratori di aggiornare il proprio stato (ad esempio, su STOPED all'uscita).
deadline:UpdateWorkerSchedule- Per ottenere lavoro e segnalare i progressi.
deadline:BatchGetJobEntity- Per recuperare informazioni sul lavoro.
deadline:AssumeQueueRoleForWorker- Per accedere alle credenziali del ruolo di coda durante l'esecuzione del lavoro.

Aggiungi le autorizzazioni KMS per le farm crittografate

Se la tua fattoria è stata creata utilizzando una chiave KMS, aggiungi queste autorizzazioni al ruolo del tuo parco macchine per garantire che il lavoratore possa accedere ai dati crittografati presenti nella fattoria.

Le autorizzazioni KMS sono necessarie solo se alla fattoria è associata una chiave KMS. La kms:ViaService condizione deve utilizzare il formato. deadline.{region}.amazonaws.com

Quando si crea un parco veicoli, viene creato un gruppo di log di CloudWatch Logs per quel parco veicoli. Le autorizzazioni del lavoratore vengono utilizzate dal servizio Deadline Cloud per creare un flusso di log specifico per quel particolare lavoratore. Dopo la configurazione e l'esecuzione, il lavoratore utilizzerà queste autorizzazioni per inviare gli eventi di registro direttamente ai registri. CloudWatch


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "CreateLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": [
            "deadline.REGION.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "ManageLogEvents",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
    },
    {
      "Sid": "ManageKmsKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Resource": "YOUR_FARM_KMS_KEY_ARN",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "deadline.REGION.amazonaws.com"
        }
      }
    }
  ]
}

Modifica del ruolo della flotta

Le autorizzazioni per il ruolo della flotta non sono personalizzabili. Le autorizzazioni descritte sono sempre necessarie e l'aggiunta di autorizzazioni aggiuntive non ha alcun effetto.

Ruolo di host della flotta gestito dal cliente

Configura un WorkerHost ruolo se utilizzi flotte gestite dal cliente su EC2 istanze Amazon o host locali.

Cosa fa il ruolo WorkerHost

Il WorkerHost ruolo coinvolge i dipendenti degli host di flotte gestite dai clienti. Fornisce le autorizzazioni minime necessarie a un host per:

Crea un lavoratore in Deadline Cloud
Assumi il ruolo della flotta per recuperare le credenziali operative
Etichetta i lavoratori con i tag della flotta (se la propagazione dei tag è abilitata)

Imposta le autorizzazioni dei WorkerHost ruoli

Allega la seguente politica AWS gestita al tuo WorkerHost ruolo:

AWSDeadlineCloud-WorkerHost

Questa politica gestita fornisce le autorizzazioni per:

deadline:CreateWorker- Consente all'host di registrare un nuovo lavoratore.
deadline:AssumeFleetRoleForWorker- Consente all'host di assumere il ruolo della flotta.
deadline:TagResource- Consente di taggare i lavoratori durante la creazione (se abilitata).
deadline:ListTagsForResource- Consente la lettura dei tag della flotta per la propagazione.

Comprendi il processo di bootstrap

Il WorkerHost ruolo viene utilizzato solo durante l'avvio iniziale del lavoratore:

L'agente di lavoro si avvia sull'host utilizzando WorkerHost le credenziali.
Richiama la registrazione con deadline:CreateWorker Deadline Cloud.
Quindi richiama per recuperare le credenziali del ruolo della deadline:AssumeFleetRoleForWorker flotta.
Da questo momento in poi, il lavoratore utilizza solo le credenziali del ruolo della flotta per tutte le operazioni.

Il WorkerHost ruolo non viene utilizzato dopo che il lavoratore ha iniziato a correre. Questa politica non è richiesta per le flotte gestite dal servizio. Nelle flotte gestite dai servizi, il bootstrap viene eseguito automaticamente.

Ruolo di coda

Il ruolo di coda viene assunto dal lavoratore durante l'elaborazione di un'operazione. Questo ruolo fornisce le autorizzazioni necessarie per completare l'attività.

Quando si creano o si aggiornano le code a livello di programmazione, specificare l'ARN del ruolo di coda utilizzando le operazioni o API. CreateQueue UpdateQueue

Imposta la politica di attendibilità dei ruoli di coda

Il tuo ruolo in coda deve fidarsi del servizio Deadline Cloud.

aws:SourceAccountassicura che solo le risorse dello stesso Account AWS possano assumere questo ruolo.
aws:SourceArnlimita l'assunzione del ruolo a una specifica Deadline Cloud farm.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "credentials.deadline.amazonaws.com",
          "deadline.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:us-west-2:123456789012:farm/{farm-id}"
        }        
      }
    }
  ]
}

Comprendi le autorizzazioni dei ruoli in coda

Il ruolo di coda non utilizza un'unica policy gestita. Invece, quando configuri la coda nella console, Deadline Cloud crea una politica personalizzata per la coda in base alla tua configurazione.

Questa politica creata automaticamente fornisce l'accesso a:

Allegati Job

Accesso in lettura e scrittura al bucket Amazon S3 specificato per i file di input e output dei job:


{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject", 
    "s3:ListBucket",
    "s3:GetBucketLocation"
  ],
  "Resource": [
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET",
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET/YOUR_PREFIX/*"
  ],
  "Condition": {
    "StringEquals": {
      "aws:ResourceAccount": "YOUR_ACCOUNT_ID"
    }
  }
}

Job log

Leggi l'accesso ai CloudWatch registri dei lavori in questa coda. Ogni coda ha il proprio gruppo di log e ogni sessione ha il proprio flusso di log:


{
  "Effect": "Allow",
  "Action": [
    "logs:GetLogEvents"
  ],
  "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
}

Software di terze parti

Accesso al download di software di terze parti supportato da Deadline Cloud (come Maya, Blender e altri):


{
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetObject"
  ],
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "s3:DataAccessPointArn": "arn:aws:s3:*:*:accesspoint/deadline-software-*"
    },
    "StringEquals": {
      "s3:AccessPointNetworkOrigin": "VPC"
    }
  }
}

Aggiungi le autorizzazioni per i tuoi lavori

Aggiungi le autorizzazioni al tuo ruolo in coda affinché i tuoi lavori Servizi AWS abbiano bisogno di accedere. Durante la scrittura degli script delle OpenJobDescription fasi, l'SDK AWS CLI e l'SDK utilizzeranno automaticamente le credenziali del ruolo di coda. Utilizzatelo per accedere ai servizi aggiuntivi necessari per completare il lavoro.

Ecco alcuni esempi di casi d'uso:

per recuperare dati personalizzati
Autorizzazioni SSM per il tunneling verso un server di licenze personalizzato
CloudWatch per l'emissione di metriche personalizzate
Autorizzazione Deadline Cloud a creare nuovi lavori per flussi di lavoro dinamici

Come vengono utilizzate le credenziali del ruolo di coda

Deadline Cloud fornisce le credenziali del ruolo di coda per:

Lavoratori durante l'esecuzione del lavoro
Utenti tramite CLI e monitoraggio di Deadline Cloud quando interagiscono con gli allegati e i registri dei lavori

Deadline Cloud crea gruppi di CloudWatch log Logs separati per ogni coda. I job utilizzano le credenziali del ruolo di coda per scrivere i log nel gruppo di log della propria coda. La CLI e il monitor di Deadline Cloud utilizzano il ruolo di coda (deadline:AssumeQueueRoleForReadthrough) per leggere i log dei lavori dal gruppo di log della coda. La CLI e il monitor di Deadline Cloud utilizzano il ruolo di coda (deadline:AssumeQueueRoleForUserthrough) per caricare o scaricare i dati degli allegati del lavoro.

Ruolo di monitoraggio

Configura un ruolo di monitoraggio per consentire alle applicazioni web e desktop di monitoraggio di Deadline Cloud di accedere alle tue risorse Deadline Cloud.

Quando crei o aggiorni i monitor a livello di codice, specifica l'ARN del ruolo di monitoraggio utilizzando le operazioni o API. CreateMonitor UpdateMonitor

Cosa fa il ruolo del monitor

Il ruolo di monitoraggio consente a Deadline Cloud Monitor di fornire agli utenti finali l'accesso a:

Funzionalità di base richieste per Deadline Cloud Integrated Submitters, CLI e monitor
Funzionalità personalizzate per gli utenti finali

Imposta la politica di fiducia del ruolo di monitoraggio

Il tuo ruolo di monitor deve fidarsi del servizio Deadline Cloud.

aws:SourceAccountassicura che solo le risorse dello stesso Account AWS possano assumere questo ruolo.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        }
      }
    }
  ]
}

Allega le autorizzazioni del ruolo di monitoraggio

Associa tutte le seguenti politiche AWS gestite al tuo ruolo di monitor per le operazioni di base:

Come funziona il ruolo di monitoraggio

Quando si utilizza il monitor Deadline Cloud, si assume il ruolo di monitor quando un utente del servizio accede utilizzando il ruolo di monitor. Le credenziali di assunzione del ruolo vengono utilizzate dall'applicazione di monitoraggio per visualizzare l'interfaccia utente del monitor, incluso l'elenco delle aziende agricole, della flotta, delle code e altre informazioni.

Quando si utilizza l'applicazione desktop di monitoraggio Deadline Cloud, queste credenziali vengono inoltre rese disponibili sulla workstation utilizzando un profilo di AWS credenziali denominato corrispondente al nome del profilo fornito dall'utente finale. Scopri di più sui profili denominati nella guida di riferimento AWSSDK and Tools.

Questo profilo denominato è il modo in cui la CLI di Deadline e i mittenti accedono alle risorse di Deadline Cloud.

Personalizzazione del ruolo del monitor per casi d'uso desktop avanzati

Segui queste linee guida quando modifichi il tuo ruolo di monitor:

Non rimuovere nessuna delle politiche gestite. Ciò interromperà la funzionalità del monitor.
È possibile aggiungere autorizzazioni aggiuntive per flussi di lavoro di scripting avanzati.

In che modo Deadline Cloud monitor utilizza le credenziali del ruolo di monitoraggio

Deadline Cloud monitor ottiene automaticamente le credenziali del ruolo di monitoraggio al momento dell'autenticazione. Ciò consente all'applicazione desktop di fornire funzionalità di monitoraggio avanzate oltre a quelle disponibili in un browser Web standard.

Quando accedi con Deadline Cloud Monitor, crea automaticamente un profilo che puoi utilizzare con AWS CLI o con qualsiasi altro AWS strumento. Questo profilo utilizza le credenziali del ruolo di monitoraggio, offrendoti l'accesso programmatico in Servizi AWS base alle autorizzazioni del ruolo di monitor.

I mittenti di Deadline Cloud funzionano allo stesso modo: utilizzano il profilo creato da Deadline Cloud Monitor per accedere con le autorizzazioni di ruolo appropriate. Servizi AWS

Personalizzazione avanzata dei ruoli di Deadline Cloud

Puoi estendere i ruoli di Deadline Cloud con autorizzazioni aggiuntive per abilitare casi d'uso avanzati oltre ai flussi di lavoro di rendering di base. Questo approccio sfrutta il sistema di gestione degli accessi di Deadline Cloud per controllare l'accesso ad altri Servizi AWS utenti in base all'appartenenza alla coda.

Collaborazione in team con AWS CodeCommit

Aggiungi AWS CodeCommit le autorizzazioni al tuo ruolo Queue per consentire la collaborazione in team sugli archivi dei progetti. Questo approccio utilizza il sistema di gestione degli accessi di Deadline Cloud per casi d'uso aggiuntivi: solo gli utenti con accesso alla coda specifica riceveranno queste AWS CodeCommit autorizzazioni, consentendoti di gestire l'accesso al repository per progetto tramite l'iscrizione alla coda di Deadline Cloud.

Ciò è utile negli scenari in cui gli artisti devono accedere a risorse, script o file di configurazione specifici del progetto archiviati negli archivi come parte del loro flusso di lavoro di rendering. AWS CodeCommit

Aggiungi le AWS CodeCommit autorizzazioni al ruolo di coda

Aggiungi le seguenti autorizzazioni al tuo ruolo di coda per abilitare l'accesso: AWS CodeCommit


{
  "Effect": "Allow",
  "Action": [
    "codecommit:GitPull",
    "codecommit:GitPush",
    "codecommit:GetRepository",
    "codecommit:ListRepositories"
  ],
  "Resource": "arn:aws:codecommit:REGION:YOUR_ACCOUNT_ID:PROJECT_REPOSITORY"
}

Configura il fornitore di credenziali sulle postazioni di lavoro degli artisti

Configura ogni postazione di lavoro dell'artista per utilizzare le credenziali di coda di Deadline Cloud per l'accesso. AWS CodeCommit Questa configurazione viene eseguita una volta per workstation.

Per configurare il fornitore di credenziali

Aggiungi un profilo di fornitore di credenziali al tuo file di AWS configurazione (): ~/.aws/config


[profile queue-codecommit]
credential_process = deadline queue export-credentials --farm-id farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX --queue-id queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Configura Git per utilizzare questo profilo per i AWS CodeCommit repository:


git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.helper '!aws codecommit credential-helper --profile queue-codecommit $@'
git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.UseHttpPath true

Sostituisci «farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXe» queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX con la tua fattoria e la tua coda IDs attuali. Sostituiscilo REGION con la tua AWS regione (ad esempio,us-west-2).

Utilizzo AWS CodeCommit con credenziali di coda

Una volta configurate, le operazioni Git utilizzeranno automaticamente le credenziali del ruolo di coda quando accedono ai AWS CodeCommit repository. Il deadline queue export-credentials comando restituisce credenziali temporanee simili alle seguenti:


{
  "Version": 1,
  "AccessKeyId": "ASIA...",
  "SecretAccessKey": "...",
  "SessionToken": "...",
  "Expiration": "2025-11-10T23:02:23+00:00"
}

Queste credenziali vengono aggiornate automaticamente secondo necessità e le operazioni Git funzioneranno perfettamente:


git clone https://git-codecommit.REGION.amazonaws.com/v1/repos/PROJECT_REPOSITORY
git pull
git push

Gli artisti possono ora accedere agli archivi dei progetti utilizzando le loro autorizzazioni di coda senza bisogno di credenziali separate. AWS CodeCommit Solo gli utenti con accesso alla coda specifica potranno accedere al repository associato, abilitando un controllo granulare degli accessi tramite il sistema di iscrizione alla coda di Deadline Cloud.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWSpolitiche gestite

risoluzione dei problemi