サービスロール - AWSDeadline クラウド
Deadline Cloud が IAM サービスロールを使用する方法フリートロールカスタマーマネージドフリートホストロールキューロールロールをモニタリングするDeadline Cloud ロールの高度なカスタマイズ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスロール

Deadline Cloud が IAM サービスロールを使用する方法

Deadline Cloud は自動的に IAM ロールを引き受け、ワーカー、ジョブ、および Deadline Cloud モニターに一時的な認証情報を提供します。このアプローチにより、ロールベースのアクセスコントロールを通じてセキュリティを維持しながら、手動の認証情報管理が不要になります。

モニター、フリート、キューを作成するときは、Deadline Cloud がユーザーに代わって引き受ける IAM ロールを指定します。その後、ワーカーと Deadline Cloud モニターは、アクセスするためにこれらのロールから一時的な認証情報を受け取りますAWS のサービス。

フリートロール

Deadline Cloud ワーカーが作業を受け取り、その作業の進行状況を報告するために必要なアクセス許可を付与するようにフリートロールを設定します。

通常、このロールを自分で設定する必要はありません。このロールは、Deadline Cloud コンソールで作成して、必要なアクセス許可を含めることができます。トラブルシューティングのためにこのロールの詳細を理解するには、次のガイドを使用します。

プログラムでフリートを作成または更新する場合は、 CreateFleet または UpdateFleet API オペレーションを使用してフリートロール ARN を指定します。

フリートロールの動作

フリートロールは、ワーカーに以下のアクセス許可を付与します。

  • 新しい作業を受け取り、進行中の作業の進捗状況を Deadline Cloud サービスに報告する

  • ワーカーのライフサイクルとステータスを管理する

  • ワーカーログのログイベントを Amazon CloudWatch Logs に記録する

フリートロールの信頼ポリシーを設定する

フリートロールは Deadline Cloud サービスを信頼し、特定のファームに限定する必要があります。

ベストプラクティスとして、信頼ポリシーには混乱した代理保護のセキュリティ条件を含める必要があります。混乱した代理の保護の詳細については、「Deadline Cloud ユーザーガイド」の「混乱した代理」を参照してください。

  • aws:SourceAccount は、同じ のリソースのみがこのロールを引き受けAWS アカウントることができるようにします。

  • aws:SourceArn は、ロールの引き受けを特定の Deadline Cloud ファームに制限します。

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowDeadlineCredentialsService",
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:YOUR_ACCOUNT_ID:farm/YOUR_FARM_ID"
        }
      }
    }
  ]
}

フリートロールのアクセス許可をアタッチする

フリートロールに次のAWS管理ポリシーをアタッチします。

AWSDeadlineCloud-FleetWorker

この管理ポリシーは、以下のアクセス許可を提供します。

  • deadline:AssumeFleetRoleForWorker - ワーカーが認証情報を更新できるようにします。

  • deadline:UpdateWorker - ワーカーがステータスを更新できるようにします (終了時に STOPPED など)。

  • deadline:UpdateWorkerSchedule - 作業の取得と進行状況の報告用。

  • deadline:BatchGetJobEntity - ジョブ情報を取得する場合。

  • deadline:AssumeQueueRoleForWorker - ジョブの実行中にキューロールの認証情報にアクセスする場合。

暗号化されたファームに KMS アクセス許可を追加する

ファームが KMS キーを使用して作成された場合は、これらのアクセス許可をフリートロールに追加して、ワーカーがファーム内の暗号化されたデータにアクセスできるようにします。

KMS アクセス許可は、ファームに KMS キーが関連付けられている場合にのみ必要です。kms:ViaService 条件は 形式を使用する必要がありますdeadline.{region}.amazonaws.com

フリートを作成すると、そのフリートの CloudWatch Logs ロググループが作成されます。ワーカーのアクセス許可は、Deadline Cloud サービスによって使用され、その特定のワーカー専用のログストリームを作成します。ワーカーをセットアップして実行すると、ワーカーはこれらのアクセス許可を使用してログイベントを CloudWatch Logs に直接送信します。

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "CreateLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": [
            "deadline.REGION.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "ManageLogEvents",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
    },
    {
      "Sid": "ManageKmsKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Resource": "YOUR_FARM_KMS_KEY_ARN",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "deadline.REGION.amazonaws.com"
        }
      }
    }
  ]
}

フリートロールの変更

フリートロールのアクセス許可はカスタマイズできません。説明されているアクセス許可は常に必須であり、アクセス許可を追加しても効果はありません。

カスタマーマネージドフリートホストロール

Amazon EC2 インスタンスまたはオンプレミスホストでカスタマーマネージドフリートを使用する場合は、WorkerHost ロールを設定します。

WorkerHost ロールの動作

WorkerHost ロールは、カスタマーマネージドフリートホストでワーカーをブートストラップします。ホストが以下を行うために必要な最小限のアクセス許可を提供します。

  • Deadline Cloud でワーカーを作成する

  • フリートロールを引き受けて運用認証情報を取得する

  • フリートタグを使用してワーカーにタグを付ける (タグ伝達が有効になっている場合)

WorkerHost ロールのアクセス許可を設定する

次のAWS管理ポリシーを WorkerHost ロールにアタッチします。

AWSDeadlineCloud-WorkerHost

この管理ポリシーは、以下のアクセス許可を提供します。

  • deadline:CreateWorker - ホストが新しいワーカーを登録できるようにします。

  • deadline:AssumeFleetRoleForWorker - ホストがフリートロールを引き受けることを許可します。

  • deadline:TagResource - 作成中のワーカーのタグ付けを許可します (有効になっている場合)。

  • deadline:ListTagsForResource - 伝播用のフリートタグの読み取りを許可します。

ブートストラッププロセスを理解する

WorkerHost ロールは、ワーカーの初回起動時にのみ使用されます。

  1. ワーカーエージェントは、WorkerHost 認証情報を使用してホストで起動します。

  2. を呼び出しdeadline:CreateWorkerて Deadline Cloud に登録します。

  3. 次に、 を呼び出しdeadline:AssumeFleetRoleForWorkerてフリートロールの認証情報を取得します。

  4. この時点から、ワーカーはすべてのオペレーションにフリートロール認証情報のみを使用します。

WorkerHost ロールは、ワーカーの実行開始後は使用されません。このポリシーは、サービスマネージドフリートには必要ありません。サービスマネージドフリートでは、ブートストラップが自動的に実行されます。

キューロール

キューロールは、タスクを処理するときにワーカーによって引き受けられます。このロールは、タスクを完了するために必要なアクセス許可を提供します。

プログラムでキューを作成または更新する場合は、 CreateQueue または UpdateQueue API オペレーションを使用してキューロール ARN を指定します。

キューロールの信頼ポリシーを設定する

キューロールは Deadline Cloud サービスを信頼する必要があります。

ベストプラクティスとして、信頼ポリシーには混乱した代理保護のセキュリティ条件を含める必要があります。混乱した代理の保護の詳細については、「Deadline Cloud ユーザーガイド」の「混乱した代理」を参照してください。

  • aws:SourceAccount は、同じ のリソースのみがこのロールを引き受けAWS アカウントることができるようにします。

  • aws:SourceArn は、ロールの引き受けを特定の Deadline Cloud ファームに制限します。

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "credentials.deadline.amazonaws.com",
          "deadline.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:us-west-2:123456789012:farm/{farm-id}"
        }        
      }
    }
  ]
}

キューロールのアクセス許可を理解する

キューロールは 1 つの管理ポリシーを使用しません。代わりに、コンソールでキューを設定すると、Deadline Cloud は設定に基づいてキューのカスタムポリシーを作成します。

この自動作成されたポリシーは、以下へのアクセスを提供します。

ジョブアタッチメント

ジョブの入出力ファイル用に指定された Amazon S3 バケットへの読み取りおよび書き込みアクセス:

{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject", 
    "s3:ListBucket",
    "s3:GetBucketLocation"
  ],
  "Resource": [
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET",
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET/YOUR_PREFIX/*"
  ],
  "Condition": {
    "StringEquals": {
      "aws:ResourceAccount": "YOUR_ACCOUNT_ID"
    }
  }
}

ジョブのログ

このキュー内のジョブの CloudWatch Logs への読み取りアクセス。各キューには独自のロググループがあり、各セッションには独自のログストリームがあります。

{
  "Effect": "Allow",
  "Action": [
    "logs:GetLogEvents"
  ],
  "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
}

サードパーティーソフトウェア

Deadline Cloud でサポートされているサードパーティーソフトウェア (Maya、Blender など) をダウンロードするアクセス:

{
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetObject"
  ],
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "s3:DataAccessPointArn": "arn:aws:s3:*:*:accesspoint/deadline-software-*"
    },
    "StringEquals": {
      "s3:AccessPointNetworkOrigin": "VPC"
    }
  }
}

ジョブのアクセス許可を追加する

ジョブAWS のサービスがアクセスする必要がある のキューロールにアクセス許可を追加します。OpenJobDescription ステップスクリプトを記述すると、 AWS CLIと SDK はキューロールの認証情報を自動的に使用します。これを使用して、ジョブの完了に必要な追加サービスにアクセスします。

ユースケースの例を以下に示します。

  • カスタムデータを取得するための

  • カスタムライセンスサーバーにトンネルする SSM アクセス許可

  • カスタムメトリクスを発行するための CloudWatch

  • 動的ワークフロー用の新しいジョブを作成する Deadline Cloud アクセス許可

キューロールの認証情報の使用方法

Deadline Cloud はキューロールの認証情報を以下に提供します。

  • ジョブ実行中のワーカー

  • Deadline Cloud CLI を介したユーザーと、ジョブの添付ファイルやログを操作する際のモニタリング

Deadline Cloud は、キューごとに個別の CloudWatch Logs ロググループを作成します。ジョブはキューロールの認証情報を使用して、キューのロググループにログを書き込みます。Deadline Cloud CLI とモニターは、キューロール ( 経由deadline:AssumeQueueRoleForRead) を使用してキューのロググループからジョブログを読み込みます。Deadline Cloud CLI とモニターは、キューロール ( 経由deadline:AssumeQueueRoleForUser) を使用してジョブアタッチメントデータをアップロードまたはダウンロードします。

ロールをモニタリングする

Deadline Cloud モニターのウェブアプリケーションとデスクトップアプリケーションに Deadline Cloud リソースへのアクセスを許可するようにモニターロールを設定します。

プログラムでモニターを作成または更新する場合は、 CreateMonitor または UpdateMonitor API オペレーションを使用してモニターロール ARN を指定します。

モニターロールの動作

モニターロールにより、Deadline Cloud モニターはエンドユーザーに以下へのアクセスを提供できます。

  • Deadline Cloud Integrated Submitters、CLI、モニターに必要な基本機能

  • エンドユーザー向けのカスタム機能

モニターロールの信頼ポリシーを設定する

モニターロールは Deadline Cloud サービスを信頼する必要があります。

ベストプラクティスとして、信頼ポリシーには混乱した代理保護のセキュリティ条件を含める必要があります。混乱した代理の保護の詳細については、「Deadline Cloud ユーザーガイド」の「混乱した代理」を参照してください。

aws:SourceAccount は、同じ のリソースのみがこのロールを引き受けAWS アカウントることができるようにします。

{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        }
      }
    }
  ]
}

モニターロールのアクセス許可をアタッチする

基本オペレーションのために、以下のAWS管理ポリシーをすべてモニターロールにアタッチします。

モニターロールの仕組み

Deadline Cloud モニターを使用する場合、サービスユーザーがモニターロールを使用してサインインすると想定されます。継承ロールの認証情報は、ファーム、フリート、キュー、その他の情報のリストなど、モニター UI を表示するためにモニターアプリケーションによって使用されます。

Deadline Cloud モニターデスクトップアプリケーションを使用する場合、これらの認証情報は、エンドユーザーから提供されたプロファイル名に対応する名前付きAWS認証情報プロファイルを使用してワークステーションでさらに利用可能になります。名前付きプロファイルの詳細については、 AWSSDK およびツールリファレンスガイドを参照してください。

この名前付きプロファイルは、Deadline CLI と送信者が Deadline Cloud リソースにアクセスする方法です。

高度なデスクトップユースケースのモニターロールのカスタマイズ

モニターロールを変更するときは、次のガイドラインに従ってください。

  • 管理ポリシーを削除しないでください。これにより、モニター機能が壊れます。

  • 高度なスクリプトワークフローのアクセス許可を追加できます。

Deadline Cloud Monitor がモニターロールの認証情報を使用する方法

Deadline Cloud Monitor は、認証時にモニターロールの認証情報を自動的に取得します。これにより、デスクトップアプリケーションは、標準のウェブブラウザで使用できる以上の拡張モニタリング機能を提供できます。

Deadline Cloud Monitor でログインすると、 AWS CLIまたは他のAWSツールで使用できるプロファイルが自動的に作成されます。このプロファイルは、モニターロールの認証情報を使用して、モニターロールのアクセス許可AWS のサービスに基づいて へのプログラムによるアクセスを提供します。

Deadline Cloud 送信者は同じように動作します。Deadline Cloud モニターによって作成されたプロファイルを使用して、適切なロールのアクセス許可AWS のサービスで にアクセスします。

Deadline Cloud ロールの高度なカスタマイズ

Deadline Cloud ロールを追加のアクセス許可で拡張して、基本的なレンダリングワークフロー以外の高度なユースケースを実現できます。このアプローチでは、Deadline Cloud のアクセス管理システムを活用して、キューメンバーシップAWS のサービスに基づいて追加の へのアクセスを制御します。

とのチームコラボレーションAWS CodeCommit

キューロールにアクセスAWS CodeCommit許可を追加して、プロジェクトリポジトリでチームコラボレーションを有効にします。このアプローチでは、追加のユースケースに Deadline Cloud のアクセス管理システムを使用します。特定のキューにアクセスできるユーザーのみがこれらのアクセスAWS CodeCommit許可を受け取るため、Deadline Cloud キューメンバーシップを通じてプロジェクトごとのリポジトリアクセスを管理できます。

これは、アーティストがレンダリングワークフローの一部としてAWS CodeCommitリポジトリに保存されているプロジェクト固有のアセット、スクリプト、または設定ファイルにアクセスする必要があるシナリオに役立ちます。

キューロールにアクセスAWS CodeCommit許可を追加する

アクセスを有効にするには、キューロールに次のAWS CodeCommitアクセス許可を追加します。

{
  "Effect": "Allow",
  "Action": [
    "codecommit:GitPull",
    "codecommit:GitPush",
    "codecommit:GetRepository",
    "codecommit:ListRepositories"
  ],
  "Resource": "arn:aws:codecommit:REGION:YOUR_ACCOUNT_ID:PROJECT_REPOSITORY"
}

アーティストワークステーションで認証情報プロバイダーを設定する

AWS CodeCommitアクセスに Deadline Cloud キュー認証情報を使用するように各アーティストワークステーションを設定します。この設定はワークステーションごとに 1 回行われます。

認証情報プロバイダーを設定するには

  1. 認証情報プロバイダープロファイルを設定ファイル (~/.aws/config) AWSに追加します。

    [profile queue-codecommit]
credential_process = deadline queue export-credentials --farm-id farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX --queue-id queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

  2. AWS CodeCommitリポジトリにこのプロファイルを使用するように Git を設定します。

    git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.helper '!aws codecommit credential-helper --profile queue-codecommit $@'
git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.UseHttpPath true

farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXX および queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXX を実際のファーム ID とキュー IDs。REGION を自分のAWSリージョン (例: ) に置き換えますus-west-2

キュー認証情報AWS CodeCommitでの の使用

設定すると、Git オペレーションはAWS CodeCommitリポジトリにアクセスするときにキューロールの認証情報を自動的に使用します。deadline queue export-credentials コマンドは、次のような一時的な認証情報を返します。

{
  "Version": 1,
  "AccessKeyId": "ASIA...",
  "SecretAccessKey": "...",
  "SessionToken": "...",
  "Expiration": "2025-11-10T23:02:23+00:00"
}

これらの認証情報は必要に応じて自動的に更新され、Git オペレーションはシームレスに機能します。

git clone https://git-codecommit.REGION.amazonaws.com/v1/repos/PROJECT_REPOSITORY
git pull
git push

アーティストは、個別のAWS CodeCommit認証情報を必要とせずに、キューのアクセス許可を使用してプロジェクトリポジトリにアクセスできるようになりました。特定のキューにアクセスできるユーザーのみが関連付けられたリポジトリにアクセスできるため、Deadline Cloud のキューメンバーシップシステムを通じてきめ細かなアクセスコントロールが可能になります。