Deadline Cloud가 IAM 서비스 역할을 사용하는 방법 플릿 역할 고객 관리형 플릿 호스트 역할 대기열 역할 역할 모니터링 Deadline Cloud 역할의 고급 사용자 지정

서비스 역할

Deadline Cloud가 IAM 서비스 역할을 사용하는 방법

Deadline Cloud는 IAM 역할을 자동으로 수임하고 작업자, 작업 및 Deadline Cloud 모니터에 임시 자격 증명을 제공합니다. 이 접근 방식은 역할 기반 액세스 제어를 통해 보안을 유지하면서 수동 자격 증명 관리를 제거합니다.

모니터, 플릿 및 대기열을 생성할 때 Deadline Cloud가 사용자를 대신하여 수임하는 IAM 역할을 지정합니다. 그런 다음 작업자와 Deadline Cloud 모니터는 이러한 역할로부터 액세스하기 위한 임시 자격 증명을 받습니다AWS 서비스.

플릿 역할

Deadline Cloud 작업자에게 작업을 수신하고 해당 작업에 대한 진행 상황을 보고하는 데 필요한 권한을 부여하도록 플릿 역할을 구성합니다.

일반적으로이 역할을 직접 구성할 필요가 없습니다. 이 역할은 Deadline Cloud 콘솔에서 생성하여 필요한 권한을 포함할 수 있습니다. 다음 가이드를 사용하여 문제 해결을 위한이 역할의 세부 사항을 이해합니다.

프로그래밍 방식으로 플릿을 생성하거나 업데이트할 때 CreateFleet 또는 UpdateFleet API 작업을 사용하여 플릿 역할 ARN을 지정합니다.

플릿 역할이 수행하는 작업

플릿 역할은 작업자에게 다음과 같은 권한을 제공합니다.

새 작업을 수신하고 진행 중인 작업에 대한 진행 상황을 Deadline Cloud 서비스에 보고합니다.
작업자 수명 주기 및 상태 관리
작업자 로그에 대해 Amazon CloudWatch Logs에 로그 이벤트 기록

플릿 역할 신뢰 정책 설정

플릿 역할은 Deadline Cloud 서비스를 신뢰하고 특정 팜으로 범위를 지정해야 합니다.

가장 좋은 방법은 신뢰 정책에 혼동된 대리자 보호를 위한 보안 조건이 포함되어야 한다는 것입니다. 혼동된 대리자 보호에 대한 자세한 내용은 Deadline Cloud 사용 설명서의 혼동된 대리자를 참조하세요.

aws:SourceAccount는 동일한의 리소스만이 역할을 수임AWS 계정할 수 있도록 합니다.
aws:SourceArn는 역할 가정을 특정 Deadline Cloud 팜으로 제한합니다.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowDeadlineCredentialsService",
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:YOUR_ACCOUNT_ID:farm/YOUR_FARM_ID"
        }
      }
    }
  ]
}

플릿 역할 권한 연결

플릿 역할에 다음 AWS관리형 정책을 연결합니다.

AWSDeadlineCloud-FleetWorker

이 관리형 정책은 다음에 대한 권한을 제공합니다.

deadline:AssumeFleetRoleForWorker - 작업자가 자격 증명을 새로 고칠 수 있습니다.
deadline:UpdateWorker - 작업자가 상태를 업데이트할 수 있습니다(예: 종료 시 중지됨).
deadline:UpdateWorkerSchedule - 작업 가져오기 및 진행 상황 보고.
deadline:BatchGetJobEntity - 작업 정보를 가져오는 데 사용됩니다.
deadline:AssumeQueueRoleForWorker - 작업 실행 중에 대기열 역할 자격 증명에 액세스하는 데 사용됩니다.

암호화된 팜에 대한 KMS 권한 추가

KMS 키를 사용하여 팜을 생성한 경우 플릿 역할에 이러한 권한을 추가하여 작업자가 팜의 암호화된 데이터에 액세스할 수 있도록 합니다.

KMS 권한은 팜에 연결된 KMS 키가 있는 경우에만 필요합니다. kms:ViaService 조건은 형식을 사용해야 합니다deadline.{region}.amazonaws.com.

플릿을 생성할 때 해당 플릿에 대한 CloudWatch Logs 로그 그룹이 생성됩니다. 작업자의 권한은 Deadline Cloud 서비스에서 특정 작업자에 대한 로그 스트림을 생성하는 데 사용됩니다. 작업자를 설정하고 실행한 후 작업자는 이러한 권한을 사용하여 로그 이벤트를 CloudWatch Logs로 직접 전송합니다.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "CreateLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": [
            "deadline.REGION.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "ManageLogEvents",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
    },
    {
      "Sid": "ManageKmsKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Resource": "YOUR_FARM_KMS_KEY_ARN",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "deadline.REGION.amazonaws.com"
        }
      }
    }
  ]
}

플릿 역할 수정

플릿 역할에 대한 권한은 사용자 지정할 수 없습니다. 설명된 권한은 항상 필요하며 추가 권한을 추가해도 아무런 효과가 없습니다.

고객 관리형 플릿 호스트 역할

Amazon EC2 인스턴스 또는 온프레미스 호스트에서 고객 관리형 플릿을 사용하는 경우 WorkerHost 역할을 설정합니다.

WorkerHost 역할이 수행하는 작업

WorkerHost 역할은 고객 관리형 플릿 호스트에서 작업자를 부트스트랩합니다. 호스트가 다음을 수행하는 데 필요한 최소한의 권한을 제공합니다.

Deadline Cloud에서 작업자 생성
플릿 역할을 수임하여 운영 자격 증명을 가져옵니다.
플릿 태그로 작업자에 태그 지정(태그 전파가 활성화된 경우)

WorkerHost 역할 권한 설정

다음 AWS관리형 정책을 WorkerHost 역할에 연결합니다.

AWSDeadlineCloud-WorkerHost

이 관리형 정책은 다음에 대한 권한을 제공합니다.

deadline:CreateWorker - 호스트가 새 작업자를 등록할 수 있도록 허용합니다.
deadline:AssumeFleetRoleForWorker - 호스트가 플릿 역할을 수임하도록 허용합니다.
deadline:TagResource - 생성 중에 작업자에 태그를 지정할 수 있습니다(활성화된 경우).
deadline:ListTagsForResource - 전파를 위해 플릿 태그를 읽을 수 있습니다.

부트스트랩 프로세스 이해

WorkerHost 역할은 초기 작업자 시작 시에만 사용됩니다.

작업자 에이전트는 WorkerHost 자격 증명을 사용하여 호스트에서 시작합니다.
Deadline Cloud에 등록deadline:CreateWorker하기 위해를 호출합니다.
그런 다음를 호출deadline:AssumeFleetRoleForWorker하여 플릿 역할 자격 증명을 가져옵니다.
이 시점부터 작업자는 모든 작업에 플릿 역할 자격 증명만 사용합니다.

작업자 실행을 시작한 후에는 WorkerHost 역할이 사용되지 않습니다. 서비스 관리형 플릿에는이 정책이 필요하지 않습니다. 서비스 관리형 플릿에서는 부트스트래핑이 자동으로 수행됩니다.

대기열 역할

대기열 역할은 작업을 처리할 때 작업자가 수임합니다. 이 역할은 작업을 완료하는 데 필요한 권한을 제공합니다.

프로그래밍 방식으로 대기열을 생성하거나 업데이트할 때 CreateQueue 또는 UpdateQueue API 작업을 사용하여 대기열 역할 ARN을 지정합니다.

대기열 역할 신뢰 정책 설정

대기열 역할은 Deadline Cloud 서비스를 신뢰해야 합니다.

aws:SourceAccount는 동일한의 리소스만이 역할을 수임할 AWS 계정수 있도록 합니다.
aws:SourceArn는 역할 가정을 특정 Deadline Cloud 팜으로 제한합니다.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "credentials.deadline.amazonaws.com",
          "deadline.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:us-west-2:123456789012:farm/{farm-id}"
        }        
      }
    }
  ]
}

대기열 역할 권한 이해

대기열 역할은 단일 관리형 정책을 사용하지 않습니다. 대신 콘솔에서 대기열을 구성하면 Deadline Cloud는 구성에 따라 대기열에 대한 사용자 지정 정책을 생성합니다.

자동으로 생성된이 정책은 다음에 대한 액세스를 제공합니다.

작업 첨부 파일

작업 입력 및 출력 파일에 대해 지정된 Amazon S3 버킷에 대한 읽기 및 쓰기 액세스 권한:


{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject", 
    "s3:ListBucket",
    "s3:GetBucketLocation"
  ],
  "Resource": [
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET",
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET/YOUR_PREFIX/*"
  ],
  "Condition": {
    "StringEquals": {
      "aws:ResourceAccount": "YOUR_ACCOUNT_ID"
    }
  }
}

작업 로그

이 대기열의 작업에 대한 CloudWatch Logs에 대한 읽기 액세스 권한입니다. 각 대기열에는 자체 로그 그룹이 있고 각 세션에는 자체 로그 스트림이 있습니다.


{
  "Effect": "Allow",
  "Action": [
    "logs:GetLogEvents"
  ],
  "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
}

타사 소프트웨어

Deadline Cloud에서 지원하는 타사 소프트웨어(예: Maya, Blender 등)를 다운로드할 수 있는 액세스 권한:


{
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetObject"
  ],
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "s3:DataAccessPointArn": "arn:aws:s3:*:*:accesspoint/deadline-software-*"
    },
    "StringEquals": {
      "s3:AccessPointNetworkOrigin": "VPC"
    }
  }
}

작업에 대한 권한 추가

작업에 액세스해야 AWS 서비스하는에 대한 권한을 대기열 역할에 추가합니다. OpenJobDescription 단계 스크립트를 작성할 때 AWS CLI및 SDK는 대기열 역할의 자격 증명을 자동으로 사용합니다. 작업을 완료하는 데 필요한 추가 서비스에 액세스하려면이 옵션을 사용합니다.

사용 사례 예시:

사용자 지정 데이터 가져오기
사용자 지정 라이선스 서버로 터널링할 수 있는 SSM 권한
사용자 지정 지표를 내보내기 위한 CloudWatch
동적 워크플로를 위한 새 작업을 생성할 수 있는 Deadline Cloud 권한

대기열 역할 자격 증명 사용 방법

Deadline Cloud는 대기열 역할 자격 증명을 제공하여 다음을 수행합니다.

작업 실행 중 작업자
Deadline Cloud CLI를 통한 사용자 및 작업 연결 및 로그와 상호 작용할 때 모니터링

Deadline Cloud는 각 대기열에 대해 별도의 CloudWatch Logs 로그 그룹을 생성합니다. 작업은 대기열 역할 자격 증명을 사용하여 대기열의 로그 그룹에 로그를 씁니다. Deadline Cloud CLI 및 모니터는 대기열 역할(를 통해deadline:AssumeQueueRoleForRead)을 사용하여 대기열의 로그 그룹에서 작업 로그를 읽습니다. Deadline Cloud CLI 및 모니터는 대기열 역할(를 통해deadline:AssumeQueueRoleForUser)을 사용하여 작업 첨부 파일 데이터를 업로드하거나 다운로드합니다.

역할 모니터링

Deadline Cloud 모니터 웹 및 데스크톱 애플리케이션에 Deadline Cloud 리소스에 대한 액세스 권한을 부여하도록 모니터 역할을 구성합니다.

프로그래밍 방식으로 모니터를 생성하거나 업데이트할 때 CreateMonitor 또는 UpdateMonitor API 작업을 사용하여 모니터 역할 ARN을 지정합니다.

모니터 역할이 수행하는 작업

모니터 역할을 통해 Deadline Cloud Monitor는 최종 사용자에게 다음에 대한 액세스 권한을 제공할 수 있습니다.

Deadline Cloud Integrated Submitters, CLI 및 모니터에 필요한 기본 기능
최종 사용자를 위한 사용자 지정 기능

모니터 역할 신뢰 정책 설정

모니터 역할은 Deadline Cloud 서비스를 신뢰해야 합니다.

aws:SourceAccount는 동일한의 리소스만이 역할을 수임할 AWS 계정수 있도록 합니다.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        }
      }
    }
  ]
}

모니터 역할 권한 연결

기본 작업을 위해 모니터 역할에 다음 AWS관리형 정책을 모두 연결합니다.

모니터 역할의 작동 방식

Deadline Cloud 모니터를 사용하는 경우 서비스 사용자가 모니터 역할을 사용하여 로그인하면이 수임됩니다. 수임 역할 자격 증명은 모니터 애플리케이션에서 팜, 플릿, 대기열 및 기타 정보 목록을 포함하여 모니터 UI를 표시하는 데 사용됩니다.

Deadline Cloud Monitor 데스크톱 애플리케이션을 사용하는 경우 최종 사용자가 제공한 프로필 이름에 해당하는 명명된 자격 증명 프로필을 사용하여 워크스테이션에서 이러한 AWS자격 증명을 추가로 사용할 수 있습니다. AWSSDK 및 도구 참조 가이드에서 명명된 프로파일에 대해 자세히 알아보세요.

이 명명된 프로파일은 Deadline CLI 및 제출자가 Deadline Cloud 리소스에 액세스하는 방법입니다.

고급 데스크톱 사용 사례에 맞게 모니터 역할 사용자 지정

모니터 역할을 수정할 때 다음 지침을 따르십시오.

관리형 정책을 제거하지 마세요. 이렇게 하면 모니터 기능이 중단됩니다.
고급 스크립팅 워크플로에 대한 추가 권한을 추가할 수 있습니다.

Deadline Cloud Monitor가 모니터 역할 자격 증명을 사용하는 방법

Deadline Cloud Monitor는 인증 시 모니터 역할 자격 증명을 자동으로 가져옵니다. 이를 통해 데스크톱 애플리케이션은 표준 웹 브라우저에서 사용할 수 있는 것 이상의 향상된 모니터링 기능을 제공할 수 있습니다.

Deadline Cloud Monitor로 로그인하면 AWS CLI또는 다른 AWS도구와 함께 사용할 수 있는 프로필이 자동으로 생성됩니다. 이 프로필은 모니터 역할 자격 증명을 사용하여 모니터 역할의 권한에 AWS 서비스따라에 프로그래밍 방식으로 액세스할 수 있습니다.

Deadline Cloud 제출자는 동일한 방식으로 작동합니다. Deadline Cloud 모니터에서 생성한 프로파일을 사용하여 적절한 역할 권한AWS 서비스으로에 액세스합니다.

Deadline Cloud 역할의 고급 사용자 지정

추가 권한으로 Deadline Cloud 역할을 확장하여 기본 렌더링 워크플로를 넘어 고급 사용 사례를 활성화할 수 있습니다. 이 접근 방식은 Deadline Cloud의 액세스 관리 시스템을 활용하여 대기열 멤버십에 AWS 서비스따라 추가에 대한 액세스를 제어합니다.

와의 팀 협업AWS CodeCommit

대기열 역할에 AWS CodeCommit권한을 추가하여 프로젝트 리포지토리에서 팀 협업을 활성화합니다. 이 접근 방식은 추가 사용 사례에 Deadline Cloud의 액세스 관리 시스템을 사용합니다. 특정 대기열에 액세스할 수 있는 사용자만 이러한 AWS CodeCommit권한을 받게 되므로 Deadline Cloud 대기열 멤버십을 통해 프로젝트별 리포지토리 액세스를 관리할 수 있습니다.

이는 아티스트가 렌더링 워크플로의 일부로 AWS CodeCommit리포지토리에 저장된 프로젝트별 자산, 스크립트 또는 구성 파일에 액세스해야 하는 시나리오에 유용합니다.

대기열 역할에 AWS CodeCommit권한 추가

대기열 역할에 다음 권한을 추가하여 AWS CodeCommit액세스를 활성화합니다.


{
  "Effect": "Allow",
  "Action": [
    "codecommit:GitPull",
    "codecommit:GitPush",
    "codecommit:GetRepository",
    "codecommit:ListRepositories"
  ],
  "Resource": "arn:aws:codecommit:REGION:YOUR_ACCOUNT_ID:PROJECT_REPOSITORY"
}

아티스트 워크스테이션에서 자격 증명 공급자 설정

AWS CodeCommit액세스에 Deadline Cloud 대기열 자격 증명을 사용하도록 각 아티스트 워크스테이션을 구성합니다. 이 설정은 워크스테이션당 한 번 수행됩니다.

자격 증명 공급자를 구성하려면

자격 증명 공급자 프로파일을 AWS구성 파일(~/.aws/config)에 추가합니다.


[profile queue-codecommit]
credential_process = deadline queue export-credentials --farm-id farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX --queue-id queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

AWS CodeCommit리포지토리에이 프로파일을 사용하도록 Git을 구성합니다.


git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.helper '!aws codecommit credential-helper --profile queue-codecommit $@'
git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.UseHttpPath true

farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 및 queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXX를 실제 팜 및 대기열 IDs. REGION을 해당 AWS리전(예: us-west-2)으로 바꿉니다.

대기열 자격 증명AWS CodeCommit과 함께 사용

구성되면 Git 작업은 AWS CodeCommit리포지토리에 액세스할 때 대기열 역할 자격 증명을 자동으로 사용합니다. deadline queue export-credentials 명령은 다음과 같은 임시 자격 증명을 반환합니다.


{
  "Version": 1,
  "AccessKeyId": "ASIA...",
  "SecretAccessKey": "...",
  "SessionToken": "...",
  "Expiration": "2025-11-10T23:02:23+00:00"
}

이러한 자격 증명은 필요에 따라 자동으로 새로 고쳐지며 Git 작업은 원활하게 작동합니다.


git clone https://git-codecommit.REGION.amazonaws.com/v1/repos/PROJECT_REPOSITORY
git pull
git push

이제 아티스트는 별도의 AWS CodeCommit자격 증명 없이 대기열 권한을 사용하여 프로젝트 리포지토리에 액세스할 수 있습니다. 특정 대기열에 액세스할 수 있는 사용자만 연결된 리포지토리에 액세스할 수 있으므로 Deadline Cloud의 대기열 멤버십 시스템을 통해 세분화된 액세스 제어를 사용할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS관리형 정책

문제 해결