Como o Deadline Cloud usa as funções de serviço do IAM Função da frota Função de anfitrião de frota gerenciada pelo cliente Função da fila Função do monitor Personalização avançada das funções do Deadline Cloud

Perfis de serviço

Como o Deadline Cloud usa as funções de serviço do IAM

O Deadline Cloud assume automaticamente as funções do IAM e fornece credenciais temporárias para trabalhadores, empregos e para o monitor do Deadline Cloud. Essa abordagem elimina o gerenciamento manual de credenciais e, ao mesmo tempo, mantém a segurança por meio do controle de acesso baseado em funções.

Ao criar monitores, frotas e filas, você especifica as funções do IAM que o Deadline Cloud assume em seu nome. Os trabalhadores e o monitor do Deadline Cloud então recebem credenciais temporárias dessas funções para acessarServiços da AWS.

Função da frota

Configure uma função de frota para dar aos funcionários do Deadline Cloud as permissões de que precisam para receber trabalho e relatar o progresso desse trabalho.

Normalmente, você não precisa configurar essa função sozinho. Essa função pode ser criada para você no console do Deadline Cloud para incluir as permissões necessárias. Use o guia a seguir para entender as especificidades dessa função na solução de problemas.

Ao criar ou atualizar frotas de forma programática, especifique o ARN da função da frota usando as operações da API ou. CreateFleet UpdateFleet

O que a função da frota faz

A função de frota fornece aos trabalhadores permissões para:

Receba novos trabalhos e relate o progresso do trabalho em andamento ao serviço Deadline Cloud
Gerencie o ciclo de vida e o status do trabalhador
Registre eventos de log no Amazon CloudWatch Logs para os registros do trabalhador

Configurar a política de confiança da função da frota

Sua função de frota deve confiar no serviço Deadline Cloud e ser direcionada para sua fazenda específica.

Como melhor prática, a política de confiança deve incluir condições de segurança para a proteção do Confused Deputy. Para saber mais sobre a proteção do Confused Deputy, consulte Confused Deputy no Guia do usuário do Deadline Cloud.

aws:SourceAccountgarante que somente recursos da mesma Conta da AWS possam assumir essa função.
aws:SourceArnrestringe a assunção de funções a um farm específico do Deadline Cloud.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AllowDeadlineCredentialsService",
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:REGION:YOUR_ACCOUNT_ID:farm/YOUR_FARM_ID"
        }
      }
    }
  ]
}

Anexe as permissões da função Fleet

Anexe a seguinte política AWS gerenciada à sua função de frota:

AWSDeadlineCloud-FleetWorker

Essa política gerenciada fornece permissões para:

deadline:AssumeFleetRoleForWorker- Permite que os trabalhadores atualizem suas credenciais.
deadline:UpdateWorker- Permite que os trabalhadores atualizem seu status (por exemplo, para PARADO ao sair).
deadline:UpdateWorkerSchedule- Para obter trabalho e relatar o progresso.
deadline:BatchGetJobEntity- Para obter informações sobre o trabalho.
deadline:AssumeQueueRoleForWorker- Para acessar as credenciais da função de fila durante a execução do trabalho.

Adicione permissões KMS para fazendas criptografadas

Se sua fazenda foi criada usando uma chave KMS, adicione essas permissões à sua função de frota para garantir que o trabalhador possa acessar dados criptografados na fazenda.

As permissões do KMS só são necessárias se sua fazenda tiver uma chave KMS associada. A kms:ViaService condição deve usar o formatodeadline.{region}.amazonaws.com.

Ao criar uma frota, um grupo de CloudWatch registros de registros é criado para essa frota. As permissões do trabalhador são usadas pelo serviço Deadline Cloud para criar um fluxo de registros específico para esse trabalhador em particular. Depois que o trabalhador estiver configurado e executado, ele usará essas permissões para enviar eventos de registro diretamente para o CloudWatch Logs.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "CreateLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": [
            "deadline.REGION.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "ManageLogEvents",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
    },
    {
      "Sid": "ManageKmsKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Resource": "YOUR_FARM_KMS_KEY_ARN",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "deadline.REGION.amazonaws.com"
        }
      }
    }
  ]
}

Modificando a função da frota

As permissões para a função de frota não são personalizáveis. As permissões descritas são sempre necessárias e a adição de permissões adicionais não tem efeito.

Função de anfitrião de frota gerenciada pelo cliente

Configure uma WorkerHost função se você usar frotas gerenciadas pelo cliente em EC2 instâncias da Amazon ou em hosts locais.

O que a WorkerHost função faz

A WorkerHost função impulsiona os trabalhadores em hospedeiros de frotas gerenciados pelo cliente. Ele fornece as permissões mínimas necessárias para que um host:

Crie um trabalhador no Deadline Cloud
Assuma a função da frota para obter credenciais operacionais
Marque trabalhadores com etiquetas de frota (se a propagação de tags estiver ativada)

Configurar permissões de WorkerHost função

Anexe a seguinte política AWS gerenciada à sua WorkerHost função:

AWSDeadlineCloud-WorkerHost

Essa política gerenciada fornece permissões para:

deadline:CreateWorker- Permite que o anfitrião registre um novo trabalhador.
deadline:AssumeFleetRoleForWorker- Permite que o anfitrião assuma o papel da frota.
deadline:TagResource- Permite marcar trabalhadores durante a criação (se habilitado).
deadline:ListTagsForResource- Permite ler as etiquetas da frota para propagação.

Entenda o processo de bootstrap

A WorkerHost função só é usada durante a inicialização inicial do trabalhador:

O agente de trabalho começa no host usando WorkerHost credenciais.
Ele invoca deadline:CreateWorker o registro no Deadline Cloud.
Em seguida, ele invoca deadline:AssumeFleetRoleForWorker para obter as credenciais da função da frota.
Deste ponto em diante, o trabalhador usa somente as credenciais da função de frota para todas as operações.

A WorkerHost função não é usada depois que o trabalhador começa a funcionar. Essa política não é necessária para frotas gerenciadas por serviços. Em frotas gerenciadas por serviços, a inicialização é executada automaticamente.

Função da fila

A função da fila é assumida pelo trabalhador ao processar uma tarefa. Essa função fornece as permissões necessárias para concluir a tarefa.

Ao criar ou atualizar filas programaticamente, especifique o ARN da função da fila usando as operações de API ou. CreateQueue UpdateQueue

Configurar a política de confiança da função de fila

Sua função de fila deve confiar no serviço Deadline Cloud.

aws:SourceAccountgarante que somente recursos da mesma Conta da AWS possam assumir essa função.
aws:SourceArnrestringe a assunção de funções a um farm específico do Deadline Cloud.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "credentials.deadline.amazonaws.com",
          "deadline.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:deadline:us-west-2:123456789012:farm/{farm-id}"
        }        
      }
    }
  ]
}

Entenda as permissões de função de fila

A função de fila não usa uma única política gerenciada. Em vez disso, quando você configura sua fila no console, o Deadline Cloud cria uma política personalizada para sua fila com base na sua configuração.

Essa política criada automaticamente fornece acesso a:

Anexos de trabalho

Acesso de leitura e gravação ao seu bucket do Amazon S3 especificado para arquivos de entrada e saída do trabalho:


{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject", 
    "s3:ListBucket",
    "s3:GetBucketLocation"
  ],
  "Resource": [
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET",
    "arn:aws:s3:::YOUR_JOB_ATTACHMENTS_BUCKET/YOUR_PREFIX/*"
  ],
  "Condition": {
    "StringEquals": {
      "aws:ResourceAccount": "YOUR_ACCOUNT_ID"
    }
  }
}

Registros de trabalhos

Leia o acesso aos CloudWatch registros para trabalhos nessa fila. Cada fila tem seu próprio grupo de registros e cada sessão tem seu próprio fluxo de registros:


{
  "Effect": "Allow",
  "Action": [
    "logs:GetLogEvents"
  ],
  "Resource": "arn:aws:logs:REGION:YOUR_ACCOUNT_ID:log-group:/aws/deadline/YOUR_FARM_ID/*"
}

Software de terceiros

Acesso para baixar software de terceiros compatível com o Deadline Cloud (como Maya, Blender e outros):


{
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetObject"
  ],
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "s3:DataAccessPointArn": "arn:aws:s3:*:*:accesspoint/deadline-software-*"
    },
    "StringEquals": {
      "s3:AccessPointNetworkOrigin": "VPC"
    }
  }
}

Adicione permissões para seus trabalhos

Adicione permissões à sua função de fila para Serviços da AWS as quais seus trabalhos precisam acessar. Ao escrever scripts de OpenJobDescription etapas, o SDK AWS CLI e usará automaticamente as credenciais da sua função de fila. Use isso para acessar os serviços adicionais necessários para concluir seu trabalho.

Exemplo de casos de uso incluem:

para buscar dados personalizados
Permissões de SSM para criar um túnel para um servidor de licenças personalizado
CloudWatch para emitir métricas personalizadas
Permissão do Deadline Cloud para criar novos trabalhos para fluxos de trabalho dinâmicos

Como as credenciais da função de fila são usadas

O Deadline Cloud fornece credenciais de função de fila para:

Trabalhadores durante a execução do trabalho
Usuários por meio da CLI do Deadline Cloud e do monitor ao interagir com anexos e registros de tarefas

O Deadline Cloud cria grupos de CloudWatch registros de registros separados para cada fila. Os trabalhos usam credenciais de função de fila para gravar registros no grupo de registros da fila. A CLI e o monitor do Deadline Cloud usam a função de fila (por meio dedeadline:AssumeQueueRoleForRead) para ler registros de tarefas do grupo de registros da fila. A CLI e o monitor do Deadline Cloud usam a função de fila (por meio dedeadline:AssumeQueueRoleForUser) para carregar ou baixar dados de anexos de tarefas.

Função do monitor

Configure uma função de monitor para dar aos aplicativos web e de desktop do Deadline Cloud acesso aos seus recursos do Deadline Cloud.

Ao criar ou atualizar monitores programaticamente, especifique o ARN da função do monitor usando as CreateMonitor operações de API ou. UpdateMonitor

O que a função de monitor faz

A função de monitor permite que o monitor do Deadline Cloud forneça aos usuários finais acesso a:

Funcionalidade básica necessária para o Deadline Cloud Integrated Submitters, CLI e monitor
Funcionalidade personalizada para usuários finais

Configurar a política de confiança da função de monitor

Sua função de monitor deve confiar no serviço Deadline Cloud.

aws:SourceAccountgarante que somente recursos da mesma Conta da AWS possam assumir essa função.


{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "credentials.deadline.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "YOUR_ACCOUNT_ID"
        }
      }
    }
  ]
}

Anexe permissões de função de monitor

Anexe todas as políticas AWS gerenciadas a seguir à sua função de monitor para operação básica:

Como funciona a função de monitor

Ao usar o monitor do Deadline Cloud, quando um usuário do serviço faz login usando a função de monitor, é assumida. As credenciais de suposição da função são usadas pelo aplicativo de monitoramento para exibir a interface do usuário do monitor, incluindo a lista de fazendas, frotas, filas e outras informações.

Ao usar o aplicativo de desktop Deadline Cloud Monitor, essas credenciais também são disponibilizadas na estação de trabalho usando um perfil de AWS credencial nomeado correspondente ao nome do perfil fornecido pelo usuário final. Saiba mais sobre perfis nomeados no guia de referência do AWS SDK e das ferramentas.

Esse perfil nomeado é como a CLI do Deadline e os remetentes acessam os recursos do Deadline Cloud.

Personalização da função de monitor para casos de uso avançados de desktop

Siga estas diretrizes ao modificar sua função de monitor:

Não remova nenhuma das políticas gerenciadas. Isso interromperá a funcionalidade do monitor.
Você pode adicionar permissões adicionais para fluxos de trabalho de script avançados.

Como o Deadline Cloud Monitor usa as credenciais da função de monitor

O Deadline Cloud Monitor obtém automaticamente as credenciais da função de monitor quando você se autentica. Isso permite que o aplicativo de desktop forneça recursos aprimorados de monitoramento além do que está disponível em um navegador da Web padrão.

Quando você faz login com o monitor Deadline Cloud, ele cria automaticamente um perfil que você pode usar com a AWS CLI ou qualquer outra AWS ferramenta. Esse perfil usa as credenciais da função de monitor, oferecendo acesso programático Serviços da AWS com base nas permissões da sua função de monitor.

Os remetentes do Deadline Cloud trabalham da mesma forma: eles usam o perfil criado pelo monitor do Deadline Cloud para acessar Serviços da AWS com as permissões de função apropriadas.

Personalização avançada das funções do Deadline Cloud

Você pode estender as funções do Deadline Cloud com permissões adicionais para permitir casos de uso avançados além dos fluxos de trabalho de renderização básicos. Essa abordagem aproveita o sistema de gerenciamento de acesso do Deadline Cloud para controlar o acesso a outros Serviços da AWS com base na adesão à fila.

Colaboração em equipe com AWS CodeCommit

Adicione AWS CodeCommit permissões à sua função de fila para permitir a colaboração em equipe nos repositórios do projeto. Essa abordagem usa o sistema de gerenciamento de acesso do Deadline Cloud para casos de uso adicionais. Somente usuários com acesso à fila específica receberão essas AWS CodeCommit permissões, permitindo que você gerencie o acesso ao repositório por projeto por meio da associação à fila do Deadline Cloud.

Isso é útil para cenários em que artistas precisam acessar ativos, scripts ou arquivos de configuração específicos do projeto armazenados em AWS CodeCommit repositórios como parte de seu fluxo de trabalho de renderização.

Adicionar AWS CodeCommit permissões à função de fila

Adicione as seguintes permissões à sua função de fila para habilitar o AWS CodeCommit acesso:


{
  "Effect": "Allow",
  "Action": [
    "codecommit:GitPull",
    "codecommit:GitPush",
    "codecommit:GetRepository",
    "codecommit:ListRepositories"
  ],
  "Resource": "arn:aws:codecommit:REGION:YOUR_ACCOUNT_ID:PROJECT_REPOSITORY"
}

Configure o provedor de credenciais nas estações de trabalho de artistas

Configure cada estação de trabalho do artista para usar as credenciais de fila do Deadline Cloud para acesso. AWS CodeCommit Essa configuração é feita uma vez por estação de trabalho.

Para configurar o provedor de credenciais

Adicione um perfil de provedor de credenciais ao seu arquivo de AWS configuração ()~/.aws/config:


[profile queue-codecommit]
credential_process = deadline queue export-credentials --farm-id farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX --queue-id queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Configure o Git para usar esse perfil para AWS CodeCommit repositórios:


git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.helper '!aws codecommit credential-helper --profile queue-codecommit $@'
git config --global credential.https://git-codecommit.REGION.amazonaws.com.rproxy.govskope.ca.UseHttpPath true

queue-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXSubstitua farm-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX e por sua fazenda e fila IDs reais. REGIONSubstitua pela sua AWS região (por exemplo,us-west-2).

Usando AWS CodeCommit com credenciais de fila

Depois de configuradas, as operações do Git usarão automaticamente as credenciais da função de fila ao acessar os repositórios. AWS CodeCommit O deadline queue export-credentials comando retorna credenciais temporárias com a seguinte aparência:


{
  "Version": 1,
  "AccessKeyId": "ASIA...",
  "SecretAccessKey": "...",
  "SessionToken": "...",
  "Expiration": "2025-11-10T23:02:23+00:00"
}

Essas credenciais são atualizadas automaticamente conforme necessário, e as operações do Git funcionarão perfeitamente:


git clone https://git-codecommit.REGION.amazonaws.com/v1/repos/PROJECT_REPOSITORY
git pull
git push

Agora, os artistas podem acessar os repositórios do projeto usando suas permissões de fila sem precisar de credenciais separadas. AWS CodeCommit Somente usuários com acesso à fila específica poderão acessar o repositório associado, permitindo um controle de acesso refinado por meio do sistema de associação de filas do Deadline Cloud.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWSpolíticas gerenciadas

Solução de problemas