Verwalten von AWS EC2-Verbindungen

FlexNet Manager Suite2019 R2(On-Premises Edition)

Es gibt drei Möglichkeiten, eine Verbindung mit Amazon Web Services Elastic Compute Cloud (AWSEC2) herzustellen und für alle drei gibt es verschiedene Voraussetzungen. Bevor Sie anfangen, die Verbindung zu konfigurieren, müssen Sie sich für die Methode entscheiden, die sich für Ihr Unternehmen am besten eignet, und die damit verbundenen Voraussetzungen schaffen. Eine Übersicht über alle Methoden und die damit verbundenen Voraussetzungen finden Sie nachfolgend:

Verbindungsmethoden
  • Konfiguration von Verbindungen zu AWS EC2 (FlexNet Beacon auf EC2-Instanz installiert) mithilfe von IAM-Rollen: Diese Methode ist eine Erweiterung der auf Rollen basierenden Methode (unten aufgeführt). Dabei wird FlexNet Beacon direkt auf einer EC2-Instanz installiert, was es für Benutzer überflüssig macht, Anmeldeinformationen zur Bestätigung ihrer Identität einzugeben. Diese Methode stützt sich auf die Best-Practice-Richtlinien von Amazon, die zur Verbesserung der Sicherheit eine Minimierung der Verwendung langfristiger Zugriffsschlüssel empfehlen. Bei dieser Methode müssen Sie Sicherheitsrichtlinien anlegen, eine Identität und IAM-Rolle zur Zugriffsverwaltung (die einer EC2-Instanz mit darauf installierter FlexNet Beacon-Software zugewiesen wird) anlegen und dann weitere IAM-Rollen auf allen anderen Konten erstellen, um zuzulassen, dass FlexNet Beacon Inventar von mehr als einem Konto erfasst. Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann den Schritt „Konfiguration von Verbindungen zu AWS EC2 (FlexNet Beacon auf EC2-Instanz installiert) mithilfe von IAM-Rollen“ durch.
  • Konfigurieren von Verbindungen zu AWS EC2 mit IAM-Rollen: Bei dieser Methode werden IAM-Rollen verwendet, die es Ihnen ermöglichen, mit temporären Sicherheitsanmeldedaten, zu denen auch ein Sicherheits-Token mit der Angabe gehört, wann die Anmeldeinformationen ablaufen, Inventar von mehreren Konten zu erfassen. Eine höhere Sicherheit entsteht dabei durch die Reduzierung des Bedarfs an langfristigen Zugriffsschlüsseln, die manuell widerrufen werden müssen und verlangen, dass eine Sicherheitsrichtlinie mit jedem Benutzer verknüpft wird, dem wiederum die notwendigen Berechtigungen eingeräumt werden müssen. Bei dieser Methode müssen Sie Sicherheitsrichtlinien erstellen, einen IAM-Benutzer anlegen und dann eine IAM-Rolle anlegen, der mehrere Benutzer zugewiesen werden können, um Inventar von einem oder mehreren Konten zu erfassen. Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann den Schritt „Konfigurieren von Verbindungen zu AWS EC2 mit IAM-Rollen“ durch.
    Anmerkung:
  • Konfigurieren von Verbindungen zu AWS EC2 unter Verwendung von IAM- Benutzern: Bei dieser Methode müssen Sie Sicherheitsrichtlinien und einen IAM-Benutzer erstellen. Anschließend weisen Sie die Sicherheitsrichtlinien direkt dem Benutzer zu. Bei dieser Methode, die bereits vor FlexNet Manager Suite 2019 R2 verfügbar war, werden langfristige Anmeldeinformationen genutzt, was Amazon ausdrücklich nicht empfiehlt. Wenn Sie diese Methode bereits eingerichtet haben, brauchen Sie sie nicht zu ändern. Schaffen Sie zur Verwendung dieser Methode die unten genannten Voraussetzungen und führen Sie dann den Schritt „Konfigurieren von Verbindungen zu AWS EC2 unter Verwendung von IAM- Benutzern“ durch.
Tipp: Wenn es einen Grund gibt, sich von mehr als einer Inventarisierungsstation mit AWS zu verbinden, können Sie dieselbe Richtlinie erneut verwenden und brauchen diese nicht mehrere Male anzulegen. Es wäre auch möglich, auf einer anderen Inventarisierungsstation denselben Kontonamen wiederzuverwenden. Aber da es empfohlene Praxis ist, einen engmaschigen Zeitplan mit häufigen Verbindungen anzulegen (zum Beispiel, um Daten über beendete Instanzen zu erfassen, die auf AWS eine sehr kurze Lebensspanne haben), ist es empfehlenswert, für jede zugreifende Inventarisierungsstation eigene Benutzerkonten anzulegen, um mögliche Kollisionen zu vermeiden.
Wichtig: Wenn Sie vorhaben, Daten von AWS EC2 zu erfassen, sollten Sie ebenfalls die Konfiguration von Startskripten in Ihrem Base Image planen, um Voreinstellungen für den FlexNet-Inventarisierungsagenten zu ändern, wenn Ihre virtualisierten Geräte instanziiert werden. Diese geänderten Voreinstellungen stellen sicher, dass jede Instanz einen eigenen Computernamen (oder auch Domänennamen) meldet. Geschieht dies nicht, übernehmen Instanzen einen allgemeinen Gerätenamen aus dem Base Image und melden in der Regel über denselben Domänennamen. Bei gleichen Namen wird angenommen, dass die entsprechenden Datensätze von einem einzelnen Gerät stammen, weshalb sie in FlexNet Manager Suite zu einem einzigen Gerätedatensatz zusammengefasst werden. Weitere Informationen finden Sie unter Common: Ensuring Distinct Inventory in der PDF-Datei Gathering FlexNet Inventory, über die Startseite der Onlinehilfe verfügbar.

Voraussetzungen

Um diesen Vorgang durchführen zu können, muss Ihre gewählte Inventarisierungsstation die folgenden Voraussetzungen erfüllen. Manche dieser Voraussetzungen sollten bereits erfüllt worden sein, als die Software FlexNet Beacon installiert wurde:
  • PowerShell 3.0 oder höher wird auf Windows Server 2008 R2 SP1 oder Windows 7 SP1 oder höher ausgeführt, wobei die Ausführungsrichtlinie der PowerShell auf RemoteSigned (fernsigniert) gesetzt ist.
  • Die auf der Inventarisierungsstation installierte Software FlexNet Beacon muss mindestens Version 13.1.1 aufweisen (mit FlexNet Manager Suite 2018 R2 ausgeliefert).
  • Auf der Inventarisierungsstation ist ein Webbrowser installiert und aktiviert.
  • Sie müssen sich unter Verwendung eines Kontos mit Administratorrechten bei der Inventarisierungsstation anmelden und FlexNet Beacon ausführen.
  • Sie müssen AWS Tools for Windows PowerShell von https://aws.amazon.com/powershell/, heruntergeladen und auf der Inventarisierungsstation installiert haben. Die Tools müssen mindestens die Version 3.3.283.0 haben.
    Tipp: So prüfen Sie die auf Ihrer Inventarisierungsstation installierte Version:
    1. Führen Sie AWS Tools for Windows PowerShell als Administrator aus.
    2. Führen Sie das cmdlet Get-AWSPowerShellVersion aus.
    Neue Versionen können von https://aws.amazon.com/powershell/ heruntergeladen werden.
    Anmerkung: Die zulässigen Werte für Instance region (Version der Instanz) sind derzeit in den AWS Tools for Windows PowerShell hartcodiert. Das bedeutet, dass Sie die AWS Tools for Windows PowerShell aktualisieren müssen, wenn AWS zusätzliche Regionen anlegt und Sie Instanzen in einer dieser neuen Regionen betreiben möchten.

Auf AWS-Seite müssen Sie zuerst Folgendes anlegen:

  1. In AWS müssen Sie eine Richtlinie anlegen, die Zugriff auf Ihren EC2-Dienst zulässt.
  2. Auf ähnliche Weise müssen Sie eine Richtlinie anlegen, die Zugriff auf eine Funktionseinheit zum Verwalten von Identität und Zugriff [Identity and Access Management (IAM)] zulässt.
  3. Die IAM-Rollen, die Zugriff auf AWS-Ressourcen geben (bei Verwendung der Methode „Konfigurieren von Verbindungen zu AWS EC2 unter Verwendung von IAM- Benutzern“ nicht erforderlich).
  4. Das IAM-Benutzerkonto (noch in AWS) mit minimalen Rechten, das die Verbindung zu AWS APIs herstellt und die verfügbaren Daten importiert ( (Konfigurieren von Verbindungen zu AWS EC2 mit IAM-Rollenohne FlexNet Beacon nur auf der EC2-Instanz installiert).
  5. Schließlich müssen Sie auf der Inventarisierungsstation, die sich mit AWS verbinden soll, die Verbindung festlegen (die für Sie automatisch zeitlich geplant wird).

    Verwenden von Proxy-Verbindungen

    Die Verbindung zu AWS unterstützt die optionale Verwendung eines Proxy für Verbindungen, die nicht mithilfe der lokal auf einer EC2-Instanz installierten FlexNet Beacon-Software hergestellt werden.
    Wichtig: Ein Proxy-Server kann nicht angegeben werden, wenn die Verbindung mithilfe der lokal auf einer EC2-Instanz installierten Software FlexNet Beacon hergestellt wird. Das liegt daran, dass die URL, auf die zugegriffen wird, eine lokale Adresse (169.254.169.254) ist, die nicht durch Proxys weitergeleitet werden kann und darf.