Konfigurieren von Verbindungen zu AWS EC2 mit IAM-Rollen

FlexNet Manager Suite2019 R2(On-Premises Edition)

Vor dem Beginn

Lesen Sie unbedingt zuerst die Hintergrundinformationen und machen Sie sich mit den Voraussetzungen vertraut, bevor Sie mit der Aufgabe beginnen. Siehe Verwalten von AWS EC2-Verbindungen.

So konfigurieren Sie die anfängliche Datenverbindung zu Ihrem AWS EC2-Dienst mithilfe eines rollenbasierten Zugriffs:

  1. Melden Sie sich unter Verwendung der E-Mail-Adresse, die Ihr AWS-Kontoeigentümer für Ihr AWS-Konto gespeichert hat, bei AWS an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam.
    Sie legen beide Richtlinien und das Benutzerkonto über diese Konsole an.
  2. Erstellen Sie die Richtlinie für den Zugriff auf Ihren EC2-Dienst:
    1. Wählen Sie im Navigationsfenster links die Option Policies (Richtlinien).
    2. Klicken Sie auf Create policy (Richtlinie anlegen).
    3. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie EC2.
    4. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste).
    5. Wählen Sie die folgenden Zugriffsebenen, um die Erfassung von Inventardaten von AWS zuzulassen:
      • DescribeInstances
      • DescribeHosts
      • DescribeReservedInstances.
    6. Klicken Sie auf Add additional permissions (Weitere Berechtigungen hinzufügen).
    7. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie IAM.
    8. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste).
    9. Wählen Sie die folgenden Zugriffsebenen, um die Erfassung von Inventardaten von IAM zuzulassen:
      • ListAccountAliases
    10. Klicken Sie auf Review policy (Richtlinie überprüfen) und geben Sie dieser Richtlinie einen geeigneten und eindeutigen Namen (zum Beispiel ListeEC2FuerFNMS). Optional können Sie auch eine Beschreibung (Description) hinzufügen, um sich spätere Wartungsarbeiten zu erleichtern.
    11. Klicken Sie auf Create policy (Richtlinie anlegen).
  3. Erstellen Sie die Richtlinie für den Zugriff auf Ihren IAM-Dienst:
    1. Wählen Sie erneut im Navigationsfenster links die Option Policies (Richtlinien).
    2. Klicken Sie auf Create policy (Richtlinie anlegen).
    3. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie IAM.
    4. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene Read (Lesen) und wählen Sie die folgenden Zugriffsebenen, mit denen die Verbindung zu AWS geprüft wird, und die es Ihnen ermöglichen, eine Verbindung unter Verwendung eines IAM-Benutzers zu implementieren.
      • GetUser
      • GetPolicy
      • GetPolicyVersion
    5. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene List (Liste) und wählen Sie die Richtlinie ListAttachedUserPolicies.
      Diese Zugriffsebene lässt die Testverbindung zu und ermöglicht es der Inventarisierungsstation herauszufinden, welche Rollen vom Benutzer angenommen werden können, sodass die Rolle angenommen werden kann und die notwendigen Berechtigungen für die Inventarisierung erlangt werden können.
    6. Noch auf der Zugriffsebene List (Liste) können Sie optional die folgenden Berechtigungen auswählen.
      Da dieses Tutorial die Sicherheitsrichtlinien direkt mit dem Benutzer verbindet, sind die folgenden Aktionsebenen nicht zwingend erforderlich. Wenn Sie jedoch die Richtlinien stattdessen mit einer Gruppe aus mindestens einem Benutzer verbinden, erben diese Benutzer die entsprechenden Richtlinien. Die Nutzung von Gruppen ist sehr bequem, weil Sie dadurch die Möglichkeit haben, genau gleich lautende Berechtigungen für mehrere Benutzer festzulegen.
      • ListGroupsForUser
      • ListAttachedGroupPolicies
    7. Klicken Sie auf Choose a service (Dienst wählen) und wählen Sie STS.
    8. Erweitern Sie im Abschnitt Actions (Aktionen) die Zugriffsebene Write (Schreiben) und wählen Sie die Richtlinie AssumeRole.
    9. Erweitern Sie den Abschnitt Resources (Ressourcen) und fügen Sie explizit die Rollen-ARNs hinzu, indem Sie Add ARN (ARN hinzufügen) auswählen und die Kontonummer und das Konto angeben, das Sie gerade konfigurieren, sowie den Rollennamen für die Rolle, die Sie in einem späteren Schritt konfigurieren werden (der Vorschlagsname wird ListEC2ForFNMSRole sein).
      Wählen Sie auf keinen Fall die Option All Resources (Alle Ressourcen).
    10. Wenn Sie über diese Verbindung Inventar von mehreren Konten erfassen möchten, wiederholen Sie die oben beschriebenen Schritte und fügen Sie alle Kontonummern und Rollennamen hinzu, die angenommen werden müssen (die Rolle auf jedem Konto werden Sie zu einem späteren Zeitpunkt anlegen).
    11. Klicken Sie auf Review policy (Richtlinie überprüfen) und geben Sie dieser Richtlinie einen geeigneten und eindeutigen Namen (zum Beispiel ReadRolesForFNMS). Optional können Sie auch eine Beschreibung (Description) hinzufügen, um sich spätere Wartungsarbeiten zu erleichtern.
    12. Klicken Sie auf Create policy (Richtlinie anlegen).
  4. Erstellen Sie eine Rolle, die von einem IAM-Benutzer angenommen werden kann:
    1. Navigieren Sie zum IAM-Dienst.
    2. Klicken Sie im Navigationsfenster auf Roles (Rollen) und dann auf Create role (Rolle erstellen).
    3. Klicken Sie auf Another AWS account (Anderes AWS-Konto).
    4. Geben Sie im Textfeld Account ID (Konto-ID) die Konto-ID ein, die den IAM-Benutzer enthält.
    5. Markieren Sie optional das Kontrollkästchen Require external ID (Externe ID verlangen) und geben Sie eine externe ID in das Textfeld External ID (Externe ID) ein.
      Das Einrichten einer externen ID ist optional, hat sich jedoch als vorteilhaft erwiesen, wenn eine dritte Partei diese Rolle annehmen soll.
      Wenn Sie die Rolle auf mehreren Konten anlegen, achten Sie darauf, jedes Mal dieselbe externe ID zu verwenden.
      Sie werden diesen Wert zu einem späteren Zeitpunkt eingeben, kopieren Sie ihn daher an eine leicht zugängliche Stelle.
    1. Klicken Sie auf Next: Permissions (Weiter: Berechtigungen).
    2. Suchen Sie die erste Richtlinie, die Sie angelegt haben (der vorgeschlagene Name war ListEC2ForFNMS), und wählen Sie sie aus.
    3. Klicken Sie auf Next: Tags (Weiter: Tags) und weisen Sie optional die Tags zu, die Sie benötigen.
    4. Klicken Sie auf Next: Review (Weiter: Überprüfung) und geben Sie dieser Rolle einen geeigneten und eindeutigen Namen (etwa ListEC2ForFNMSRole). Optional können Sie auch eine Beschreibung hinzufügen, um sich spätere Wartungsarbeiten zu erleichtern.
    5. Klicken Sie auf Create role (Rolle erstellen).
  5. Wenn Sie über eine einzige Verbindung Inventar von mehreren Konten erfassen möchten, müssen Sie Schritt 2 – Erstellen Sie die Richtlinie für den Zugriff auf Ihren EC2-Dienst und Schritt 4 – Erstellen Sie eine Rolle, die von einem IAM-Benutzer angenommen werden kann aufallen Konten wiederholen, von denen Sie Inventar erfassen möchten.
    Sie brauchen den Schritt zum Hinzufügen der Richtlinie AssumeRole (Rolle annehmen) nicht auf allen Konten zu wiederholen, da dieser nur für das erste Konto durchgeführt werden muss, auf dem der IAM-Benutzer angelegt wird.
  6. Legen Sie das IAM-Benutzerkonto an, das Daten nach Zeitplan erfassen wird:
    1. Klicken Sie im Navigationsfenster links auf Users (Benutzer) und dann auf Add user (Benutzer hinzufügen).
    2. Vergeben Sie im Feld User name (Benutzername) einen Namen für das Konto (zum Beispiel FNMSBenutzer).
    3. Markieren Sie für den Zugriffstyp (Access type) das Kontrollkästchen Programmatic access (Programmatischer Zugriff).
    4. Klicken Sie auf Next: Permissions (Weiter: Berechtigungen).
    5. Klicken Sie im Abschnitt Set Permissions (Berechtigungen festlegen) auf Attach existing policies directly (Vorhandene Richtlinien direkt anhängen).
    6. Suchen Sie die Richtlinie, die Sie zuvor angelegt haben (der vorgeschlagene Name war ReadRolesForFNMS), und wählen Sie sie aus.
    7. Klicken Sie auf Review (Überprüfen) und prüfen Sie Ihre Einstellungen.
    8. Klicken Sie auf Create user (Benutzer anlegen).

      Die AWS-Verwaltungskonsole zeigt einen Erfolgsstatus (Success) an und es werden der Zugriffsschlüssel sowie der geheime Zugriffsschlüssel für das Konto eingeblendet. Die Konsole enthält auch eine Verknüpfung, um diese wichtigen Details in eine .csv-Datei herunterzuladen.

      Achtung: Sichern Sie diese Anmeldeinformationen unbedingt für eine spätere Verwendung. Nachdem Sie das Fenster geschlossen haben, gibt es keine Möglichkeit mehr, erneut auf den geheimen Zugriffsschlüssel (Secret access key) zuzugreifen. Kopieren Sie ihn auf dieser Seite und speichern Sie ihn für den Rest dieses Vorgangs. Heben Sie aber auch unbedingt die .csv-Datei auf.

    9. Laden Sie die .csv-Datei mit der ID des Zugriffsschlüssels (Access key ID ) und dem geheimen Zugriffsschlüssel (Secret access key) für das Konto herunter und speichern Sie sie an einem sicheren Ort.
  7. Melden Sie sich als Administrator bei FlexNet Beacon an und bestätigen Sie den Zeitplan für die Datenerfassung von AWS.
    Einige Daten auf AWS sind vergänglich: eine beendete Instanz verschwindet zum Beispiel innerhalb von einer Stunde, nachdem Sie diese Entscheidung implementiert haben. Einige Lizenzen (wie IBM PVU) verlangen außerdem, dass Sie spätestens alle 30 Minuten den Spitzenverbrauch messen. Unter anderem aus diesem Grund ist es empfohlene Praxis, alle 30 Minuten eine Datenerfassung von AWS zu planen. Zu diesem Zweck gibt es auf der Seite Data collection > Scheduling (Datenerfassung > Terminplanung) von FlexNet Beacon den Standardzeitplan AWS imports. Wenn Sie Grund haben, die Voreinstellung zu ändern, ist es besser, den Zeitplan zu ändern, bevor Sie die Verbindung einrichten. Sehen Sie unter Ändern eines Zeitplans nach, wenn Sie Hilfe benötigen.
    Tipp: Ändern Sie nicht den Namen des Zeitplans, damit er automatisch mit Ihrer AWS EC2-Verbindung verknüpft werden kann. (Wenn Sie den Namen des Zeitplans versehentlich ändern, wird der Standardzeitplan mit dem Standardnamen bei der nächsten Überprüfung der Richtlinie automatisch wiederhergestellt.)
  8. So konfigurieren Sie die Verbindung zu AWS:
    1. Wählen Sie auf der Benutzeroberfläche von FlexNet Beacon die Seite Inventory Systems (Inventarisierungssysteme) aus.
    2. Klicken Sie zum Anlegen einer neuen Verbindung auf der rechten Seite der geteilten Schaltfläche New (Neu) auf den Abwärtspfeil, und wählen Sie die Option PowerShell.
      Tipp: Sie können auch eine zuvor definierte Verbindung bearbeiten, indem Sie diese aus der Verbindungsliste auswählen und auf Edit... (Bearbeiten) klicken.
    3. Füllen Sie im eingeblendeten Dialog die folgenden Pflichtfelder aus (bzw. ändern Sie diese):
      • Geben Sie im Textfeld Connection Name (Verbindungsname) einen Namen für diese Inventarisierung ein. Dieser wird zum Namen der Datenimportaufgabe in FlexNet Manager Suite.
      • Wählen Sie aus der Liste Source Type (Quelltyp) die Option Amazon Web Services aus.
      • Fügen Sie in den Text für den Zugriffsschlüssel (Access Key) den Zugriffsschlüsselwert ein, den Sie aus der .csv-Datei mit den Anmeldeinformationen kopieren können, die Sie von AWS heruntergeladen haben.
      • Fügen Sie in das Textfeld für den geheimen Zugriffsschlüssel (Secret Access Key) den Wert für den geheimen Zugriffsschlüssel ein, den Sie aus der heruntergeladenen .csv-Datei kopieren können.
      • Wenn Sie beim Anlegen der Rolle eine externe ID konfiguriert haben, kopieren Sie diese ID und fügen Sie sie hier in das Textfeld External ID (Externe ID) ein.
    4. Wenn zwischen der Inventarisierungsstation und AWS ein Proxy-Server im Einsatz ist, markieren Sie außerdem das Kontrollkästchen Use Proxy (Proxy verwenden) und füllen Sie die folgenden zusätzlichen Felder aus:
      • Proxy Server: Geben Sie die Adresse des Proxyservers unter Verwendung von HTTP, HTTPS oder einer IP-Adresse an. Verwenden Sie das Format https://ProxyServerURL:PortNumber, http://ProxyServerURL:PortNumber oder IPAddress:PortNumber). Wird das Protokoll übersprungen, wird standardmäßig http: eingestellt. Wird die Portnummer übersprungen, wird standardmäßig :80 für http bzw. 443 für https eingestellt.
      • Username (Benutzername) und Password (Kennwort:): Wenn Ihr Unternehmen einen authentifizierten Proxy verwendet, geben Sie die Anmeldeinformationen für den Zugriff auf den Proxy an, den Sie gerade festgelegt haben.
    5. Klicken Sie auf Test Connection (Verbindung testen).
      • Wenn Sie die Meldung Test connection failed (Verbindungstest fehlgeschlagen) erhalten, klicken Sie auf OK, um die Meldung zu schließen, überprüfen und korrigieren Sie die Verbindungsdaten und testen Sie die Verbindung erneut. Sie können die Verbindungsdetails nicht speichern, wenn der Verbindungstest fehlgeschlagen ist. Wenn Sie den Verbindungstest nicht erfolgreich abschließen können, klicken Sie auf Cancel (Abbrechen), um das Hinzufügen dieser Verbindungsdaten abzubrechen, und suchen Sie sich Unterstützung.
      • Wenn die Inventarisierungsstation mit den bereitgestellten Daten erfolgreich auf die AWS-APIs zugreifen kann, wird die Meldung Database connection succeeded (Datenbankverbindung erfolgreich) angezeigt. Klicken Sie auf OK, um die Meldung zu schließen. Klicken Sie auf Save (Speichern), um die Verbindung zur Liste hinzuzufügen (oder dort zu aktualisieren).
Ihre gespeicherte Verbindung wird außerdem automatisch mit dem Zeitplan AWS imports verknüpft (bearbeitbar auf der Seite Scheduling (Terminierung) in der Gruppe Data collection (Datenerfassung)) und die Spalte Next run (Nächste Ausführung) zeigt an, wann der nächste Import von AWS EC2 ansteht.