Introducción
Este documento describe cómo resolver los problemas de confianza que se producen cuando intenta utilizar la cuenta IAM para la automatización de varias nubes.
Background
Cuando utiliza la función de nube múltiple de Cisco con AWS TGW y la cuenta de AWS de su empresa, surgen problemas de confianza. Esto se debe a que la empresa única Account ID
es diferente de la vManage EC2
instancia en AWS.
Problema
Cuando se utiliza la cuenta IAM para la automatización de varias nubes, se produce un problema de confianza.
Solución
Para resolver este problema:
- Vaya a
AWS > Identity and Access Management (IAM)
y crear una nueva ROLE
u otro elemento enumerado ROLE.
- En el
AWS
portal, entrar IAM
en la barra de búsqueda. El IAM
se abre.
- En el panel lateral, vaya a
Roles
y, a continuación, seleccione Create New
.
4. Seleccione el Another AWS Account
como opción.
5. El Account ID
es el AWS Account
y tiene el vManage EC2
instancia creada. Para cuentas alojadas de Cisco, el ID de cuenta es "2002388880647". (NO es el suyo propio AWS Account ID
.) Consulte la Referencia al final de este artículo.
6. Active la casilla de verificación "External ID"
e introduzca un valor en vManage > Cloud onRamp for multi-cloud > Account Management > Add AWS Account.
7. Establezca permisos.
- Omita las etiquetas.
- Revise la última página y asigne un nombre al rol. Publicar la creación de
ROLE
y copie el ARN
desde AWS
portal.
- Asegúrese de que la sintaxis de la
"Trust Relationship > Edit Relationship"
coincide con este ejemplo de JSON (con los valores definidos):
{
"Version": "2022-05-04",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account_number:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "vm:site_address"
}
}
}
]
}
- Copie el
ARN
desde AWS
y rellene los detalles de la vManage
página de nube múltiple.
"/var/log/nms/containers/cloudagent-v2/cloudagent-v2.log"
contiene mensajes valiosos (con los valores que haya establecido):
[2021-08-06T02:47:07UTC+0000:140360670770944:INFO:ca-v2:grpc_service.py:432] Returning ValidateAccountInfo Response: {
"mcCtxt": {
"tenantId": "VTAC5 - 19335",
"ctxId": "ebd23ec1-95fa-4e27-8f6a-e3b10c086f95"
},
"accountInfo": {
"cloudType": "AWS",
"accountName": "aws_accountname",
"orgName": "VTAC5 - 19335",
"description": "",
"billingId": "",
"awsAccountInfo": {
"accountSpecificInfo": {
"authType": "IAM",
"iamBasedAuth": {
"arn": "HUIZ82ywKt+EfSdKS8kaMpWCFE7W3vLjqaJCPgmSP1D61Rsd1yrIldmQsf9bW7OFNhUKH5LQg+2Gkdey0IyTUg==",
Referencia
Cisco_Cloud_onRamp_for_IaaS_AWS_Version2.html