使用IAM配置AWS多云vManage帐户

简介

本文档介绍如何解决尝试使用IAM帐户实现多云自动化时出现的信任问题。

背景

当您在AWS TGW和您的公司AWS账户中使用思科多云功能时，存在信任问题。这是因为唯一的 Account ID 与 vManage EC2 实例。

问题

当您使用IAM帐户进行多云自动化时，会引起信任问题。

解决方案

要解决此问题：

1. 导航至 AWS > Identity and Access Management (IAM) 并创建新的 ROLE 或列出的 ROLE.
2. 在 AWS 门户，输入 IAM 搜索栏中的 IAM 打开。
3. 从侧面板导航至 Roles 然后选择 Create New.

4.选择 Another AWS Account 作为选项。

5. Account ID 是 AWS Account 并拥有 vManage EC2 实例已生成。对于思科托管帐户，帐户ID为“2002388880647”。(这不是您自己的 AWS Account ID.)请参阅本文结尾的参考资料。

6.选中此框 "External ID" 并在 vManage > Cloud onRamp for multi-cloud > Account Management > Add AWS Account.

7.设置权限。 

8. 跳过标记。
9. 查看最后一页并为角色命名。发布创建 ROLE 并复制 ARN 从 AWS 门户。

10. 确保 "Trust Relationship > Edit Relationship"匹配此JSON示例（使用您设置的值）：

{
  "Version": "2022-05-04",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account_number:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "vm:site_address"
        }
      }
    }
  ]
}

11. 复制 ARN 从 AWS 并填写 vManage 多云页面。

此"/var/log/nms/containers/cloudagent-v2/cloudagent-v2.log" 文件包含有价值的消息（带有您设置的值）：

[2021-08-06T02:47:07UTC+0000:140360670770944:INFO:ca-v2:grpc_service.py:432] Returning ValidateAccountInfo Response: {
  "mcCtxt": {
    "tenantId": "VTAC5 - 19335",
    "ctxId": "ebd23ec1-95fa-4e27-8f6a-e3b10c086f95"
  },
  "accountInfo": {
    "cloudType": "AWS",
    "accountName": "aws_accountname",
    "orgName": "VTAC5 - 19335",
    "description": "",
    "billingId": "",
    "awsAccountInfo": {
      "accountSpecificInfo": {
        "authType": "IAM",
        "iamBasedAuth": {
          "arn": "HUIZ82ywKt+EfSdKS8kaMpWCFE7W3vLjqaJCPgmSP1D61Rsd1yrIldmQsf9bW7OFNhUKH5LQg+2Gkdey0IyTUg==",

参考 

Cisco_Cloud_onRamp_for_IaaS_AWS_Version2.html