简介
本文档介绍如何解决尝试使用IAM帐户实现多云自动化时出现的信任问题。
背景
当您在AWS TGW和您的公司AWS账户中使用思科多云功能时,存在信任问题。这是因为唯一的 Account ID
与 vManage EC2
实例。
问题
当您使用IAM帐户进行多云自动化时,会引起信任问题。
解决方案
要解决此问题:
- 导航至
AWS > Identity and Access Management (IAM)
并创建新的 ROLE
或列出的 ROLE.
- 在
AWS
门户,输入 IAM
搜索栏中的 IAM
打开。
- 从侧面板导航至
Roles
然后选择 Create New
.
4.选择 Another AWS Account
作为选项。
5. Account ID
是 AWS Account
并拥有 vManage EC2
实例已生成。对于思科托管帐户,帐户ID为“2002388880647”。(这不是您自己的 AWS Account ID
.)请参阅本文结尾的参考资料。
6.选中此框 "External ID"
并在 vManage > Cloud onRamp for multi-cloud > Account Management > Add AWS Account.
7.设置权限。
- 跳过标记。
- 查看最后一页并为角色命名。发布创建
ROLE
并复制 ARN
从 AWS
门户。
- 确保
"Trust Relationship > Edit Relationship"
匹配此JSON示例(使用您设置的值):
{
"Version": "2022-05-04",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account_number:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "vm:site_address"
}
}
}
]
}
- 复制
ARN
从 AWS
并填写 vManage
多云页面。
此"/var/log/nms/containers/cloudagent-v2/cloudagent-v2.log"
文件包含有价值的消息(带有您设置的值):
[2021-08-06T02:47:07UTC+0000:140360670770944:INFO:ca-v2:grpc_service.py:432] Returning ValidateAccountInfo Response: {
"mcCtxt": {
"tenantId": "VTAC5 - 19335",
"ctxId": "ebd23ec1-95fa-4e27-8f6a-e3b10c086f95"
},
"accountInfo": {
"cloudType": "AWS",
"accountName": "aws_accountname",
"orgName": "VTAC5 - 19335",
"description": "",
"billingId": "",
"awsAccountInfo": {
"accountSpecificInfo": {
"authType": "IAM",
"iamBasedAuth": {
"arn": "HUIZ82ywKt+EfSdKS8kaMpWCFE7W3vLjqaJCPgmSP1D61Rsd1yrIldmQsf9bW7OFNhUKH5LQg+2Gkdey0IyTUg==",
参考
Cisco_Cloud_onRamp_for_IaaS_AWS_Version2.html