Documentation
搜索文档
karat

+

K

API 参考 ↗
管理Enrollment settings配置云身份

注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

配置云身份

云身份使您能够在无需使用静态凭据的情况下认证到云提供商的资源。

只有在以下情况为true时,Control Panel中的云身份页面才会显示:

  • 您的Foundry注册托管在AWS上。
  • 您的Foundry注册运行在Rubix,Palantir的基于Kubernetes的基础设施上。

云身份认证允许Foundry访问您云提供商中的资源,包括Amazon AWS、Microsoft Azure或Google Cloud Platform。云身份在Control Panel的注册级别进行配置和管理,并且在数据连接中设置单个源连接时应导入。

必须授予Foundry生成的云身份访问目标云平台资源的权限。在可用的情况下,推荐使用云身份而不是基于静态凭据的认证。

AWS的云身份

为了访问AWS资源,云身份代表一个在托管您Foundry注册的AWS账户中生成的AWS身份与访问管理(IAM)角色。

截至2024年4月,您可以在Control Panel中为每个注册创建最多15个云身份。如果您需要更多的云身份,请提交客服支持请求以讨论适用于您的注册的可能选项。

云身份概述

为您的注册启用AWS云身份

要为您的注册生成云身份,请导航至Control Panel侧边栏的注册设置 > 云身份。访问此页面需要管理云身份配置工作流,该工作流被授予注册管理员信息安全官角色。

启用多个AWS云身份

选择创建身份,将生成一个IAM角色,并显示注册的云身份的角色Amazon资源编号(ARN)↗

一旦创建,云身份无法删除,其名称也无法编辑。使用多个云身份的用户应注意为何需要新的云身份。

为了启用认证,必须在您的AWS账户中设置两个策略:

策略1: 信任策略指定哪些账户成员被信任以承担该角色。此信任策略必须添加到您AWS账户中的IAM角色。

生成的云身份角色ARN的信任策略示例:

Copied!
1
2
3
4
5
6
7
8
9
10
11
{
   "Statement":
   [
      {
         "Action": "sts:AssumeRole",  // 允许执行 AssumeRole 操作
         "Effect": "Allow",  // 操作的效果是允许
         "Resource": "arn:aws:iam::123456789012:role/palantir-cross-account-identity-d6c9c71c-1f31-4d93-9863-2014fa76a81a"  // 角色的 ARN(亚马逊资源名称),标识可以被假设的角色
      }
   ],
   "Version": "2012-10-17"  // 策略语法的版本
}

策略 2: 权限策略授予角色用户在资源上执行预期任务所需的权限。您必须将策略附加到上面创建的IAM角色。将 $BUCKET 替换为所需源 S3 存储桶的名称。

示例 S3 权限策略:

Copied!
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
{
   "Statement":
   [
      {
         "Action":
         [
            "s3:GetObject", // 允许获取S3对象
            "s3:ListBucket", // 允许列出S3桶中的对象
            "s3:DeleteObject", // 允许删除S3对象
            "s3:PutObject" // 允许向S3桶中放置对象
         ],
         "Effect": "Allow", // 授权操作
         "Resource":
         [
            "arn:aws:s3:::$BUCKET", // S3桶的ARN
            "arn:aws:s3:::$BUCKET/*" // S3桶中所有对象的ARN
         ]
      }
   ],
   "Version": "2012-10-17" // 策略语法版本
}

了解更多关于这些策略的信息,请参阅AWS 文档 ↗.

确保必要的 Foundry Rubix IP 已在您的 AWS 网络上列入允许名单。此外,请验证相关的出口策略是否已添加到您的 Foundry 注册中,以允许 Foundry 和您的 AWS 账户之间的直接连接。您可以在控制面板的网络出口选项中找到您的注册所需的 Foundry Rubix IP,并设置必要的出口策略

如果您的 S3 存储桶与您的 Foundry 实例位于同一区域,您必须使用单独的过程来允许对这些存储桶的出口;来自 Foundry 的 Rubix 的网络流量将来自用于连接 S3 的 Amazon VPCE。VPCE 标识符可以在控制面板的网络出口部分、S3 存储桶策略标签下访问。根据 S3 源的配置方式,VPCE 标识符也可以通过数据连接应用程序暴露。

一个字符串值暴露给用户,以便他们可以从 Foundry 复制并粘贴到他们的 AWS 账户

配置 S3 源时使用云身份

启用后,云身份凭证选项将在 Foundry 的数据连接的连接详细信息页面上可用于您的 S3 源。

具有云身份的 S3 源

使用云身份认证时,角色 ARN 将显示在凭证部分。选择云身份选项后,将预先选择默认的云身份。如果您的注册中存在多个云身份,您可以通过下拉菜单从列表中选择一个。选择云身份后,您还必须配置以下内容:

  1. 在目标 Amazon AWS 账户中配置身份和访问管理 (IAM) 角色。
  2. 授予 IAM 角色访问您希望连接的 S3 存储桶的权限。您通常可以通过存储桶策略 ↗来实现。
  3. 在 S3 源配置详细信息中,在安全令牌服务 (STS) 角色 ↗配置下添加 IAM 角色。Foundry 中的云身份 IAM 角色将尝试在访问 S3 时承担 AWS 账户 IAM 角色 ↗
  4. 配置相应的信任策略 ↗,允许云身份 IAM 角色承担目标 AWS 账户 IAM 角色。