Turbonomic

Turbonomic

Join this online group to communicate across IBM product users and experts by sharing advice and best practices with peers and staying up to date regarding product enhancements.

 View Only

[PT-BR] Adicionando Target AWS (usando ARN Role) ao IBM Turbonomic

By Ricardo Kenji de Lima posted Thu July 11, 2024 10:41 AM

  




Este post mostra como criar uma conta na AWS, que permite o IBM Turbonomic a efetuar a coleta de dados para seu correto funcionamento.

Pré-requisitos

  • A pessoa designada para esta tarefa deve possuir direitos suficientes para criar uma conta na AWS.
  • Se o IBM Turbonomic estiver atrás de um firewall, será necessário liberar acesso as URLs para a devida comunicação. Se o Turbonomic for em SaaS, este passo não é necessário. A lista completa está aqui.

Procedimento

De maneira geral, os seguintes passos serão executados:

  1. Criar uma ARN role, para autenticação federada ao SaaS do IBM Turbonomic.

  2. Implementar como target no Turbonomic.

Atenção: A IBM possui dois tipos de tenants, um com a URL no formato xxxxxx.customer.turbonomic.ibmappdomain.cloud e outro no formato xxxxxx.apptio.turbonomic.ibmappdomain.cloud. As informações são diferentes que virão a seguir.

Criação da IAM Role

  1. Criação do Identity Provider
    1. Navegue até o Identity and Access Management (IAM)
    2. Em Access Management selecione Identity Providers
      image-20230609132833-1
    3. Clique em Add Provider
      image-20230609132917-2
    4. Selecione OpenID Connect
    5. No Provider URL coloque o endereço do OIDC de acordo com a URL do seu tenant:
      • Se o seu tenant for no formato xxxxxx.customer.turbonomic.ibmappdomain.cloud use a seguinte URL: https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7
      • Se o seu tenant for no formato xxxxxx.apptio.turbonomic.ibmappdomain.cloud use a seguinte URL: https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu
    6. Clique em Get thumbprint
    7. Em Audience coloque: sts.amazonaws.com
    8. Clique em Add provider
      image-20230609130750-10
  2. Crie agora a IAM Role
    1. Navegue até Identity and Access Management (IAM)
    2. Em Access Management selecione Roles
      image-20230609130842-11
    3. Clique em Create Role
      image-20230609130928-12
    4. Selecione Web Identity
    5. Em Identity Provider, selecione o que foi criado no passo 1.e.
      • Se o seu tenant for no formato xxxxxx.customer.turbonomic.ibmappdomain.cloud use a seguinte URL: https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7
      • Se o seu tenant for no formato xxxxxx.apptio.turbonomic.ibmappdomain.cloud use a seguinte URL: https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu
    6. Em Audience coloque: sts.amazonaws.com
    7. Clique em Next
      image-20230609131120-13
    8. Adicione as permissões na Role.
      • Para permissões apenas de leitura, use esta policy.
      • Para permissões de leitura e escrita, use esta policy.
    9. Após colocar a policy desejada, clique em Next.
    10. Para o Role Name, coloque um nome desejado qualquer.
    11. Clique em Create Role
      image-20230609131301-14

  3. Conectar o Trust Relationship na Role
    1. Navegue até Identity and Access Management (IAM)
    2. Em Access Management selecione Roles
    3. Localize a Role criada no passo 2 e selecione-a
    4. Clique em Trust Relationship
    5. Clique em Edit trust policy
      image-20230609131343-15
    6. Sobrescreva a policy atual por esse modelo abaixo, lembrando que:
      • <YOUR_AWS_ACCOUNT_NUMBER> - O ID da sua conta que está dando acesso.
      • <TENANT_ID> O Tenant ID enviado pela IBM por seu representante.
      • <TENANT_SVC_ACCOUNT> O Tenant Service Account enviado pela IBM por um representante.

        Se o seu tenant for no formato xxxxxx.customer.turbonomic.ibmappdomain.cloud

        {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:oidc-provider/rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub":"system:serviceaccount:<TENANT_ID>:<TENANT_SVC_ACCOUNT>"
                }
            }
        }
    ]
}

        Se o seu tenant for no formato xxxxxx.apptio.turbonomic.ibmappdomain.cloud

        {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::<YOUR_AWS_ACCOUNT_NUMBER>:oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub": "system:serviceaccount:<TENANT_ID>:<TENANT_SVC_ACCOUNT>"
                }
            }
        }
    ]
}
    7. Clique em Update Policy
      image-20230609131658-16
    8. Use o ID da ARN Role para adicionar como target no IBM Turbonomic
      image-20230609131747-17

  4. Conectando a IAM Role no Turbonomic
    1. No Turbonomic, vá em Settings > Target Configuration > New Target
    2. Selecione Public Cloud > AWS
    3. Altere o botão para IAM Role e cole a ARN Role do passo 3.h
    4. Clique em Add.
      image-20230609131840-18

  5. Pronto! O target deve ficar em estado "verde" e aproximadamente 40 minutos os dados já começam a aparecer.
  6. Se desejar, este é um CloudFormation onde os passos acima podem ser automatizados para múltiplas Accounts. Basta baixá-lo, e editar com o trust correto.

Obrigado e até a próxima!

0 comments
30 views

Permalink