注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

クラウドアイデンティティの設定

クラウドアイデンティティは、静的な資格情報を使用せずにクラウドプロバイダのリソースに認証することを可能にします。

Beta

クラウドアイデンティティはベータ版の状態であり、AWSでホストされているFoundryのエンロールメントにのみリクエストにより利用可能です。

以下が真である場合にのみ、コントロールパネルのクラウドアイデンティティページが表示されます:

  • ユーザーのFoundryエンロールメントがAWSでホストされています。
  • ユーザーのFoundryエンロールメントがPalantirのKubernetesベースのインフラストラクチャ、Rubix上で動作しています。
  • ユーザーのエンロールメントに対してPalantirがクラウドアイデンティティのベータ機能を有効にしています。

クラウドアイデンティティ認証は、Foundryがユーザーのクラウドプロバイダのリソースにアクセスすることを可能にします。これには、Amazon AWS、Microsoft Azure、またはGoogle Cloud Platformが含まれます。クラウドアイデンティティはコントロールパネル内のエンロールメントレベルで設定および管理され、データ接続で個々のソース接続を設定する際にインポートする必要があります。

Foundryが生成したクラウドアイデンティティは、ターゲットのクラウドプラットフォーム内のリソースにアクセスするための権限を付与する必要があります。可能であれば、静的な資格情報に基づく認証よりもクラウドアイデンティティが推奨されます。

AWSのためのクラウドアイデンティティ

AWSリソースへのアクセスのために、クラウドアイデンティティはユーザーのFoundryエンロールメントがホストされているAWSアカウントで生成されたAWS Identity and Access Management (IAM) ロールを表します。

エンロールメントごとに生成できるクラウドアイデンティティは1つだけです。

クラウドアイデンティティ概要

ユーザーのエンロールメントのためのAWSクラウドアイデンティティを有効にする

エンロールメントのためのクラウドアイデンティティを生成するには、コントロールパネルのサイドバーで エンロールメント設定 > クラウドアイデンティティ に移動します。このページへのアクセスには、クラウドアイデンティティ設定を管理するワークフローが必要で、これはエンロールメント管理者および情報セキュリティオフィサーの役割に付与されます。

AWSクラウドアイデンティティを有効にする

アイデンティティを作成を選択し、IAMロールが生成され、エンロールメントのクラウドアイデンティティのためのロールAmazon Resource Number (ARN)が表示されます。

認証を有効にするために、ユーザーのAWSアカウントに2つのポリシーを設定する必要があります:

**ポリシー1:**信頼ポリシーは、ロールを引き受けることが信頼されているアカウントメンバーを指定します。この信頼ポリシーは、ユーザーのAWSアカウント内のIAMロールに追加する必要があります。

生成されたクラウドアイデンティティロールARNのための信頼ポリシーの例:

Copied!
1 2 3 4 5 6 7 8 9 10 11 { "Statement": [ { "Action": "sts:AssumeRole", // "sts:AssumeRole"のアクションを許可します。 "Effect": "Allow", // 効果は"許可"です。 "Resource": "arn:aws:iam::123456789012:role/palantir-cross-account-identity-d6c9c71c-1f31-4d93-9863-2014fa76a81a" // このリソースに対してのアクションが許可されています。 } ], "Version": "2012-10-17" // ポリシーのバージョンは"2012-10-17"です。 }

ポリシー 2: 権限ポリシーは、リソース上で意図したタスクを実行するために必要な権限をロールユーザーに付与します。このポリシーを上記で作成した IAM ロールにアタッチする必要があります。$BUCKET を目的のソース S3 バケットの名前に置き換えてください。

例えば S3 の権限ポリシーは次のようになります:

Copied!
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 { "Statement": [ { "Action": [ "s3:GetObject", // S3からオブジェクトを取得するアクション "s3:ListBucket", // S3バケットのリストを表示するアクション "s3:DeleteObject", // S3からオブジェクトを削除するアクション "s3:PutObject" // S3にオブジェクトを追加するアクション ], "Effect": "Allow", // これらのアクションを許可する "Resource": [ "arn:aws:s3:::$BUCKET", // バケット全体に対するリソース "arn:aws:s3:::$BUCKET/*" // バケット内の全てのオブジェクトに対するリソース ] } ], "Version": "2012-10-17" // ポリシーのバージョン }

AWS のドキュメントでこれらのポリシーについて詳しく学んでください。

Foundry Rubix の IP が AWS ネットワークに許可されていることを確認してください。また、Foundry エンロールメントと AWS アカウントとの直接接続を許可するために、関連するエグレスポリシーがエンロールメントに追加されていることを確認してください。コントロールパネルの Network Egress オプションで、ユーザーのエンロールメント用の Foundry Rubix IP を見つけ、必要なエグレスポリシーを設定することができます。

S3 バケットが Foundry インスタンスがホストされているのと同じリージョンにある場合、それらのバケットへのエグレスを許可するために別のプロセスを使用する必要があります。Foundry の Rubix からのネットワークトラフィックは、代わりに S3 に接続するために使用される Amazon VPCE から来ます。Palantir の担当者に連絡して、VPCE 識別子(例:vpce-0f6c811f31b0fcd33)を取得してください。

S3 ソースの構成時にクラウドアイデンティティを使用する

有効にすると、Cloud identity 資格情報オプションは、Foundry の Data Connection の Connection details ページで S3 ソースと一緒に使用できるようになります。

S3 ソースとクラウドアイデンティティ

クラウドアイデンティティ認証を使用する場合、資格情報セクションにロール ARN が表示されます。Cloud identity オプションを選択した後、以下の手順も実行する必要があります。

  1. ターゲットの Amazon AWS アカウントで Identity and Access Management(IAM)ロールを構成します。
  2. IAM ロールに、接続したい S3 バケットへのアクセス許可を与えます。通常、バケットポリシーを使ってこれを行うことができます。
  3. S3 ソースの構成詳細で、Security Token Service(STS)ロールの構成に IAM ロールを追加します。Foundry のクラウドアイデンティティ IAM ロールは、S3 にアクセスする際に AWS アカウントの IAM ロールを引き受けようとします (https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
  4. クラウドアイデンティティ IAM ロールがターゲットの AWS アカウント IAM ロールを引き受けることを許可する 対応する信頼ポリシーを構成 します。