Configure AWS Multi-cloud vManage Account with IAM

簡介

本文檔介紹如何解決嘗試使用IAM帳戶實現多雲自動化時出現的信任問題。

背景

當您在AWS TGW和您的公司AWS賬戶中使用思科多雲功能時，存在信任問題。這是因為唯一的 Account ID 與 vManage EC2 例項。

問題

當您將IAM帳戶用於多雲自動化時，它會導致信任問題。

解決方案

要解決此問題：

1. 導航至 AWS > Identity and Access Management (IAM) 並建立新的 ROLE 或列出的 ROLE.
2. 在 AWS 門戶，輸入 IAM 在搜尋欄中 IAM 開啟。
3. 從側面板導航到 Roles 然後選擇 Create New.

4.選擇 Another AWS Account 作為選項。

5. Account ID 是 AWS Account 擁有 vManage EC2 例項已生成。對於思科託管帳戶，帳戶ID為「2002388880647」。(這不是您自己的 AWS Account ID.)請參閱本文結尾的參考文獻。

6.選中覈取方塊 "External ID" 並在下面輸入一個值 vManage > Cloud onRamp for multi-cloud > Account Management > Add AWS Account.

7.設定許可權。 

8. 跳過標籤。
9. 檢視最後一頁並命名角色。發佈建立 ROLE 並複製 ARN 從 AWS 門戶。

10. 確保 "Trust Relationship > Edit Relationship"匹配此JSON示例（使用您設定的值）：

{
  "Version": "2022-05-04",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account_number:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "vm:site_address"
        }
      }
    }
  ]
}

11. 複製 ARN 自 AWS 並填寫 vManage 多雲頁面。

其"/var/log/nms/containers/cloudagent-v2/cloudagent-v2.log" 檔案包含有價值的消息（使用您設定的值）：

[2021-08-06T02:47:07UTC+0000:140360670770944:INFO:ca-v2:grpc_service.py:432] Returning ValidateAccountInfo Response: {
  "mcCtxt": {
    "tenantId": "VTAC5 - 19335",
    "ctxId": "ebd23ec1-95fa-4e27-8f6a-e3b10c086f95"
  },
  "accountInfo": {
    "cloudType": "AWS",
    "accountName": "aws_accountname",
    "orgName": "VTAC5 - 19335",
    "description": "",
    "billingId": "",
    "awsAccountInfo": {
      "accountSpecificInfo": {
        "authType": "IAM",
        "iamBasedAuth": {
          "arn": "HUIZ82ywKt+EfSdKS8kaMpWCFE7W3vLjqaJCPgmSP1D61Rsd1yrIldmQsf9bW7OFNhUKH5LQg+2Gkdey0IyTUg==",

參考 

Cisco_Cloud_onRamp_for_IaaS_AWS_Version2.html