Skip to main content

Configurer un compte AWS et un VPC pour les données privées

Le traitement des données privé AWS implique l'exécution d'un cluster de traitement des données pour Alteryx One Platform dans le cadre de votre compte AWS et de votre VPC. Cette combinaison de logiciels, de votre infrastructure et des ressources AWS gérées par Alteryx est appelée un plan de données privé. Cette page explique comment configurer votre compte AWS et votre VPC pour Alteryx One afin de créer un plan de données privé.

Note

La configuration du compte AWS et du VPC nécessite un accès et des autorisations dans le cadre de la console AWS. Si vous n'y avez pas accès, contactez votre équipe informatique pour effectuer cette étape.

Avertissement

Ne supprimez jamais les ressources provisionnées pour le traitement des données privé.

Étape 1 : Sélectionner le compte AWS

Sélectionnez le compte sur lequel vous souhaitez exécuter votre plan de données privé.

Étant donné que les informations d'identification IAM s'appliquent à l'ensemble du compte, le moyen le plus sûr d'exécuter un plan de données privé est d'utiliser un compte AWS dédié. Ceci n'est pas obligatoire mais recommandé.

Vous souhaitez probablement que ce compte se trouve dans la même région que le compartiment S3 que vous avez sélectionné pour le stockage de données privées, ainsi que toutes les sources de données que vous souhaitez connecter à Alteryx One. Cela permet d'améliorer les performances et de réduire les coûts de sortie.

Le VPC créé dans le compte AWS doit être dédié à Alteryx One. Vous pouvez configurer la connectivité à des sources de données privées à l'aide de l'appairage VPC, de passerelles de transit, etc.

Étape 2 : Configurer l'IAM

Avec votre compte AWS en place, l'étape suivante consiste à configurer le compte utilisateur IAM et les clés d'accès

Étape 2a : Créer un utilisateur IAM (compte de service)

Nom de la clé

Valeur

AACResource

aac_iam_user

  1. Sélectionnez le nouvel utilisateur IAM, puis sélectionnez l'onglet Informations d'identification de sécurité.

  2. Sélectionnez Créer une clé d'accès.

  3. Sélectionnez Autre sous Accéder aux meilleures pratiques et alternatives concernant les clés, puis sélectionnez Suivant.

  4. Sélectionnez Créer une clé d'accès.

Note

Vous aurez besoin de la clé d'accès utilisateur IAM et de la clé secrète ultérieurement lors du provisionnement des ressources cloud et du déploiement des logiciels.

  1. Créez un utilisateur IAM avec le nom aac_automation_sa. Assurez-vous que cet utilisateur n'a pas accès à la console.

  2. Sous Définir les autorisations, sélectionnez Suivant.

  3. Marquez l'utilisateur IAM :

  4. Sélectionnez Créer un utilisateur.

  5. Générez une clé d'accès…

Étape 2b : Créer la politique IAM et la lier au compte de service

Vous devez créer une politique IAM personnalisée. Nommez-la AAC_Base_SA_Policy et utilisez le document de politique suivant. Nous vous recommandons d'utiliser l'onglet JSON au lieu de l'éditeur visuel. Alteryx One a besoin d'autorisations * pour s'exécuter. Attendez-vous à recevoir des avertissements de sécurité lorsque vous créez la politique.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "iam:GetOpenIDConnectProvider",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListInstanceProfilesForRole",
                "iam:ListPolicyTags",
                "iam:ListPolicyVersions",
                "iam:ListRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:oidc-provider/*",
                "arn:aws:iam::*:user/*",
                "arn:aws:iam::*:role/*"
            ]
        },
        {
            "Sid": "VisualEditor3",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:*",
                "iam:GetAccountName",
                "iam:ListAccountAliases",
                "iam:ListRoles",
                "networkmanager:Describe*",
                "networkmanager:Get*",
                "networkmanager:List*",
                "s3:GetBucketAcl",
                "s3:GetBucketCORS",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketOwnershipControls",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite",
                "s3:GetEncryptionConfiguration",
                "s3:GetLifecycleConfiguration",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectVersionAttributes",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectVersionTorrent",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "sts:GetCallerIdentity"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor4",
            "Effect": "Allow",
            "Action": "secretsmanager:*",
            "Resource": "arn:aws:secretsmanager:*:*:secret:*"
        }
    ]
}

Étape 2c : Marquer la politique IAM

  1. Marquez la politique IAM personnalisée créée à l'étape 2b.

    Nom de la clé

    Valeur

    AACResource

    aac_sa_custom_policy

  2. Rattachez la politique IAM AAC_Base_SA_Policy au compte de service aac_automation_sa créé à l'étape 2a.

    Note

    AAC_Base_SA_Policy est un exemple de nom de politique. Vous pouvez choisir n'importe quel nom pour la politique, mais il doit commencer par AAC_Base.

Étape 3 : Créer un VPC

Les blocs CIDR mentionnés ci-dessous sont réservés au plan de contrôle Alteryx One. Évitez de configurer les CIDR du VPC avec :

  • 100.64.0.0/10

  • 10.4.0.0/14

  • 10.64.0.0/20

  • 10.0.0.0/22

Créez le VPC après avoir créé la politique IAM…

  1. Créez un nouveau VPC dans 1 des régions prises en charge. Pour plus d'informations sur les régions prises en charge, consultez Private Data Processing.

  2. Sélectionnez VPC et plus.

  3. Configurer les blocs CIDR dans le VPC. Vous devrez peut-être créer le VPC avec un seul CIDR, puis sélectionner Modifier les CIDR pour ajouter le second.

    1. Pour Designer Cloud, Machine Learning, Auto Insights et App Builder, ajoutez les CIDR /18 et /21.

    2. Pour Exécution Cloud pour Desktop, ajoutez le CIDR /21.

  4. Sélectionnez 3 dans la section Nombre de zones de disponibilité (AZ).

  5. Sélectionnez 0 dans la section Nombre de sous-réseaux publics.

  6. Sélectionnez 0 dans la section Nombre de sous-réseaux privés.

  7. Sélectionnez Aucune dans la section Passerelles NAT.

  8. Activez le point de terminaison VPC Passerelle S3 dans le VPC.

  9. Activer les noms d'hôte DNS et la résolution.

  10. Marquez le VPC.

Nom de la balise

Valeur

AACResource

aac_vpc

Note

Les connexions à des sources de données privées nécessitent des chemins réseau entre le VPC et la source de données. Comme défini dans la matrice de responsabilité partagée, vous configurez ces chemins réseau conformément à vos propres politiques et préférences réseau.

Étape 4 : Marquer la passerelle de transit et la passerelle Internet

Si votre configuration réseau nécessite l'utilisation d'une passerelle de transit ou d'une passerelle Internet, configurez-les et marquez-les maintenant.

Nom de la balise

Valeur

AACResource

aac

Étape 4a : Mettre l'adresse IP sur liste blanche

Les produits Alteryx Cloud sont déployés au sein d'un cluster Kubernetes. Le plan de contrôle communique de manière sécurisée avec le cluster Kubernetes du plan de données via un tunnel VPN WireGuard. Pour permettre une communication transparente et sécurisée via le VPN WireGuard, l'adresse IP suivante doit être mise sur liste blanche dans le réseau du plan de données pour le trafic d'entrée et de sortie :

PDP dans Alteryx Cloud

Adresses IP à mettre sur liste blanche

us1.alteryxcloud.com

Adresses IP du serveur WireGuard : 34.149.191.17 sur le port TCP 443

34.127.5.134, 35.203.150.52 sur le port UDP 51820

Adresses IP du plan de contrôle : 34.118.199.26, 34.82.130.80/29

Adresses IP Teleport : 34.145.177.98 sur le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 sur le port TCP 443

eu1.alteryxcloud.com

Adresses IP du serveur WireGuard : 35.244.193.191 sur le port TCP 443

34.141.115.208, 34.159.185.26 sur le port UDP 51820

Adresses IP du plan de contrôle : 34.141.45.236, 34.89.162.16/29

Adresses IP Teleport : 34.145.177.98 sur le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 sur le port TCP 443

au1.alteryxcloud.com

Adresses IP du serveur WireGuard : 34.107.140.97 sur le port TCP 443

35.197.167.155, 35.244.84.72 et le port UDP 51820

Adresses IP du plan de contrôle : 34.87.234.110, 34.40.128.80/29

Adresses IP Teleport : 34.145.177.98 et le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 et le port TCP 443

preprod.alteryxcloud.com

Adresses IP du serveur WireGuard : 34.120.226.216 sur le port TCP 443

35.230.188.196, 35.221.3.230 et le port UDP 51820

Adresses IP du plan de contrôle : 34.86.96.59, 35.199.17.14, 34.86.74.210

Adresses IP Teleport : 34.145.177.98 et le port TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 et le port TCP 443

Étape 5 : Créer une clé symétrique pour le coffre-fort sécurisé

Vos informations d'identification de source de données sont chiffrées à l'aide de votre clé et stockées en toute sécurité dans un coffre-fort privé (stockage d'informations d'identification privé) au sein de votre compte de plan de données privé. Ces informations d'identification ne sont récupérées du coffre-fort que lorsque vous en avez besoin.

  1. Accédez à Services de gestion des clés et sélectionnez Créer une clé.

  2. Sélectionnez Type de clé > Symétrique.

  3. Sélectionnez Utilisation de la clé > Chiffrer et déchiffrer.

  4. Nommez la clé aac-credentials-vault-key.

  5. Marquez la clé.

    Nom de la balise

    Valeur

    AACResource

    aac

  6. Pour Administrateur des clés, cliquez sur Suivant.

  7. Pour Autorisations d'utilisation des clés, cliquez sur Suivant.

  8. Sélectionnez Terminer.

Note

La clé ARN est fournie sur la page Traitement des données privé.

Étape 6 : Demander une augmentation de quota

Par défaut, chaque compte AWS dispose d'une limite maximale sur le nombre de vCPU exécutés simultanément. Pour exécuter votre environnement privé, vous devez demander une augmentation de quota. Votre environnement peut ainsi évoluer pour répondre à vos besoins.

Le nombre exact que vous spécifiez dépend de plusieurs facteurs, tels que le nombre d'applications que vous exécutez, votre niveau de tolérance pour l'attente de l'exécution des tâches en cas de manque de matériel et votre volonté à payer pour une infrastructure supplémentaire afin de passer moins de temps à attendre l'exécution des tâches.

Vous trouverez ci-dessous les chiffres recommandés pour l'exécution de charges de travail analytiques sur Alteryx One Platform. Vous pouvez choisir un autre chiffre. Par exemple, vous pourriez ne pas vouloir monter aussi haut pour limiter le coût de l'environnement. Ou vous pouvez l'augmenter parce que vous exécutez plusieurs applications Alteryx One Platform et que vous voulez vous assurer que le matériel est toujours disponible.

Alteryx recommande de demander une augmentation du quota pour les quotas suivants :

Amazon EC2

Ce quota s'applique au cluster Kubernetes qui exécute Designer Cloud, Machine Learning, Auto Insights et App Builder. Il s'applique également au groupe de machines virtuelles de mise à l'échelle automatique qui alimente Exécution Cloud pour Desktop.

Notre recommandation pour ce quota est d'autoriser votre cluster et vos groupes de mise à l'échelle automatique à consommer jusqu'à 50 nœuds.

  • Nom du quota : exécution d'instances standard à la demande (A, C, D, H, I, M, R, T, Z).

  • Description du quota : nombre maximal de vCPU attribués à l'exécution d'instances standard à la demande (A, C, D, H, I, M, R, T, Z).

  • Valeur du quota par défaut AWS : 5

  • Valeur du quota minimum recommandée : 800 (50 nœuds x 16 vCPU/nœud).

Amazon EMR

Ce quota ne s'applique que si vous prévoyez de déployer EMR comme option de traitement Designer Cloud.

  • Nom du quota : nombre maximal de vCPU simultanés par compte.

  • Description du quota : nombre maximal de vCPU pouvant être exécutés simultanément sur ce compte dans la région actuelle.

  • Valeur du quota par défaut AWS : 16

  • Valeur du quota appliqué : 1024

Comment demander une augmentation de quota

  1. Connectez-vous à la console de compte AWS.

  2. Recherchez Quotas de service et sélectionnez le service.

  3. Sélectionnez Service AWS dans le panneau de navigation de gauche.

  4. Recherchez le service (par exemple, Amazon EMR Serverless ou Amazon EC2).

  5. Sélectionnez le nom du quota.

  6. Sélectionnez Demander une augmentation de quota.

  7. Demandez l'augmentation de quota spécifiée.

Étape 7 : Déclencher le provisionnement du traitement des données privé

Avertissement

La modification ou la suppression de ressources de cloud public provisionnées par Alteryx One après la configuration de la gestion des données privées peut entraîner des incohérences. Ces incohérences peuvent causer des erreurs lors de l'exécution de la tâche ou lors du désapprovisionnement de la configuration de gestion des données privées.

Le provisionnement de l'environnement de traitement des données est déclenché à partir de la console d'administration dans Alteryx One. Vous devez disposer des privilèges Admin de l'espace de travail dans un espace de travail pour pouvoir le voir.

  1. Depuis la page d'accueil Alteryx One, sélectionnez l'icône en forme de cercle en haut à droite avec vos initiales. Sélectionnez Console d'administration dans le menu.

  2. Dans le menu de navigation de gauche, sélectionnez Gestion des données privées.

Assurez-vous que le stockage de données privées indique Configuré avec succès avant de continuer. Si le statut est Non configuré, accédez d'abord à AWS S3 en tant que stockage de données privées, puis revenez à cette étape.

Dans la section Traitement des données privé, vous devez remplir 5 champs. Ces valeurs proviennent des étapes de configuration du compte AWS et du VPC que vous venez de terminer.

Note

La clé ARN est fournie sur la page Traitement des données privé à l'étape 5 : Créer une clé symétrique pour le coffre-fort sécurisé.

Sélectionner Créer déclenche une série de contrôles de validation afin de vérifier que le compte AWS est configuré en fonction des besoins. Si les autorisations ne sont pas configurées correctement, ou si les ressources VNet ne sont pas créées ou marquées correctement, vous recevrez un message d'erreur avec une description qui devrait vous orienter dans la bonne direction.

Remarques importantes

Planification des changements de configuration

Alteryx One Platform est un système distribué. Les modifications apportées à la configuration du traitement des données privé doivent être propagées à plusieurs systèmes avant qu'elles ne prennent pleinement effet. Par exemple, si des tâches planifiées sont déjà en cours d'exécution dans votre espace de travail lorsque vous configurez le traitement des données privé, vous pouvez continuer à voir l'exécution des tâches se produire dans l'environnement de traitement des données Alteryx pendant quelques minutes par la suite.

Connexions sortantes

Le logiciel qui s'exécute dans votre environnement de traitement des données privé nécessite une communication sortante (sortie) pour plusieurs raisons :

  1. Les workflows ont souvent besoin d'accéder à une source de données publique, telle que les compartiments de stockage dans le cloud et les entrepôts de données.

  2. Les services de plan de données nécessitent souvent l'accès à d'autres services exécutés dans le plan de contrôle (passer un appel API, s'abonner à une file d'attente de messages, etc.).

  3. Les images logicielles sont souvent récupérées à partir de référentiels d'images pour maintenir vos logiciels à jour.

  4. Alteryx collecte les journaux d'application et les données de télémétrie pour surveiller l'intégrité et les performances des services du plan de données et pour faciliter les efforts de dépannage.

N'appliquez aucune règle supplémentaire à votre VPC ou à vos groupes de sécurité pour bloquer ou restreindre ce trafic sortant.

Modification des informations d'identification

Dans l'étape Étape 2a : Créer un utilisateur IAM (compte de service), vous avez créé un utilisateur IAM appelé aac_iam_user avec une clé d'accès associée. Alteryx ne contrôle pas ces informations d'identification.

Alteryx vous recommande de procéder à une modification de ces informations d'identification conformément aux politiques de votre entreprise. Si votre entreprise n'applique aucune politique, AWS recommande une modification tous les 90 jours. N'oubliez pas qu'Alteryx doit conserver l'accès au VPC pour mettre à jour les ressources et les logiciels cloud, surveiller l'intégrité de votre environnement privé et résoudre les problèmes. Lors de la modification de ces informations d'identification dans AWS, n'oubliez pas de vous connecter à Alteryx One Platform et de fournir également les informations d'identification les plus récentes.

Prochaines étapes

App Builder in AWS

Auto Insights in AWS

Cloud Execution for Desktop in AWS

Designer Cloud and EMR Serverless in AWS

Machine Learning in AWS

Dans cette section​: