Configurazione dell'account AWS e di VPC per i dati privati

In AWS, l'elaborazione privata dei dati implica l'esecuzione di un cluster di elaborazione dati per Alteryx One Platform all'interno del tuo account AWS e del tuo VPC. Questa combinazione di software, infrastruttura e risorse AWS gestite da Alteryx prende il nome di Piano dati privato. In questa pagina viene spiegato come configurare l'account AWS e il VPC per consentire a Alteryx One di creare un Piano dati privato.

Nota

L'impostazione dell'account AWS e del VPC richiede le autorizzazioni di accesso alla console AWS. Se non disponi di tali autorizzazioni, per completare questo passaggio devi contattare il personale IT.

Avvertimento

Non eliminare mai le risorse fornite per l'elaborazione privata dei dati.

Passaggio 1: selezione dell'account AWS.

Seleziona l'account in cui desideri eseguire il Piano dati privato.

Poiché le credenziali IAM vengono applicate all'intero account, il modo più sicuro per eseguire un Piano dati privato consiste nell'utilizzare un account AWS dedicato. Questo metodo non è obbligatorio, ma è consigliato.

In genere, è preferibile che questo account si trovi nella stessa regione del bucket S3 selezionato per l'archiviazione dati privata, oltre che per qualsiasi origine dati da connettere a Alteryx One. Questo consente infatti di migliorare le prestazioni e ridurre i costi di uscita.

Il VPC creato nell'account AWS dovrebbe essere dedicato a Alteryx One. Per impostare la connettività alle origini dati private, è possibile utilizzare il peering VPC o i gateway di transito.

Passaggio 2: configurazione del modulo IAM

Dopo aver creato l'account AWS, è necessario impostare l'account utente IAM e le relative chiavi di accesso.

Passaggio 2a: creazione di un utente IAM (account di servizio)

Nome chiave	Valore
AACResource	aac_iam_user

Seleziona il nuovo utente IAM, quindi seleziona la scheda Credenziali di sicurezza.
Seleziona Crea chiave di accesso.
In Best practice e alternative per le chiavi di accesso seleziona Altro, quindi seleziona Avanti.
Seleziona Crea chiave di accesso.

Nota

Dovrai utilizzare la chiave di accesso e la chiave segreta dell'utente IAM in un secondo momento, durante il provisioning delle risorse cloud e il deployment del software.

Crea un utente IAM di nome aac_automation_sa. Assicurati che tale utente non abbia accesso alla console.
In Imposta autorizzazioni seleziona Avanti.
Applica un tag all'utente IAM:
Seleziona Crea utente.
Genera una chiave di accesso...

Passaggio 2b: creazione della policy IAM e relativa associazione all'account di servizio

È necessario creare una policy IAM personalizzata, di nome AAC_Base_SA_Policy, e utilizzare il seguente documento di policy. È consigliabile utilizzare la scheda JSON al posto dell'editor visivo. Per l'esecuzione di Alteryx One sono necessarie alcune autorizzazioni *. Durante la creazione della policy verranno probabilmente visualizzati alcuni avvisi di sicurezza.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "iam:GetOpenIDConnectProvider",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListInstanceProfilesForRole",
                "iam:ListPolicyTags",
                "iam:ListPolicyVersions",
                "iam:ListRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:oidc-provider/*",
                "arn:aws:iam::*:user/*",
                "arn:aws:iam::*:role/*"
            ]
        },
        {
            "Sid": "VisualEditor3",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:*",
                "iam:GetAccountName",
                "iam:ListAccountAliases",
                "iam:ListRoles",
                "networkmanager:Describe*",
                "networkmanager:Get*",
                "networkmanager:List*",
                "s3:GetBucketAcl",
                "s3:GetBucketCORS",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketOwnershipControls",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite",
                "s3:GetEncryptionConfiguration",
                "s3:GetLifecycleConfiguration",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectVersionAttributes",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectVersionTorrent",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "sts:GetCallerIdentity"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor4",
            "Effect": "Allow",
            "Action": "secretsmanager:*",
            "Resource": "arn:aws:secretsmanager:*:*:secret:*"
        }
    ]
}

Passaggio 2c: aggiunta di un tag alla policy IAM.

Aggiungi un tag alla policy IAM personalizzata creata nel Passaggio 2b.
Nome chiave
Valore
AACResource
aac_sa_custom_policy
Associa la policy IAM AAC_Base_SA_Policy all'account di servizio aac_automation_sa creato nel Passaggio 2a.
Nota
Il nome AAC_Base_SA_Policy è solo un esempio. È possibile scegliere qualsiasi nome per la policy, purché cominci con AAC_base.

Nome chiave	Valore
AACResource	aac_sa_custom_policy

Passaggio 3: creazione di un VPC

I blocchi CIDR indicati di seguito sono riservati al Piano di controllo Alteryx One. Evita di configurare i blocchi CIDR del VPC con:

100.64.0.0/10
10.4.0.0/14
10.64.0.0/20
10.0.0.0/22

Crea il VPC dopo aver creato la policy IAM...

Crea un nuovo VPC in una delle regioni supportate. Per informazioni sulle regioni supportate, vai a Private Data Processing.
Seleziona VPC e altro.
Configura i blocchi CIDR nel VPC. Potrebbe essere necessario creare il VPC con un solo CIDR e quindi selezionare Modifica CIDR per aggiungere il secondo CIDR.
1. Per Designer Cloud, Machine Learning, Auto Insights e App Builder, aggiungi i blocchi CIDR /18 e /21.
2. Per Cloud Execution for Desktop, aggiungi il blocco CIDR /21.
Seleziona 3 nella sezione Numero di zone di disponibilità.
Seleziona 0 nella sezione Numero di sottoreti pubbliche.
Seleziona 0 nella sezione Numero di sottoreti private.
Seleziona Nessuno nella sezione Gateway NAT.
Abilita l'endpoint VPC Gateway S3 all'interno del VPC.
Abilita i nomi host e la risoluzione DNS.
Assegna un tag al VPC.

Nome tag	Valore
AACResource	aac_vpc

Nota

Per connettere un'origine dati privata, è necessario un percorso di rete fra il VPC e l'origine dati. Come indicato nella matrice di responsabilità condivisa, questi percorsi di rete devono essere impostati in base alle preferenze e policy di rete dell'utente.

Passaggio 4: assegnazione di tag al gateway di transito e al gateway Internet

Se la configurazione della tua rete richiede un gateway di transito o un gateway Internet, configurali ora e contrassegnali con un tag.

Nome tag	Valore
AACResource	aac

Passaggio 4a: autorizzazione degli indirizzi IP

I prodotti Alteryx Cloud vengono implementati all'interno di un cluster Kubernetes. Il Piano di controllo utilizza un tunnel VPN WireGuard per comunicare in modo sicuro con il cluster Kubernetes del Piano dati. Per garantire comunicazioni fluide e sicure tramite la VPN WireGuard, è necessario autorizzare il seguente indirizzo IP della rete del Piano dati, sia per il traffico in entrata che per quello in uscita:

PDP in Alteryx Cloud	Indirizzi IP da autorizzare
us1.alteryxcloud.com	Indirizzi IP del server Wireguard: `34.149.191.17` sulla porta TCP `443` `34.127.5.134` e `35.203.150.52` sulla porta UDP `51820` Indirizzi IP del piano di controllo: `34.118.199.26` e `34.82.130.80/29` Indirizzi IP Teleport: `34.145.177.98` sulle porte TCP `443`, `3023`, `3024`, `3026` e `3036` `34.85.215.128` sulla porta TCP `443`
eu1.alteryxcloud.com	Indirizzi IP del server Wireguard: `35.244.193.191` sulla porta TCP `443` `34.141.115.208`, `34.159.185.26` sulla porta UDP `51820` Indirizzi IP del piano di controllo: `34.141.45.236` e `34.89.162.16/29` Indirizzi IP Teleport: `34.145.177.98` sulle porte TCP `443`, `3023`, `3024`, `3026` e `3036` `34.85.215.128` sulla porta TCP `443`
au1.alteryxcloud.com	Indirizzi IP del server Wireguard: `34.107.140.97` sulla porta TCP `443` `35.197.167.155`, `35.244.84.72` sulla porta UDP `51820` Indirizzi IP del piano di controllo: `34.87.234.110` e `34.40.128.80/29` Indirizzi IP Teleport: `34.145.177.98` sulle porte TCP `443`, `3023`, `3024`, `3026` e `3036` `34.85.215.128` sulla porta TCP `443`
preprod.alteryxcloud.com	Indirizzi IP del server Wireguard: `34.120.226.216` sulla porta TCP `443` `35.230.188.196`, `35.221.3.230` sulla porta UDP `51820` Indirizzi IP del piano di controllo: `34.86.96.59`, `35.199.17.14`, `34.86.74.210` Indirizzi IP Teleport: `34.145.177.98` sulle porte TCP `443`, `3023`, `3024`, `3026` e `3036` `34.85.215.128` sulla porta TCP `443`

Passaggio 5: creazione di una chiave simmetrica per il vault sicuro

Le credenziali dell'origine dati vengono crittografate utilizzando la chiave e memorizzate in modo sicuro in un vault privato (archiviazione privata delle credenziali) nell'ambito dell'account del Piano dati privato. Queste credenziali vengono recuperate dal vault solo quando necessario.

Accedi a Key Management Services e seleziona Crea chiave.
Seleziona Tipo chiave > Simmetrico.
Seleziona Uso chiave > Crittografia e decrittografia.
Assegna il nome aac-credentials-vault-key alla chiave.
Assegna un tag alla chiave.
Nome tag
Valore
AACResource
aac
Per Amministratore chiavi seleziona Avanti.
Per Autorizzazioni di utilizzo chiavi seleziona Avanti.
Seleziona Fine.

Nota

La chiave ARN è disponibile nella pagina Elaborazione privata dei dati.

Passaggio 6: richiesta degli incrementi di quota

Per impostazione predefinita, per ogni account AWS è previsto un numero massimo di vCPU eseguibili contemporaneamente. Per gestire l'ambiente privato, è necessario richiedere un incremento della quota di modo che l'ambiente possa scalare in funzione delle tue esigenze.

Il numero esatto da specificare dipende da diversi fattori, come il numero delle applicazioni in esecuzione, il tempo massimo di attesa dell'esecuzione dei processi quando l'hardware non è sufficiente e la tua disponibilità ad aumentare i costi sostenuti per l'infrastruttura al fine di ridurre i tempi di esecuzione dei processi.

Di seguito sono riportati i valori consigliati per l'esecuzione dei carichi di lavoro analitici in Alteryx One Platform, ma tu puoi scegliere di impostare valori diversi. Ad esempio potresti scegliere di non aumentare la scala, per limitare il costo dell'ambiente, oppure di incrementarla perché devi eseguire diverse applicazioni Alteryx One Platform e vuoi avere la certezza che l'hardware sia sempre disponibile.

Alteryx consiglia di richiedere un incremento delle quote seguenti:

Amazon EC2

Questa quota si applica al cluster Kubernetes che esegue Designer Cloud, Machine Learning, Auto Insights e App Builder. Si applica anche al gruppo di macchine virtuali con ridimensionamento automatico utilizzato da Cloud Execution for Desktop.

I valori consigliati per questa quota hanno lo scopo di consentire al cluster e ai gruppi con ridimensionamento automatico di utilizzare fino a 50 nodi.

Nome della quota: Istanze standard per l'esecuzione on-demand (A, C, D, H, I, M, R, T, Z).
Descrizione della quota: numero massimo di vCPU assegnate alle istanze standard per l'esecuzione on-demand (A, C, D, H, I, M, R, T, Z).
Valore predefinito della quota AWS: 5
Valore minimo consigliato per la quota: 800 (50 nodi x 16 vCPU/nodo)

Amazon EMR

Questa quota si applica solo se si prevede di implementare EMR come opzione di elaborazione Designer Cloud.

Nome della quota: Numero massimo di vCPU simultanee per account.
Descrizione della quota: numero massimo delle vCPU che possono essere eseguite contemporaneamente in questo account nella regione corrente.
Valore predefinito della quota AWS: 16
Valore di quota applicato: 1024

Come richiedere un incremento della quota

Accedi alla console dell'account AWS.
Ricerca Quote di servizio e seleziona il servizio desiderato.
Seleziona Servizio AWS nel riquadro di navigazione a sinistra.
Cerca il servizio (ad esempio Amazon EMR Serverless o Amazon EC2).
Seleziona il nome della quota.
Seleziona Richiedi incremento della quota.
Richiedi l'incremento della quota specificata.

Passaggio 7: attivazione del provisioning del trattamento dati privato

Avvertimento

La modifica o la rimozione di qualunque risorsa di cloud pubblico fornita da Alteryx One dopo la configurazione della trattamento dati privato, può causare incongruenze. Tali incongruenze possono causare errori durante l'esecuzione del processo o il deprovisioning della configurazione di gestione dei dati privati.

Il provisioning dell'ambiente di elaborazione dati viene attivato dalla console di amministrazione in Alteryx One. Per vederlo, devi avere i privilegi di amministrazione dello spazio di lavoro in questione.

Nella pagina di destinazione di Alteryx One seleziona l'icona del cerchio con le tue iniziali, in alto a destra. Seleziona Console di amministrazione dal menu.
Seleziona Trattamento dati privato dal menu di navigazione a sinistra.

Prima di procedere, assicurati che per Archiviazione dati privata sia visualizzata la dicitura Configurata correttamente. Se lo stato è Non configurata, vai prima a AWS S3 come archivio dati privato, quindi torna a questo passaggio.

Nella sezione Elaborazione privata dei dati, è necessario compilare 5 campi, utilizzando i valori ottenuti durante i passaggi della procedura di configurazione dell'account AWS e del VPC.

Nota

La chiave ARN è disponibile nella pagina Elaborazione privata dei dati del Passaggio 5: creazione di una chiave simmetrica per il vault sicuro.

Quando selezioni il pulsante Crea viene avviata una serie di controlli di convalida per verificare che l'account AWS sia configurato correttamente. Se le autorizzazioni non sono configurate correttamente, o le risorse della rete virtuale non sono state create o taggate correttamente, riceverai un messaggio di errore con una descrizione che spiega come correggerlo.

Note importanti

Tempistica delle modifiche alla configurazione

Alteryx One Platform è un sistema distribuito. Per avere completamente effetto, le modifiche apportate alla configurazione di elaborazione privata dei dati devono essere propagate a vari sistemi. Ad esempio, se nel tuo spazio di lavoro sono già in esecuzione alcuni processi programmati, quando configuri l'elaborazione privata dei dati l'esecuzione di tali processi nell'ambiente di elaborazione dati Alteryx potrebbe continuare ancora per alcuni minuti dopo la configurazione.

Connessioni in uscita

Il software eseguito nell'ambiente di elaborazione privata dei dati richiede la comunicazione in uscita per diversi motivi:

I flussi di lavoro hanno spesso bisogno di accedere a un'origine dati pubblica, come i bucket di archiviazione nel cloud e i data warehouse.
I servizi del Piano dati richiedono spesso l'accesso ad altri servizi in esecuzione nel Piano di controllo (chiamate API, iscrizione a una coda di messaggi e così via).
Le immagini software vengono spesso recuperate dai repository di immagini, per garantire l'aggiornamento regolare del software.
Alteryx raccoglie i log applicativi e i dati di telemetria per monitorare lo stato e le prestazioni dei servizi del Piano dati e per supportare le attività di risoluzione dei problemi.

Non applicare al VPC o ai gruppi di sicurezza regole aggiuntive con lo scopo di bloccare o limitare il traffico in uscita.

Rotazione delle credenziali

Nel passaggio Passaggio 2a: creazione di un utente IAM (account di servizio) è stato creato un utente IAM di nome called aac_iam_user, associato a una chiave di accesso. Queste credenziali non sono controllate da Alteryx.

Alteryx consiglia di ruotare queste credenziali come previsto dalle policy aziendali. Se l'azienda non dispone di policy, AWS consiglia di eseguire la rotazione ogni 90 giorni. Ricorda che Alteryx deve mantenere l'accesso al VPC per aggiornare il software e le risorse cloud, monitorare lo stato dell'ambiente privato e risolvere i problemi. Quando esegui la rotazione di queste credenziali in AWS, ricordati di accedere anche a Alteryx One Platform e fornire le credenziali più recenti.