Configurar conta e VPC da AWS para dados privados

O processamento de dados privados da AWS envolve a execução de um cluster de processamento de dados para o Alteryx One Platform dentro da sua conta e VPC da AWS. Essa combinação de software, sua infraestrutura e recursos da AWS gerenciados pela Alteryx é chamada de plano de dados privados. Esta página se concentra em como configurar sua conta e VPC da AWS para o Alteryx One para criar um plano de dados privados nele.

Nota

A configuração da conta e VPC da AWS requer acesso e permissões ao console da AWS. Se você não tiver esse acesso, entre em contato com sua equipe de TI para concluir esta etapa.

Atenção

Nunca exclua recursos provisionados para processamento de dados privados.

Etapa 1: selecionar a conta da AWS

Selecione a conta na qual deseja executar seu plano de dados privados.

Como as credenciais do IAM estão no escopo de toda a conta, a maneira mais segura de executar um plano de dados privados é em uma conta dedicada da AWS. Isso não é necessário, mas é recomendado.

Você provavelmente quer que essa conta esteja na mesma região que o bucket S3 selecionado para o armazenamento de dados privado, bem como quaisquer fontes de dados às quais deseja conectar ao Alteryx One. Isso melhora o desempenho e reduz os custos de saída.

A VPC criada na conta da AWS deve ser dedicada ao Alteryx One. Você pode configurar a conectividade com fontes de dados privadas usando peering de VPC, gateways de trânsito,

Etapa 2: configurar o IAM

Com sua conta da AWS pronta, a próxima etapa é configurar a conta de usuário do IAM e as chaves de acesso

Etapa 2a: criar um usuário do IAM (conta de serviço)

Nome da chave	Valor
AACResource	aac_iam_user

Selecione o novo usuário do IAM e, em seguida, a guia Credenciais de segurança.
Selecione Criar chave de acesso.
Selecione Outra em Práticas recomendadas e alternativas de chave de acesso e clique em Avançar.
Selecione Criar chave de acesso.

Nota

Você precisará da chave de acesso de usuário do IAM e da chave secreta posteriormente, ao provisionar os recursos de nuvem e implantar o software.

Crie um usuário do IAM com o nome aac_automation_sa. Certifique-se de que esse usuário não tem acesso ao console.
Em Definir permissões, selecione Avançar.
Marque o usuário do IAM:
Selecione Criar usuário.
Gere uma chave de acesso...

Etapa 2b: criar a política do IAM e vinculá-la à conta de serviço

Você precisa criar uma política do IAM personalizada. Dê a ela o nome AAC_Base_SA_Policy e use o seguinte documento de política. Recomendamos usar a guia "JSON" em vez do editor visual. O Alteryx One requer algumas permissões * para ser executado. Ao criar a política, você deverá receber alguns avisos de segurança.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "iam:GetOpenIDConnectProvider",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListInstanceProfilesForRole",
                "iam:ListPolicyTags",
                "iam:ListPolicyVersions",
                "iam:ListRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:oidc-provider/*",
                "arn:aws:iam::*:user/*",
                "arn:aws:iam::*:role/*"
            ]
        },
        {
            "Sid": "VisualEditor3",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:*",
                "iam:GetAccountName",
                "iam:ListAccountAliases",
                "iam:ListRoles",
                "networkmanager:Describe*",
                "networkmanager:Get*",
                "networkmanager:List*",
                "s3:GetBucketAcl",
                "s3:GetBucketCORS",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketOwnershipControls",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite",
                "s3:GetEncryptionConfiguration",
                "s3:GetLifecycleConfiguration",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectVersionAttributes",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectVersionTorrent",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "sts:GetCallerIdentity"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor4",
            "Effect": "Allow",
            "Action": "secretsmanager:*",
            "Resource": "arn:aws:secretsmanager:*:*:secret:*"
        }
    ]
}

Etapa 2c: marcar a política do IAM

Marque a política do IAM personalizada criada na Etapa 2b.
Nome da chave
Valor
AACResource
aac_sa_custom_policy
Anexe a política do IAM AAC_Base_SA_Policy à conta de serviço aac_automation_sa criada na Etapa 2a.
Nota
AAC_Base_SA_Policy é um nome de política de exemplo. Você pode escolher qualquer nome para a política, mas ele deve começar com AAC_Base.

Nome da chave	Valor
AACResource	aac_sa_custom_policy

Etapa 3: criar uma VPC

Os blocos CIDR mencionados abaixo são reservados para o plano de controle do Alteryx One. Evite configurar CIDRs da VPC com:

100.64.0.0/10
10.4.0.0/14
10.64.0.0/20
10.0.0.0/22

Crie a VPC depois de criar a política do IAM...

Crie uma nova VPC em uma das regiões compatíveis. Para obter mais informações sobre as regiões compatíveis, acesse Private Data Processing.
Selecione VPC e mais.
Configure os blocos CIDR na VPC. Pode ser necessário criar a VPC com um único CIDR e selecionar Editar CIDRs para adicionar o segundo.
1. Para Designer Cloud, Machine Learning, Auto Insights e App Builder, adicione os CIDRs /18 e /21.
2. Para execução no Cloud para o Desktop, adicione o CIDR /21.
Selecione 3 na seção "Número de zonas de disponibilidade (AZs)".
Selecione 0 na seção "Número de sub-redes públicas".
Selecione 0 na seção "Número de sub-redes privadas".
Selecione Nenhum na seção "Gateways NAT".
Habilite o ponto de extremidade da VPC Gateway do S3 dentro da VPC.
Habilite os nomes de host do DNS e a resolução.
Marque a VPC.

Nome da tag	Valor
AACResource	aac_vpc

Nota

As conexões com fontes de dados privadas exigem caminhos de rede entre a VPC e a fonte de dados. Conforme definido na matriz de responsabilidade compartilhada, você configura esses caminhos de rede de acordo com suas próprias políticas e preferências de rede.

Etapa 4: marcar o gateway de trânsito e o gateway da Internet

Se a configuração da rede exigir o uso de um gateway de trânsito ou gateway da Internet, configure-os e marque-os agora.

Nome da tag	Valor
AACResource	aac

Etapa 4a: IP colocado na lista de permissões

Os produtos do Alteryx Cloud são implantados em um cluster do Kubernetes. O plano de controle se comunica de forma segura com o cluster do Kubernetes no plano de dados por meio de um túnel VPN do WireGuard. Para habilitar a comunicação contínua e segura por meio da VPN do WireGuard, o seguinte endereço IP deve estar na lista de permissão na rede do plano de dados para tráfego de entrada e saída:

PDP no Alteryx Cloud	IPs a serem incluídos na lista de permissão
us1.alteryxcloud.com	IPs do servidor do Wireguard: `34.149.191.17` na porta TCP `443` `34.127.5.134`, `35.203.150.52` na porta UDP `51820` IPs do plano de controle: `34.118.199.26`, `34.82.130.80/29` IPs do Teleport: `34.145.177.98` na porta TCP `443`, `3023`, `3024`, `3026`, `3036` `34.85.215.128` na porta TCP `443`
eu1.alteryxcloud.com	IPs do servidor do Wireguard: `35.244.193.191` na porta TCP `443` `34.141.115.208`, `34.159.185.26` na porta UDP `51820` IPs do plano de controle: `34.141.45.236`, `34.89.162.16/29` IPs do Teleport: `34.145.177.98` na porta TCP `443`, `3023`, `3024`, `3026`, `3036` `34.85.215.128` na porta TCP `443`
au1.alteryxcloud.com	IPs do servidor do Wireguard: `34.107.140.97` na porta TCP `443` `35.197.167.155`, `35.244.84.72` e porta UDP `51820` IPs do plano de controle: `34.87.234.110`, `34.40.128.80/29` IPs do Teleport: `34.145.177.98` e porta TCP `443`, `3023`, `3024`, `3026`, `3036` `34.85.215.128` e porta TCP `443`
preprod.alteryxcloud.com	IPs do servidor do Wireguard: `34.120.226.216` na porta TCP `443` `35.230.188.196`, `35.221.3.230` e porta UDP `51820` IPs do plano de controle: `34.86.96.59`, `35.199.17.14`, `34.86.74.210` IPs do Teleport: `34.145.177.98` e porta TCP `443`, `3023`, `3024`, `3026`, `3036` `34.85.215.128` e porta TCP `443`

Etapa 5: criar uma chave simétrica para o cofre seguro

As credenciais da fonte de dados são criptografadas usando sua chave e armazenadas com segurança em um cofre privado (armazenamento de credenciais privado) em sua conta do plano de dados privado. Essas credenciais só são recuperadas do cofre quando você precisa delas.

Acesse Serviços de gerenciamento de chaves e selecione Criar chave.
Selecione Tipo de chave > Simétrica.
Selecione Uso da chave > Criptografar e descriptografar.
Nomeie a chave aac-credentials-vault-key.
Marque a chave.
Nome da tag
Valor
AACResource
aac
Para Administrador de chaves, selecione Avançar.
Para Permissões de uso da chave, selecione Avançar.
Selecione Concluir.

Nota

A chave do ARN é fornecida na página Processamento de dados privados.

Etapa 6: solicitar aumentos de cota

Por padrão, cada conta da AWS tem um limite máximo para o número de vCPUs sendo executadas simultaneamente. Para executar seu ambiente privado, é necessário solicitar um aumento na cota. Isso permite que seu ambiente seja dimensionado para atender à sua demanda.

O número exato que você especificar dependerá de vários fatores, como quantos aplicativos estão em execução, seu nível de tolerância para aguardar a execução de trabalhos se não houver hardware suficiente e sua disposição de pagar por mais infraestrutura para que possa gastar menos tempo esperando por execuções de trabalhos.

Abaixo, você pode ver os números recomendados para cargas de trabalho de analytics em execução no Alteryx One Platform. Você pode escolher um número diferente. Por exemplo, talvez você não queira escalar tão alto para limitar o custo do ambiente. Ou você pode querer aumentá-lo porque está executando múltiplos aplicativos do Alteryx One Platform e deseja garantir que o hardware esteja sempre disponível.

A Alteryx recomenda solicitar um aumento para as seguintes cotas:

Amazon EC2

Esta cota se aplica ao cluster do Kubernetes que executa o Designer Cloud, Machine Learning, Auto Insights e App Builder. Isso também se aplica ao grupo de VMs de escala automática que alimentam a execução no Cloud para o Desktop.

Nossa recomendação para essa cota se baseia em permitir que seus grupos de escala automática e clusters consumam até 50 nós.

Nome da cota: Execução de instâncias (A, C, D, H, I, M, R, T, Z) padrão sob demanda.
Descrição da cota: Número máximo de vCPUs atribuídas à Execução de instâncias (A, C, D, H, I, M, R, T, Z) padrão sob demanda.
Valor de cota padrão da AWS: 5
Valor mínimo de cota recomendado: 800 (50 nós x 16 vCPUs/nó).

Amazon EMR

Esta cota se aplica somente se você planeja implantar o EMR como uma opção de processamento do Designer Cloud.

Nome da cota: Máximo de vCPUs simultâneas por conta.
Descrição da cota: Número máximo de vCPUs que podem ser executadas simultaneamente nesta conta na região atual.
Valor de cota padrão da AWS: 16
Valor de cota aplicado: 1024

Como solicitar um aumento de cota

Faça login no console da conta da AWS.
Procure Cotas de serviço e selecione o serviço.
Selecione Serviço da AWS no painel de navegação esquerdo.
Procure o serviço (por exemplo, Amazon EMR Serverless ou Amazon EC2).
Selecione o nome da cota.
Selecione Solicitar aumento de cota.
Solicite o aumento de cota especificado.

Etapa 7: acionar o provisionamento do tratamento de dados privados

Atenção

Modificar ou remover quaisquer recursos de nuvem pública provisionados pelo Alteryx One depois que o tratamento de dados privados for configurado poderá causar inconsistências. Essas inconsistências podem levar a erros durante a execução do trabalho ou ao desprovisionamento da configuração do tratamento de dados privados.

O provisionamento do ambiente de processamento de dados é acionado a partir do console de administração no Alteryx One. Você precisa de Privilégios do Administrador do espaço de trabalho dentro de um espaço de trabalho para vê-lo.

Na página de chegada do Alteryx One, selecione o ícone de círculo no canto superior direito com suas iniciais. No menu, selecione Console de administração.
Selecione Tratamento de dados privados no menu de navegação esquerdo.

Antes de continuar, verifique se o armazenamento de dados privado mostra Configurado com sucesso. Se o status for Não configurado, acesse o AWS S3 como armazenamento de dados privado primeiro e retorne para essa etapa.

Na seção "Processamento de dados privados", você precisa preencher cinco campos. Esses valores vêm das etapas de configuração da conta da AWS e da VPC que você acabou de concluir.

Nota

A chave do ARN é fornecida na página Processamento de dados privados na Etapa 5: criar uma chave simétrica para o cofre seguro.

A seleção de Criar acionará um conjunto de verificações de validação para checar se a conta da AWS está configurada conforme necessário. Se as permissões não estiverem configuradas corretamente ou se os recursos da Vnet não forem criados ou marcados corretamente, você receberá uma mensagem de erro com uma descrição que deve indicar a direção certa.

Observações importantes

Momento das alterações de configuração

O Alteryx One Platform é um sistema distribuído. As alterações feitas na configuração do processamento de dados privados devem ser propagadas para vários sistemas antes de entrarem em vigor. Por exemplo, se o espaço de trabalho já tiver trabalhos agendados em execução quando você configurar o processamento de dados privados, você pode continuar a ver a execução do trabalho ocorrendo no ambiente de processamento de dados do Alteryx por alguns minutos depois.

Conexões de saída

O software que é executado em seu ambiente de processamento de dados privados requer comunicação de saída por vários motivos:

Os fluxos de trabalho geralmente precisam de acesso a uma fonte de dados pública, como buckets de armazenamento em nuvem e data warehouses.
Os serviços do plano de dados geralmente exigem acesso a outros serviços em execução no plano de controle (fazer uma chamada de API, inscrever-se em uma fila de mensagens etc.).
As imagens de software são frequentemente recuperadas de repositórios de imagens para manter seu software atualizado.
O Alteryx coleta logs de aplicativos e dados de telemetria para monitorar a integridade e o desempenho dos serviços do plano de dados e dar suporte aos esforços de solução de problemas.

Não aplique nenhuma regra extra à sua VPC ou aos grupos de segurança para bloquear ou restringir esse tráfego de saída.

Rotação de credenciais

Na etapa Etapa 2a: criar um usuário do IAM (conta de serviço), você criou um usuário do IAM chamado "aac_iam_user" com uma chave de acesso que o acompanha. O Alteryx não controla essas credenciais.

A Alteryx recomenda a rotação dessa credencial de acordo com as políticas da sua empresa. Se a sua empresa não tiver uma política, a AWS recomenda que ela seja rotacionada a cada 90 dias. Lembre-se de que o Alteryx precisa manter o acesso à VPC para atualizar recursos e software da nuvem, monitorar a integridade do seu ambiente privado e solucionar problemas. Ao rotacionar essa credencial na AWS, lembre-se de fazer login no Alteryx One Platform e fornecer também a credencial mais recente.