Migration pour les utilisateurs existants
Migrer votre configuration actuelle de journalisation externe d' watsonx Orchestrate sur AWS afin d'utiliser le chaînage de rôles et l'identifiant externe pour renforcer la sécurité et contrôler les accès entre comptes.
Si vous avez déjà configuré la journalisation externe pour watsonx Orchestrate sur AWS, ce guide vous aide à migrer votre configuration actuelle afin de tirer parti de deux améliorations de sécurité, à savoir l'enchaînement des rôles et l'identifiant externe, qui offrent un accès inter-comptes plus sécurisé et mieux contrôlé à vos ressources de journalisation AWS.
Quels sont les changements et pourquoi?
Auparavant, vos rôles IAM faisaient directement confiance à la racine du compte AWS d' watsonx Orchestrate (239621575091). La nouvelle configuration apporte les nouveautés suivantes :
Enchaînement des rôles - Au lieu de faire confiance à l'ensemble du compte AWS d' IBM, vos rôles IAM font désormais confiance à un rôle IAM spécifique et strictement délimité watsonx Orchestrate (logging-processor). Cela réduit la surface d'exposition des autorisations et offre une meilleure isolation des accès.
Identifiant externe : un identifiant secret unique associé à votre tenant est ajouté en tant que condition à votre politique de confiance IAM. Cela garantit que seul le service de connexion légitime d' IBM, qui présente l'identifiant correct, peut se connecter à votre place, vous protégeant ainsi contre tout accès non autorisé.
Vous pouvez désormais utiliser la journalisation externe en suivant l'une des méthodes suivantes :
- En utilisant uniquement l'enchaînement de rôles
- Avec l'identifiant externe uniquement
- Avec à la fois l'enchaînement de rôles et l'identifiant externe
Quels sont les changements apportés à votre compte AWS?
- Aucune modification n'a été apportée aux configurations de votre compartiment « S3 » ou de votre groupe de journaux « CloudWatch ».
- Aucun changement n'est prévu concernant le format des journaux ou la fréquence de transmission.
- Modification requise : Modifie la stratégie de confiance pour les rôles « S3 » et « CloudWatch » comme suit :
- Définissez
"Principal": { "AWS": "arn:aws:iam::<ServiceLine-AccountID>:role/logging-processor" }(si vous activez l'enchaînement de rôles), ou conservez l'entité principale héritée conformément aux instructions du support technique d' IBM. - Appliquer
"Condition": { "StringEquals": { "sts:ExternalId": "<EXTERNAL_ID>" } }
- Définissez
- Créez deux nouveaux rôles IAM dans votre compte AWS : l'un pour S3 et l'autre pour CloudWatch.
- Choisissez votre méthode de journalisation externe : il peut s'agir d'un enchaînement de rôles, d'un identifiant externe, ou des deux.
- Identifiez les rôles IAM existants dans votre compte AWS utilisés pour la journalisation d' watsonx Orchestrate, à savoir un pour S3 et un pour CloudWatch.
- Contactez le service d'assistance d' IBM pour lancer la migration. IBM assistance :
- Indique la valeur de l'identifiant externe de votre tenant (si l'identifiant externe est activé).
- Vérifiez que la migration du backend est terminée afin de pouvoir supprimer en toute sécurité les anciennes entrées de confiance.
Parcours A : enchaînement de rôles uniquement
Dans cette procédure, vous mettez à jour la politique de confiance de vos rôles IAM existants afin d'ajouter le logging-processor rôle à portée d' IBM en tant qu'entité de confiance supplémentaire, parallèlement à l'entrée existante.
- Mettre à jour la politique de confiance des rôles IAM existants
Mettez à jour la politique de confiance pour vos rôles IAM S3 et CloudWatch. Ajoutez l'ARN du
logging-processorrôle « watsonx Orchestrate » en tant qu'entité supplémentaire. Ne supprimez pas encore l'entrée239621575091:rootexistante.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::239621575091:root", "arn:aws:iam::239621575091:role/logging-processor" ] }, "Action": "sts:AssumeRole" } ] }Pourquoi ces deux entrées? Le fait de maintenir l'ancienne entrée active pendant la transition garantit que vos journaux ne seront pas interrompus pendant que l'équipe opérationnelle d' IBM procède à la migration du backend afin d'utiliser le nouveau rôle.
- Contacter le service d'assistance d' IBM
Veuillez informer le service d'assistance d' IBM que vous avez mis à jour vos politiques de confiance. IBM Le support finalise la configuration du backend pour passer au chaînage de rôles.
- Attendez la confirmation de l' IBM, puis procédez au nettoyage
Vérifiez que les journaux sont correctement transférés vers votre nouveau compartiment de stockage S3 et votre groupe de journaux CloudWatch. Une fois la confirmation effectuée, vous pouvez supprimer en toute sécurité l'ancienne
239621575091:rootentrée des politiques de confiance de vos rôles IAM S3 et CloudWatch, en ne conservant que lelogging-processorrôle :{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::239621575091:role/logging-processor" ] }, "Action": "sts:AssumeRole" } ] }
Parcours B : identifiant externe uniquement
Dans ce chemin, vous créez de nouveaux rôles IAM avec une condition d'ID externe. IBM recommande de créer de nouveaux rôles plutôt que de modifier ceux qui existent déjà afin d'éviter toute perturbation des journaux pendant la transition.
- Créer de nouveaux rôles IAM
Créez deux nouveaux rôles IAM dans votre compte AWS — l'un pour S3 et l'autre pour CloudWatch — avec les mêmes autorisations que vos rôles existants.
Pour chaque nouveau rôle, définissez la politique de confiance suivante à ce stade. La condition relative à l'identifiant externe sera ajoutée ultérieurement, dès que IBM la fournira :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::239621575091:root" ] }, "Action": "sts:AssumeRole" } ] } - Partager les nouveaux ARN de rôle avec l'équipe d'assistance
Copiez les ARN des deux nouveaux rôles IAM et transmettez-les au service d'assistance d' IBM en ouvrant un ticket d'assistance. IBM assistance :
- Générez un identifiant externe propre à votre locataire.
- Activez la configuration du backend pour utiliser vos nouveaux rôles et vous communiquer la valeur de l'identifiant externe.
- N'activez les nouveaux rôles qu'une fois que les clients ont ajouté l'identifiant externe.
- Mettre à jour les politiques de confiance à l'aide de la condition d'identifiant externe
Mettez à jour vos politiques de confiance après avoir reçu l'identifiant externe de l'équipe d'assistance d' watsonx Orchestrate. watsonx Orchestrate L'équipe active la configuration du backend à ce stade; par conséquent, les journaux ne sont pas générés tant que votre politique de confiance n'a pas été mise à jour.
Mettez à jour la politique de confiance des deux nouveaux rôles IAM afin d'y ajouter la condition d'identifiant externe. Remplacez
<YOUR_EXTERNAL_ID>par la valeur fournie par le service d'assistance d' IBM :{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::239621575091:root" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<YOUR_EXTERNAL_ID>" } } } ] } - Veuillez informer l'équipe d'assistance que l'identifiant externe est configuré
Prévenez l'équipe d'assistance afin qu'elle puisse enregistrer les nouveaux rôles avec leur identifiant externe.
- Vérifier et nettoyer
Une fois que l'équipe d'assistance aura confirmé que l'ID externe est activé, vérifiez que les journaux sont bien transmis vers votre nouveau compartiment S3 et votre groupe de journaux CloudWatch. Une fois cette opération confirmée, vous pouvez supprimer en toute sécurité les anciens rôles IAM de votre compte AWS.
Chemin C : Enchaînement de rôles et identifiant externe
- Créer de nouveaux rôles IAM
Créez deux nouveaux rôles IAM dans votre compte AWS — l'un pour S3 et l'autre pour CloudWatch — avec les mêmes autorisations que vos rôles existants.
Pour chaque nouveau rôle, définissez la politique de confiance suivante à ce stade. La condition relative à l'identifiant externe sera ajoutée ultérieurement, dès que IBM la fournira :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::239621575091:role/logging-processor" ] }, "Action": "sts:AssumeRole" } ] } - Partager les nouveaux ARN de rôle avec l'équipe d'assistance d' watsonx Orchestrate
Copiez les ARN des deux nouveaux rôles IAM et transmettez-les au service d'assistance d' watsonx Orchestrate via un ticket d'assistance. IBM assistance :
- Générer un identifiant externe propre à votre locataire
- Activez la configuration du backend pour utiliser vos nouveaux rôles et vous communiquer la valeur de l'identifiant externe
- N'activez les nouveaux rôles qu'une fois que les clients ont ajouté l'identifiant externe
- Mettre à jour les politiques de confiance à l'aide de la condition d'identifiant externe
Mettez à jour vos politiques de confiance dès que possible après avoir reçu l'identifiant externe de la part de l'équipe d'assistance d' watsonx Orchestrate. watsonx Orchestrate La configuration du backend a déjà été activée à ce stade; les journaux ne seront donc pas générés tant que votre politique de confiance n'aura pas été mise à jour.
Mettez à jour la politique de confiance des deux nouveaux rôles IAM afin d'y ajouter la condition d'identifiant externe. Remplacez
<YOUR_EXTERNAL_ID>par la valeur fournie par le service d'assistance d' IBM :{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::239621575091:role/logging-processor" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<YOUR_EXTERNAL_ID>" } } } ] } - Veuillez informer l'équipe d'assistance que l'identifiant externe est configuré
Prévenez l'équipe d'assistance afin qu'elle puisse enregistrer les nouveaux rôles avec leur identifiant externe.
- Vérifier et nettoyer
Vérifiez que les journaux sont correctement transférés vers votre nouveau compartiment de stockage S3 et votre groupe de journaux CloudWatch. Une fois cette opération confirmée, vous pouvez supprimer en toute sécurité les anciens rôles IAM de votre compte AWS.