Skip to main content

Configurar la cuenta de AWS y VPC para datos privados

El procesamiento privado de datos de AWS implica ejecutar un clúster de procesamiento de datos de Alteryx One Platform dentro de tu cuenta de AWS y VPC. Esta combinación de software, infraestructura y recursos de AWS administrados por Alteryx, se conoce como un plano de datos privado. Esta página se centra en cómo configurar tu cuenta de AWS y tu VPC para Alteryx One, y crear un plano de datos privado allí.

Nota

La configuración de la cuenta de AWS y la VPC requiere acceso y permisos a la consola de AWS. Si no tienes este acceso, comunícate con tu equipo de TI para completar este paso.

Aviso

Nunca elimines los recursos aprovisionados para el procesamiento privado de datos.

Paso 1: Seleccionar la cuenta de AWS

Selecciona la cuenta en la que deseas ejecutar tu plano de datos privado.

Dado que las credenciales de IAM tienen un alcance limitado a toda la cuenta, la forma más segura de ejecutar un plano de datos privado es en una cuenta de AWS dedicada. Esto no es obligatorio, pero recomendado.

Probablemente desees que esta cuenta esté en la misma región que el bucket de S3 que seleccionaste para el almacenamiento privado de datos, así como cualquier fuente de datos a la que desees conectarte a Alteryx One. Esto mejora el rendimiento y reduce los costos de salida.

La VPC creada en la cuenta de AWS debe estar dedicada a Alteryx One. Puedes configurar la conectividad a fuentes de datos privadas a través del emparejamiento de VPC, las puertas de enlace de tránsito,

Paso 2: Cómo configurar IAM

Una vez configurada tu cuenta de AWS, el siguiente paso es configurar la cuenta de usuario IAM y las claves de acceso.

Paso 2a: Crear un usuario de IAM (cuenta de servicio)

Nombre de clave

Valor

AACResource

aac_iam_user

  1. Selecciona el nuevo usuario de IAM y, a continuación, selecciona la pestaña Credenciales de seguridad.

  2. Selecciona Crear clave de acceso.

  3. Selecciona Otro en la sección Mejores prácticas y alternativas de clave de acceso y, a continuación, selecciona Siguiente.

  4. Selecciona Crear clave de acceso.

Nota

Necesitarás la clave de acceso y la clave secreta del usuario IAM más adelante, cuando aprovisiones los recursos de la nube e implemente el software.

  1. Crea un usuario de IAM con el nombre aac_automation_sa. Asegúrate de que este usuario no tenga acceso a la consola.

  2. En Establecer permisos, selecciona Siguiente.

  3. Etiqueta al usuario de IAM:

  4. Selecciona Crear usuario.

  5. Generar una clave de acceso…

Paso 2b: Crear la política de IAM y vincular a la cuenta de servicio

Debes crear una política de IAM personalizada. Nombra AAC_Base_SA_Policy y utiliza el siguiente documento de política. Recomendamos utilizar la pestaña JSON en lugar del editor visual. Alteryx One requiere algunos permisos de * para ejecutarse. Espera algunas advertencias de seguridad cuando crees la política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "iam:GetOpenIDConnectProvider",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListInstanceProfilesForRole",
                "iam:ListPolicyTags",
                "iam:ListPolicyVersions",
                "iam:ListRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:oidc-provider/*",
                "arn:aws:iam::*:user/*",
                "arn:aws:iam::*:role/*"
            ]
        },
        {
            "Sid": "VisualEditor3",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:*",
                "iam:GetAccountName",
                "iam:ListAccountAliases",
                "iam:ListRoles",
                "networkmanager:Describe*",
                "networkmanager:Get*",
                "networkmanager:List*",
                "s3:GetBucketAcl",
                "s3:GetBucketCORS",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketOwnershipControls",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketRequestPayment",
                "s3:GetBucketTagging",
                "s3:GetBucketVersioning",
                "s3:GetBucketWebsite",
                "s3:GetEncryptionConfiguration",
                "s3:GetLifecycleConfiguration",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectVersionAttributes",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectVersionTorrent",
                "s3:GetReplicationConfiguration",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "sts:GetCallerIdentity"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor4",
            "Effect": "Allow",
            "Action": "secretsmanager:*",
            "Resource": "arn:aws:secretsmanager:*:*:secret:*"
        }
    ]
}

Paso 2c: Etiquetar la política de IAM

  1. Etiqueta la política de IAM personalizada que creaste en el paso 2b.

    Nombre de clave

    Valor

    AACResource

    aac_sa_custom_policy

  2. Adjunta la política IAM de AAC_Base_SA_Policy a la cuenta de servicio aac_automation_sa creada en el paso 2a.

    Nota

    AAC_Base_SA_Policy es un nombre de política de ejemplo. Puedes elegir cualquier nombre para la política, pero el nombre debe comenzar con AAC_Base.

Paso 3: Crear una VPC

Los bloques CIDR mencionados a continuación están reservados para el plano de control de Alteryx One. Evita configurar los CIDR de VPC con:

  • 100.64.0.0/10

  • 10.4.0.0/14

  • 10.64.0.0/20

  • 10.0.0.0/22

Crea la VPC después de crear la política de IAM…

  1. Crea una nueva VPC en una de las regiones admitidas. Para obtener más información sobre las regiones disponibles, ve a Private Data Processing.

  2. Selecciona VPC y más.

  3. Configura los bloques CIDR en la VPC. Es posible que debas crear la VPC con un solo CIDR y, a continuación, seleccionar Editar CIDR para agregar el segundo.

    1. Para Designer Cloud, Machine Learning, Auto Insights y App Builder, agrega /18 y /21 CIDR.

    2. Para la ejecución en Cloud para Desktop, agrega /21 CIDR.

  4. Selecciona 3 en la sección Cantidad de zonas de disponibilidad (AZs).

  5. Selecciona 0 en la sección Cantidad de subredes públicas.

  6. Selecciona 0 en la sección Cantidad de subredes privadas.

  7. Selecciona Ninguno en la sección Puertas de enlace de NAT.

  8. Habilita el punto de conexión de VPC dePuertas de enlace S3 dentro de la VPC.

  9. Habilita los nombres de host DNS y la resolución.

  10. Etiqueta la VPC.

Nombre de la etiqueta

Valor

AACResource

aac_vpc

Nota

Las conexiones a fuentes de datos privadas requieren rutas de red entre la VPC y la fuente de datos. Como se define en la matriz de responsabilidad compartida, configuras estas rutas de red de acuerdo con tus propias políticas y preferencias de red.

Paso 4: Etiquetar de puerta de enlace de tránsito y la puerta de enlace de Internet

Si la configuración de tu red requiere el uso de una puerta de enlace de tránsito o una puerta de enlace de Internet, configura y etiqueta ahora.

Nombre de la etiqueta

Valor

AACResource

aac

Paso 4a: Lista blanca de direcciones IP

Los productos de Alteryx Cloud se implementan dentro de un clúster de Kubernetes. El plano de control se comunica de forma segura con el clúster de Kubernetes de plano de datos a través de un túnel VPN de WireGuard. Para habilitar una comunicación fluida y segura a través de WireGuard VPN, la siguiente dirección IP debe incluirse en la lista blanca en la red del plano de datos para el tráfico de entrada y salida:

PDP en Alteryx Cloud

Los IP que se incluirán en la lista blanca

us1.alteryxcloud.com

Los IP del servidor WireGuard: 34.149.191.17 en el puerto TCP 443

34.127.5.134, 35.203.150.52 en el puerto UDP 51820

Los IP del plano de control: 34.118.199.26, 34.82.130.80/29

Los IP de teletransporte: 34.145.177.98 en el puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 en el puerto TCP 443

eu1.alteryxcloud.com

Los IP del servidor WireGuard: 35.244.193.191 en el puerto TCP 443

34.141.115.208, 34.159.185.26 en el puerto UDP 51820

Los IP del plano de control: 34.141.45.236, 34.89.162.16/29

Los IP de teletransporte: 34.145.177.98 en el puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 en el puerto TCP 443

au1.alteryxcloud.com

Los IP del servidor WireGuard: 34.107.140.97 en el puerto TCP 443

35.197.167.155, 35.244.84.72, y puerto UDP 51820

Los IP del plano de control: 34.87.234.110, 34.40.128.80/29

Los IP de teletransporte: 34.145.177.98 y puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 y puerto TCP 443

preprod.alteryxcloud.com

Los IP del servidor WireGuard: 34.120.226.216 en el puerto TCP 443

35.230.188.196, 35.221.3.230 y puerto UDP 51820

Los IP del plano de control: 34.86.96.59, 35.199.17.14, 34.86.74.210

Los IP de teletransporte: 34.145.177.98 y puerto TCP 443, 3023, 3024, 3026, 3036

34.85.215.128 y puerto TCP 443

Paso 5: Crear una clave simétrica para almacén seguro

Tus credenciales de fuente de datos se cifran con tu clave y se almacenan de forma segura en un almacén privado (almacenamiento de credenciales privadas) dentro de tu cuenta de plano de datos privado. Estas credenciales solo se recuperan del almacén cuando las necesitas.

  1. Ve a Servicios de administración de claves y selecciona Crear clave.

  2. Selecciona Tipo de clave > simétrico.

  3. Selecciona Uso de clave > Cifrar y Descifrar.

  4. Nombra la clave aac-credentials-vault-key.

  5. Etiqueta la clave.

    Nombre de la etiqueta

    Valor

    AACResource

    aac

  6. Para obtener Administrador de claves, selecciona Siguiente.

  7. Para obtener permisos de uso de claves, selecciona Siguiente.

  8. Selecciona Finalizar.

Nota

La clave ARN se proporciona en la página Procesamiento privado de datos.

Paso 6: Solicitar aumento de cuota

De forma predeterminada, cada cuenta de AWS tiene un límite máximo en la cantidad de vCPU que se ejecutan simultáneamente. Para ejecutar tu entorno privado, debes solicitar un aumento en la cuota. Esto permite que tu entorno se amplíe para satisfacer tu demanda.

La cantidad exacta que especifiques dependerá de varios factores, como cuántas aplicaciones estés ejecutando, tu nivel de tolerancia para esperar a que se ejecuten las tareas si no hay suficiente hardware y tu disposición a pagar por más infraestructura para que puedas pasar menos tiempo esperando que se ejecuten las tareas.

A continuación, puedes ver los números recomendados para ejecutar cargas de trabajo de analítica en Alteryx One Platform. Puedes elegir un número diferente. Por ejemplo, es posible que no desees escalar tan alto para limitar el costo del entorno. O es posible que desees aumentarlo porque estás ejecutando varias aplicaciones de Alteryx One Platform y quieres asegurarte de que el hardware siempre esté disponible.

Alteryx recomienda solicitar un aumento de cuotas para las siguientes cuotas:

Amazon EC2

Esta cuota se aplica al clúster de Kubernetes que ejecuta Designer Cloud, Machine Learning, Auto Insights y App Builder. También se aplica al grupo de escalado automático de VM que impulsan la ejecución en Cloud para Desktop.

Nuestra recomendación para esta cuota se basa en permitir que tu clúster y grupos de escala automática consuman hasta 50 nodos.

  • Nombre de la Cuota: Ejecución de instancias estándar bajo demanda (A, C, D, H, I, M, R, T, Z).

  • Descripción de la cuota: cantidad máxima de vCPU asignadas a las instancias estándar bajo demanda en ejecución (A, C, D, H, I, M, R, T, Z).

  • Valor de cuota predeterminado de AWS: 5

  • Valor mínimo de cuota recomendado: 800 (50 nodos x 16 vCPU/nodo).

Amazon EMR

Esta cuota solo se aplica si planeas implementar EMR como una opción de procesamiento de Designer Cloud.

  • Nombre de cuota: máximo de vCPU concurrentes por cuenta.

  • Descripción de la cuota: cantidad máxima de vCPU que se pueden ejecutar simultáneamente en esta cuenta en la región actual.

  • Valor de cuota predeterminado de AWS: 16

  • Valor de cuota aplicado: 1024

Cómo solicitar un aumento de cuotas

  1. Inicia sesión en la consola de cuenta de AWS.

  2. Busca cuotas de servicio y selecciona el servicio.

  3. Selecciona AWS Service en el panel de navegación izquierdo.

  4. Busca el servicio (por ejemplo, Amazon EMR Serverless o Amazon EC2).

  5. Selecciona el nombre de la cuota.

  6. Selecciona Solicitar aumento de cuota.

  7. Solicita el aumento de cuota especificado.

Paso 7: Activar el aprovisionamiento de manejo privado de datos

Aviso

Cambiar o eliminar cualquier recurso de nube pública provisionado por Alteryx One después de configurar el manejo privado de datos puede causar incoherencias. Estas incoherencias pueden provocar errores durante la ejecución de tareas o al desaprovisionar la configuración de Manejo privado de datos.

El aprovisionamiento del entorno de procesamiento de datos se activa desde la consola de administrador en Alteryx One. Necesitas privilegios de administrador de espacio de trabajo para poder verlo dentro de un espacio de trabajo.

  1. En la página inicial de Alteryx One, selecciona el ícono de círculo en la parte superior derecha con tus iniciales en él. Selecciona Consola de administración en el menú.

  2. Selecciona Manejo privado de datos en el menú de navegación de la izquierda.

Asegúrate de que el almacenamiento privado de datos aparezca comoconfigurado correctamente antes de continuar. Si el estado es no está configurado, primero dirígete aAWS como Almacenamiento privado de datos S3 y vuelve a este paso.

En la sección Procesamiento privado de datos, debes completar cinco campos. Estos valores provienen de los pasos de configuración de la cuenta de AWS y la VPC que acabas de completar.

Nota

La clave ARN se proporciona en la página Procesamiento privado de datos en el Paso 5: Crear una clave simétrica para Almacén seguro.

Al seleccionar Crear, se activará un conjunto de comprobaciones de validación para verificar que la cuenta de AWS esté configurada según sea necesario. Si los permisos no están configurados de forma adecuada o los recursos de Vnet no se crean o etiquetan correctamente, recibirás un mensaje de error con una descripción que debería apuntarte en la dirección correcta.

Notas importantes

Sincronización de los cambios en la configuración

Alteryx One Platform es un sistema distribuido. Los cambios realizados en la configuración de procesamiento privado de datos deben propagarse a varios sistemas antes de que surtan efecto completo. Por ejemplo, si tu espacio de trabajo ya tiene tareas programadas que se ejecutan cuando configuras el procesamiento privado de datos, es posible que sigas viendo la ejecución de tareas en el entorno de procesamiento de datos de Alteryx durante unos minutos después.

Conexiones salientes

El software que se ejecuta en tu entorno de procesamiento privado de datos requiere comunicación saliente (de salida) por varias razones:

  1. Los flujos de trabajo a menudo necesitan acceso a una fuente de datos pública, como buckets de almacenamiento en la nube y almacenes de datos.

  2. Los servicios de plano de datos a menudo requieren acceso a otros servicios que se ejecutan en el plano de control (realizar una llamada de API, suscribirse a una cola de mensajes, etc.).

  3. A menudo, las imágenes de software se recuperan de los repositorios de imágenes para mantener el software actualizado.

  4. Alteryx recopila registros de aplicaciones y datos de telemetría para supervisar la salud y el rendimiento de los servicios del plano de datos y para respaldar los esfuerzos de solución de problemas.

No apliques ninguna regla adicional a tu VPC o grupos de seguridad para bloquear o restringir este tráfico saliente.

Rotación de credenciales

En el paso Paso 2a: Crear un usuario de IAM (cuenta de servicio), creaste un usuario de IAM llamado aac_iam_user con una clave de acceso adjunta. Alteryx no controla estas credenciales.

Alteryx recomienda rotar esta credencial de acuerdo con las políticas de tu empresa. Si tu empresa no tiene ninguna política, AWS recomienda rotarla cada 90 días. Solo recuerda que Alteryx necesita conservar el acceso a la VPC para actualizar los recursos y el software en la nube, supervisar la salud de tu entorno privado y solucionar problemas. Cuando gires esta credencial en AWS, recuerda iniciar sesión en Alteryx One Platform y proporcionar la credencial más reciente.

Próximos pasos

App Builder in AWS

Auto Insights in AWS

Cloud Execution for Desktop in AWS

Designer Cloud and EMR Serverless in AWS

Machine Learning in AWS

En esta sección: