Storage Connect는 Frame.io V4 및 Legacy의 Enterprise 고객을 대상으로 제공됩니다.
Frame.io Storage Connect는 Frame.io의 Enterprise 고객이 자체 클라우드 스토리지 엔드포인트를 Frame.io의 백업 스토리지로 사용할 수 있도록 하는 기능입니다. 현재 사용자가 Frame.io에 자산을 업로드하면 해당 자산은 애플리케이션 스택을 거쳐 Frame.io의 Amazon S3 버킷에 저장됩니다. 마찬가지로, 자산의 재생 및 전송은 Frame.io에서 관리하는 Amazon S3 버킷에서 처리됩니다.
Storage Connect를 사용하면 Frame.io에 업로드된 자산이 Frame.io 스토리지가 아닌 고객의 연결된 스토리지로 리디렉션됩니다. 이 기능은 신규 및 기존 고객 모두 사용할 수 있습니다. 기존 고객 지원을 활성화하기 위해 Frame.io는 과거에 Frame.io에서 관리하는 Amazon S3 버킷에 저장된 기존 고객 데이터를 고객이 관리하는 Amazon S3 버킷으로 한 번에 마이그레이션하는 기능을 일반 가용성으로 제공합니다.
아래 정보는 Frame.io의 신규 및 기존 고객을 대상으로 Storage Connect와 호환되도록 S3 버킷을 구성하는 단계별 안내서를 제공하기 위해 설계되었습니다.
AWS S3 | 신규 고객을 위한 설정 및 가이드라인
고객은 Frame.io에 비어 있는 us-east-1 지역 내의 S3 버킷을 제공해야 합니다. 버킷이 Frame.io에서 안전하게 작동하도록 올바르게 구성되었는지 확인하기 위해 AWS Console에서 아래 단계를 따릅니다.
AWS IAM OIDC ID 공급자 만들기
AWS IAM(Identity and Access Management Dashboard)(https://console.aws.amazon.com/iam/)을 방문합니다. 여기에서 Frame.io를 새로운 신뢰할 수 있는 ID 공급자로 추가해야 합니다. 이를 위한 단계는 아래와 같습니다.
Access Management > Identity providers
“Add Provider” 선택
Provider Type: OpenID Connect
Provider URL: https://tokens.storage.frame.io
Get thumbprint를 선택하여 IdP의 서버 인증서를 확인합니다.
Audience: https://tokens.storage.frame.io
완료되면 "Add provider"를 선택합니다.
생성이 완료되면 새로 생성된 공급자로 이동하여 선택하고 Amazon Resource Name(ARN)을 복사합니다.
ARN은 선택한 공급자의 요약 섹션에서 찾을 수 있으며, 이 정보는 다음 단계인 IAM 역할 생성 시 필요합니다.
ARN 값은 다음과 비슷한 형식으로 나타납니다.
arn:aws:iam::1234567891234:oidc-provider/tokens.storage.frame.io
AWS IAM OIDC ID 공급자 설정에 대한 자세한 내용은 AWS 공식 가이드를 참조하십시오.
IAM 역할 생성
신뢰할 수 있는 ID 공급자로 Frame.io를 만들었다면 Frame.io가 버킷에 안전하게 액세스할 수 있도록 새로운 “Role”을 만들 수 있습니다. 아래 제공된 정보를 토대로 세 단계를 거치면 구성을 성공적으로 완료하게 됩니다.
Access Management > Roles
1단계 | Trust Entity 선택
“Create Role” 선택
Trusted Entity Type: Custom trusted policy
Custom trust policy:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "IAM_OIDC_PROVIDER_ARN"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"tokens.storage.frame.io:sub": ["FRAMEIO_ACCOUNT_ID"]
}
}
}
]
}위의 내용을 Trust Policy 필드에 복사하여 붙여 넣습니다.서식이 바뀌거나 오탈자가 생기지 않도록 주의해야 합니다.
위의 JSON 블록을 구현한 후에는 임시 변수를 자신의 특정한 고객 값에 맞게 적절히 바꿔야 합니다.
IAM_OIDC_PROVIDER_ARN을 이전 단계에서 복사한 AWS IAM OIDC ID ARN으로 바꾸고 FRAMEIO_ACCOUNT_ID를 Adobe 지원팀에서 제공한 Frame.io 계정 ID로 바꿉니다.
작업을 다시 확인한 후 Next를 선택합니다.
2단계 | 권한 추가
Frame.io가 고객의 S3 버킷이나 오브젝트 키에 액세스할 수 있는 권한을 제대로 부여하려면 새 정책을 만들어야 합니다.
제공된 AWS 정책을 선택하거나 검색하지 말고 “Create policy”를 선택합니다. 새로운 브라우저 탭이 열립니다.
JSON 옵션을 선택하고 다음 내용을 복사하여 필드에 붙여 넣습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": ["s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:GetObject"],
"Effect": "Allow",
"Resource": "arn:aws:s3:::BUCKET_NAME/*"
}
]
}마찬가지로 서식이 바뀌거나 오탈자가 생기지 않도록 주의해야 합니다.
이전과 같이 임시 변수를 자신의 특정한 고객 값에 맞게 적절히 바꿔야 합니다.
BUCKET_NAME 을 사용자의 버킷 이름으로 바꿉니다.
작업을 다시 확인한 후 Next를 선택합니다.
정책의 Name을 입력하고 선택에 따라 Description과 Tag도 입력한 뒤 Create Policy를 선택합니다. 정책을 만든 후 해당 탭을 닫고 원래 탭으로 돌아가서 “Role” 만들기를 완료합니다.
사용자 정의 정책을 만들었다면 브라우저 탭을 새로 고치고 새로 만든 정책을 찾아 선택한 다음 Next를 선택합니다.
3단계 | 이름 지정, 검토, 만들기
역할에 Name을 지정하고 선택에 따라 Description을 추가합니다. 구성을 검토하고 역할 생성을 선택하세요.
IAM Role ARN을 복사하여 Frame.io 지원팀에 제공합니다. 백엔드 계정 구성을 적절하게 업데이트하기 위해 이 정보와 몇 가지 다른 정보를 알려주어야 합니다.
AWS S3 | 기존 고객을 위한 설정 및 가이드라인
Frame.io는 기존 고객이 Storage Connect를 성공적으로 사용할 수 있도록 기존 고객 데이터의 마이그레이션 서비스를 제공합니다. 이 서비스는 Frame.io의 관리형 스토리지에서 AWS us-east-1 내의 고객 제공 대상 버킷으로 오브젝트를 복사합니다. 마이그레이션 서비스는 신규 고객과 기존 고객 간의 설정 및 지침 간의 차이점을 정의합니다.
1단계 | 성공 계획
계정팀과 협력하여 Storage Connect 지원 계정으로 마이그레이션하기 위한 계획과 타임라인을 짭니다. 여기에는 마이그레이션할 계정 정의, 필요에 따른 프로젝트 정리 및 보관 처리 취소, 기타 계정의 일반적인 유지 관리가 포함됩니다.
Step 2 | Frame.io 마이그레이션 서비스 - 버킷 정책
마이그레이션 계획의 정의를 완료하고 확정한 뒤에는 고객이 Frame.io의 마이그레이션 서비스에 S3 버킷 액세스 권한을 부여할 수 있습니다.
위의 신규 고객용으로 정의된 단계를 완료한 다음 아래 목록의 S3 Bucket Policy를 추가하여 계속 진행합니다.
이 마이그레이션 버킷 정책을 추가하려면 대상 S3 버킷의 권한으로 이동합니다. 버킷의 “Permissions” 탭으로 이동한 후 “Bucket Policy” 섹션에 JSON 블록을 추가하고 변경 사항을 저장하기만 하면 됩니다.
{
"Version": "2012-10-17",
"Statement": [
{ "Sid": "FrameioMigrationAccess",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::BUCKET_NAME/*",
"Principal": {
"AWS": "arn:aws:iam::745689021772:role/frameio-storage-connect-migration-access"
}
}
]
}항상 그렇듯이 임시 변수인 BUCKET_NAME을 고객의 특정 값에 맞게 적절히 바꿔야 합니다.
3단계 | 정책 정리
마이그레이션 서비스가 완료되면 고객은 버킷에서 아래 정책을 제거해야 합니다.
Frame.io | 계정 구성 및 필수 매개 변수
Frame.io 연결 스토리지를 설정하는 마지막 단계는 성공 팀에 몇 가지 핵심 매개변수를 제공하는 것입니다.
아래 정보를 전담 고객 성공 관리자에게 전달해 주시기 바랍니다. 여기에서 계정의 백엔드가 업데이트되어 S3 버킷 또는 오브젝트 키에 대한 적절한 객체 라우팅을 설정합니다.
지역:
us-east-1버킷 이름
객체 접두사
IAM 역할 ARN
완료되면 사용자는 모든 Frame.io 클라이언트를 통해 콘텐츠를 업로드할 수 있으며, 원본 미디어는 제공된 고객 스토리지 베이스에 기록됩니다.
Frame.io는 사용자가 앱 내에서 최상의 경험을 할 수 있도록 생성된 프록시와 썸네일을 계속 저장합니다. Frame.io와 고객 스토리지 연결이 끊어지는 경우를 대비하여 비즈니스 연속성을 보장하기 위한 예방 조치입니다.
FAQ
Q: S3 버킷에 있는 객체의 이름을 변경해도 Frame.io를 통해 해당 객체에 액세스할 수 있나요?
A: 현재로서는 그렇지 않습니다. 앞으로 Frame.io에서 객체를 자산에 “다시 연결”하는 기능을 추가할 수도 있습니다.
Q: 버킷에서 AWS S3 수명 주기 규칙을 사용하여 객체를 더 저렴한 스토리지 유형으로 전환할 수 있나요?
A: AWS S3 수명 주기 규칙을 사용하여 객체를 IA 또는 GIR과 같은 다른 스토리지 유형으로 이동할 수 있지만, Frame.io에서 객체가 여전히 활발하게 검토되는 경우 추가적인 AWS S3 비용이 발생할 수 있습니다.
Q: Glacier로 객체를 옮길 수 있나요?
A: Glacier로 객체를 옮기지 않는 것이 좋습니다. Frame.io는 이러한 변경 사항을 감지하지 못하므로 사용자가 다운로드를 위해 원본 미디어에 액세스하려고 할 때 성능이 저하됩니다.
Q: 어떤 S3 스토리지 클래스가 지원되나요?
답: 즉시 검색(Standard, Intelligent-Tiering, Standard-IA, Glacier Instant Retrieval)이 가능한 모든 클래스입니다. 지원되지 않음: Glacier Flexible Retrieval, Glacier Deep Archive.
Q: Frame.io 웹앱 UI 내에서 프로젝트를 여전히 “보관”할 수 있나요?
A: Storage Connect를 사용하여 프로젝트를 보관하면 해당 팀의 “보관된 프로젝트” 메뉴를 통해 해당 프로젝트가 다시 구성됩니다.
하지만 이 작업과 연결된 S3 호출은 없습니다. AWS 내에서 자체 수명 주기 규칙을 구현하는 것은 고객의 몫입니다. 최종 사용자의 UI 상호작용은 AWS 내의 구성된 정책이나 트리거에 영향을 미치지 않습니다.
물론, 최종 사용자는 필요에 따라 프로젝트를 즉시 “보관 취소”할 수 있습니다.
Q: S3 버킷에 대한 액세스를 감사할 수 있나요?
A: 네, AWS CloudTrail을 사용하여 Frame.io가 IAM 역할을 가정하는 시점을 감사할 수 있으며, AWS S3 액세스 로그를 사용하여 Frame.io에서 Amazon S3 버킷으로의 모든 요청을 감사할 수 있습니다.
Q: Frame.io의 로그 보존 정책은 무엇입니까?
A: Frame.io의 AWS 환경에서 생성된 로그는 기존 로그 보존 정책에 따라 관리됩니다.