Storage Connect доступен для корпоративных клиентов на Frame.io V4 и предыдущей версии.
Frame.io Storage Connect позволяет корпоративным клиентам Frame.io использовать собственную конечную точку облачного хранилища в качестве резервного хранилища Frame.io. Сегодня, когда пользователь загружает ресурс на Frame.io, этот ресурс проходит через стек приложений и сохраняется в контейнере Amazon S3 на Frame.io. Аналогичным образом воспроизведение и доставка ресурса обслуживаются из контейнера Amazon S3, управляемого Frame.io.
С помощью Storage Connect ресурс, загруженный на Frame.io, перенаправляется в подключенное хранилище клиента, а не Frame.io. Это предложение доступно как новым, так и существующим клиентам. Для поддержки существующих клиентов Frame.io предлагает единовременную миграцию данных существующих клиентов, которые с самого начала хранятся в управляемом Frame.io контейнере Amazon S3, в управляемую клиентом корзину Amazon S3 для обеспечения общей доступности.
Приведенная ниже информация предназначена для предоставления новым и существующим клиентам Frame.io пошагового руководства по настройке контейнера S3 для совместимости с Storage Connect.
AWS S3 | НАСТРОЙКА И РУКОВОДСТВО ДЛЯ НОВЫХ КЛИЕНТОВ
Клиенты должны предоставить Frame.io ПУСТОЙ контейнер S3 в регионе us-east-1. Чтобы убедиться, что контейнер правильно настроен для безопасной работы с Frame.io, выполните следующие действия в консоли AWS.
Создайте поставщик идентификационных данных AWS IAM OIDC
Посетите панель управления идентификационными данными и доступом (AWS IAM) по адресу https://console.aws.amazon.com/iam/. Теперь вам нужно будет добавить Frame.io в качестве нового доверенного поставщика идентификационных данных. Для этого выполните шаги, указанные ниже.
Управление доступом > Поставщики идентификационных данных
Выберите «Добавить поставщика»
Тип поставщика: OpenID Connect
URL-адрес поставщика: https://tokens.storage.frame.io
Выберите Получить отпечаток большого пальца для проверки сертификата сервера вашего IdP.
Аудитория: https://tokens.storage.frame.io
Когда закончите, выберите «Добавить поставщика».
После создания перейдите к недавно созданному поставщику, выберите его и скопируйте Имя ресурса Amazon (ARN).
АРН можно найти в разделе «Сводка» по выбранному поставщику, эта информация потребуется на следующем этапе — создании роли IAM.
Значение ARN будет отформатировано следующим образом...
arn:aws:iam::1234567891234:oidc-provider/tokens.storage.frame.io
Для получения дополнительной информации о настройке предоставления идентификационных данных AWS IAM OIDC см. Официальные руководства AWS.
Создать роль IAM
Теперь, когдаFrame.ioсоздана в качестве доверенного поставщика идентификационных данных, можно создать новую«Роль», чтобы предоставить Frame.io безопасный доступ к вашему контейнеру. Для успешного завершения настройки выполните три шага, используя предоставленную ниже информацию.
Управление доступом > Роли
Шаг 1 | Выберите доверенную организацию
Выберите «Создать роль»
Тип доверенной организации: Индивидуальная политика доверия
Индивидуальная политика доверия:
{
"Version": "2012-10-17",
"Statement": [
{"Effect": "Allow",
"Principal": {
"Federated": "IAM_OIDC_PROVIDER_ARN"},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"tokens.storage.frame.io:sub": ["FRAMEIO_ACCOUNT_ID"]
}
}
}
]
}Скопируйте и вставьте указанное выше в поле политики — При этом будьте внимательны к любым изменениям форматирования или опечаткам.
После добавления вышеуказанного блока JSON обязательно замените временные переменные в соответствии со значениями ваших конкретных клиентов.
ЗаменитеIAM_OIDC_PROVIDER_ARNна ARN идентификационных данных AWS IAM OIDC, скопированный из предыдущих шагов, и заменитеFRAMEIO_ACCOUNT_IDна идентификатор вашей учетной записи Frame.io, предоставленный нашей службой поддержки.
Еще раз проверьте свою работу, затем нажмите Далее.
Шаг 2 | Добавить разрешение
Чтобы правильно предоставить Frame.io разрешение на доступ к контейнеру S3 или ключу объекта клиента, необходимо создать новую политику.
Не выбирайте и не ищите среди предоставленных политик AWS, вместо этого выберите «Создать политику».Откроется новая вкладка браузера.
Выберите параметр JSON, скопируйте и вставьте в поле следующее.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::BUCKET_NAME/*"
}
]
}Опять же, будьте внимательны к любым изменениям форматирования или опечаткам.
Как и прошлый раз, обязательно замените временные переменные в соответствии со значениями ваших конкретных клиентов.
ЗаменитеBUCKET_NAMEна имя вашего контейнера:
Еще раз проверьте свою работу, затем выберите Далее.
Предоставьте Имя для вашей политики и по желанию Описание и Теги, затем выберите Создать политику.После создания политики закройте эту вкладку и вернитесь на исходную вкладку, чтобы завершить создание«Роли».
Теперь, когда настраиваемая политика создана, обновите вкладку браузера, чтобы найти и выбрать вновь созданную политику, затем нажмитеДалее .
Шаг 3 | Имя, просмотр и создание
УкажитеИмяи по желаниюОписаниедля роли. Просмотрите конфигурацию и выберите Создать роль.
СкопируйтеARN роли IAM, чтобы предоставить его команде поддержки Frame.io. Нам понадобится эти и еще некоторые данные для соответствующего обновления конфигурации вашей учетной записи на сервере.
AWS S3 | НАСТРОЙКА И РУКОВОДСТВО ДЛЯ СУЩЕСТВУЮЩИХ КЛИЕНТОВ
Чтобы обеспечить успешный опыт наших существующих клиентов со Storage Connect, Frame.io предлагает услугу миграции данных существующих клиентов. Эта служба будет копировать объекты из управляемого хранилища Frame.io’ в указанный клиентом целевой контейнер в AWS us-east-1. Услуги по миграции определяют различия между настройками и рекомендациями для новых и существующих клиентов.
Шаг 1 | План успеха
Работая с вашей командой по работе с клиентами, разработайте план и график миграции в учетную запись с поддержкой Storage Connect. Он будет включать в себя определение учетной записи/учетных записей для миграции, очистку и разархивацию проектов по мере необходимости, а также другое общее обслуживание учетной записи/учетных записей.
Шаг 2 |Frame.ioСлужба миграции — политика контейнера
При наличии определенного плана миграции клиенты могут предоставить службе миграции Frame.io доступ к своему контейнеру S3.
Выполните шаги, определенные выше для новых клиентов, затем перейдите к добавлениюПолитики контейнера S3, указанной ниже.
Чтобы добавить эту политику контейнера миграции, перейдите к разрешениям целевого контейнера S3. Находясь на вкладке «Разрешения» вашего контейнера, просто добавьте указанный ниже блок JSON в раздел «Политика контейнера» и сохраните изменения.
{
"Version": "2012-10-17",
"Statement": [
{ "Sid": "FrameioMigrationAccess",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::BUCKET_NAME/*",
"Principal": {
"AWS": "arn:aws:iam::745689021772:role/frameio-storage-connect-migration-access"
}
}
]
}Как всегда, обязательно замените временную переменную BUCKET_NAME на значение вашего конкретного клиента.
Шаг 3 | Очистка политики
После завершения услуги миграции клиенты должны удалить указанную ниже политику из контейнера.
Frame.io | КОНФИГУРАЦИЯ УЧЕТНОЙ ЗАПИСИ И НЕОБХОДИМЫЕ ПАРАМЕТРЫ
Последний шаг в настройке подключенного хранилища Frame.io — предоставление вашей команде нескольких ключевых параметров.
Согласуйте и передайте указанную ниже информацию вашему менеджеру по работе с клиентами. После этого внутренняя служба вашей учетной записи будет обновлена для установки правильной маршрутизации объектов к вашему контейнеру S3 или ключу объекта.
Регион:
us-east-1Имя контейнера
Префикс объекта
ARN роли IAM
После завершения пользователи смогут загружать контент через любой клиент Frame.io, а исходные медиаданные будут записаны в предоставленную вами клиентскую базу данных.
Не забывайте, что Frame.io продолжит хранить сгенерированные вами прокси и значки, чтобы обеспечить пользователям наилучшие возможности использования приложения. Мы принимаем эту меру в качестве меры предосторожности для обеспечения непрерывности бизнеса на случай, если у Frame.io когда-либо возникнет перебой в подключении к хранилищу клиента.
Часто задаваемые вопросы
В: Могу ли я переименовать объект в контейнере S3 и по-прежнему иметь к нему доступ через Frame.io?
О: На данный момент нет. В будущем мы можем добавить возможность «повторной привязки» объекта к активу в Frame.io.
В: Могу ли я использовать правила жизненного цикла AWS S3 в своем контейнере для переноса объектов в более дешевые типы хранилищ?
О: Вы можете использовать собственные правила жизненного цикла AWS S3 для перемещения объектов в другие типы хранилищ, такие как IA или GIR, однако это может повлечь за собой дополнительные расходы AWS S3, если объекты по-прежнему активно просматриваются в Frame.io.
В: Могу ли я перемещать объекты в Glacier?
О: Мы бы не рекомендовали перемещать предметы в Glacier. Frame.io не обнаружит это изменение, и в результате пользователи столкнутся с ухудшением качества при попытке доступа к исходным медиаданным для загрузки.
В: Какие поддерживаются классы хранилищ S3?
О: Все классы с мгновенным извлечением (т. е. Standard, Intelligent-Tiering, Standard-IA, Glacier Instant Retrieval). Не поддерживается: Glacier Flexible Retrieval, Glacier Deep Archive.
В: Могу ли я по-прежнему «архивировать» проекты в пользовательском интерфейсе веб-приложения Frame.io?
О: С помощью Storage Connect действие архивации проекта реорганизует этот проект с помощью раскрывающегося меню «Архивные проекты» соответствующей команды.
Однако с этим действием не связан вызов S3. Клиент должен самостоятельно внедрить собственные правила жизненного цикла в AWS. Взаимодействие конечного пользователя с пользовательским интерфейсом не повлияет на настроенные политики или триггеры в AWS.
Конечно, конечные пользователи могут мгновенно «разархивировать» проект в случае необходимости.
В: Могу ли я проводить аудит доступа к нашему контейнеру S3?
О: Да, вы можете использовать AWS CloudTrail для аудита, когда Frame.io берет на себя роль IAM, а также использовать журналы доступа AWS S3 для аудита всех запросов от Frame.io к контейнеру Amazon S3.
В: Какова политика хранения журналов Frame.io?
О: Журналы, созданные в среде AWS Frame.io, будут соответствовать нашим существующим политикам хранения журналов.