本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建实例
注意
只有 AWS Management Console 管理员才能创建实例。创建 AWS Supply Chain 实例的 AWS Management Console 管理员应拥有下面列出的所有权限使用 AWS Supply Chain 控制台。该管理员应邀请IAM用户作为 AWS Supply Chain 管理员进行管理 AWS Supply Chain。
要创建 AWS Supply Chain 实例,请按照以下步骤操作。
注意
您可以在 AWS 账户中创建最多 10 个实例。这 10 个实例包括活动实例和初始化实例。如果您已经激活了 Ident IAM ity Center( AWS 单点登录的继任者),则必须在激活 Ident IAM ity Center AWS 区域 的地方创建 AWS Supply Chain 实例。 AWS Supply Chain 不支持跨区域的IAM身份中心呼叫。
-
打开 AWS Supply Chain 控制台,网址为https://console.aws.amazon.com/scn/home
。 -
如果需要,更改 AWS 区域。在控制台窗口顶部的栏中,打开选择区域列表,然后选择一个区域。有关区域的更多信息,请参阅IAM用户指南中的区域和终端节点。另请参阅 Amazon Web Services 一般参考 中的区域和端点。
注意
AWS Supply Chain 仅支持美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(法兰克福)亚太地区(悉尼)和欧洲(爱尔兰)区域。
-
在 AWS Supply Chain 控制面板上,选择创建实例。
-
在实例属性页面上,输入以下信息:
-
AWS 区域-选择您已激活 “IAM身份中心” 的区域。要更改区域,请从右上角的下拉菜单中选择选择区域。创建实例后不能更改区域。
-
名称 — 输入实例名称。
-
(可选)描述 — 输入实例的描述。
-
-
注意
AWS 对于 AWS Supply Chain 实例,推荐使用自有密钥作为默认设置。通常,除非您需要审核或控制保护资源的加密密钥,否则 AWS 自有密钥是不错的选择。 AWS 拥有的密钥是完全免费的(没有月费或使用费),它们不计入您账户的AWSAWS KMS 配额,而且易于使用。您无需创建或维护密钥或其密钥策略。”
(可选)在 “AWS KMS密钥” 下,您可以选择使用默认 AWS KMS 密钥或提供自己的 AWS KMS 密钥。如果您使用的是自己的 AWS KMS 密钥,请选择 “自定义加密设置”,然后在 “选择 AWS AWS KMS 密钥” 下输入您的 AWS 密钥并使用以下内容更新您的 AWS KMS 策略。
注意
作为应用程序管理员,当您将用户添加到 AWS Supply Chain 实例时,他们可以访问 AWS KMS key。您可以管理添加或删除用户的用户权限。有关用户权限的更多信息,请参阅用户权限角色。
注意
Replace(替换)
YourAccountNumber
,Region
,YourInstanceID
,以及YourKmsKeyArn
使用您的 AWS 账户、 AWS 区域、 AWS Supply Chain 实例 ID 和 AWS KMS 密钥。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
YourAccountNumber
:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access through SecretManager for all principals in the account that are authorized to use SecretManager", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncryptFrom", "kms:ReEncryptTo" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.Region
.amazonaws.com", "kms:CallerAccount": "YourAccountNumber
" } } } ] }如果您没有KMS密钥,请选择 C re ate 进入 AWS KMS 控制台,在那里您可以创建此密钥。使用之前的KMS密钥策略。有关如何创建KMS密钥的详细信息,请参阅AWS Key Management Service 开发者指南中的创建密钥。
如果您计划使用 S/4 Hana 数据连接,请确保您提供的KMS密钥的aws-supply-chain-access标签的关联值为 true。
-
(可选)在实例标签下,选择添加新标签为您的实例分配标签。您可以使用这些标签标识实例。有关创建标签的信息,请参阅创建标签。
-
选择创建实例。
创建 AWS Supply Chain 实例大约需要 2 到 3 分钟。创建实例后, AWS Supply Chain 控制面板上的状态字段将显示为 “活动”。
-
(可选)创建 AWS Supply Chain 实例后,如果您选择在 AWS KMS 密钥下使用自己的密AWS AWS KMS 钥,请更新您的KMS策略 AWS Supply Chain 以允许访问您的 AWS KMS 密钥。
注意
Replace(替换)
YourInstanceID
使用您的 AWS Supply Chain 实例 ID。您可以在 AWS Supply Chain 控制台控制面板上找到您的实例 ID。{ "Sid": "Allow AWS Supply Chain to access the AWS KMS Key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
YourAccountNumber
:role/service-role/scn-instance-role-YourInstanceID
" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "YourKmsKeyArn
" }, { "Sid": "Enable ASC to backfill KMS permissions", "Effect": "Allow", "Principal": { "Service": "scn.Region
.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource":"YourKmsKeyArn
" }