Passer au contenu principal

Storage Connect pour Frame.io

Jared avatar
Écrit par Jared
Mis à jour il y a plus d'un an

Storage Connect est disponible pour les clientes et clients Enterprise sur Frame.io V4 et les versions héritées.

Frame.io Storage Connect permet aux clientes et clients Enterprise de Frame.io d’utiliser leur propre point d’entrée de stockage dans le cloud comme stockage de sauvegarde de Frame.io. Aujourd’hui, lorsqu’un utilisateur ou une utilisatrice charge une ressource sur Frame.io, la ressource circule dans la pile d’applications et est stockée dans le compartiment Amazon S3 de Frame.io. De même, la lecture et la diffusion d’une ressource sont assurées à partir d’un compartiment Amazon S3 géré par Frame.io.

Avec Storage Connect, une ressource chargée sur Frame.io est redirigée vers le stockage connecté du client ou de la cliente, plutôt que vers celui de Frame.io. Cette offre est disponible à la fois pour la nouvelle clientèle et celle existante. Pour activer les clientes et clients existants, Frame.io propose une migration unique des données des clientes et clients existants historiquement stockées dans le compartiment Amazon S3 géré par Frame.io vers le compartiment Amazon S3 géré par le client ou la cliente pour une disponibilité générale.

Les informations ci-dessous sont conçues pour informer la nouvelle clientèle et celle existante de Frame.io avec un guide détaillé configurant leur compartiment S3 pour la compatibilité avec Storage Connect.

AWS S3 | CONFIGURATION ET DIRECTIVES POUR LES NOUVEAUX CLIENTS ET LES NOUVELLES CLIENTES

Les clientes et clients doivent fournir à Frame.io un compartiment S3 VIDE dans la région us-east-1. Pour vous assurer que le compartiment est correctement configuré pour fonctionner en toute sécurité avec Frame.io, suivez les étapes ci-dessous dans la console AWS.

Créer un fournisseur d’identité OIDC IAM AWS

Consultez le tableau de bord de gestion des identités et des accès (AWS IAM) à l’adresse https://console.aws.amazon.com/iam/. À partir de là, vous devez ajouter Frame.io en tant que nouveau fournisseur d’identité approuvé. Pour ce faire, suivez les instructions ci-dessous.

Access Management > Identity providers

  • Sélectionnez « Add Provider ».

  • Lorsque vous avez terminé, sélectionnez « Add provider ».

Une fois la création terminée, accédez au fournisseur nouvellement créé, sélectionnez-le et copiez le nom de ressource Amazon (ARN).

  • L’ARN se trouve dans la section Summary du fournisseur sélectionné. Ces informations seront requises lors de l’étape suivante : création du rôle IAM.

  • La valeur ARN est mise en forme comme suit...

    • arn:aws:iam::1234567891234:oidc-provider/tokens.storage.frame.io

Pour plus d’informations sur la configuration du fournisseur d’identité OIDC IAM d’AWS, consultez les guides officiels d’AWS.

Créer un rôle IAM

Maintenant que Frame.io a été créé en tant que fournisseur d’identité approuvé, un nouveau « Rôle » peut être créé pour donner à Frame.io l’accès à votre compartiment en toute sécurité. Suivez les trois étapes avec les informations fournies ci-dessous pour terminer la configuration.

Access Management > Roles

Étape 1 | Sélectionner l’entité de confiance

  • Sélectionnez « Create Role ».

    • Trusted Entity Type : Custom trusted policy

    • Custom trust policy :

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "IAM_OIDC_PROVIDER_ARN"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"tokens.storage.frame.io:sub": ["FRAMEIO_ACCOUNT_ID"]
}
}
}
]
}

Copiez et collez les éléments ci-dessus dans le champ de politique de confiance — faites attention aux éventuelles modifications de format ou erreurs de frappe lors de cette opération.

Une fois le bloc JSON ci-dessus en place, assurez-vous de permuter les variables temporaires en conséquence avec vos valeurs clientes spécifiques.

  • Remplacez IAM_OIDC_PROVIDER_ARN par l’ARN de l’identité OIDC AWS IAM (copiée des étapes précédentes) et remplacez FRAMEIO_ACCOUNT_ID par l’ID de votre compte Frame.io fourni par notre équipe d’assistance.

Vérifiez votre travail, puis sélectionnez Next.

Étape 2 | Ajouter l’autorisation

Pour accorder correctement à Frame.io l’autorisation d’accéder au compartiment S3 ou à la clé d’objet d’un client ou d’une cliente, une nouvelle politique doit être créée.

Ne sélectionnez pas ou ne recherchez pas parmi les politiques AWS fournies. Choisissez plutôt « Create policy ».Un nouvel onglet de navigateur s’ouvre.

Sélectionnez l’option JSONet copiez et collez les éléments suivants dans le champ.

{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::BUCKET_NAME/*"
}
]
}

Encore une fois, faites attention aux éventuelles modifications de format ou erreurs de frappe lors de cette opération.

Comme précédemment, veillez à remplacer la variable temporaire en conséquence par votre valeur cliente spécifique.

  • Remplacez BUCKET_NAME par votre nom de compartiment :

Vérifiez votre travail, puis sélectionnez Next.

Indiquez un nomà votre politique, une éventuelle description et des balises, puis sélectionnez Create Policy.Après avoir créé la politique, fermez cet onglet et revenez à votre onglet d’origine pour terminer la création du« Role ».

Maintenant que la politique personnalisée a été créée, actualisez l’onglet du navigateur pour rechercher et sélectionner la nouvelle politique, puis sélectionnez Next.

Étape 3 | Nommer, vérifier, and créer

Indiquez un nomet une descriptionfacultative pour le rôle. Vérifiez la configuration et choisissez Create Role.

Copiez l’ARN du rôle IAM à fournir à votre équipe d’assistance Frame.io. Nous en aurons besoin, ainsi que de quelques autres informations, pour mettre à jour la configuration de votre compte principal en conséquence.

AWS S3 | CONFIGURATION ET DIRECTIVES POUR LES CLIENTES ET CLIENTS EXISTANTS

Pour garantir la réussite de nos clientes et clients existants avec Storage Connect, Frame.io offre un service de migration des données clientes existantes. Ce service copiera les objets du stockage géré par Frame.io vers le compartiment cible fourni par le client ou la cliente dans AWS us-east-1. Les services de migration définissent les différences entre les directives et la configuration des clientes et clients existants et nouveaux.

Étape 1 | Plan de réussite

En collaboration avec l’équipe chargée de votre compte, développez un plan et un calendrier pour la migration vers un compte compatible avec Storage Connect. Cela comprendra la définition du ou des comptes à migrer, le nettoyage et le désarchivage des projets selon les besoins, et d’autres opérations générales de maintenance du ou des comptes.

Étape 2 |Frame.ioService de migration - Politique de compartiments

Lorsqu’un plan de migration défini est en place, les clientes et clients peuvent accorder au service de migration de Frame.io l’accès à leur compartiment S3.

Effectuez les étapes définies ci-dessus pour les nouveaux clientes et clients, puis continuez avec l’ajout de la politique de compartiments S3 répertoriée ci-dessous.

Pour ajouter cette politique de compartiments de migration, accédez aux autorisations de votre compartiment S3 cible. Une fois dans l’onglet « Permissions » de votre compartiment, ajoutez simplement le bloc JSON ci-dessous à la section « Bucket Policy » et enregistrez les modifications. 

{
"Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "FrameioMigrationAccess",
 "Effect": "Allow",
 "Action": "s3:PutObject",
 "Resource": "arn:aws:s3:::BUCKET_NAME/*",
 "Principal": {
 "AWS": "arn:aws:iam::745689021772:role/frameio-storage-connect-migration-access"
 }
 }
 ]
}

Comme toujours, veillez à remplacer la variable temporaire, BUCKET_NAME, par votre valeur cliente spécifique.

Étape 3 | Nettoyage de politique

Une fois le service de migration terminé, les clientes et clients doivent supprimer la politique ci-dessous du compartiment.

Frame.io | CONFIGURATION DU COMPTE ET PARAMÈTRES REQUIS

La dernière étape de la configuration de votre stockage connecté Frame.io consiste à fournir à votre équipe de réussite quelques paramètres clés.

Coordonnez et transmettez les informations ci-dessous à votre personne responsable du succès client dédiée. À partir de là, le système d’arrière-plan de votre compte sera mis à jour pour établir l’acheminement correct des objets vers votre compartiment S3 ou votre clé d’objet.

  • Région : us-east-1

  • Nom du compartiment

  • Préfixe d’objet

  • ARN de rôle IAM

Une fois l’opération terminée, les utilisateurs et utilisatrices savent qu’ils pourront charger du contenu via n’importe quel client Frame.io et pourront faire écrire le média d’origine dans le stockage fourni par le client ou la cliente.

N’oubliez pas que Frame.io continuera à stocker les proxys et miniatures que vous générez pour garantir aux utilisateurs et utilisatrices la meilleure expérience possible au sein de l’application. Nous appliquons cette mesure à titre de précaution pour la continuité d’activité, dans le cas où Frame.io ne parviendrait pas à se connecter au stockage du client ou de la cliente.

Questions fréquentes

Q : puis-je renommer un objet dans le compartiment S3 et continuer à y accéder via Frame.io ?

R : pas pour le moment. À l’avenir, nous pourrions ajouter la possibilité de « lier à nouveau » un objet à une ressource dans Frame.io.

Q : puis-je utiliser les règles de cycle de vie AWS S3 sur mon compartiment pour faire passer des objets vers des types de stockage moins chers ?

R :vous pouvez utiliser vos propres règles de cycle de vie AWS S3 pour déplacer des objets vers d’autres types de stockage, comme IA ou GIR. Toutefois, cela peut entraîner des coûts supplémentaires au niveau d’AWS S3 si les objets sont toujours activement révisés dans Frame.io.

Q : puis-je déplacer des objets vers Glacier ?

R : nous vous déconseillons de déplacer des objets vers Glacier. Frame.io ne détecte pas cette modification et, par conséquent, les utilisateurs et utilisatrices risquent de rencontrer des problèmes lorsqu’ils tenteront d’accéder au média d’origine pour le télécharger.

Q : quelles sont les classes de stockage S3 prises en charge ?

R : toutes les classes avec récupération instantanée (c’est-à-dire Standard, Intelligent-Tiering, Standard-IA, Glacier Instant Retrieval). Non pris en charge : Glacier Flexible Retrieval, Glacier Deep Archive.

Q : puis-je toujours « archiver » des projets dans l’IU de l’application web Frame.io ?

R : avec Storage Connect, l’action d’archivage d’un projet réorganise ce projet avec le menu déroulant « Archived Projects » de son équipe respective.

Cependant, cette action n’entraîne aucun appel associé à S3. Il appartient au client ou à la cliente de mettre en œuvre ses propres règles de cycle de vie dans AWS. L’interaction de l’IU par l’utilisateur final ou l’utilisatrice finale n’aura aucun effet sur les politiques ou déclencheurs configurés dans AWS.

La personne peut, bien entendu, instantanément « désarchiver » un projet selon les besoins.

Q : puis-je effectuer un audit quant à l’accès à notre compartiment S3 ?

R : oui, vous pouvez utiliser AWS CloudTrail pour effectuer un audit lorsque Frame.io assume le rôle IAM et utiliser les journaux d’accès AWS S3 pour effectuer un audit de toutes les demandes de Frame.io vers le compartiment Amazon S3.

Q : quelle est la politique de conservation des journaux de Frame.io ?

R : les journaux générés à partir de l’environnement AWS de Frame.io respecteront nos politiques existantes de conservation des journaux.

Articles connexes
Informations sur la sécurité de Frame.io
Qu’est-ce qu’un compte Entreprise ?
FAQ sur Frame.io pour les nouveaux abonnés Adobe Creative Cloud
Avez-vous trouvé la réponse à votre question ?