Skip to main content
Alle Cloud-Provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Alle Cloud-Provider
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Einrichten von IAM-Rollen für Cloud Volumes ONTAP

Beitragende

IAM-Rollen mit den erforderlichen Berechtigungen müssen an jeden Cloud Volumes ONTAP-Knoten angeschlossen sein. Das gleiche gilt für den HA Mediator. Es ist am einfachsten, BlueXP die IAM-Rollen für Sie erstellen zu lassen, aber Sie können Ihre eigenen Rollen verwenden.

Diese Aufgabe ist optional. Wenn Sie eine Cloud Volumes ONTAP-Arbeitsumgebung erstellen, können Sie mit BlueXP standardmäßig die IAM-Rollen für Sie erstellen. Wenn Sie in den Sicherheitsrichtlinien Ihres Unternehmens die IAM-Rollen selbst erstellen müssen, befolgen Sie die folgenden Schritte.

Hinweis In der AWS Secret Cloud muss Ihre eigene IAM-Rolle angegeben werden. "Erfahren Sie, wie Cloud Volumes ONTAP in C2S eingesetzt wird".
Schritte
  1. Wechseln Sie zur AWS IAM-Konsole.

  2. IAM-Richtlinien erstellen, die die folgenden Berechtigungen enthalten:

    • Basisrichtlinie für Cloud Volumes ONTAP-Nodes

      Standardregionen
      {
      	"Version": "2012-10-17",
      	"Statement": [{
      			"Action": "s3:ListAllMyBuckets",
      			"Resource": "arn:aws:s3:::*",
      			"Effect": "Allow"
      		}, {
      			"Action": [
      				"s3:ListBucket",
      				"s3:GetBucketLocation"
      			],
      			"Resource": "arn:aws:s3:::fabric-pool-*",
      			"Effect": "Allow"
      		}, {
      			"Action": [
      				"s3:GetObject",
      				"s3:PutObject",
      				"s3:DeleteObject"
      			],
      			"Resource": "arn:aws:s3:::fabric-pool-*",
      			"Effect": "Allow"
      		}
      	]
      }
      GovCloud (USA) Regionen
      {
          "Version": "2012-10-17",
          "Statement": [{
              "Action": "s3:ListAllMyBuckets",
              "Resource": "arn:aws-us-gov:s3:::*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation"
              ],
              "Resource": "arn:aws-us-gov:s3:::fabric-pool-*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:GetObject",
                  "s3:PutObject",
                  "s3:DeleteObject"
              ],
              "Resource": "arn:aws-us-gov:s3:::fabric-pool-*",
              "Effect": "Allow"
          }]
      }
      Top Secret Regionen
      {
          "Version": "2012-10-17",
          "Statement": [{
              "Action": "s3:ListAllMyBuckets",
              "Resource": "arn:aws-iso:s3:::*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation"
              ],
              "Resource": "arn:aws-iso:s3:::fabric-pool-*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:GetObject",
                  "s3:PutObject",
                  "s3:DeleteObject"
              ],
              "Resource": "arn:aws-iso:s3:::fabric-pool-*",
              "Effect": "Allow"
          }]
      }
      Geheime Regionen
      {
          "Version": "2012-10-17",
          "Statement": [{
              "Action": "s3:ListAllMyBuckets",
              "Resource": "arn:aws-iso-b:s3:::*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation"
              ],
              "Resource": "arn:aws-iso-b:s3:::fabric-pool-*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:GetObject",
                  "s3:PutObject",
                  "s3:DeleteObject"
              ],
              "Resource": "arn:aws-iso-b:s3:::fabric-pool-*",
              "Effect": "Allow"
          }]
      }
    • Backup-Richtlinie für Cloud Volumes ONTAP-Nodes

      Falls Sie BlueXP Backup und Recovery für Ihre Cloud Volumes ONTAP Systeme nutzen möchten, muss die IAM-Rolle für die Nodes die zweite unten dargestellte Richtlinie enthalten.

    Standardregionen
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketLocation"
                ],
                "Resource": "arn:aws:s3:::netapp-backup*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListAllMyBuckets",
                    "s3:PutObjectTagging",
                    "s3:GetObjectTagging",
                    "s3:RestoreObject",
                    "s3:GetBucketObjectLockConfiguration",
                    "s3:GetObjectRetention",
                    "s3:PutBucketObjectLockConfiguration",
                    "s3:PutObjectRetention"
                ],
                "Resource": "arn:aws:s3:::netapp-backup*/*",
                "Effect": "Allow"
            }
        ]
    }
    GovCloud (USA) Regionen
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketLocation"
                ],
                "Resource": "arn:aws-us-gov:s3:::netapp-backup*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListAllMyBuckets",
                    "s3:PutObjectTagging",
                    "s3:GetObjectTagging",
                    "s3:RestoreObject",
                    "s3:GetBucketObjectLockConfiguration",
                    "s3:GetObjectRetention",
                    "s3:PutBucketObjectLockConfiguration",
                    "s3:PutObjectRetention"
                ],
                "Resource": "arn:aws-us-gov:s3:::netapp-backup*/*",
                "Effect": "Allow"
            }
        ]
    }
    Top Secret Regionen
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketLocation"
                ],
                "Resource": "arn:aws-iso:s3:::netapp-backup*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListAllMyBuckets",
                    "s3:PutObjectTagging",
                    "s3:GetObjectTagging",
                    "s3:RestoreObject",
                    "s3:GetBucketObjectLockConfiguration",
                    "s3:GetObjectRetention",
                    "s3:PutBucketObjectLockConfiguration",
                    "s3:PutObjectRetention"
                ],
                "Resource": "arn:aws-iso:s3:::netapp-backup*/*",
                "Effect": "Allow"
            }
        ]
    }
    Geheime Regionen
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketLocation"
                ],
                "Resource": "arn:aws-iso-b:s3:::netapp-backup*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListAllMyBuckets",
                    "s3:PutObjectTagging",
                    "s3:GetObjectTagging",
                    "s3:RestoreObject",
                    "s3:GetBucketObjectLockConfiguration",
                    "s3:GetObjectRetention",
                    "s3:PutBucketObjectLockConfiguration",
                    "s3:PutObjectRetention"
                ],
                "Resource": "arn:aws-iso-b:s3:::netapp-backup*/*",
                "Effect": "Allow"
            }
        ]
    }
    • Ha Mediator

      {
      	"Version": "2012-10-17",
      	"Statement": [{
      			"Effect": "Allow",
      			"Action": [
      				"ec2:AssignPrivateIpAddresses",
      				"ec2:CreateRoute",
      				"ec2:DeleteRoute",
      				"ec2:DescribeNetworkInterfaces",
      				"ec2:DescribeRouteTables",
      				"ec2:DescribeVpcs",
      				"ec2:ReplaceRoute",
      				"ec2:UnassignPrivateIpAddresses",
                      "sts:AssumeRole",
                      "ec2:DescribeSubnets"
      			],
      			"Resource": "*"
      		}
      	]
      }
  3. Erstellen Sie eine IAM-Rolle, und hängen Sie die von Ihnen erstellten Richtlinien an die Rolle an.

Ergebnis

Sie können jetzt IAM-Rollen auswählen, wenn Sie eine neue Cloud Volumes ONTAP-Arbeitsumgebung erstellen.