Skip to main content
Amazon FSx for NetApp ONTAP
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Einrichten von Berechtigungen für FSx für ONTAP

Beitragende netapp-rlithman
PDFs

Um eine FSx für ONTAP Arbeitsumgebung zu erstellen oder zu verwalten, müssen Sie AWS-Anmeldeinformationen in der NetApp Konsole hinzufügen, indem Sie die ARN einer IAM-Rolle angeben, die die erforderlichen Berechtigungen zum Erstellen eines FSx für ONTAP -Systems über die NetApp Konsole erteilt.

Warum AWS-Anmeldeinformationen erforderlich sind

AWS-Anmeldeinformationen sind erforderlich, um FSx für ONTAP -Systeme über die NetApp Konsole zu erstellen und zu verwalten. Sie können neue AWS-Anmeldeinformationen erstellen oder AWS-Anmeldeinformationen zu einer vorhandenen Organisation hinzufügen. Anmeldeinformationen bieten die erforderlichen Berechtigungen zum Verwalten von Ressourcen und Prozessen in Ihrer AWS-Cloud-Umgebung über die NetApp Konsole.

Anmeldeinformationen und Berechtigungen werden über NetApp Workload Factory verwaltet. Workload Factory ist eine Lebenszyklus-Management-Plattform, die Benutzern dabei helfen soll, Workloads mithilfe von Amazon FSx for NetApp ONTAP Dateisysteme zu optimieren. Die NetApp Konsole verwendet denselben Satz an AWS-Anmeldeinformationen und Berechtigungen wie Workload Factory.

Die Workload Factory-Schnittstelle bietet FSx für ONTAP Benutzern Optionen zum Aktivieren von Workload-Funktionen wie Speicher, VMware, Datenbanken und GenAI sowie zum Auswählen von Berechtigungen für die Workloads. Storage ist die Speicherverwaltungsfunktion in Workload Factory und die einzige Funktion, die Sie aktivieren und Anmeldeinformationen hinzufügen müssen, um Ihre FSx for ONTAP Dateisysteme zu erstellen und zu verwalten.

Informationen zu diesem Vorgang

Wenn Sie neue Anmeldeinformationen für FSx for ONTAP aus dem Speicher in Workload Factory hinzufügen, müssen Sie entscheiden, in welcher Berechtigungsebene oder welchem ​​Betriebsmodus Sie arbeiten möchten. Um AWS-Ressourcen wie FSx for ONTAP Dateisysteme zu erkennen und bereitzustellen, benötigen Sie schreibgeschützte oder Lese-/Schreibberechtigungen. FSx für ONTAP wird im Basismodus ausgeführt, sofern Sie nicht den Nur-Lese-Modus oder den Lese-/Schreib-Modus auswählen. Nur-Lesen sind dasselbe wie Anzeigeberechtigungen. Lesen/Schreiben sind dasselbe wie Betriebsberechtigungen. "Erfahren Sie mehr über Betriebsmodi" .

Neue und vorhandene AWS-Anmeldeinformationen können im Administrationsmenü auf der Seite Anmeldeinformationen angezeigt werden.

Ein Screenshot des Administrationsmenüs und der im Administrationsmenü der NetApp Konsole hervorgehobenen Option „Anmeldeinformationen“.

Sie können Anmeldeinformationen mit zwei Methoden hinzufügen:

  • Manuell: Sie erstellen die IAM-Richtlinie und die IAM-Rolle in Ihrem AWS-Konto, während Sie Anmeldeinformationen in Workload Factory hinzufügen.

  • Automatisch: Sie erfassen eine minimale Menge an Informationen zu Berechtigungen und verwenden dann einen CloudFormation-Stack, um die IAM-Richtlinien und die Rolle für Ihre Anmeldeinformationen zu erstellen.

Anmeldeinformationen manuell zu einem Konto hinzufügen

Sie können der NetApp Konsole manuell AWS-Anmeldeinformationen hinzufügen, um Ihrem Konto die erforderlichen Berechtigungen zum Verwalten der AWS-Ressourcen zu erteilen, die Sie zum Ausführen Ihrer individuellen Workloads verwenden. Jeder Satz von Anmeldeinformationen, den Sie hinzufügen, enthält eine oder mehrere IAM-Richtlinien basierend auf den Workload-Funktionen, die Sie verwenden möchten, und eine IAM-Rolle, die Ihrem Konto zugewiesen ist.

Das Erstellen der Anmeldeinformationen besteht aus drei Teilen:

  • Wählen Sie die Dienste und Berechtigungsstufen aus, die Sie verwenden möchten, und erstellen Sie dann IAM-Richtlinien über die AWS-Managementkonsole.

  • Erstellen Sie eine IAM-Rolle über die AWS-Managementkonsole.

  • Geben Sie unter „Workloads“ in der NetApp Konsole einen Namen ein und fügen Sie die Anmeldeinformationen hinzu.

Um eine FSx für ONTAP Arbeitsumgebung zu erstellen oder zu verwalten, müssen Sie Workloads in der NetApp Konsole AWS-Anmeldeinformationen hinzufügen, indem Sie die ARN einer IAM-Rolle angeben, die Workloads die erforderlichen Berechtigungen zum Erstellen einer FSx für ONTAP Arbeitsumgebung erteilt.

Bevor Sie beginnen

Sie benötigen Anmeldeinformationen, um sich bei Ihrem AWS-Konto anzumelden.

Schritte

  1. Wählen Sie im NetApp -Konsolenmenü Administration und dann Anmeldeinformationen.

  2. Wählen Sie auf der Seite Anmeldeinformationen der Organisation die Option Anmeldeinformationen hinzufügen aus.

  3. Wählen Sie Amazon Web Services, dann FSx for ONTAP und dann Weiter.

    Sie befinden sich jetzt auf der Seite Anmeldeinformationen hinzufügen in NetApp Workloads.

  4. Wählen Sie Manuell hinzufügen und befolgen Sie dann die unten stehenden Schritte, um die drei Abschnitte unter Berechtigungskonfiguration auszufüllen.

Schritt 1: Speicherkapazität auswählen und IAM-Richtlinie erstellen

In diesem Abschnitt wählen Sie die Speicherkapazität aus, die als Teil dieser Anmeldeinformationen verwaltet werden soll, und die für die Speicherung aktivierten Berechtigungen. Sie haben auch die Möglichkeit, andere Workloads wie Datenbanken, GenAI oder VMware auszuwählen. Nachdem Sie Ihre Auswahl getroffen haben, müssen Sie die Richtlinienberechtigungen für jede ausgewählte Arbeitslast aus der Codebox kopieren und sie in die AWS-Managementkonsole in Ihrem AWS-Konto einfügen, um die Richtlinien zu erstellen.

Schritte

  1. Aktivieren Sie im Abschnitt Richtlinien erstellen alle Workload-Funktionen, die Sie in diese Anmeldeinformationen aufnehmen möchten. Aktivieren Sie Speicher, um Dateisysteme zu erstellen und zu verwalten.

    Sie können später weitere Funktionen hinzufügen. Wählen Sie einfach die Workloads aus, die Sie aktuell bereitstellen und verwalten möchten.

  2. Wählen Sie für Workload-Funktionen, die eine Auswahl an Berechtigungsstufen bieten (Nur Lesen oder Lesen/Schreiben), die Art der Berechtigung aus, die mit diesen Anmeldeinformationen verfügbar sein soll. "Erfahren Sie mehr über die Berechtigungen, auch Betriebsmodi genannt" .

  3. Optional: Wählen Sie Automatische Berechtigungsprüfung aktivieren, um zu überprüfen, ob Sie über die erforderlichen AWS-Kontoberechtigungen zum Abschließen von Workload-Vorgängen verfügen. Durch Aktivieren der Prüfung wird die iam:SimulatePrincipalPolicy permission Ihren Berechtigungsrichtlinien. Der Zweck dieser Berechtigung besteht ausschließlich darin, Berechtigungen zu bestätigen. Sie können die Berechtigung nach dem Hinzufügen der Anmeldeinformationen entfernen. Wir empfehlen jedoch, sie beizubehalten, um die Erstellung von Ressourcen für teilweise erfolgreiche Vorgänge zu verhindern und Ihnen die erforderliche manuelle Ressourcenbereinigung zu ersparen.

  4. Kopieren Sie im Codebox-Fenster die Berechtigungen für die erste IAM-Richtlinie.

    Die Speicherberechtigungen können auch aus den folgenden Registerkarten kopiert werden.

    Nur-Lese-Berechtigungen
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:Describe*",
        "fsx:ListTagsForResource",
        "ec2:Describe*",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}
    Lese-/Schreibberechtigungen
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:*",
        "ec2:Describe*",
        "ec2:CreateTags",
        "ec2:CreateSecurityGroup",
        "iam:CreateServiceLinkedRole",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "kms:CreateGrant",
        "cloudwatch:PutMetricData",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/AppCreator": "NetappFSxWF"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

  5. Öffnen Sie ein weiteres Browserfenster und melden Sie sich in der AWS-Managementkonsole bei Ihrem AWS-Konto an.

  6. Öffnen Sie den IAM-Dienst und wählen Sie dann Richtlinien > Richtlinie erstellen.

  7. Wählen Sie JSON als Dateityp aus, fügen Sie die in Schritt 3 kopierten Berechtigungen ein und wählen Sie Weiter.

  8. Geben Sie den Namen für die Richtlinie ein und wählen Sie Richtlinie erstellen.

  9. Wenn Sie in Schritt 1 mehrere Workload-Funktionen ausgewählt haben, wiederholen Sie diese Schritte, um für jeden Satz von Workload-Berechtigungen eine Richtlinie zu erstellen.

Schritt 2: Erstellen Sie die IAM-Rolle, die die Richtlinien verwendet

In diesem Abschnitt richten Sie eine IAM-Rolle ein, die von Workload Factory übernommen wird und die die gerade erstellten Berechtigungen und Richtlinien umfasst.

Schritte

  1. Wählen Sie in der AWS-Managementkonsole Rollen > Rolle erstellen.

  2. Wählen Sie unter Vertrauenswürdiger Entitätstyp AWS-Konto aus.

    1. Wählen Sie Ein anderes AWS-Konto aus und kopieren Sie die Konto-ID für das FSx for ONTAP -Workload-Management aus der Workloads-Benutzeroberfläche.

    2. Wählen Sie Erforderliche externe ID aus und kopieren Sie die externe ID aus der Workloads-Benutzeroberfläche und fügen Sie sie ein.

  3. Wählen Sie Weiter.

  4. Wählen Sie im Abschnitt „Berechtigungsrichtlinie“ alle Richtlinien aus, die Sie zuvor definiert haben, und klicken Sie auf Weiter.

  5. Geben Sie einen Namen für die Rolle ein und wählen Sie Rolle erstellen.

  6. Kopieren Sie die Rollen-ARN.

  7. Kehren Sie zur Seite „Anmeldeinformationen hinzufügen“ der Workloads zurück, erweitern Sie den Abschnitt „Rolle erstellen“ und fügen Sie die ARN in das Feld „Rollen-ARN“ ein.

Schritt 3: Geben Sie einen Namen ein und fügen Sie die Anmeldeinformationen hinzu

Der letzte Schritt besteht darin, einen Namen für die Anmeldeinformationen in Workloads einzugeben.

Schritte

  1. Erweitern Sie auf der Seite „Anmeldeinformationen hinzufügen“ von Workloads den Eintrag Name der Anmeldeinformationen.

  2. Geben Sie den Namen ein, den Sie für diese Anmeldeinformationen verwenden möchten.

  3. Wählen Sie Hinzufügen, um die Anmeldeinformationen zu erstellen.

Ergebnis

Die Anmeldeinformationen werden erstellt und können auf der Seite „Anmeldeinformationen“ angezeigt werden. Sie können die Anmeldeinformationen jetzt beim Erstellen einer FSx für ONTAP Arbeitsumgebung verwenden. Bei Bedarf können Sie Anmeldeinformationen umbenennen oder aus der NetApp Konsole entfernen.

Fügen Sie mithilfe von CloudFormation Anmeldeinformationen zu einem Konto hinzu

Sie können Workloads mithilfe eines AWS CloudFormation-Stacks AWS-Anmeldeinformationen hinzufügen, indem Sie die Workload-Funktionen auswählen, die Sie verwenden möchten, und dann den AWS CloudFormation-Stack in Ihrem AWS-Konto starten. CloudFormation erstellt die IAM-Richtlinien und die IAM-Rolle basierend auf den von Ihnen ausgewählten Workload-Funktionen.

Bevor Sie beginnen

  • Sie benötigen Anmeldeinformationen, um sich bei Ihrem AWS-Konto anzumelden.

  • Sie benötigen die folgenden Berechtigungen in Ihrem AWS-Konto, wenn Sie Anmeldeinformationen mithilfe eines CloudFormation-Stacks hinzufügen:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
Schritte

  1. Wählen Sie im NetApp -Konsolenmenü Administration und dann Anmeldeinformationen.

  2. Wählen Sie Anmeldeinformationen hinzufügen.

  3. Wählen Sie Amazon Web Services, dann FSx for ONTAP und dann Weiter.

    Sie befinden sich jetzt auf der Seite Anmeldeinformationen hinzufügen in NetApp Workloads.

  4. Wählen Sie Über AWS CloudFormation hinzufügen.

  5. Aktivieren Sie unter Richtlinien erstellen alle Workload-Funktionen, die Sie in diese Anmeldeinformationen aufnehmen möchten, und wählen Sie für jede Workload eine Berechtigungsstufe aus.

    Sie können später weitere Funktionen hinzufügen. Wählen Sie einfach die Workloads aus, die Sie aktuell bereitstellen und verwalten möchten.

  6. Optional: Wählen Sie Automatische Berechtigungsprüfung aktivieren, um zu überprüfen, ob Sie über die erforderlichen AWS-Kontoberechtigungen zum Abschließen von Workload-Vorgängen verfügen. Durch Aktivieren der Prüfung wird die iam:SimulatePrincipalPolicy Berechtigung zu Ihren Berechtigungsrichtlinien. Der Zweck dieser Berechtigung besteht ausschließlich darin, Berechtigungen zu bestätigen. Sie können die Berechtigung nach dem Hinzufügen der Anmeldeinformationen entfernen. Wir empfehlen jedoch, sie beizubehalten, um die Erstellung von Ressourcen für teilweise erfolgreiche Vorgänge zu verhindern und Ihnen die erforderliche manuelle Ressourcenbereinigung zu ersparen.

  7. Geben Sie unter Name der Anmeldeinformationen den Namen ein, den Sie für diese Anmeldeinformationen verwenden möchten.

  8. Fügen Sie die Anmeldeinformationen von AWS CloudFormation hinzu:

    1. Wählen Sie Hinzufügen (oder wählen Sie Zu CloudFormation umleiten) und die Seite „Zu CloudFormation umleiten“ wird angezeigt.

    2. Wenn Sie Single Sign-On (SSO) mit AWS verwenden, öffnen Sie einen separaten Browser-Tab und melden Sie sich bei der AWS-Konsole an, bevor Sie Weiter auswählen.

      Sie sollten sich bei dem AWS-Konto anmelden, in dem sich das FSx for ONTAP -Dateisystem befindet.

    3. Wählen Sie auf der Seite „Zu CloudFormation weiterleiten“ die Option „Weiter“ aus.

    4. Wählen Sie auf der Seite „Stack schnell erstellen“ unter „Funktionen“ die Option Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt aus.

    5. Wählen Sie Stapel erstellen.

    6. Kehren Sie vom Hauptmenü zur Seite Administration > Anmeldeinformationen zurück, um zu überprüfen, ob die neuen Anmeldeinformationen in Bearbeitung sind oder hinzugefügt wurden.

Ergebnis

Die Anmeldeinformationen werden erstellt und können auf der Seite „Anmeldeinformationen“ angezeigt werden. Sie können die Anmeldeinformationen jetzt beim Erstellen einer FSx für ONTAP Arbeitsumgebung verwenden. Bei Bedarf können Sie Anmeldeinformationen umbenennen oder aus der NetApp Konsole entfernen.