Skip to main content
Amazon FSx for NetApp ONTAP
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Einrichten von Berechtigungen für FSx für ONTAP

Beitragende netapp-rlithman
Änderungen vorschlagen
PDFs

Um ein FSx for ONTAP Dateisystem zu erstellen oder zu verwalten, müssen Sie AWS-Anmeldeinformationen in der NetApp Console hinzufügen, indem Sie den ARN einer IAM-Rolle angeben, die die erforderlichen Berechtigungen zum Erstellen eines FSx for ONTAP -Systems von der NetApp Console aus gewährt.

Warum AWS-Anmeldeinformationen erforderlich sind

AWS-Anmeldeinformationen sind erforderlich, um FSx for ONTAP-Systeme über die NetApp Console zu erstellen und zu verwalten. Sie können neue Anmeldeinformationen erstellen oder sie einer bestehenden Organisation hinzufügen. Anmeldeinformationen ermöglichen es Ihnen, AWS-Ressourcen über die NetApp Console zu verwalten.

Anmeldedaten und Berechtigungen werden von NetApp Workload Factory verwaltet. Workload Factory ist eine Lifecycle-Management-Plattform, die Benutzern dabei helfen soll, VMware-, EDA- und Datenbank-Workloads zu verwalten und zu verbessern, die auf Amazon FSx for NetApp ONTAP-Dateisystemen ausgeführt werden. Die NetApp Console und Workload Factory verwenden dieselben AWS-Anmeldedaten und -Berechtigungen. Storage sind die Storage-Managementfunktionen in Workload Factory und es ist die einzige Funktion, die Sie aktivieren und für die Sie Anmeldedaten hinzufügen müssen, um Ihre FSx for ONTAP-Dateisysteme zu erstellen und zu verwalten.

Informationen zu diesem Vorgang

Beim Hinzufügen neuer Anmeldeinformationen für FSx for ONTAP aus dem Speicher in Workload Factory müssen Sie entscheiden, welche Berechtigungsrichtlinien Sie erteilen möchten. Um AWS-Ressourcen wie FSx for ONTAP Dateisysteme zu ermitteln, benötigen Sie die Berechtigungen view, planning und analysis. Für die Bereitstellung von FSx für ONTAP Dateisysteme benötigen Sie Berechtigungen zum Erstellen und Löschen von Dateisystemen. Grundlegende Operationen für FSx für ONTAP können ohne Berechtigungen durchgeführt werden. "Erfahren Sie mehr über Berechtigungen".

Neue und vorhandene AWS-Anmeldeinformationen können im Administrationsmenü auf der Seite Anmeldeinformationen angezeigt werden.

Ein Screenshot des Administrationsmenüs und der im Administrationsmenü der NetApp Console hervorgehobenen Option „Anmeldeinformationen“.

Sie können Anmeldeinformationen mit zwei Methoden hinzufügen:

  • Manuell: Sie erstellen die IAM-Richtlinie und die IAM-Rolle in Ihrem AWS-Konto, während Sie Anmeldeinformationen in Workload Factory hinzufügen.

  • Automatisch: Sie erfassen eine minimale Menge an Informationen zu Berechtigungen und verwenden dann einen CloudFormation-Stack, um die IAM-Richtlinien und die Rolle für Ihre Anmeldeinformationen zu erstellen.

Anmeldeinformationen manuell zu einem Konto hinzufügen

Sie können AWS-Anmeldeinformationen manuell zur NetApp Console hinzufügen, um Ihrem Konto die Berechtigungen für die Verwaltung der gewünschten Workload-Managementfunktionen sowie eine Ihrem Konto zugewiesene IAM-Rolle zu geben.

Das Erstellen der Anmeldeinformationen besteht aus drei Teilen:

  • Wählen Sie die Dienste und Berechtigungsstufen aus, die Sie verwenden möchten, und erstellen Sie dann IAM-Richtlinien über die AWS-Managementkonsole.

  • Erstellen Sie eine IAM-Rolle über die AWS-Managementkonsole.

  • Geben Sie einen Namen ein und fügen Sie die Anmeldeinformationen in der NetApp Console hinzu.

Um ein FSx for ONTAP-Dateisystem zu erstellen oder zu verwalten, müssen Sie AWS-Anmeldeinformationen in der NetApp Console hinzufügen, indem Sie den ARN einer IAM-Rolle angeben, die Workload Factory die Berechtigungen erteilt, die zum Erstellen eines FSx for ONTAP-Dateisystems erforderlich sind.

Bevor Sie beginnen

Sie benötigen Anmeldeinformationen, um sich bei Ihrem AWS-Konto anzumelden.

Schritte

  1. Wählen Sie im NetApp Console Administration und dann Anmeldeinformationen.

  2. Wählen Sie auf der Seite Anmeldeinformationen der Organisation die Option Anmeldeinformationen hinzufügen aus.

  3. Wählen Sie Amazon Web Services, dann FSx for ONTAP und dann Weiter.

  4. Wählen Sie Manuell hinzufügen und befolgen Sie dann die unten stehenden Schritte, um die drei Abschnitte unter Berechtigungskonfiguration auszufüllen.

Schritt 1: Speicherkapazität auswählen und IAM-Richtlinie erstellen

In diesem Abschnitt wählen Sie die Speicherfunktion aus, die mit diesen Anmeldeinformationen verwaltet werden soll, sowie die Berechtigungen für den Speicher. Sie haben außerdem die Möglichkeit, weitere Workloads wie Datenbanken, GenAI oder VMware auszuwählen. Nachdem Sie Ihre Auswahl getroffen haben, müssen Sie die Richtlinienberechtigungen für jede ausgewählte Workload aus der Codebox kopieren und in der AWS Management Console innerhalb Ihres AWS-Kontos hinzufügen, um die Richtlinien zu erstellen.

Schritte

  1. Aktivieren Sie im Abschnitt Berechtigungsrichtlinien erstellen alle Workload-Funktionen, die Sie in diese Anmeldeinformationen aufnehmen möchten. Aktivieren Sie Speicher, um Dateisysteme zu erstellen und zu verwalten.

    Sie können später zusätzliche Funktionen hinzufügen. Wählen Sie einfach die Workloads aus, die Sie aktuell bereitstellen und verwalten möchten.

  2. Wählen Sie für diejenigen Workload-Funktionen, die eine Auswahl an Berechtigungsrichtlinien bieten, die Art der Berechtigungen aus, die mit diesen Anmeldeinformationen verfügbar sein sollen. "Erfahren Sie mehr über die Berechtigungen.".

  3. Optional: Wählen Sie Automatische Berechtigungsprüfung aktivieren, um zu prüfen, ob Sie über die erforderlichen AWS-Kontoberechtigungen für die Durchführung von Workload-Operationen verfügen. Durch Aktivieren der Prüfung wird die iam:SimulatePrincipalPolicy permission zu Ihren Berechtigungsrichtlinien hinzugefügt. Diese Berechtigung dient ausschließlich der Bestätigung von Berechtigungen. Sie können die Berechtigung nach dem Hinzufügen von Anmeldeinformationen entfernen, aber wir empfehlen, sie beizubehalten, um die Erstellung von Ressourcen zu verhindern, falls einige Schritte fehlschlagen, und um eine manuelle Bereinigung zu vermeiden.

  4. Kopieren Sie im Codebox-Fenster die Berechtigungen für die erste IAM-Richtlinie.

  5. Öffnen Sie ein weiteres Browserfenster und melden Sie sich in der AWS-Managementkonsole bei Ihrem AWS-Konto an.

  6. Öffnen Sie den IAM-Dienst und wählen Sie dann Richtlinien > Richtlinie erstellen.

  7. Wählen Sie JSON als Dateityp aus, fügen Sie die in Schritt 4 kopierten Berechtigungen ein und wählen Sie Weiter.

  8. Geben Sie den Namen für die Richtlinie ein und wählen Sie Richtlinie erstellen.

  9. Wenn Sie in Schritt 1 mehrere Workload-Funktionen ausgewählt haben, wiederholen Sie diese Schritte, um für jeden Satz von Workload-Berechtigungen eine Richtlinie zu erstellen.

Schritt 2: Erstellen Sie die IAM-Rolle, die die Richtlinien verwendet

In diesem Abschnitt richten Sie eine IAM-Rolle ein, die von Workload Factory übernommen wird und die die gerade erstellten Berechtigungen und Richtlinien umfasst.

Schritte

  1. Wählen Sie in der AWS-Managementkonsole Rollen > Rolle erstellen.

  2. Wählen Sie unter Vertrauenswürdiger Entitätstyp AWS-Konto aus.

    1. Wählen Sie Another AWS account aus und kopieren Sie die Account-ID für FSx for ONTAP Workload Management aus der NetApp Console-Benutzeroberfläche.

    2. Wählen Sie Erforderliche externe ID aus und kopieren Sie die externe ID in die NetApp Console-Benutzeroberfläche.

  3. Wählen Sie Weiter.

  4. Wählen Sie im Abschnitt „Berechtigungsrichtlinie“ alle Richtlinien aus, die Sie zuvor definiert haben, und klicken Sie auf Weiter.

  5. Geben Sie einen Namen für die Rolle ein und wählen Sie Rolle erstellen.

  6. Kopieren Sie die Rollen-ARN.

  7. Kehren Sie zur Seite „Anmeldeinformationen hinzufügen“ in der NetApp Console zurück, erweitern Sie den Abschnitt Rolle erstellen und fügen Sie den ARN in das Feld Rollen-ARN ein.

Schritt 3: Geben Sie einen Namen ein und fügen Sie die Anmeldeinformationen hinzu

Im letzten Schritt muss ein Name für die Zugangsdaten eingegeben werden.

Schritte

  1. Erweitern Sie auf der Seite „Anmeldeinformationen hinzufügen“ den Eintrag Name der Anmeldeinformationen.

  2. Geben Sie den Namen ein, den Sie für diese Anmeldeinformationen verwenden möchten.

  3. Wählen Sie Hinzufügen, um die Anmeldeinformationen zu erstellen.

Ergebnis

Die Konsole erstellt die Anmeldeinformationen und zeigt sie auf der Seite „Anmeldeinformationen“ an. Sie können die Anmeldeinformationen in der NetApp Console verwenden, umbenennen oder entfernen.

Fügen Sie mithilfe von CloudFormation Anmeldeinformationen zu einem Konto hinzu

Sie können AWS-Anmeldeinformationen zur NetApp Workload Factory hinzufügen, indem Sie einen AWS CloudFormation Stack verwenden, indem Sie die gewünschten Workload-Funktionen auswählen und dann den AWS CloudFormation Stack in Ihrem AWS-Konto starten. CloudFormation erstellt die IAM-Richtlinien und die IAM-Rolle basierend auf den von Ihnen ausgewählten Workload-Funktionen.

Bevor Sie beginnen

  • Sie benötigen Anmeldeinformationen, um sich bei Ihrem AWS-Konto anzumelden.

  • Sie benötigen die folgenden Berechtigungen in Ihrem AWS-Konto, wenn Sie Anmeldeinformationen mithilfe eines CloudFormation-Stacks hinzufügen:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
Schritte

  1. Wählen Sie im NetApp Console Administration und dann Anmeldeinformationen.

  2. Wählen Sie Anmeldeinformationen hinzufügen.

  3. Wählen Sie Amazon Web Services, dann FSx for ONTAP und dann Weiter.

    Sie befinden sich nun auf der Seite Anmeldeinformationen hinzufügen in NetApp Workload Factory.

  4. Wählen Sie Über AWS CloudFormation hinzufügen.

  5. Aktivieren Sie unter Richtlinien erstellen alle Workload-Funktionen, die Sie in diese Anmeldeinformationen aufnehmen möchten, und wählen Sie für jede Workload eine Berechtigungsstufe aus.

    Sie können später zusätzliche Funktionen hinzufügen. Wählen Sie einfach die Workloads aus, die Sie aktuell bereitstellen und verwalten möchten.

  6. Optional: Wählen Sie Automatische Berechtigungsprüfung aktivieren, um zu prüfen, ob Sie über die erforderlichen AWS-Kontoberechtigungen für die Durchführung von Workload-Operationen verfügen. Durch Aktivieren der Prüfung wird die iam:SimulatePrincipalPolicy Berechtigung Ihren Berechtigungsrichtlinien hinzugefügt. Diese Berechtigung dient ausschließlich der Bestätigung von Berechtigungen. Sie können die Berechtigung nach dem Hinzufügen von Anmeldeinformationen entfernen, aber wir empfehlen, sie beizubehalten, um die Erstellung von Ressourcen zu verhindern, falls einige Schritte fehlschlagen, und um manuelle Aufräumarbeiten zu vermeiden.

  7. Geben Sie unter Name der Anmeldeinformationen den Namen ein, den Sie für diese Anmeldeinformationen verwenden möchten.

  8. Fügen Sie die Anmeldeinformationen von AWS CloudFormation hinzu:

    1. Wählen Sie Hinzufügen (oder wählen Sie Zu CloudFormation umleiten) und die Seite „Zu CloudFormation umleiten“ wird angezeigt.

    2. Wenn Sie Single Sign-On (SSO) mit AWS verwenden, öffnen Sie einen separaten Browser-Tab und melden Sie sich bei der AWS-Konsole an, bevor Sie Weiter auswählen.

      Sie sollten sich bei dem AWS-Konto anmelden, in dem sich das FSx for ONTAP -Dateisystem befindet.

    3. Wählen Sie auf der Seite „Zu CloudFormation weiterleiten“ die Option „Weiter“ aus.

    4. Wählen Sie auf der Seite „Stack schnell erstellen“ unter „Funktionen“ die Option Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt aus.

    5. Wählen Sie Stapel erstellen.

    6. Kehren Sie vom Hauptmenü zur Seite Administration > Anmeldeinformationen zurück, um zu überprüfen, ob die neuen Anmeldeinformationen in Bearbeitung sind oder hinzugefügt wurden.

Ergebnis

Die Konsole erstellt die Anmeldeinformationen und zeigt sie auf der Seite „Anmeldeinformationen“ an. Sie können die Anmeldeinformationen in der NetApp Console verwenden, umbenennen oder entfernen.