Configure permisos para FSX para ONTAP
Para crear o gestionar un entorno de trabajo de FSx para ONTAP, debes añadir las credenciales de AWS a BlueXP proporcionando el ARN de un rol de IAM que proporcione a BlueXP los permisos necesarios para crear un entorno de trabajo de FSx para ONTAP.
Configure el rol IAM
Configure una función de IAM que permita a BlueXP asumir la función.
-
Vaya a la consola IAM de la cuenta de destino.
-
Otorga acceso de BlueXP a la cuenta de AWS. En Access Management, haga clic en roles > Crear función y siga los pasos para crear la función.
-
En Tipo de entidad de confianza, seleccione cuenta de AWS.
-
Selecciona Otra cuenta de AWS e introduce el ID de cuenta de BlueXP:
-
Para BlueXP SaaS: 952013314444
-
Para AWS GovCloud (EE. UU.): 033442085313
Para mayor seguridad, le sugerimos que especifique un "ID externo". Para acceder a tu cuenta de AWS, BlueXP tendrá que proporcionar la función ARN (Amazon Resource Name) y el ID externo que especifiques. Esto impide el "problema de adjunto confuso".
-
-
-
Cree una política que incluya los siguientes permisos mínimos requeridos y los permisos opcionales, según sea necesario.
Permisos necesariosSe necesitan los siguientes permisos mínimos para permitir que BlueXP cree tu sistema de archivos FSx para ONTAP de NetApp.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "fsx:*", "ec2:Describe*", "ec2:CreateTags", "iam:CreateServiceLinkedRole", "kms:Describe*", "kms:List*", "kms:CreateGrant" ], "Resource": "*" } ] }
Capacidad automáticaLos siguientes permisos adicionales son necesarios para habilitarlos "gestión de la capacidad automática".
"cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics"
Grupos de seguridadSe necesitan los siguientes permisos adicionales para permitir que BlueXP lo haga "generar grupos de seguridad".
"ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "cloudformation:CreateStack", "cloudformation:ValidateTemplate", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents"
-
Copia el ARN de rol del rol de IAM para poder pegarlo en BlueXP en el siguiente paso.
El rol IAM ahora tiene los permisos necesarios.
Añada las credenciales
Después de proporcionar la función IAM con los permisos necesarios, agregue el rol ARN a BlueXP.
Si acaba de crear el rol de IAM, espere unos minutos para que las nuevas credenciales estén disponibles.
-
En la parte superior derecha de la consola de BlueXP, haga clic en el icono Configuración y seleccione credenciales.
-
Haga clic en Agregar credenciales y siga los pasos del asistente.
-
Ubicación de credenciales: Seleccione Servicios Web de Amazon > BlueXP.
-
Definir Credenciales: Proporciona un Nombre de Credenciales y el Rol ARN y ID Externo (si se especifica) que creaste cuando lo hiciste Configure el rol IAM.
-
Si utiliza una cuenta de AWS GovCloud (EE. UU.), marque utilizo una cuenta de AWS GovCloud (EE. UU.).
-
La autenticación mediante AWS GovCloud deshabilitará la plataforma SaaS. Este es un cambio permanente en tu cuenta y no se puede deshacer.
-
-
Revisión: Confirme los detalles acerca de las nuevas credenciales y haga clic en Agregar.
-
Ahora puede utilizar las credenciales al crear un entorno de trabajo FSX para ONTAP.