Skip to main content
BlueXP setup and administration
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Obtenga más información acerca de los permisos y credenciales de AWS

Colaboradores

Descubre cómo BlueXP utiliza las credenciales de AWS para realizar acciones en tu nombre y cómo esas credenciales están asociadas a las suscripciones del mercado. Comprender estos detalles puede resultar útil a la hora de gestionar las credenciales de una o más cuentas de AWS en BlueXP. Por ejemplo, quizás quieras saber cuándo añadir más credenciales de AWS a BlueXP.

Credenciales iniciales de AWS

Al implantar un conector de BlueXP, debe proporcionar el ARN de una función de IAM o claves de acceso para un usuario de IAM. El método de autenticación que utilice debe tener los permisos necesarios para implementar la instancia de Connector en AWS. Los permisos necesarios se enumeran en la "La política de implementación de conectores para AWS".

Cuando BlueXP inicia la instancia de Connector en AWS, crea una función IAM y un perfil de instancia para la instancia. También adjunta una directiva que proporciona al conector permisos para administrar recursos y procesos dentro de esa cuenta de AWS. "Revise cómo BlueXP utiliza los permisos".

Imagen conceptual que muestra la implementación de BlueXP Connector en una cuenta de AWS. Se asigna una política IAM a una función IAM, que se adjunta a la instancia de BlueXP.

Si creas un nuevo entorno de trabajo para Cloud Volumes ONTAP, BlueXP selecciona estas credenciales de AWS de forma predeterminada:

Captura de pantalla que muestra la opción Cambiar cuenta en la página Detalles  Credenciales.

Puede implementar todos sus sistemas Cloud Volumes ONTAP con las credenciales iniciales de AWS o bien añadir credenciales adicionales.

Credenciales adicionales de AWS

Puede añadir credenciales de AWS adicionales en BlueXP  en los siguientes casos:

  • Para utilizar su conector BlueXP  existente con una cuenta de AWS adicional

  • Para crear un nuevo conector en una cuenta de AWS específica

  • Para crear y gestionar sistemas de archivos FSx para ONTAP

Revise las secciones siguientes para obtener más información.

Agregue las credenciales de AWS para usar un conector con otra cuenta de AWS

Si desea usar BlueXP con cuentas adicionales de AWS, puede proporcionar claves de AWS para un usuario de IAM o el ARN de un rol en una cuenta de confianza. En la siguiente imagen se muestran dos cuentas adicionales, una que proporciona permisos a través de una función IAM en una cuenta de confianza y otra a través de las claves AWS de un usuario de IAM:

Imagen conceptual que muestra dos cuentas adicionales. Cada uno tiene una política de IAM, una está conectada al usuario del IAM y la otra se conecta a un rol de IAM

A continuación, se agregarían las credenciales de cuenta a BlueXP especificando el nombre de recurso de Amazon (ARN) del rol IAM o las claves de AWS del usuario de IAM.

Por ejemplo, es posible cambiar entre credenciales al crear un nuevo entorno de trabajo Cloud Volumes ONTAP:

Una captura de pantalla que muestra la selección entre cuentas de proveedor de nube después de seleccionar Cambiar cuenta en la página Detalles  credenciales.

Agregue las credenciales de AWS para crear un conector

Agregar nuevas credenciales de AWS a BlueXP  proporciona los permisos necesarios para crear un conector.

Añade las credenciales de AWS para FSx para ONTAP

Añadir nuevas credenciales de AWS a BlueXP  proporciona los permisos necesarios para crear y gestionar un entorno de trabajo de FSx para ONTAP.

Credenciales y suscripciones de Marketplace

Las credenciales que añadas a un conector deben estar asociadas a una suscripción de AWS Marketplace para que puedas pagar por Cloud Volumes ONTAP a una tarifa por hora (PAYGO) o a través de un contrato anual, así como para utilizar otros servicios de BlueXP.

Tenga en cuenta lo siguiente acerca de las credenciales de AWS y las suscripciones al mercado:

  • Solo se puede asociar una suscripción de AWS Marketplace a un conjunto de credenciales de AWS

  • Puede reemplazar una suscripción existente de Marketplace por una nueva

PREGUNTAS FRECUENTES

Las siguientes preguntas están relacionadas con las credenciales y suscripciones.

¿Cómo puedo rotar mis credenciales de AWS de forma segura?

Como se describe en las secciones anteriores, BlueXP le permite proporcionar credenciales de AWS de varias formas: Un rol de IAM asociado a la instancia de Connector, asumiendo un rol de IAM en una cuenta de confianza o proporcionando claves de acceso de AWS.

Con las dos primeras opciones, BlueXP utiliza el Servicio de token de seguridad de AWS para obtener credenciales temporales que giran constantemente. Este proceso es la mejor práctica, es automático y seguro.

Si proporciona a BlueXP claves de acceso de AWS, debe rotar las claves actualizándolas en BlueXP a intervalos regulares. Este es un proceso completamente manual.

¿Puedo cambiar la suscripción de AWS Marketplace para entornos de trabajo de Cloud Volumes ONTAP?

Sí, puedes. Al cambiar la suscripción de AWS Marketplace asociada a un conjunto de credenciales, todos los entornos de trabajo de Cloud Volumes ONTAP existentes y nuevos se cargarán con la nueva suscripción.

¿Puedo añadir varias credenciales de AWS, cada una con diferentes suscripciones del mercado?

Todas las credenciales de AWS que pertenezcan a la misma cuenta de AWS se asociarán a la misma suscripción de AWS Marketplace.

Si tiene varias credenciales de AWS que pertenecen a diferentes cuentas de AWS, esas credenciales se pueden asociar con la misma suscripción de AWS Marketplace o con diferentes suscripciones.

¿Puedo mover entornos de trabajo existentes de Cloud Volumes ONTAP a otra cuenta de AWS?

No, no es posible mover los recursos de AWS asociados con su entorno de trabajo de Cloud Volumes ONTAP a una cuenta de AWS diferente.

¿Cómo funcionan las credenciales en las implementaciones del mercado y en las instalaciones?

En las secciones anteriores se describe el método de implementación recomendado para el conector, que es de BlueXP. También puede poner en marcha un conector en AWS desde AWS Marketplace y puede instalar manualmente el software del conector en su propio host Linux.

Si utiliza el Marketplace, los permisos se proporcionan de la misma manera. Solo tiene que crear y configurar manualmente el rol IAM y, a continuación, proporcionar permisos para cualquier cuenta adicional.

En las implementaciones locales, no se puede configurar la función de IAM para el sistema BlueXP, pero se pueden proporcionar permisos con las claves de acceso de AWS.

Para aprender a configurar los permisos, consulte las siguientes páginas: