Credenciales y permisos de AWS
Cloud Manager le permite elegir las credenciales de AWS que desea utilizar al implementar Cloud Volumes ONTAP. Puede implementar todos sus sistemas Cloud Volumes ONTAP con las credenciales iniciales de AWS o bien añadir credenciales adicionales.
Credenciales iniciales de AWS
Al implementar un conector desde Cloud Manager, necesita utilizar una cuenta de AWS que tenga permisos para ejecutar la instancia de Connector. Los permisos necesarios se enumeran en la "La política de implementación de conectores para AWS".
Cuando Cloud Manager inicia la instancia de Connector en AWS, crea un rol IAM y un perfil de instancia para la instancia. También une una política que ofrece permisos para gestionar recursos y procesos dentro de esa cuenta de AWS. "Revise cómo Cloud Manager utiliza los permisos".
Cloud Manager selecciona estas credenciales de AWS de forma predeterminada al crear un entorno de trabajo nuevo para Cloud Volumes ONTAP:
Credenciales adicionales de AWS
Si desea ejecutar Cloud Volumes ONTAP en diferentes cuentas de AWS, puede hacerlo también "Proporcione las claves AWS para un usuario de IAM o el ARN de un rol en una cuenta de confianza". En la siguiente imagen se muestran dos cuentas adicionales, una que proporciona permisos a través de una función IAM en una cuenta de confianza y otra a través de las claves AWS de un usuario de IAM:
Entonces lo haría "Añada las credenciales de la cuenta a Cloud Manager" Especificando el nombre de recurso de Amazon (ARN) del rol de IAM o las claves de AWS del usuario de IAM.
Después de añadir otro conjunto de credenciales, puede cambiar a ellas al crear un nuevo entorno de trabajo:
¿Qué pasa con las puestas en marcha de Marketplace y las puestas en marcha en las instalaciones?
En las secciones anteriores se describe el método de implementación recomendado para el conector, que es de Cloud Manager. También puede implementar un conector en AWS desde el "Mercado AWS" y usted puede "Instale el conector en las instalaciones".
Si utiliza el Marketplace, los permisos se proporcionan de la misma manera. Solo tiene que crear y configurar manualmente el rol IAM y, a continuación, proporcionar permisos para cualquier cuenta adicional.
En el caso de las implementaciones locales, no se puede configurar la función de IAM para el sistema Cloud Manager, pero se pueden proporcionar permisos del mismo modo que se busca para cuentas de AWS adicionales.
¿Cómo puedo rotar mis credenciales de AWS de forma segura?
Como se ha descrito anteriormente, Cloud Manager permite proporcionar credenciales de AWS de varias maneras: Una función IAM asociada con la instancia de Connector, asumiendo un rol IAM en una cuenta de confianza o proporcionando claves de acceso de AWS.
Con las dos primeras opciones, Cloud Manager utiliza AWS Security Token Service para obtener credenciales temporales que giran constantemente. Este proceso es la mejor práctica, es automático y seguro.
Si proporciona claves de acceso a Cloud Manager para AWS, debe rotar las claves se actualizan en Cloud Manager a un intervalo regular. Este es un proceso completamente manual.