Skip to main content
Todos los proveedores de nube
  • Servicios web de Amazon
  • Google Cloud
  • Microsoft Azure
  • Todos los proveedores de nube
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar roles de AWS IAM para nodos de Cloud Volumes ONTAP

Colaboradores netapp-manini

Los roles de administración de identidad y acceso (IAM) de AWS con los permisos necesarios deben estar asociados a cada nodo de Cloud Volumes ONTAP . Lo mismo ocurre con el mediador HA. Lo más fácil es dejar que la consola de NetApp cree los roles de IAM para usted, pero puede usar sus propios roles.

Esta tarea es opcional. Cuando crea un sistema Cloud Volumes ONTAP , la opción predeterminada es permitir que la consola cree los roles de IAM por usted. Si las políticas de seguridad de su empresa requieren que usted mismo cree los roles de IAM, siga los pasos a continuación.

Nota Es necesario proporcionar su propio rol de IAM en AWS Secret Cloud. "Aprenda a implementar Cloud Volumes ONTAP en C2S" .
Pasos
  1. Vaya a la consola de AWS IAM.

  2. Cree políticas de IAM que incluyan los siguientes permisos:

    • Política base para nodos de Cloud Volumes ONTAP

      Regiones estándar
      {
      	"Version": "2012-10-17",
      	"Statement": [{
      			"Action": "s3:ListAllMyBuckets",
      			"Resource": "arn:aws:s3:::*",
      			"Effect": "Allow"
      		}, {
      			"Action": [
      				"s3:ListBucket",
      				"s3:GetBucketLocation"
      			],
      			"Resource": "arn:aws:s3:::fabric-pool-*",
      			"Effect": "Allow"
      		}, {
      			"Action": [
      				"s3:GetObject",
      				"s3:PutObject",
      				"s3:DeleteObject"
      			],
      			"Resource": "arn:aws:s3:::fabric-pool-*",
      			"Effect": "Allow"
      		}
      	]
      }
      Regiones de GovCloud (EE. UU.)
      {
          "Version": "2012-10-17",
          "Statement": [{
              "Action": "s3:ListAllMyBuckets",
              "Resource": "arn:aws-us-gov:s3:::*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation"
              ],
              "Resource": "arn:aws-us-gov:s3:::fabric-pool-*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:GetObject",
                  "s3:PutObject",
                  "s3:DeleteObject"
              ],
              "Resource": "arn:aws-us-gov:s3:::fabric-pool-*",
              "Effect": "Allow"
          }]
      }
      Regiones de alto secreto
      {
          "Version": "2012-10-17",
          "Statement": [{
              "Action": "s3:ListAllMyBuckets",
              "Resource": "arn:aws-iso:s3:::*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation"
              ],
              "Resource": "arn:aws-iso:s3:::fabric-pool-*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:GetObject",
                  "s3:PutObject",
                  "s3:DeleteObject"
              ],
              "Resource": "arn:aws-iso:s3:::fabric-pool-*",
              "Effect": "Allow"
          }]
      }
      Regiones secretas
      {
          "Version": "2012-10-17",
          "Statement": [{
              "Action": "s3:ListAllMyBuckets",
              "Resource": "arn:aws-iso-b:s3:::*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation"
              ],
              "Resource": "arn:aws-iso-b:s3:::fabric-pool-*",
              "Effect": "Allow"
          }, {
              "Action": [
                  "s3:GetObject",
                  "s3:PutObject",
                  "s3:DeleteObject"
              ],
              "Resource": "arn:aws-iso-b:s3:::fabric-pool-*",
              "Effect": "Allow"
          }]
      }
    • Política de respaldo para nodos de Cloud Volumes ONTAP

      Si planea utilizar NetApp Backup and Recovery con sus sistemas Cloud Volumes ONTAP , la función de IAM para los nodos debe incluir la segunda política que se muestra a continuación.

    Regiones estándar
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketLocation"
                ],
                "Resource": "arn:aws:s3:::netapp-backup*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListAllMyBuckets",
                    "s3:PutObjectTagging",
                    "s3:GetObjectTagging",
                    "s3:RestoreObject",
                    "s3:GetBucketObjectLockConfiguration",
                    "s3:GetObjectRetention",
                    "s3:PutBucketObjectLockConfiguration",
                    "s3:PutObjectRetention"
                ],
                "Resource": "arn:aws:s3:::netapp-backup*/*",
                "Effect": "Allow"
            }
        ]
    }
    Regiones de GovCloud (EE. UU.)
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketLocation"
                ],
                "Resource": "arn:aws-us-gov:s3:::netapp-backup*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListAllMyBuckets",
                    "s3:PutObjectTagging",
                    "s3:GetObjectTagging",
                    "s3:RestoreObject",
                    "s3:GetBucketObjectLockConfiguration",
                    "s3:GetObjectRetention",
                    "s3:PutBucketObjectLockConfiguration",
                    "s3:PutObjectRetention"
                ],
                "Resource": "arn:aws-us-gov:s3:::netapp-backup*/*",
                "Effect": "Allow"
            }
        ]
    }
    Regiones de alto secreto
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketLocation"
                ],
                "Resource": "arn:aws-iso:s3:::netapp-backup*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListAllMyBuckets",
                    "s3:PutObjectTagging",
                    "s3:GetObjectTagging",
                    "s3:RestoreObject",
                    "s3:GetBucketObjectLockConfiguration",
                    "s3:GetObjectRetention",
                    "s3:PutBucketObjectLockConfiguration",
                    "s3:PutObjectRetention"
                ],
                "Resource": "arn:aws-iso:s3:::netapp-backup*/*",
                "Effect": "Allow"
            }
        ]
    }
    Regiones secretas
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "s3:ListBucket",
                    "s3:GetBucketLocation"
                ],
                "Resource": "arn:aws-iso-b:s3:::netapp-backup*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject",
                    "s3:DeleteObject",
                    "s3:ListAllMyBuckets",
                    "s3:PutObjectTagging",
                    "s3:GetObjectTagging",
                    "s3:RestoreObject",
                    "s3:GetBucketObjectLockConfiguration",
                    "s3:GetObjectRetention",
                    "s3:PutBucketObjectLockConfiguration",
                    "s3:PutObjectRetention"
                ],
                "Resource": "arn:aws-iso-b:s3:::netapp-backup*/*",
                "Effect": "Allow"
            }
        ]
    }
    • mediador de HA

      {
      	"Version": "2012-10-17",
      	"Statement": [{
      			"Effect": "Allow",
      			"Action": [
      				"ec2:AssignPrivateIpAddresses",
      				"ec2:CreateRoute",
      				"ec2:DeleteRoute",
      				"ec2:DescribeNetworkInterfaces",
      				"ec2:DescribeRouteTables",
      				"ec2:DescribeVpcs",
      				"ec2:ReplaceRoute",
      				"ec2:UnassignPrivateIpAddresses",
                      "sts:AssumeRole",
                      "ec2:DescribeSubnets"
      			],
      			"Resource": "*"
      		}
      	]
      }
  3. Cree un rol de IAM y adjunte las políticas que creó al rol.

Resultado

Ahora tiene roles de IAM que puede seleccionar cuando crea un nuevo sistema Cloud Volumes ONTAP .