Skip to main content
Amazon FSx for NetApp ONTAP
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar permisos para FSx para ONTAP

Colaboradores netapp-rlithman
PDF

Para crear o administrar un sistema de archivos FSx para ONTAP , debe agregar las credenciales de AWS en la NetApp Console proporcionando el ARN de un rol de IAM que otorgue los permisos necesarios para crear un sistema FSx para ONTAP desde la NetApp Console.

Por qué se requieren las credenciales de AWS

Las credenciales de AWS son necesarias para crear y administrar FSx para sistemas ONTAP desde la NetApp Console. Puedes crear nuevas credenciales o agregarlas a una organización existente. Las credenciales te permiten administrar recursos de AWS desde la NetApp Console.

Las credenciales y los permisos se administran mediante NetApp Workload Factory. Workload Factory es una plataforma de administración del ciclo de vida diseñada para ayudar a los usuarios a administrar y mejorar las cargas de trabajo de VMware, EDA y bases de datos que se ejecutan en Amazon FSx for NetApp ONTAP file systems. La NetApp Console y Workload Factory usan el mismo conjunto de credenciales y permisos de AWS. Storage es la capacidad de administración del almacenamiento en Workload Factory y es la única capacidad que necesitas activar y para la que debes añadir credenciales para crear y administrar tus sistemas de archivos FSx for ONTAP.

Acerca de esta tarea

Al agregar nuevas credenciales para FSx para ONTAP desde Almacenamiento en Workload Factory, deberá decidir qué políticas de permisos desea otorgar. Para descubrir recursos de AWS como FSx para sistemas de archivos ONTAP , necesitará permisos de visualización, planificación y análisis. Para implementar FSx para sistemas de archivos ONTAP , necesitará permisos de creación y eliminación de sistemas de archivos. Puedes realizar operaciones básicas en FSx para ONTAP sin permisos. "Obtén más información sobre los permisos.".

Las credenciales de AWS nuevas y existentes se pueden ver desde el menú Administración en la página Credenciales.

Una captura de pantalla del menú Administración y la opción Credenciales resaltada en el menú de administración de la NetApp Console .

Puede agregar credenciales utilizando dos métodos:

  • Manualmente: crea la política de IAM y el rol de IAM en tu cuenta de AWS mientras agregas credenciales en Workload Factory.

  • Automáticamente: captura una cantidad mínima de información sobre los permisos y luego utiliza una pila de CloudFormation para crear las políticas y el rol de IAM para sus credenciales.

Agregar credenciales a una cuenta manualmente

Puedes agregar manualmente las credenciales de AWS a la NetApp Console para darle a tu cuenta los permisos para administrar las capacidades de carga de trabajo que quieres usar, y un rol de IAM que se asigna a tu cuenta.

La creación de las credenciales consta de tres partes:

  • Seleccione los servicios y el nivel de permisos que desea utilizar y luego cree políticas de IAM desde la Consola de administración de AWS.

  • Cree una función de IAM desde la consola de administración de AWS.

  • Introduce un nombre y añade las credenciales en la NetApp Console.

Para crear o administrar un sistema de archivos FSx para ONTAP, necesitas añadir credenciales de AWS en la NetApp Console proporcionando el ARN de un rol de IAM que le dé a Workload Factory los permisos necesarios para crear un sistema de archivos FSx para ONTAP.

Antes de empezar

Necesitará tener credenciales para iniciar sesión en su cuenta de AWS.

Pasos

  1. Desde el menú de la NetApp Console , seleccione Administración y luego Credenciales.

  2. Desde la página Credenciales de la organización, seleccione Agregar credenciales.

  3. Seleccione Amazon Web Services, luego FSx for ONTAP y luego Siguiente.

  4. Seleccione Agregar manualmente y luego siga los pasos a continuación para completar las tres secciones en Configuración de permisos.

Paso 1: Seleccione la capacidad de almacenamiento y cree la política de IAM

En esta sección, elegirás la capacidad de almacenamiento a administrar con estas credenciales y los permisos para el almacenamiento. También tienes la opción de seleccionar otras cargas de trabajo como bases de datos, GenAI o VMware. Una vez que hayas hecho tus selecciones, tendrás que copiar los permisos de la política para cada carga de trabajo seleccionada desde el Codebox y agregarlos en la AWS Management Console dentro de tu cuenta de AWS para crear las políticas.

Pasos

  1. En la sección Crear políticas de permisos, habilita cada una de las capacidades de carga de trabajo que quieras incluir en estas credenciales. Habilita Almacenamiento para crear y gestionar sistemas de archivos.

    Puede agregar capacidades adicionales más adelante, así que simplemente seleccione las cargas de trabajo que actualmente desea implementar y administrar.

  2. Para aquellas funcionalidades de carga de trabajo que ofrecen una selección de políticas de permisos, seleccione el tipo de permisos que estarán disponibles con estas credenciales. "Obtén más información sobre los permisos.".

  3. Opcional: selecciona Activar la comprobación automática de permisos para comprobar si tienes los permisos necesarios de la cuenta de AWS para completar las operaciones de carga de trabajo. Al activar la comprobación, se añade la iam:SimulatePrincipalPolicy permission a tus políticas de permisos. El propósito de este permiso es solo confirmar los permisos. Puedes eliminar el permiso después de añadir las credenciales, pero te sugerimos mantenerlo para evitar que se creen recursos si fallan algunos pasos y para evitar la limpieza manual.

  4. En la ventana Codebox, copie los permisos para la primera política de IAM.

  5. Abra otra ventana del navegador e inicie sesión en su cuenta de AWS en la Consola de administración de AWS.

  6. Abra el servicio IAM y luego seleccione Políticas > Crear política.

  7. Selecciona JSON como tipo de archivo, pega los permisos que copiaste en el paso 4 y selecciona Siguiente.

  8. Ingrese el nombre de la política y seleccione Crear política.

  9. Si ha seleccionado varias capacidades de carga de trabajo en el paso 1, repita estos pasos para crear una política para cada conjunto de permisos de carga de trabajo.

Paso 2: Cree el rol de IAM que utiliza las políticas

En esta sección, configurará un rol de IAM que Workload Factory asumirá y que incluye los permisos y las políticas que acaba de crear.

Pasos

  1. En la consola de administración de AWS, seleccione Roles > Crear rol.

  2. En Tipo de entidad confiable, seleccione Cuenta AWS.

    1. Selecciona Another AWS account y copia y pega el ID de cuenta de FSx for ONTAP workload management desde la interfaz de usuario de la Console.

    2. Selecciona Required external ID y copia y pega el ID externo en la interfaz de usuario de NetApp Console.

  3. Seleccione Siguiente.

  4. En la sección Política de permisos, elija todas las políticas que definió anteriormente y seleccione Siguiente.

  5. Ingrese un nombre para el rol y seleccione Crear rol.

  6. Copiar el ARN del rol.

  7. Vuelve a la página Add credentials en la NetApp Console, expande la sección Create role y pega el ARN en el campo Role ARN.

Paso 3: Ingrese un nombre y agregue las credenciales

El último paso es introducir un nombre para las credenciales.

Pasos

  1. En la página Add credentials, expande Credentials name.

  2. Introduzca el nombre que desea utilizar para estas credenciales.

  3. Seleccione Agregar para crear las credenciales.

Resultado

La Consola crea las credenciales y las muestra en la página Credenciales. Puedes usar, cambiar el nombre o eliminar credenciales desde la NetApp Console.

Agregar credenciales a una cuenta usando CloudFormation

Puedes agregar credenciales de AWS a NetApp Workload Factory usando un stack de AWS CloudFormation seleccionando las capacidades de carga de trabajo que quieres usar y luego lanzando el stack de AWS CloudFormation en tu cuenta de AWS. CloudFormation creará las políticas IAM y el rol IAM según las capacidades de carga de trabajo que seleccionaste.

Antes de empezar

  • Necesitará tener credenciales para iniciar sesión en su cuenta de AWS.

  • Necesitará tener los siguientes permisos en su cuenta de AWS al agregar credenciales usando una pila de CloudFormation:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
Pasos

  1. Desde el menú de la NetApp Console , seleccione Administración y luego Credenciales.

  2. Seleccione Agregar credenciales.

  3. Seleccione Amazon Web Services, luego FSx for ONTAP y luego Siguiente.

    Ahora estás en la página Add Credentials de NetApp Workload Factory.

  4. Seleccione Agregar mediante AWS CloudFormation.

  5. En Crear políticas, habilite cada una de las capacidades de carga de trabajo que desee incluir en estas credenciales y elija un nivel de permiso para cada carga de trabajo.

    Puede agregar capacidades adicionales más adelante, así que simplemente seleccione las cargas de trabajo que actualmente desea implementar y administrar.

  6. Opcional: selecciona Habilitar comprobación automática de permisos para comprobar si tienes los permisos necesarios de la cuenta de AWS para completar las operaciones de la carga de trabajo. Al habilitar la comprobación, se añade el permiso iam:SimulatePrincipalPolicy a tus políticas de permisos. El propósito de este permiso es únicamente confirmar los permisos. Puedes eliminar el permiso después de añadir las credenciales, pero te sugerimos mantenerlo para evitar que se creen recursos si fallan algunos pasos y para evitar la limpieza manual.

  7. En Nombre de las credenciales, ingrese el nombre que desea utilizar para estas credenciales.

  8. Agregue las credenciales de AWS CloudFormation:

    1. Seleccione Agregar (o seleccione Redirigir a CloudFormation) y se mostrará la página Redirigir a CloudFormation.

    2. Si utiliza el inicio de sesión único (SSO) con AWS, abra una pestaña independiente del navegador e inicie sesión en la consola de AWS antes de seleccionar Continuar.

      Debe iniciar sesión en la cuenta de AWS donde reside el sistema de archivos FSx para ONTAP .

    3. Seleccione Continuar en la página Redirigir a CloudFormation.

    4. En la página Creación rápida de pila, en Capacidades, seleccione Reconozco que AWS CloudFormation podría crear recursos de IAM.

    5. Seleccione Crear pila.

    6. Regrese a la página Administración > Credenciales desde el menú principal para verificar que las nuevas credenciales estén en progreso o que se hayan agregado.

Resultado

La Consola crea las credenciales y las muestra en la página Credenciales. Puedes usar, cambiar el nombre o eliminar credenciales desde la NetApp Console.