Notas de la versión
Obtenga más información sobre los modos operativos y las credenciales de AWS
Sugerir cambios
PDF
Workload Factory proporciona tres modos operativos que le permiten controlar cuidadosamente el acceso entre Workload Factory y su estado de la nube en función de sus políticas de TI. El modo operativo que utiliza viene determinado por el nivel de permisos de AWS que proporciona a Workload Factory.
Modos de funcionamiento
Los modos operativos proporcionan una organización lógica de la funcionalidad y las capacidades ofrecidas por Workload Factory, en relación con el nivel de confianza que se asigna. El objetivo principal en los modos operativos es comunicar claramente qué tareas puede o no realizar Workload Factory dentro de su cuenta de AWS.
- Modo básico
-
Representa una relación de confianza cero en la que no se asignan permisos de AWS a Workload Factory. Está diseñado para una exploración temprana de la fábrica de cargas de trabajo y el uso de los distintos asistentes para crear la infraestructura como código (IAC) necesaria. Puede copiar el código y usarlo en AWS introduciendo sus credenciales de AWS manualmente.
- Modo de lectura
-
Mejora la experiencia del modo básico al agregar permisos de solo lectura para que las plantillas de IAC se llenen con sus variables específicas (por ejemplo, VPC, grupos de seguridad, etc.). Esto le permite ejecutar el IAC directamente desde su cuenta de AWS sin proporcionar ningún permiso de modificación a Workload Factory.
- Modo de automatización
-
Representa una relación de confianza completa para que Workload Factory se asigne con permisos completos. Esto permite a Workload Factory ejecutar y automatizar operaciones en AWS en su nombre junto con las credenciales asignadas que tienen los permisos necesarios para su ejecución.
Funciones del modo operativo
Las características disponibles usando cada uno de los modos crecen con cada modo.
| Modo | Automatización de Workload Factory | Automatización dentro de AWS mediante IAC | Detección y autocompletado de recursos de AWS | Supervisión del progreso |
|---|---|---|---|---|
Básico |
No |
Plantilla IAC mínimamente completa |
No |
No |
Lea |
No |
Plantilla IAC moderadamente completa |
Sí |
Sí |
Automatizar |
Automatización completa |
Plantilla IAC completa con automatización completa |
Sí |
Sí |
Requisitos de modo operativo
No hay ningún selector que necesite configurar en Fábrica de carga de trabajo para identificar qué modo está planeando utilizar. El modo se determina en función de las credenciales y permisos de AWS que asigne a su cuenta Workload Factory.
| Modo | Credenciales de cuenta de AWS | Enlace |
|---|---|---|
Básico |
No es obligatorio |
No es obligatorio |
Lea |
Solo lectura |
No es obligatorio |
Automatizar |
Credenciales de lectura y escritura |
Obligatorio |
Ejemplos de modo operativo
Puede configurar sus credenciales para proporcionar un modo para un componente de carga de trabajo y otro modo para otro componente. Por ejemplo, puedes configurar el modo de automatización para las operaciones en las que implementas y gestionas los sistemas de archivos de FSx para ONTAP, pero solo puedes configurar el modo de lectura para crear y desplegar cargas de trabajo de bases de datos mediante Workload Factory.
Puede proporcionar estas capacidades dentro de un único juego de credenciales en una cuenta de fábrica de cargas de trabajo, o puede crear varios juegos de credenciales cuando cada credencial proporciona capacidades de despliegue de cargas de trabajo únicas.
Ejemplo 1
Los usuarios de las cuentas que utilicen las credenciales a las que se les han otorgado los siguientes permisos tendrán control total (modo de automatización) para crear sistemas de archivos FSx para ONTAP, implementar bases de datos y ver otros tipos de almacenamiento AWS utilizados en la cuenta.
Sin embargo, no dispondrán de controles de automatización para crear y poner en marcha cargas de trabajo de VMware (modo básico) desde Workload Factory. Si quieren crear cargas de trabajo de VMware, tendrán que copiar el código del CodeBox, iniciar sesión en su cuenta de AWS manualmente y rellenar manualmente las entradas que faltan en el código generado para usar esta funcionalidad.
Ejemplo 2
Aquí el usuario ha creado dos juegos de credenciales para permitir diferentes capacidades operativas dependiendo del juego de credenciales seleccionado. Normalmente, cada conjunto de credenciales se empareja con una cuenta de AWS diferente.
El primer conjunto de credenciales incluye permisos que ofrecen a los usuarios un control total para crear sistemas de archivos FSx para ONTAP (y la capacidad de ver otros tipos de almacenamiento AWS utilizados en la cuenta), pero solo permisos de lectura cuando se trabaja con cargas de trabajo de VMware.
El segundo conjunto de credenciales solo proporciona permisos que otorgan a los usuarios un control total para crear sistemas de archivos FSx para ONTAP y ver otros tipos de almacenamiento AWS utilizados en la cuenta.
Credenciales de AWS
Hemos diseñado un flujo de registro de credenciales de AWS Assume Role que:
-
Admite permisos de cuenta de AWS más alineados, ya que le permite especificar las capacidades de carga de trabajo que desea usar y proporcionar requisitos de política de IAM de acuerdo con dichas selecciones.
-
Permite ajustar los permisos de cuenta de AWS concedidos cuando se suscriban o se inhabiliten funcionalidades de cargas de trabajo específicas.
-
Simplifica la creación manual de políticas de IAM al proporcionar archivos de políticas JSON personalizados que puede aplicar en la consola de AWS.
-
Simplifica aún más el proceso de registro de credenciales al ofrecer a los usuarios una opción automatizada para la política de IAM requerida y la creación de roles mediante las pilas AWS CloudFormation.
-
Se alinea mejor con los usuarios de FSx para ONTAP, que prefieren que sus credenciales se almacenen en los límites del ecosistema de cloud de AWS al permitir el almacenamiento de las credenciales de los servicios de FSx para ONTAP en un back-end de gestión secreta basado en AWS.
Una o más credenciales de AWS
Cuando utilice la capacidad (o capacidades) de la primera fábrica de cargas de trabajo, deberá crear las credenciales utilizando los permisos necesarios para esas capacidades de carga de trabajo. Agregará las credenciales a Workload Factory, pero tendrá que acceder a la consola de administración de AWS para crear el rol y la política de IAM. Estas credenciales estarán disponibles en su cuenta cuando utilice cualquier capacidad de Workload Factory.
El conjunto inicial de credenciales de AWS puede incluir una política de IAM para una funcionalidad o para muchas funcionalidades. Solo depende de los requisitos de su negocio.
Añadir más de un conjunto de credenciales de AWS a Workload Factory proporciona permisos adicionales necesarios para usar funcionalidades adicionales, como los sistemas de archivos FSx para ONTAP, poner en marcha bases de datos en FSx para ONTAP, migrar cargas de trabajo de VMware y mucho más.