Obtenga más información sobre los modos operativos y las credenciales de AWS
Sugerir cambios
PDF
NetApp Workload Factory ofrece tres modos operativos que le permiten controlar cuidadosamente el acceso entre Workload Factory y su patrimonio de nube en función de sus políticas de TI. El modo operativo que utilice estará determinado por el nivel de permisos de AWS que proporcione a Workload Factory.
Modos de funcionamiento
Los modos operativos proporcionan una organización lógica de la funcionalidad y las capacidades que ofrece Workload Factory, en relación con el nivel de confianza que usted asigne. El objetivo principal de los modos operativos es comunicar claramente qué tareas Workload Factory puede o no realizar dentro de su cuenta de AWS.
- Modo básico
-
Representa una relación de confianza cero donde no se asignan permisos de AWS a Workload Factory. Está diseñado para la exploración temprana de Workload Factory y el uso de varios asistentes para crear la Infraestructura como Código (IaC) necesaria. Puede copiar el código y usarlo en AWS ingresando sus credenciales de AWS manualmente.
- Modo de solo lectura
-
Mejora la experiencia del modo básico al agregar permisos de solo lectura para que las plantillas IaC se llenen con sus variables específicas (por ejemplo, VPC, grupos de seguridad, etc.). Esto le permite ejecutar el IaC directamente desde su cuenta de AWS sin proporcionar ningún permiso de modificación a Workload Factory.
- Modo de lectura/escritura
-
Representa una relación de confianza plena para que a Workload Factory se le asignen permisos completos. Esto permite que Workload Factory ejecute y automatice operaciones en AWS en su nombre junto con las credenciales asignadas que tienen los permisos necesarios para la ejecución.
Obtenga más información sobre "Permisos para NetApp Workload Factory" .
Funciones del modo operativo
Las características disponibles usando cada uno de los modos crecen con cada modo.
| Modo | Automatización desde Workload Factory | Automatización dentro de AWS mediante IAC | Detección y autocompletado de recursos de AWS | Supervisión del progreso |
|---|---|---|---|---|
Básico |
No |
Plantilla IAC mínimamente completa |
No |
No |
Solo lectura |
No |
Plantilla IAC moderadamente completa |
Sí |
Sí |
Lectura/Escritura |
Automatización completa |
Plantilla IAC completa con automatización completa |
Sí |
Sí |
Requisitos de modo operativo
No hay ningún selector que deba configurar en Workload Factory para identificar qué modo planea utilizar. El modo se determina en función de las credenciales y los permisos de AWS que asigne a su cuenta de Workload Factory.
| Modo | Credenciales de cuenta de AWS | Enlace |
|---|---|---|
Básico |
No es obligatorio |
No es obligatorio |
Solo lectura |
Solo lectura |
No es obligatorio |
Lectura/Escritura |
Credenciales de lectura y escritura |
Obligatorio |
Ejemplos de modo operativo
Puede configurar sus credenciales para proporcionar un modo para un componente de carga de trabajo y otro modo para otro componente. Por ejemplo, puede configurar el modo de lectura/escritura para operaciones en las que implementa y administra sistemas de archivos FSx para ONTAP , pero solo configurar el modo de solo lectura para crear e implementar cargas de trabajo de bases de datos mediante Workload Factory.
Puede proporcionar estas capacidades dentro de un único conjunto de credenciales en una cuenta de Workload Factory, o puede crear varios conjuntos de credenciales cuando cada credencial proporciona capacidades únicas de implementación de carga de trabajo.
Ejemplo 1
Los usuarios de la cuenta que usan las credenciales a las que se les han otorgado los siguientes permisos tendrán control total (modo de lectura/escritura) para crear sistemas de archivos FSx para ONTAP, implementar bases de datos y ver otros tipos de almacenamiento de AWS utilizados en la cuenta.
Sin embargo, no tendrán controles de automatización para crear e implementar cargas de trabajo de VMware (modo básico) desde Workload Factory. Si desean crear cargas de trabajo de VMware, deberán copiar el código de Codebox, iniciar sesión en su cuenta de AWS manualmente y completar manualmente las entradas faltantes en el código generado para usar esta funcionalidad.
Ejemplo 2
Aquí el usuario ha creado dos juegos de credenciales para permitir diferentes capacidades operativas dependiendo del juego de credenciales seleccionado. Normalmente, cada conjunto de credenciales se empareja con una cuenta de AWS diferente.
El primer conjunto de credenciales incluye permisos que brindan a los usuarios control total para crear sistemas de archivos FSx para ONTAP (y la capacidad de ver otros tipos de almacenamiento de AWS utilizados en la cuenta), pero solo permisos de solo lectura cuando trabajan con cargas de trabajo de VMware.
El segundo conjunto de credenciales solo proporciona permisos que otorgan a los usuarios un control total para crear sistemas de archivos FSx para ONTAP y ver otros tipos de almacenamiento AWS utilizados en la cuenta.
Credenciales de AWS
Hemos diseñado un flujo de registro de credenciales de AWS Assume Role que:
-
Admite permisos de cuenta de AWS más alineados, ya que le permite especificar las capacidades de carga de trabajo que desea usar y proporcionar requisitos de política de IAM de acuerdo con dichas selecciones.
-
Permite ajustar los permisos de cuenta de AWS concedidos cuando se suscriban o se inhabiliten funcionalidades de cargas de trabajo específicas.
-
Simplifica la creación manual de políticas de IAM al proporcionar archivos de políticas JSON personalizados que puede aplicar en la consola de AWS.
-
Simplifica aún más el proceso de registro de credenciales al ofrecer a los usuarios una opción automatizada para la política de IAM requerida y la creación de roles mediante las pilas AWS CloudFormation.
-
Se alinea mejor con los usuarios de FSx para ONTAP, que prefieren que sus credenciales se almacenen en los límites del ecosistema de cloud de AWS al permitir el almacenamiento de las credenciales de los servicios de FSx para ONTAP en un back-end de gestión secreta basado en AWS.
Una o más credenciales de AWS
Cuando utilice su primera capacidad (o capacidades) de Workload Factory, deberá crear las credenciales utilizando los permisos necesarios para esas capacidades de carga de trabajo. Agregará las credenciales a Workload Factory, pero necesitará acceder a la Consola de administración de AWS para crear la función y la política de IAM. Estas credenciales estarán disponibles en su cuenta cuando utilice cualquier capacidad en Workload Factory.
El conjunto inicial de credenciales de AWS puede incluir una política de IAM para una funcionalidad o para muchas funcionalidades. Solo depende de los requisitos de su negocio.
Agregar más de un conjunto de credenciales de AWS a Workload Factory proporciona permisos adicionales necesarios para usar capacidades adicionales, como sistemas de archivos FSx para ONTAP , implementar bases de datos en FSx para ONTAP, migrar cargas de trabajo de VMware y más.