Obtenga más información sobre los modos operativos y las credenciales de AWS
Sugerir cambios
PDF
La fábrica de cargas de trabajo proporciona tres modos operativos que le permiten controlar cuidadosamente el acceso entre la fábrica de cargas de trabajo y el estado de la nube en función de sus políticas DE TI. El modo operativo que utiliza está determinado por el nivel de permisos de AWS que proporciona a la fábrica de cargas de trabajo.
Modos de funcionamiento
Los modos operativos proporcionan una organización lógica de la funcionalidad y las capacidades ofrecidas por la fábrica de cargas de trabajo, en relación con el nivel de confianza que se asigna. El objetivo principal en los modos operativos es comunicar claramente qué tareas de fábrica de carga de trabajo puede o no puede realizar dentro de su cuenta de AWS.
- Modo básico
-
Representa una relación de confianza cero en la que no se asignan permisos de AWS a la fábrica de cargas de trabajo. Se ha diseñado para la exploración temprana de la fábrica de cargas de trabajo y el uso de los distintos asistentes para crear la infraestructura como código (IAC) necesaria. Puede copiar el código y usarlo en AWS introduciendo sus credenciales de AWS manualmente.
- Modo de lectura
-
Mejora la experiencia del modo básico al agregar permisos de solo lectura para que las plantillas de IAC se llenen con sus variables específicas (por ejemplo, VPC, grupos de seguridad, etc.). Esto le permite ejecutar el IAC directamente desde su cuenta de AWS sin proporcionar ningún permiso de modificación a la fábrica de cargas de trabajo.
- Modo de automatización
-
Representa una relación de confianza completa para que la fábrica de carga de trabajo se asigne con permisos completos. Esto permite que la fábrica de cargas de trabajo ejecute y automatice operaciones en AWS en su nombre junto con las credenciales asignadas que tienen los permisos necesarios para su ejecución.
Funciones del modo operativo
Las características disponibles usando cada uno de los modos crecen con cada modo.
| Modo | Automatización de la fábrica de cargas de trabajo | Automatización dentro de AWS mediante IAC | Detección y autocompletado de recursos de AWS | Supervisión del progreso |
|---|---|---|---|---|
Básico |
No |
Plantilla IAC mínimamente completa |
No |
No |
Lea |
No |
Plantilla IAC moderadamente completa |
Sí |
Sí |
Automatizar |
Automatización completa |
Plantilla IAC completa con automatización completa |
Sí |
Sí |
Requisitos de modo operativo
No hay ningún selector que necesite definir en la fábrica de cargas de trabajo para identificar el modo que está planeando utilizar. El modo se determina en función de las credenciales y permisos de AWS que asigne a su cuenta de fábrica de cargas de trabajo.
| Modo | Credenciales de cuenta de AWS | Enlace |
|---|---|---|
Básico |
No es obligatorio |
No es obligatorio |
Lea |
Solo lectura |
No es obligatorio |
Automatizar |
Credenciales de lectura y escritura |
Obligatorio |
Ejemplos de modo operativo
Puede configurar sus credenciales para proporcionar un modo para un componente de carga de trabajo y otro modo para otro componente. Por ejemplo, puedes configurar el modo de automatización para las operaciones en las que estés implementando y gestionando los sistemas de archivos FSx para ONTAP, pero solo puedes configurar el modo de lectura para crear y desplegar cargas de trabajo de base de datos mediante la fábrica de cargas de trabajo.
Puede proporcionar estas funcionalidades en un único conjunto de credenciales en una cuenta de fábrica de cargas de trabajo, o puede crear varios conjuntos de credenciales cuando cada credencial proporciona capacidades de despliegue de cargas de trabajo únicas.
Ejemplo 1
Los usuarios de las cuentas que utilicen las credenciales a las que se les han otorgado los siguientes permisos tendrán control total (modo de automatización) para crear sistemas de archivos FSx para ONTAP, implementar bases de datos y ver otros tipos de almacenamiento AWS utilizados en la cuenta.
Sin embargo, no dispondrán de controles de automatización para crear e implementar cargas de trabajo de VMware (modo básico) desde la fábrica de cargas de trabajo. Si quieren crear cargas de trabajo de VMware, tendrán que copiar el código del CodeBox, iniciar sesión en su cuenta de AWS manualmente y rellenar manualmente las entradas que faltan en el código generado para usar esta funcionalidad.
Ejemplo 2
Aquí el usuario ha creado dos juegos de credenciales para permitir diferentes capacidades operativas dependiendo del juego de credenciales seleccionado. Normalmente, cada conjunto de credenciales se empareja con una cuenta de AWS diferente.
El primer conjunto de credenciales incluye permisos que ofrecen a los usuarios un control total para crear sistemas de archivos FSx para ONTAP (y la capacidad de ver otros tipos de almacenamiento AWS utilizados en la cuenta), pero solo permisos de lectura cuando se trabaja con cargas de trabajo de VMware.
El segundo conjunto de credenciales solo proporciona permisos que otorgan a los usuarios un control total para crear sistemas de archivos FSx para ONTAP y ver otros tipos de almacenamiento AWS utilizados en la cuenta.
Credenciales de AWS
Hemos diseñado un flujo de registro de credenciales de AWS Assume Role que:
-
Admite permisos de cuenta de AWS más alineados, ya que le permite especificar las capacidades de carga de trabajo que desea usar y proporcionar requisitos de política de IAM de acuerdo con dichas selecciones.
-
Permite ajustar los permisos de cuenta de AWS concedidos cuando se suscriban o se inhabiliten funcionalidades de cargas de trabajo específicas.
-
Simplifica la creación manual de políticas de IAM al proporcionar archivos de políticas JSON personalizados que puede aplicar en la consola de AWS.
-
Simplifica aún más el proceso de registro de credenciales al ofrecer a los usuarios una opción automatizada para la política de IAM requerida y la creación de roles mediante las pilas AWS CloudFormation.
-
Se alinea mejor con los usuarios de FSx para ONTAP, que prefieren que sus credenciales se almacenen en los límites del ecosistema de cloud de AWS al permitir el almacenamiento de las credenciales de los servicios de FSx para ONTAP en un back-end de gestión secreta basado en AWS.
Una o más credenciales de AWS
Cuando utilice su primera capacidad (o capacidades) de fábrica de carga de trabajo, deberá crear las credenciales utilizando los permisos necesarios para esas capacidades de carga de trabajo. Agregará las credenciales a la fábrica de cargas de trabajo, pero tendrá que acceder a la consola de administración de AWS para crear el rol y la política de IAM. Estas credenciales estarán disponibles en su cuenta cuando utilice cualquier capacidad en la fábrica de cargas de trabajo.
El conjunto inicial de credenciales de AWS puede incluir una política de IAM para una funcionalidad o para muchas funcionalidades. Solo depende de los requisitos de su negocio.
Añadir más de un conjunto de credenciales de AWS a la fábrica de cargas de trabajo proporciona permisos adicionales necesarios para usar funcionalidades adicionales, como los sistemas de archivos FSx para ONTAP, poner en marcha bases de datos en FSx para ONTAP, migrar cargas de trabajo de VMware y mucho más.