Configurez les autorisations de FSX pour ONTAP
Pour créer ou gérer un environnement de travail FSX pour ONTAP, vous devez ajouter des informations d'identification AWS à BlueXP en fournissant l'ARN d'un rôle IAM qui donne à BlueXP les autorisations nécessaires pour créer un environnement de travail FSX pour ONTAP.
Configurer le rôle IAM
Configurez un rôle IAM qui permet à BlueXP d'assumer le rôle.
-
Accédez à la console IAM dans le compte cible.
-
Accordez l'accès BlueXP au compte AWS. Sous gestion des accès, cliquez sur rôles > Créer un rôle et suivez les étapes pour créer le rôle.
-
Sous Type d'entité approuvée, sélectionnez compte AWS.
-
Sélectionnez un autre compte AWS et entrez l'identifiant de compte BlueXP ID :
-
Pour BlueXP SaaS : 952013314444
-
Pour AWS GovCloud (USA) : 033442085313
Pour une sécurité accrue, nous vous recommandons de spécifier un "ID externe". Pour accéder à votre compte AWS, BlueXP doit fournir le rôle ARN (Amazon Resource Name) et l'identifiant externe que vous avez spécifié. Cela empêche le "problème adjoint confus".
-
-
-
Créez une stratégie qui inclut les autorisations minimales requises et facultatives suivantes, si nécessaire.
Autorisations requisesLes autorisations minimales suivantes sont requises pour permettre à BlueXP de créer votre système de fichiers FSX pour NetApp ONTAP.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "fsx:*", "ec2:Describe*", "ec2:CreateTags", "iam:CreateServiceLinkedRole", "kms:Describe*", "kms:List*", "kms:CreateGrant" ], "Resource": "*" } ] }
Capacité automatiqueLes autorisations supplémentaires suivantes sont requises pour l'activation "gestion automatique de la capacité".
"cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics"
Groupes de sécuritéLes autorisations supplémentaires suivantes sont requises pour permettre à BlueXP de "générer des groupes de sécurité".
"ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "cloudformation:CreateStack", "cloudformation:ValidateTemplate", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents"
-
Copiez l'ARN du rôle IAM afin de pouvoir le coller dans BlueXP à l'étape suivante.
Le rôle IAM dispose désormais des autorisations requises.
Ajoutez les informations d'identification
Une fois que vous avez autorisé le rôle IAM, ajoutez le rôle ARN à BlueXP.
Si vous venez de créer le rôle IAM, attendez quelques minutes pour que les nouvelles informations d'identification deviennent disponibles.
-
Dans le coin supérieur droit de la console BlueXP, cliquez sur l'icône Paramètres et sélectionnez informations d'identification.
-
Cliquez sur Ajouter des informations d'identification et suivez les étapes de l'assistant.
-
Informations d'identification Location : sélectionnez Amazon Web Services > BlueXP.
-
Définir les informations d'identification : fournissez un nom d'identification et le rôle ARN et ID externe (si spécifié) que vous avez créés Configurer le rôle IAM.
-
Si vous utilisez un compte AWS GovCloud (USA), consultez j'utilise un compte AWS GovCloud (USA).
-
L'authentification à l'aide d'AWS GovCloud désactive la plateforme SaaS. Il s'agit d'une modification permanente de votre compte et ne peut pas être annulée.
-
-
Review : confirmez les détails des nouvelles informations d'identification et cliquez sur Add.
-
Vous pouvez maintenant utiliser les informations d'identification lors de la création d'un environnement de travail FSX pour ONTAP.