Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

En savoir plus sur les identifiants et les autorisations AWS

Contributeurs

Découvrez comment BlueXP utilise les identifiants AWS pour effectuer des actions en votre nom et comment ces identifiants sont associés aux abonnements Marketplace. Ces informations peuvent vous être utiles lorsque vous gérez les identifiants d'un ou plusieurs comptes AWS dans BlueXP. Par exemple, vous pouvez savoir quand ajouter des informations d'identification AWS supplémentaires à BlueXP.

Identifiants AWS initiaux

Lorsque vous déployez un connecteur depuis BlueXP, vous devez fournir l'ARN d'un rôle IAM ou de clés d'accès pour un utilisateur IAM. La méthode d'authentification que vous utilisez doit disposer des autorisations requises pour déployer l'instance de connecteur dans AWS. Les autorisations requises sont répertoriées dans le "Politique de déploiement de connecteur pour AWS".

Lorsque BlueXP lance l'instance Connector dans AWS, il crée un rôle IAM et un profil d'instance pour l'instance. Il attache également une règle qui fournit au connecteur les autorisations nécessaires pour gérer les ressources et les processus de ce compte AWS. "Consultez la manière dont BlueXP utilise les autorisations".

Image conceptuelle qui montre BlueXP déployé le connecteur dans un compte AWS. Une politique IAM est affectée à un rôle IAM, qui est rattaché à l'instance BlueXP.

Si vous créez un nouvel environnement de travail pour Cloud Volumes ONTAP, BlueXP sélectionne les informations d'identification AWS suivantes par défaut :

Capture d'écran affichant l'option changer de compte dans la page Détails  informations d'identification.

Vous pouvez déployer tous vos systèmes Cloud Volumes ONTAP à l'aide des identifiants AWS initiaux, ou ajouter des identifiants supplémentaires.

Autres identifiants AWS

Il existe deux façons d'ajouter des informations d'identification AWS :

  • Vous pouvez ajouter des informations d'identification AWS à un connecteur existant

  • Vous pouvez ajouter des identifiants AWS directement à BlueXP

Consultez les sections ci-dessous pour en savoir plus.

Ajoutez des identifiants AWS à un connecteur existant

Si vous souhaitez utiliser BlueXP avec d'autres comptes AWS, vous pouvez fournir des clés AWS pour un utilisateur IAM ou l'ARN d'un rôle dans un compte approuvé. L'image suivante montre deux comptes supplémentaires, l'un avec des autorisations par le biais d'un rôle IAM dans un compte de confiance et l'autre avec les clés AWS d'un utilisateur IAM :

Image conceptuelle qui affiche deux comptes supplémentaires. Chaque groupe dispose d'une politique IAM, l'un est rattaché à l'utilisateur IAM et l'autre est associé à un rôle IAM.

Vous pouvez ensuite ajouter les informations d'identification du compte à BlueXP en spécifiant le nom de ressource Amazon (ARN) du rôle IAM ou les clés AWS de l'utilisateur IAM.

Par exemple, vous pouvez basculer entre les informations d'identification lors de la création d'un nouvel environnement de travail Cloud Volumes ONTAP :

Capture d'écran affichant la sélection d'un compte de fournisseur cloud à l'autre après avoir sélectionné changer de compte dans la page Détails  Credentials.

Ajoutez des informations d'identification AWS directement à BlueXP

L'ajout de nouvelles informations d'identification AWS à BlueXP fournit les autorisations nécessaires pour créer et gérer un environnement de travail FSX pour ONTAP ou pour créer un connecteur.

Informations d'identification et abonnements Marketplace

Les identifiants que vous ajoutez à un connecteur doivent être associés à un abonnement AWS Marketplace pour que vous puissiez payer Cloud Volumes ONTAP à un taux horaire (PAYGO) ou un contrat annuel, et pour utiliser d'autres services BlueXP.

Notez les informations d'identification et les abonnements Marketplace d'AWS :

  • Vous ne pouvez associer qu'un seul abonnement AWS Marketplace à un ensemble d'informations d'identification AWS

  • Vous pouvez remplacer un abonnement Marketplace existant par un nouvel abonnement

FAQ

Les questions suivantes concernent les informations d'identification et les abonnements.

Comment faire tourner mes identifiants AWS en toute sécurité ?

Comme décrit dans les sections ci-dessus, BlueXP vous permet de fournir des identifiants AWS de quelques manières : un rôle IAM associé à l'instance Connector, en supposant un rôle IAM dans un compte approuvé ou en fournissant des clés d'accès AWS.

Avec les deux premières options, BlueXP utilise AWS Security Token Service pour obtenir des informations d'identification temporaires qui tournent en permanence. Ce processus est la meilleure pratique—​il automatique et sécurisé.

Si vous fournissez des clés d'accès AWS BlueXP, vous devez les mettre à jour régulièrement dans BlueXP. Il s'agit d'un processus entièrement manuel.

Est-il possible de modifier l'abonnement AWS Marketplace pour les environnements de travail Cloud Volumes ONTAP ?

Oui, c'est possible. Lorsque vous modifiez l'abonnement AWS Marketplace associé à un ensemble d'identifiants, tous les environnements de travail Cloud Volumes ONTAP existants et nouveaux seront facturés pour le nouvel abonnement.

Puis-je ajouter plusieurs identifiants AWS, chacun avec des abonnements Marketplace différents ?

Tous les identifiants AWS qui appartiennent au même compte AWS seront associés au même abonnement AWS Marketplace.

Si plusieurs identifiants AWS appartiennent à différents comptes AWS, ils peuvent être associés au même abonnement AWS Marketplace ou à d'autres abonnements.

Est-il possible de déplacer les environnements de travail Cloud Volumes ONTAP existants vers un autre compte AWS ?

Non, il n'est pas possible de déplacer les ressources AWS associées à votre environnement de travail Cloud Volumes ONTAP vers un autre compte AWS.

Comment fonctionnent les identifiants pour les déploiements sur site et sur le marché ?

Les sections ci-dessus décrivent la méthode de déploiement recommandée pour le connecteur, qui provient de BlueXP. Vous pouvez également déployer un connecteur dans AWS à partir d'AWS Marketplace et installer manuellement le logiciel Connector sur votre propre hôte Linux.

Si vous utilisez Marketplace, des autorisations sont fournies de la même manière. Il vous suffit de créer et de configurer manuellement le rôle IAM, puis de fournir des autorisations pour tous les comptes supplémentaires.

Pour les déploiements sur site, vous ne pouvez pas configurer de rôle IAM pour le système BlueXP, mais vous pouvez fournir des autorisations à l'aide de clés d'accès AWS.

Pour savoir comment configurer les autorisations, reportez-vous aux pages suivantes :