Skip to main content
Amazon FSx for NetApp ONTAP
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer les autorisations pour FSx pour ONTAP

Contributeurs netapp-rlithman
PDF

Pour créer ou gérer un système de fichiers FSx pour ONTAP , vous devez ajouter des informations d'identification AWS dans la NetApp Console en fournissant l'ARN d'un rôle IAM qui accorde les autorisations nécessaires pour créer un système FSx pour ONTAP à partir de la NetApp Console.

Pourquoi les informations d'identification AWS sont requises

Les identifiants AWS sont nécessaires pour créer et gérer des systèmes FSx for ONTAP depuis la NetApp Console. Vous pouvez créer de nouveaux identifiants ou les ajouter à une organisation existante. Les identifiants vous permettent de gérer les ressources AWS depuis la NetApp Console.

Les identifiants et les autorisations sont gérés par NetApp Workload Factory. Workload Factory est une plateforme de gestion du cycle de vie conçue pour aider les utilisateurs à gérer et à améliorer les charges de travail VMware, EDA et de base de données qui s'exécutent sur Amazon FSx for NetApp ONTAP file systems. La NetApp Console et Workload Factory utilisent le même ensemble d'identifiants et d'autorisations AWS. Storage est la fonctionnalité de gestion du stockage dans Workload Factory et c'est la seule fonctionnalité que vous devez activer et pour laquelle vous devez ajouter des identifiants afin de créer et de gérer vos systèmes de fichiers FSx for ONTAP.

À propos de cette tâche

Lors de l'ajout de nouvelles informations d'identification pour FSx for ONTAP à partir du stockage dans Workload Factory, vous devrez choisir les stratégies d'autorisation que vous souhaitez accorder. Pour découvrir les ressources AWS telles que les systèmes de fichiers FSx pour ONTAP , vous aurez besoin des autorisations view, planning et analysis. Pour déployer FSx pour les systèmes de fichiers ONTAP , vous aurez besoin des autorisations de création et de suppression de systèmes de fichiers. Vous pouvez effectuer des opérations de base pour FSx for ONTAP sans autorisation. "En savoir plus sur les autorisations".

Les informations d'identification AWS nouvelles et existantes sont visibles à partir du menu Administration sur la page Informations d'identification.

Capture d’écran du menu Administration et de l’option Informations d’identification mises en évidence dans le menu d’administration de la NetApp Console .

Vous pouvez ajouter des informations d’identification en utilisant deux méthodes :

  • Manuellement : vous créez la politique IAM et le rôle IAM dans votre compte AWS lors de l'ajout des informations d'identification dans Workload Factory.

  • Automatiquement : vous capturez une quantité minimale d’informations sur les autorisations, puis utilisez une pile CloudFormation pour créer les politiques IAM et le rôle pour vos informations d’identification.

Ajouter manuellement des informations d'identification à un compte

Vous pouvez ajouter manuellement les informations d'identification AWS à la NetApp Console pour accorder à votre compte les autorisations nécessaires à la gestion des capacités de charge de travail que vous souhaitez utiliser, ainsi qu'un rôle IAM attribué à votre compte.

La création des informations d’identification se déroule en trois étapes :

  • Sélectionnez les services et le niveau d’autorisations que vous souhaitez utiliser, puis créez des politiques IAM à partir de la console de gestion AWS.

  • Créez un rôle IAM à partir de la console de gestion AWS.

  • Saisissez un nom et ajoutez les informations d'identification dans la NetApp Console.

Pour créer ou gérer un système de fichiers FSx for ONTAP, vous devez ajouter des informations d'identification AWS dans la NetApp Console en fournissant l'ARN d'un rôle IAM qui accorde à Workload Factory les autorisations nécessaires pour créer un système de fichiers FSx for ONTAP.

Avant de commencer

Vous aurez besoin d'informations d'identification pour vous connecter à votre compte AWS.

Étapes

  1. Dans le menu de la NetApp Console , sélectionnez Administration puis Informations d'identification.

  2. Depuis la page Informations d’identification de l’organisation, sélectionnez Ajouter des informations d’identification.

  3. Sélectionnez Amazon Web Services, puis FSx pour ONTAP, puis Suivant.

  4. Sélectionnez Ajouter manuellement, puis suivez les étapes ci-dessous pour remplir les trois sections sous Configuration des autorisations.

Étape 1 : Sélectionner la capacité de stockage et créer la politique IAM

Dans cette section, vous choisirez la capacité de stockage à gérer avec ces informations d'identification, ainsi que les autorisations pour le stockage. Vous avez également la possibilité de sélectionner d'autres charges de travail comme des bases de données, GenAI ou VMware. Une fois vos sélections effectuées, vous devrez copier les autorisations de stratégie pour chaque charge de travail sélectionnée depuis le Codebox et les ajouter dans la console de gestion AWS de votre compte AWS afin de créer les stratégies.

Étapes

  1. Dans la section Créer des stratégies d'autorisation, activez chacune des fonctionnalités de charge de travail que vous souhaitez inclure dans ces informations d'identification. Activez Stockage pour créer et gérer des systèmes de fichiers.

    Vous pouvez ajouter des fonctionnalités supplémentaires ultérieurement, sélectionnez donc simplement les charges de travail que vous souhaitez actuellement déployer et gérer.

  2. Pour les fonctionnalités de charge de travail offrant un choix de politiques d'autorisation, sélectionnez le type d'autorisations qui seront disponibles avec ces informations d'identification. "Découvrez les autorisations".

  3. Facultatif : cochez la case « Activer la vérification automatique des autorisations » pour vérifier si vous disposez des autorisations AWS requises pour effectuer les opérations de charge de travail. L’activation de la vérification ajoute le iam:SimulatePrincipalPolicy permission à vos politiques d’autorisation. Cette autorisation sert uniquement à confirmer les autorisations. Vous pouvez la supprimer après avoir ajouté les informations d’identification, mais nous vous recommandons de la conserver afin d’empêcher la création de ressources en cas d’échec de certaines étapes et d’éviter un nettoyage manuel.

  4. Dans la fenêtre Codebox, copiez les autorisations pour la première stratégie IAM.

  5. Ouvrez une autre fenêtre de navigateur et connectez-vous à votre compte AWS dans la console de gestion AWS.

  6. Ouvrez le service IAM, puis sélectionnez Stratégies > Créer une stratégie.

  7. Sélectionnez JSON comme type de fichier, collez les autorisations que vous avez copiées à l'étape 4, puis sélectionnez Suivant.

  8. Saisissez le nom de la politique et sélectionnez Créer une politique.

  9. Si vous avez sélectionné plusieurs capacités de charge de travail à l’étape 1, répétez ces étapes pour créer une stratégie pour chaque ensemble d’autorisations de charge de travail.

Étape 2 : Créer le rôle IAM qui utilise les stratégies

Dans cette section, vous allez configurer un rôle IAM que Workload Factory assumera et qui inclut les autorisations et les politiques que vous venez de créer.

Étapes

  1. Dans la console de gestion AWS, sélectionnez Rôles > Créer un rôle.

  2. Sous Type d’entité approuvée, sélectionnez Compte AWS.

    1. Sélectionnez Un autre compte AWS et copiez-collez l’ID du compte pour la gestion de la charge de travail FSx for ONTAP depuis l’interface utilisateur de la Console.

    2. Sélectionnez ID externe requis et copiez-collez l'ID externe dans l'interface utilisateur de la console NetApp.

  3. Sélectionnez Suivant.

  4. Dans la section Politique d’autorisations, choisissez toutes les politiques que vous avez définies précédemment et sélectionnez Suivant.

  5. Saisissez un nom pour le rôle et sélectionnez Créer un rôle.

  6. Copiez l'ARN du rôle.

  7. Retournez à la page Ajouter des informations d'identification dans la NetApp Console, développez la section Créer un rôle et collez l'ARN dans le champ ARN du rôle.

Étape 3 : saisissez un nom et ajoutez les informations d’identification

La dernière étape consiste à saisir un nom pour les identifiants.

Étapes

  1. Sur la page Ajouter des identifiants, développez Credentials name.

  2. Saisissez le nom que vous souhaitez utiliser pour ces informations d’identification.

  3. Sélectionnez Ajouter pour créer les informations d’identification.

Résultat

La console crée les identifiants et les affiche sur la page Identifiants. Vous pouvez utiliser, renommer ou supprimer des identifiants depuis la NetApp Console.

Ajouter des informations d'identification à un compte à l'aide de CloudFormation

Vous pouvez ajouter des informations d'identification AWS à NetApp Workload Factory à l'aide d'une pile AWS CloudFormation en sélectionnant les capacités de charge de travail que vous souhaitez utiliser, puis en lançant la pile AWS CloudFormation dans votre compte AWS. CloudFormation créera les stratégies IAM et le rôle IAM en fonction des capacités de charge de travail que vous avez sélectionnées.

Avant de commencer

  • Vous aurez besoin d'informations d'identification pour vous connecter à votre compte AWS.

  • Vous devez disposer des autorisations suivantes dans votre compte AWS lors de l'ajout d'informations d'identification à l'aide d'une pile CloudFormation :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
Étapes

  1. Dans le menu de la NetApp Console , sélectionnez Administration puis Informations d'identification.

  2. Sélectionnez Ajouter des informations d'identification.

  3. Sélectionnez Amazon Web Services, puis FSx pour ONTAP, puis Suivant.

    Vous vous trouvez maintenant sur la page Ajouter des informations d'identification dans NetApp Workload Factory.

  4. Sélectionnez Ajouter via AWS CloudFormation.

  5. Sous Créer des stratégies, activez chacune des fonctionnalités de charge de travail que vous souhaitez inclure dans ces informations d’identification et choisissez un niveau d’autorisation pour chaque charge de travail.

    Vous pouvez ajouter des fonctionnalités supplémentaires ultérieurement, sélectionnez donc simplement les charges de travail que vous souhaitez actuellement déployer et gérer.

  6. Facultatif : cochez la case « Activer la vérification automatique des autorisations » pour vérifier si vous disposez des autorisations AWS requises pour effectuer les opérations de charge de travail. L’activation de la vérification ajoute l’autorisation iam:SimulatePrincipalPolicy à vos politiques d’autorisation. Cette autorisation sert uniquement à confirmer les autorisations. Vous pouvez la supprimer après avoir ajouté les informations d’identification, mais nous vous recommandons de la conserver afin d’empêcher la création de ressources en cas d’échec de certaines étapes et d’éviter un nettoyage manuel.

  7. Sous Nom des informations d’identification, saisissez le nom que vous souhaitez utiliser pour ces informations d’identification.

  8. Ajoutez les informations d’identification depuis AWS CloudFormation :

    1. Sélectionnez Ajouter (ou sélectionnez Rediriger vers CloudFormation) et la page Rediriger vers CloudFormation s'affiche.

    2. Si vous utilisez l'authentification unique (SSO) avec AWS, ouvrez un onglet de navigateur distinct et connectez-vous à la console AWS avant de sélectionner Continuer.

      Vous devez vous connecter au compte AWS sur lequel réside le système de fichiers FSx for ONTAP .

    3. Sélectionnez Continuer sur la page Redirection vers CloudFormation.

    4. Sur la page Création rapide de pile, sous Capacités, sélectionnez Je reconnais qu'AWS CloudFormation peut créer des ressources IAM.

    5. Sélectionnez Créer une pile.

    6. Revenez à la page Administration > Informations d'identification à partir du menu principal pour vérifier que les nouvelles informations d'identification sont en cours ou qu'elles ont été ajoutées.

Résultat

La console crée les identifiants et les affiche sur la page Identifiants. Vous pouvez utiliser, renommer ou supprimer des identifiants depuis la NetApp Console.