Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Ajouter les informations d'identification AWS à Workload Factory

Contributeurs netapp-rlithman netapp-mwallis netapp-bcammett netapp-tonacki
PDF

Ajoutez et gérez les informations d’identification AWS afin que NetApp Workload Factory dispose des autorisations nécessaires pour déployer et gérer les ressources cloud dans vos comptes AWS.

Présentation

Vous pouvez ajouter des informations d’identification AWS à un compte Workload Factory existant à partir de la page Informations d’identification. Cela fournit à Workload Factory les autorisations nécessaires pour gérer les ressources et les processus au sein de votre environnement cloud AWS.

Vous pouvez ajouter des informations d'identification en utilisant deux méthodes :

  • Manuellement : vous créez la politique IAM et le rôle IAM dans votre compte AWS lors de l'ajout des informations d'identification dans Workload Factory.

  • Automatiquement : vous saisissez une quantité minimale d'informations sur les autorisations, puis utilisez une pile CloudFormation pour créer les stratégies IAM et le rôle de vos informations d'identification.

Identifiants AWS

Nous avons conçu un flux d'enregistrement des informations d'identification du rôle AWS supposé qui :

  • Prend en charge des autorisations de compte AWS plus alignées : vous pouvez spécifier les fonctionnalités des workloads que vous souhaitez utiliser et définir les exigences de règles IAM en fonction de ces sélections.

  • Vous permet d'ajuster les autorisations accordées au compte AWS lorsque vous acceptez ou désabonnez-vous de certaines fonctionnalités de workloads.

  • Simplifie la création manuelle de règles IAM grâce à des fichiers de règles JSON personnalisés que vous pouvez appliquer dans la console AWS.

  • Simplifie également le processus d'enregistrement des identifiants en offrant aux utilisateurs une option automatisée pour la création de règles IAM et de rôles requises à l'aide de piles AWS CloudFormation.

  • Il est mieux adapté aux utilisateurs de FSX for ONTAP qui préfèrent stocker leurs identifiants dans les limites de l'écosystème cloud AWS en permettant le stockage des identifiants de services FSX pour ONTAP dans un système de gestion des secrets basé sur AWS.

Une ou plusieurs identifiants AWS

Lorsque vous utilisez votre première fonctionnalité Workload Factory (ou vos premières fonctionnalités), vous devez créer les informations d'identification à l'aide des autorisations requises pour ces fonctionnalités de charge de travail. Vous ajouterez les informations d’identification à Workload Factory, mais vous devrez accéder à la console de gestion AWS pour créer le rôle et la politique IAM. Ces informations d’identification seront disponibles dans votre compte lorsque vous utiliserez n’importe quelle fonctionnalité de Workload Factory.

Votre ensemble initial d'identifiants AWS peut inclure une stratégie d'autorisations IAM pour une ou plusieurs fonctionnalités. Cela dépend simplement des besoins de votre entreprise.

L'ajout de plusieurs ensembles d'informations d'identification AWS à Workload Factory fournit des autorisations supplémentaires nécessaires pour utiliser des fonctionnalités supplémentaires, telles que les systèmes de fichiers FSx pour ONTAP , déployer des bases de données sur FSx pour ONTAP, migrer des charges de travail VMware, etc.

Ajoutez manuellement des informations d'identification à un compte

Vous pouvez ajouter manuellement les informations d'identification AWS à Workload Factory pour donner à votre compte Workload Factory les autorisations nécessaires pour gérer les ressources AWS que vous utiliserez pour exécuter vos charges de travail uniques. Chaque ensemble d’informations d’identification que vous ajoutez comprendra une ou plusieurs stratégies IAM basées sur les capacités de charge de travail que vous souhaitez utiliser et un rôle IAM attribué à votre compte.

Remarque Vous pouvez ajouter des informations d'identification AWS à un compte à partir de la console Workload Factory ou de la console NetApp .

La création des informations d'identification se fait en trois parties :

  • Sélectionnez le niveau de services et d'autorisations que vous souhaitez utiliser, puis créez des règles IAM à partir de la console de gestion AWS.

  • Créez un rôle IAM à partir de la console de gestion AWS.

  • Depuis Workload Factory, saisissez un nom et ajoutez les informations d’identification.

Avant de commencer

Vous devez disposer de identifiants pour vous connecter à votre compte AWS.

Étapes

  1. Connectez-vous à la "Console Workload Factory" .

  2. Dans le menu, sélectionnez Administration puis Informations d'identification.

  3. Sur la page informations d'identification, sélectionnez Ajouter des informations d'identification.

  4. Sur la page Ajouter des informations d'identification, sélectionnez Ajouter manuellement, puis procédez comme suit pour remplir chaque section sous Configuration des autorisations.

    Capture d'écran montrant les éléments que vous devez définir manuellement pour chaque ensemble d'informations d'identification.

Étape 1 : sélectionnez les fonctionnalités du workload et créez les règles IAM

Dans cette section, vous allez choisir les types de capacités de charge de travail qui seront gérables dans le cadre de ces informations d'identification, et les autorisations activées pour chaque charge de travail. Vous devrez copier les autorisations de règles pour chaque workload sélectionné dans la Codebox et les ajouter à la console de gestion AWS de votre compte AWS pour créer les stratégies.

Étapes

  1. Dans la section Créer des stratégies, activez chacune des capacités de charge de travail que vous souhaitez inclure dans ces informations d'identification.

    Vous pouvez ajouter des fonctionnalités supplémentaires par la suite. Il vous suffit de sélectionner les charges de travail à déployer et à gérer.

  2. Pour les fonctionnalités de charge de travail offrant un choix de politiques d'autorisation, sélectionnez le type d'autorisations qui seront disponibles avec ces informations d'identification.

  3. Facultatif : sélectionnez Activer la vérification automatique des autorisations pour vérifier si vous disposez des autorisations de compte AWS requises pour effectuer les opérations de charge de travail. L'activation de la vérification ajoute le iam:SimulatePrincipalPolicy permission à vos stratégies d'autorisation. L'objectif de cette autorisation est de confirmer les autorisations uniquement. Vous pouvez supprimer l'autorisation après avoir ajouté des informations d'identification, mais nous vous recommandons de la conserver pour empêcher la création de ressources pour des opérations partiellement réussies et pour vous enregistrer de tout nettoyage manuel des ressources requis.

  4. Dans la fenêtre Codebox, copiez les autorisations de la première politique IAM.

  5. Ouvrez une autre fenêtre de navigateur et connectez-vous à votre compte AWS dans la console de gestion AWS.

  6. Ouvrez le service IAM, puis sélectionnez stratégies > Créer une stratégie.

  7. Sélectionnez JSON comme type de fichier, collez les autorisations que vous avez copiées à l'étape 3, puis sélectionnez Suivant.

  8. Entrez le nom de la stratégie et sélectionnez Créer une stratégie.

  9. Si vous avez sélectionné plusieurs fonctionnalités de charge de travail à l'étape 1, répétez ces étapes pour créer une stratégie pour chaque ensemble d'autorisations de charge de travail.

Étape 2 : création du rôle IAM qui utilise les règles

Dans cette section, vous allez configurer un rôle IAM que Workload Factory assumera et qui inclut les autorisations et les politiques que vous venez de créer.

Une capture d'écran montrant quelles autorisations feront partie du nouveau rôle.

Étapes

  1. Dans la console de gestion AWS, sélectionnez rôles > Créer un rôle.

  2. Sous Type d'entité approuvée, sélectionnez compte AWS.

    1. Sélectionnez Un autre compte AWS et copiez et collez l'ID de compte pour la gestion de la charge de travail FSx pour ONTAP à partir de l'interface utilisateur de Workload Factory.

    2. Sélectionnez ID externe requis et copiez et collez l'ID externe à partir de l'interface utilisateur de Workload Factory.

  3. Sélectionnez Suivant.

  4. Dans la section Stratégie d'autorisations, choisissez toutes les stratégies que vous avez définies précédemment et sélectionnez Suivant.

  5. Entrez un nom pour le rôle et sélectionnez Créer un rôle.

  6. Copiez le rôle ARN.

  7. Revenez à la page Ajouter des informations d’identification dans Workload Factory, développez la section Créer un rôle sous Configuration des autorisations et collez l’ARN dans le champ ARN du rôle.

Étape 3 : entrez un nom et ajoutez les informations d'identification

La dernière étape consiste à saisir un nom pour les informations d’identification dans Workload Factory.

Étapes

  1. Depuis la page Ajouter des informations d’identification dans Workload Factory, développez Nom des informations d’identification sous Configuration des autorisations.

  2. Entrez le nom que vous souhaitez utiliser pour ces informations d'identification.

  3. Sélectionnez Ajouter pour créer les informations d'identification.

Résultat

Les informations d'identification sont créées et vous êtes renvoyé à la page informations d'identification.

Ajoutez des informations d'identification à un compte à l'aide de CloudFormation

Vous pouvez ajouter des informations d'identification AWS à Workload Factory à l'aide d'une pile AWS CloudFormation en sélectionnant les fonctionnalités Workload Factory que vous souhaitez utiliser, puis en lançant la pile AWS CloudFormation dans votre compte AWS. CloudFormation créera les politiques IAM et le rôle IAM en fonction des capacités de charge de travail que vous avez sélectionnées.

Avant de commencer

  • Vous devez disposer de identifiants pour vous connecter à votre compte AWS.

  • Lorsque vous ajoutez des identifiants à l'aide d'une pile CloudFormation, vous devez disposer des autorisations suivantes sur votre compte AWS :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
Étapes

  1. Connectez-vous à la "Console Workload Factory" .

  2. Dans le menu, sélectionnez Administration puis Informations d'identification.

  3. Sur la page informations d'identification, sélectionnez Ajouter des informations d'identification.

  4. Sélectionnez Ajouter via AWS CloudFormation.

    Capture d'écran montrant les éléments à définir avant de lancer CloudFormation pour créer les informations d'identification.

  5. Sous Créer des stratégies, activez chacune des fonctionnalités de charge de travail que vous souhaitez inclure dans ces informations d'identification et choisissez un niveau d'autorisation pour chaque charge de travail.

    Vous pouvez ajouter des fonctionnalités supplémentaires par la suite. Il vous suffit de sélectionner les charges de travail à déployer et à gérer.

  6. Facultatif : sélectionnez Activer la vérification automatique des autorisations pour vérifier si vous disposez des autorisations de compte AWS requises pour effectuer les opérations de charge de travail. L'activation de la vérification ajoute l' `iam:SimulatePrincipalPolicy`autorisation à vos stratégies d'autorisation. L'objectif de cette autorisation est de confirmer les autorisations uniquement. Vous pouvez supprimer l'autorisation après avoir ajouté des informations d'identification, mais nous vous recommandons de la conserver pour empêcher la création de ressources pour des opérations partiellement réussies et pour vous enregistrer de tout nettoyage manuel des ressources requis.

  7. Sous Nom des informations d'identification, entrez le nom que vous souhaitez utiliser pour ces informations d'identification.

  8. Ajoutez les informations d'identification à partir d'AWS CloudFormation :

    1. Sélectionnez Ajouter (ou sélectionnez rediriger vers CloudFormation) et la page rediriger vers CloudFormation s'affiche.

      Une capture d'écran montrant comment créer la pile CloudFormation pour ajouter des politiques et un rôle pour les informations d'identification Workload Factory.

    2. Si vous utilisez l'authentification unique (SSO) avec AWS, ouvrez un onglet de navigateur distinct et connectez-vous à la console AWS avant de sélectionner Continuer.

      Vous devez vous connecter au compte AWS où réside le système de fichiers FSX pour ONTAP.

    3. Sélectionnez Continuer à partir de la page rediriger vers CloudFormation.

    4. Sur la page pile de création rapide, sous fonctionnalités, sélectionnez Je reconnais que AWS CloudFormation peut créer des ressources IAM.

    5. Sélectionnez Créer pile.

    6. Revenez à Workload Factory et surveillez la page Informations d'identification pour vérifier que les nouvelles informations d'identification sont en cours ou qu'elles ont été ajoutées.