En savoir plus sur les modes opérationnels et les identifiants AWS
Suggérer des modifications
PDF
Workload Factory propose trois modes opérationnels qui vous permettent de contrôler soigneusement l'accès entre l'usine de workloads et votre environnement cloud en fonction de vos stratégies IT. Le mode opérationnel que vous utilisez dépend du niveau d'autorisations AWS que vous fournissez à l'usine de vos workloads.
Modes de fonctionnement
Les modes opérationnels fournissent une organisation logique des fonctionnalités et des capacités offertes par l'usine de charges de travail, en fonction du niveau de confiance que vous attribuez. En modes opérationnels, l'objectif principal est de communiquer clairement quelles tâches l'usine de workloads peut ou ne peut pas exécuter au sein de votre compte AWS.
- Mode de base
-
Relation « zéro confiance » dans laquelle aucune autorisation AWS n'est attribuée à l'usine de workloads. Il est conçu pour les premières explorations de l'usine de workloads et l'utilisation des différents assistants pour créer l'IAC (Infrastructure as Code) nécessaire. Vous pouvez copier le code et l'utiliser dans AWS en saisissant manuellement vos identifiants AWS.
- Mode lecture
-
Améliore l'expérience du mode de base en ajoutant des autorisations en lecture seule afin que les modèles IAC soient remplis avec vos variables spécifiques (par exemple, VPC, groupes de sécurité, etc.). Cela vous permet d'exécuter le processus IAC directement depuis votre compte AWS sans autorisations de modification pour l'usine de workloads.
- Mode d'automatisation
-
Représente une relation de confiance totale afin que l'usine de workloads soit affectée avec des autorisations complètes. Cela permet à l'usine de workloads d'exécuter et d'automatiser les opérations en votre nom dans AWS avec les identifiants attribués qui disposent des autorisations d'exécution requises.
Fonctions du mode opérationnel
Les fonctions disponibles à l'aide de chacun des modes augmentent avec chaque mode.
| Mode | Automatisation de l'usine de workloads | L'automatisation dans AWS grâce à IAC | Découverte et exécution automatique des ressources AWS | Suivi de la progression |
|---|---|---|---|---|
Basique |
Non |
Modèle IAC au minimum complet |
Non |
Non |
Lecture |
Non |
Modèle IAC modérément complet |
Oui |
Oui |
Automatiser |
Automatisation totale |
Modèle IAC complet avec automatisation complète |
Oui |
Oui |
Conditions requises pour le mode opérationnel
Il n'y a pas de sélecteur que vous devez définir en usine de la charge de travail pour identifier le mode que vous prévoyez d'utiliser. Ce mode a été déterminé en fonction des informations d'identification et des autorisations AWS que vous attribuez au compte d'usine de votre workload.
| Mode | Identifiants de compte AWS | Lien |
|---|---|---|
Basique |
Non requis |
Non requis |
Lecture |
Lecture seule |
Non requis |
Automatiser |
Informations d'identification en lecture-écriture |
Obligatoire |
Exemples de mode opérationnel
Vous pouvez configurer vos informations d'identification pour fournir un mode pour un composant de charge de travail et un autre mode pour un autre composant. Par exemple, vous pouvez configurer le mode automatisé pour les opérations dans lesquelles vous déployez et gérez des systèmes de fichiers FSX pour ONTAP, mais uniquement pour configurer le mode lecture pour créer et déployer des workloads de base de données à l'aide de l'usine de workloads.
Vous pouvez offrir ces fonctionnalités dans un seul ensemble d'informations d'identification dans un compte d'usine de charge de travail ou créer plusieurs ensembles d'informations d'identification lorsque chaque information d'identification fournit des fonctionnalités de déploiement de charge de travail uniques.
Exemple 1
Les utilisateurs de comptes qui utilisent les identifiants donnés bénéficient des autorisations suivantes auront un contrôle total (mode automatisé) pour créer des systèmes de fichiers FSX pour ONTAP, déployer des bases de données et afficher d'autres types de stockage AWS utilisés dans le compte.
Cependant, ils ne disposent pas de contrôles d'automatisation pour la création et le déploiement de workloads VMware (mode de base) à partir de l'usine de workloads. Pour créer des workloads VMware, ils doivent copier le code de la Codebox, se connecter manuellement à leur compte AWS et remplir manuellement les entrées manquantes dans le code généré pour utiliser cette fonctionnalité.
Exemple 2
Dans ce cas, l'utilisateur a créé deux ensembles d'informations d'identification pour permettre différentes capacités opérationnelles en fonction de l'ensemble d'informations d'identification sélectionné. Généralement, chaque ensemble d'informations d'identification est associé à un compte AWS différent.
Le premier ensemble d'informations d'identification inclut des autorisations qui donnent aux utilisateurs un contrôle total pour la création des systèmes de fichiers FSX pour ONTAP (et la possibilité d'afficher les autres types de stockage AWS utilisés dans le compte), mais uniquement des autorisations de lecture lorsque vous travaillez avec des workloads VMware.
Le second ensemble d'identifiants fournit uniquement des autorisations qui donnent aux utilisateurs un contrôle total pour la création des systèmes de fichiers FSX pour ONTAP et l'affichage des autres types de stockage AWS utilisés dans le compte.
Identifiants AWS
Nous avons conçu un flux d'enregistrement des informations d'identification du rôle AWS supposé qui :
-
Prend en charge des autorisations de compte AWS plus alignées : vous pouvez spécifier les fonctionnalités des workloads que vous souhaitez utiliser et définir les exigences de règles IAM en fonction de ces sélections.
-
Vous permet d'ajuster les autorisations accordées au compte AWS lorsque vous acceptez ou désabonnez-vous de certaines fonctionnalités de workloads.
-
Simplifie la création manuelle de règles IAM grâce à des fichiers de règles JSON personnalisés que vous pouvez appliquer dans la console AWS.
-
Simplifie également le processus d'enregistrement des identifiants en offrant aux utilisateurs une option automatisée pour la création de règles IAM et de rôles requises à l'aide de piles AWS CloudFormation.
-
Il est mieux adapté aux utilisateurs de FSX for ONTAP qui préfèrent stocker leurs identifiants dans les limites de l'écosystème cloud AWS en permettant le stockage des identifiants de services FSX pour ONTAP dans un système de gestion des secrets basé sur AWS.
Une ou plusieurs identifiants AWS
Lorsque vous utilisez la ou les fonctionnalités d'usine de votre premier workload, vous devez créer les informations d'identification à l'aide des autorisations requises pour ces fonctionnalités. Vous ajouterez les identifiants à la fabrique des workloads, mais vous devrez accéder à la console de gestion AWS pour créer le rôle et la règle IAM. Ces identifiants seront disponibles au sein de votre compte lors de l'utilisation d'une fonctionnalité en usine de la charge de travail.
Votre ensemble initial d'identifiants AWS peut inclure une règle IAM pour une fonctionnalité ou pour de nombreuses fonctionnalités. Cela dépend simplement des besoins de votre entreprise.
L'ajout de plusieurs identifiants AWS à l'usine de workloads permet d'obtenir des autorisations supplémentaires pour utiliser des fonctionnalités supplémentaires, telles que FSX pour les systèmes de fichiers ONTAP, déployer des bases de données sur FSX pour ONTAP, migrer des workloads VMware, et bien plus encore.