Skip to main content
Amazon FSx for NetApp ONTAP
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Impostare le autorizzazioni per FSX per ONTAP

Collaboratori
PDF

Per creare o gestire un ambiente di lavoro FSX per ONTAP, devi aggiungere le credenziali AWS a BlueXP fornendo l’ARN di un ruolo IAM che assegna ad BlueXP le autorizzazioni necessarie per creare un ambiente di lavoro FSX per ONTAP.

Impostare il ruolo IAM

Impostare un ruolo IAM che consenta a BlueXP di assumere il ruolo.

Fasi

  1. Accedere alla console IAM nell’account di destinazione.

  2. Concede l’accesso BlueXP all’account AWS. In Gestione accessi, fare clic su ruoli > Crea ruolo e seguire i passaggi per creare il ruolo.

    • In Trusted entity type, selezionare AWS account.

    • Seleziona un altro account AWS e immetti l’ID account di BlueXP:

      • Per BlueXP SaaS: 952013314444

      • Per AWS GovCloud (USA): 033442085313

        Nota Per una maggiore protezione, si consiglia di specificare un "ID esterno". Per accedere al tuo account AWS, BlueXP dovrà fornire il ruolo ARN (Amazon Resource Name) e l’ID esterno specificato. Questo impedisce "problema del sostituto confuso".

  3. Creare un criterio che includa le seguenti autorizzazioni minime richieste e facoltative, in base alle necessità.

    Autorizzazioni richieste

    Per consentire a BlueXP di creare il file system FSX per NetApp ONTAP, sono necessarie le seguenti autorizzazioni minime.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "fsx:*",
                "ec2:Describe*",
                "ec2:CreateTags",
                "iam:CreateServiceLinkedRole",
                "kms:Describe*",
                "kms:List*",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        }
    ]
}
    Capacità automatica

    Per l’abilitazione sono necessarie le seguenti autorizzazioni aggiuntive "gestione automatica della capacità".

    "cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
    Gruppi di sicurezza

    Per consentire a BlueXP di, sono necessarie le seguenti autorizzazioni aggiuntive "generare gruppi di sicurezza".

    "ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"cloudformation:CreateStack",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents"

  4. Copia il ruolo ARN del ruolo IAM in modo che sia possibile incollarlo in BlueXP nel passaggio successivo.

Risultato

Il ruolo IAM dispone ora delle autorizzazioni necessarie.

Aggiungere le credenziali

Dopo aver fornito al ruolo IAM le autorizzazioni richieste, aggiungere il ruolo ARN a BlueXP.

Prima di iniziare

Se è stato appena creato il ruolo IAM, attendere alcuni minuti per rendere disponibili le nuove credenziali.

Fasi

  1. Nella parte superiore destra della console BlueXP, fare clic sull’icona Impostazioni e selezionare credenziali.

    Una schermata che mostra l’icona Settings (Impostazioni) in alto a destra della console BlueXP.

  2. Fare clic su Add Credentials (Aggiungi credenziali) e seguire la procedura guidata.

    1. Posizione credenziali: Selezionare Amazon Web Services > BlueXP.

    2. Definisci credenziali: Fornire un nome credenziali e il ruolo ARN e ID esterno (se specificato) creati al momento Impostare il ruolo IAM.

      Nota

      • Se utilizzi un account AWS GovCloud (US), seleziona uso un account AWS GovCloud (US).

        Una schermata della casella di controllo dell’account GovCloud (USA).

      • L’autenticazione con AWS GovCloud disattiva la piattaforma SaaS. Si tratta di una modifica permanente dell’account e non può essere annullata.

    3. Revisione: Confermare i dettagli relativi alle nuove credenziali e fare clic su Aggiungi.

Risultato

È ora possibile utilizzare le credenziali durante la creazione di un ambiente di lavoro FSX per ONTAP.