Impostare le autorizzazioni per FSX per ONTAP
Per creare o gestire un ambiente di lavoro FSX per ONTAP, devi aggiungere le credenziali AWS a BlueXP fornendo l'ARN di un ruolo IAM che assegna ad BlueXP le autorizzazioni necessarie per creare un ambiente di lavoro FSX per ONTAP.
Impostare il ruolo IAM
Impostare un ruolo IAM che consenta a BlueXP di assumere il ruolo.
-
Accedere alla console IAM nell'account di destinazione.
-
Concede l'accesso BlueXP all'account AWS. In Gestione accessi, fare clic su ruoli > Crea ruolo e seguire i passaggi per creare il ruolo.
-
In Trusted entity type, selezionare AWS account.
-
Seleziona un altro account AWS e immetti l'ID account di BlueXP:
-
Per BlueXP SaaS: 952013314444
-
Per AWS GovCloud (USA): 033442085313
Per una maggiore protezione, si consiglia di specificare un "ID esterno". Per accedere al tuo account AWS, BlueXP dovrà fornire il ruolo ARN (Amazon Resource Name) e l'ID esterno specificato. Questo impedisce "problema del sostituto confuso".
-
-
-
Creare un criterio che includa le seguenti autorizzazioni minime richieste e facoltative, in base alle necessità.
Autorizzazioni richiestePer consentire a BlueXP di creare il file system FSX per NetApp ONTAP, sono necessarie le seguenti autorizzazioni minime.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "fsx:*", "ec2:Describe*", "ec2:CreateTags", "iam:CreateServiceLinkedRole", "kms:Describe*", "kms:List*", "kms:CreateGrant" ], "Resource": "*" } ] }
Capacità automaticaPer l'abilitazione sono necessarie le seguenti autorizzazioni aggiuntive "gestione automatica della capacità".
"cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics"
Gruppi di sicurezzaPer consentire a BlueXP di, sono necessarie le seguenti autorizzazioni aggiuntive "generare gruppi di sicurezza".
"ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "cloudformation:CreateStack", "cloudformation:ValidateTemplate", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents"
-
Copia il ruolo ARN del ruolo IAM in modo che sia possibile incollarlo in BlueXP nel passaggio successivo.
Il ruolo IAM dispone ora delle autorizzazioni necessarie.
Aggiungere le credenziali
Dopo aver fornito al ruolo IAM le autorizzazioni richieste, aggiungere il ruolo ARN a BlueXP.
Se è stato appena creato il ruolo IAM, attendere alcuni minuti per rendere disponibili le nuove credenziali.
-
Nella parte superiore destra della console BlueXP, fare clic sull'icona Impostazioni e selezionare credenziali.
-
Fare clic su Add Credentials (Aggiungi credenziali) e seguire la procedura guidata.
-
Posizione credenziali: Selezionare Amazon Web Services > BlueXP.
-
Definisci credenziali: Fornire un nome credenziali e il ruolo ARN e ID esterno (se specificato) creati al momento Impostare il ruolo IAM.
-
Se utilizzi un account AWS GovCloud (US), seleziona uso un account AWS GovCloud (US).
-
L'autenticazione con AWS GovCloud disattiva la piattaforma SaaS. Si tratta di una modifica permanente dell'account e non può essere annullata.
-
-
Revisione: Confermare i dettagli relativi alle nuove credenziali e fare clic su Aggiungi.
-
È ora possibile utilizzare le credenziali durante la creazione di un ambiente di lavoro FSX per ONTAP.