Note di rilascio
Scopri le credenziali e le autorizzazioni AWS
Suggerisci modifiche
PDF
Scopri in che modo BlueXP usa le credenziali AWS per eseguire azioni per tuo conto e come tali credenziali sono associate alle iscrizioni al marketplace. La comprensione di questi dettagli può essere utile quando si gestiscono le credenziali per uno o più account AWS in BlueXP. Ad esempio, potrebbe essere utile sapere quando aggiungere ulteriori credenziali AWS a BlueXP.
Credenziali AWS iniziali
Quando si implementa un connettore da BlueXP, è necessario fornire l'ARN di un ruolo IAM o le chiavi di accesso per un utente IAM. Il metodo di autenticazione utilizzato deve disporre delle autorizzazioni necessarie per implementare l'istanza del connettore in AWS. Le autorizzazioni richieste sono elencate nella "Policy di implementazione del connettore per AWS".
Quando BlueXP avvia l'istanza del connettore in AWS, crea un ruolo IAM e un profilo di istanza per l'istanza. Allega inoltre un criterio che fornisce al connettore le autorizzazioni per gestire risorse e processi all'interno di tale account AWS. "Analisi dell'utilizzo delle autorizzazioni da parte di BlueXP".
Se si crea un nuovo ambiente di lavoro per Cloud Volumes ONTAP, BlueXP seleziona queste credenziali AWS per impostazione predefinita:
È possibile implementare tutti i sistemi Cloud Volumes ONTAP utilizzando le credenziali AWS iniziali oppure aggiungere credenziali aggiuntive.
Credenziali AWS aggiuntive
Esistono due modi per aggiungere ulteriori credenziali AWS:
-
È possibile aggiungere le credenziali AWS a un connettore esistente
-
È possibile aggiungere le credenziali AWS direttamente a BlueXP
Consulta le sezioni seguenti per ulteriori dettagli.
Aggiungere le credenziali AWS a un connettore esistente
Se vuoi utilizzare BlueXP con altri account AWS, puoi fornire le chiavi AWS per un utente IAM o l'ARN di un ruolo in un account attendibile. L'immagine seguente mostra due account aggiuntivi, uno che fornisce le autorizzazioni tramite un ruolo IAM in un account attendibile e l'altro tramite le chiavi AWS di un utente IAM:
Aggiungere quindi le credenziali dell'account a BlueXP specificando il nome risorsa Amazon (ARN) del ruolo IAM o le chiavi AWS per l'utente IAM.
Ad esempio, è possibile passare da una credenziale all'altra quando si crea un nuovo ambiente di lavoro Cloud Volumes ONTAP:
Aggiungere le credenziali AWS direttamente a BlueXP
L'aggiunta di nuove credenziali AWS a BlueXP fornisce le autorizzazioni necessarie per creare e gestire un ambiente di lavoro FSX per ONTAP o per creare un connettore.
Credenziali e iscrizioni al marketplace
Le credenziali che Aggiungi a un connettore devono essere associate a un'iscrizione al marketplace AWS in modo che puoi pagare per Cloud Volumes ONTAP a una tariffa oraria (PAYGO) o tramite un contratto annuale e per utilizzare altri servizi BlueXP.
Nota quanto segue sulle credenziali e le iscrizioni al marketplace di AWS:
-
Puoi associare una sola iscrizione al marketplace di AWS a un set di credenziali AWS
-
È possibile sostituire un abbonamento esistente al mercato con un nuovo abbonamento
FAQ
Le seguenti domande sono relative alle credenziali e agli abbonamenti.
Come si possono ruotare in modo sicuro le credenziali AWS?
Come descritto nelle sezioni precedenti, BlueXP ti consente di fornire le credenziali AWS in pochi modi: Un ruolo IAM associato all'istanza di connettore, assumendo un ruolo IAM in un account attendibile o fornendo chiavi di accesso AWS.
Con le prime due opzioni, BlueXP utilizza AWS Security Token Service per ottenere credenziali temporanee che ruotano costantemente. Questo processo è la Best practice: È automatico e sicuro.
Se si forniscono chiavi di accesso AWS a BlueXP, è necessario ruotarle aggiornandole in BlueXP a intervalli regolari. Si tratta di un processo completamente manuale.
Posso modificare l'iscrizione al marketplace AWS per gli ambienti di lavoro Cloud Volumes ONTAP?
Sì, è possibile. Quando modifichi l'iscrizione al marketplace di AWS associata a un set di credenziali, tutti gli ambienti di lavoro Cloud Volumes ONTAP esistenti e nuovi verranno addebitati i costi del nuovo abbonamento.
Posso aggiungere più credenziali AWS, ciascuna con diverse iscrizioni al marketplace?
Tutte le credenziali AWS che appartengono allo stesso account AWS saranno associate allo stesso abbonamento a AWS Marketplace.
Se disponi di più credenziali AWS appartenenti a diversi account AWS, tali credenziali possono essere associate alla stessa iscrizione di AWS Marketplace o a iscrizioni diverse.
Posso spostare gli ambienti di lavoro Cloud Volumes ONTAP esistenti su un account AWS diverso?
No, non è possibile spostare le risorse AWS associate al tuo ambiente di lavoro Cloud Volumes ONTAP su un account AWS diverso.
Come funzionano le credenziali per le implementazioni del marketplace e le implementazioni on-premise?
Le sezioni precedenti descrivono il metodo di implementazione consigliato per il connettore, fornito da BlueXP. È inoltre possibile implementare un connettore in AWS da AWS Marketplace ed è possibile installare manualmente il software del connettore sul proprio host Linux.
Se si utilizza Marketplace, le autorizzazioni vengono fornite nello stesso modo. È sufficiente creare e configurare manualmente il ruolo IAM, quindi fornire le autorizzazioni per eventuali account aggiuntivi.
Per le implementazioni on-premise, non è possibile impostare un ruolo IAM per il sistema BlueXP, ma è possibile fornire le autorizzazioni utilizzando le chiavi di accesso AWS.
Per informazioni su come impostare le autorizzazioni, fare riferimento alle seguenti pagine: