Gestisci le credenziali AWS e le iscrizioni al marketplace per BlueXP
Aggiungi e gestisci le credenziali AWS in modo da distribuire e gestire le risorse cloud nei tuoi account AWS da BlueXP. Se si gestiscono più sottoscrizioni AWS Marketplace, è possibile assegnarle a diverse credenziali AWS dalla pagina credenziali.
Panoramica
È possibile aggiungere le credenziali AWS a un connettore esistente o direttamente a BlueXP:
-
Aggiungere ulteriori credenziali AWS a un connettore esistente
Aggiungi le credenziali AWS a un connettore per gestire le risorse nel tuo ambiente cloud. Scopri come aggiungere le credenziali AWS a un connettore.
-
Aggiungere le credenziali AWS a BlueXP per creare un connettore
L'aggiunta di nuove credenziali AWS a BlueXP offre a BlueXP le autorizzazioni necessarie per creare un connettore. Scopri come aggiungere le credenziali AWS a BlueXP.
-
Aggiungere le credenziali AWS a BlueXP per FSX per ONTAP
Aggiungi nuove credenziali AWS a BlueXP per creare e gestire FSx per ONTAP. "Scopri come impostare le autorizzazioni per FSX per ONTAP"
Come ruotare le credenziali
BlueXP consente di fornire le credenziali AWS in diversi modi: Un ruolo IAM associato all'istanza del connettore, assumendo un ruolo IAM in un account attendibile o fornendo le chiavi di accesso AWS. "Scopri di più sulle credenziali e le autorizzazioni AWS".
Con le prime due opzioni, BlueXP utilizza AWS Security Token Service per ottenere credenziali temporanee che ruotano costantemente. Questo processo è la Best practice perché è automatico e sicuro.
Ruotare regolarmente le chiavi di accesso AWS aggiornandole in BlueXP. Questo processo è manuale.
Aggiungere credenziali aggiuntive a un connettore
Aggiungi credenziali AWS aggiuntive a un connettore in modo che disponga delle autorizzazioni necessarie per gestire risorse e processi all'interno del tuo ambiente di cloud pubblico. È possibile fornire l'ARN di un ruolo IAM in un altro account o fornire le chiavi di accesso AWS.
Se stai solo per iniziare a utilizzare BlueXP, "Scopri come BlueXP utilizza le credenziali e le autorizzazioni AWS".
Concedere le autorizzazioni
Fornire le autorizzazioni necessarie prima di aggiungere le credenziali AWS a un connettore. Le autorizzazioni consentono al connettore di gestire risorse e processi all'interno di quell'account AWS. È possibile fornire le autorizzazioni con l'ARN di un ruolo in un account attendibile o con le chiavi AWS.
|
Se è stato implementato un connettore da BlueXP, BlueXP ha aggiunto automaticamente le credenziali AWS per l'account in cui è stato implementato il connettore. In questo modo si garantisce che siano disponibili le autorizzazioni necessarie per la gestione delle risorse. "Scopri le credenziali e le autorizzazioni AWS". |
Scelte
Concedere le autorizzazioni assumendo un ruolo IAM in un altro account
È possibile impostare una relazione di trust tra l'account AWS di origine in cui è stata implementata l'istanza di Connector e altri account AWS utilizzando i ruoli IAM. A questo punto, fornirai a BlueXP l'ARN dei ruoli IAM degli account attendibili.
Se il connettore è installato in loco, non è possibile utilizzare questo metodo di autenticazione. È necessario utilizzare le chiavi AWS.
-
Accedere alla console IAM nell'account di destinazione in cui si desidera fornire le autorizzazioni al connettore.
-
In Gestione accessi, selezionare ruoli > Crea ruolo e seguire i passaggi per creare il ruolo.
Assicurarsi di effettuare le seguenti operazioni:
-
In Trusted entity type, selezionare AWS account.
-
Selezionare un altro account AWS e inserire l'ID dell'account in cui risiede l'istanza del connettore.
-
Creare i criteri richiesti copiando e incollando il contenuto di "I criteri IAM per il connettore".
-
-
Copiare l'ARN del ruolo IAM in modo da poterlo incollare in BlueXP in un secondo momento.
L'account dispone ora delle autorizzazioni necessarie. È ora possibile aggiungere le credenziali a un connettore.
Concedere le autorizzazioni fornendo le chiavi AWS
Se si desidera fornire a BlueXP chiavi AWS per un utente IAM, è necessario concedere le autorizzazioni necessarie a tale utente. Il criterio IAM BlueXP definisce le azioni e le risorse AWS che BlueXP può utilizzare.
È necessario utilizzare questo metodo di autenticazione se il connettore è installato in loco. Non puoi utilizzare un ruolo IAM.
-
Dalla console IAM, creare policy copiando e incollando il contenuto di "I criteri IAM per il connettore".
-
Allegare i criteri a un ruolo IAM o a un utente IAM.
L'account dispone ora delle autorizzazioni necessarie. È ora possibile aggiungere le credenziali a un connettore.
Aggiungere le credenziali
Dopo aver fornito un account AWS con le autorizzazioni richieste, è possibile aggiungere le credenziali per tale account a un connettore esistente. Ciò consente di avviare i sistemi Cloud Volumes ONTAP in quell'account utilizzando lo stesso connettore.
Se hai appena creato queste credenziali nel tuo cloud provider, potrebbero essere necessari alcuni minuti prima che siano disponibili per l'utilizzo. Attendi qualche minuto e poi aggiungi le credenziali.
-
Utilizzare la barra di navigazione superiore per selezionare il connettore a cui si desidera aggiungere le credenziali.
-
Nell'angolo in alto a destra della console, seleziona l'icona Impostazioni e seleziona Credenziali.
-
Nella pagina credenziali organizzazione o credenziali account, selezionare Aggiungi credenziali e seguire i passaggi della procedura guidata.
-
Credentials Location: Selezionare Amazon Web Services > Connector.
-
Definisci credenziali: Fornire l'ARN (Amazon Resource Name) di un ruolo IAM attendibile oppure inserire una chiave di accesso AWS e una chiave segreta.
-
Marketplace Subscription: Consente di associare un abbonamento Marketplace a queste credenziali sottoscrivendo ora o selezionando un abbonamento esistente.
Per pagare i servizi con tariffa oraria (PAYGO) o con un contratto annuale, è necessario associare le credenziali AWS al proprio abbonamento ad AWS Marketplace.
-
Revisione: Confermare i dettagli relativi alle nuove credenziali e selezionare Aggiungi.
-
È ora possibile passare a un set di credenziali diverso dalla pagina Dettagli e credenziali quando si crea un nuovo ambiente di lavoro:
Aggiungere le credenziali a BlueXP per la creazione di un connettore
Aggiungi le credenziali AWS fornendo l'ARN di un ruolo IAM che fornisce le autorizzazioni necessarie per creare un connettore. È possibile scegliere queste credenziali quando si crea un nuovo connettore.
Impostare il ruolo IAM
Impostare un ruolo IAM che consenta al livello SaaS (Software as a Service) di BlueXP di assumere il ruolo.
-
Accedere alla console IAM nell'account di destinazione.
-
In Gestione accessi, selezionare ruoli > Crea ruolo e seguire i passaggi per creare il ruolo.
Assicurarsi di effettuare le seguenti operazioni:
-
In Trusted entity type, selezionare AWS account.
-
Selezionare un altro account AWS e inserire l'ID di BlueXP SaaS: 952013314444
-
Specificamente per Amazon FSx for NetApp ONTAP , modificare la policy Relazioni di trust per includere "AWS": "arn:aws:iam::952013314444:root".
Ad esempio, la policy dovrebbe apparire così:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::952013314444:root", "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
+
Fare riferimento a "Documentazione di AWS Identity and Access Management (IAM)" per ulteriori informazioni sull'accesso alle risorse tra account in IAM.-
Creare un criterio che includa le autorizzazioni necessarie per creare un connettore.
-
-
Copiare l'ARN del ruolo IAM in modo da poterlo incollare in BlueXP nella fase successiva.
Il ruolo IAM dispone ora delle autorizzazioni necessarie. Ora puoi aggiungerlo a BlueXP.
Aggiungere le credenziali
Dopo aver fornito al ruolo IAM le autorizzazioni richieste, aggiungere il ruolo ARN a BlueXP.
Se hai appena creato il ruolo IAM, potrebbero essere necessari alcuni minuti prima che siano disponibili per l'utilizzo. Attendere alcuni minuti prima di aggiungere le credenziali a BlueXP.
-
Nella parte superiore destra della console BlueXP, selezionare l'icona Impostazioni e selezionare credenziali.
-
Nella pagina credenziali organizzazione o credenziali account, selezionare Aggiungi credenziali e seguire i passaggi della procedura guidata.
-
Posizione credenziali: Selezionare Amazon Web Services > BlueXP.
-
Definisci credenziali: Fornire l'ARN (Amazon Resource Name) del ruolo IAM.
-
Revisione: Confermare i dettagli relativi alle nuove credenziali e selezionare Aggiungi.
-
Aggiungi credenziali a BlueXP per Amazon FSX per ONTAP
Per ulteriori informazioni, fare riferimento a. "Documentazione BlueXP per Amazon FSX per ONTAP"
Configurare un'iscrizione AWS
Dopo aver aggiunto le tue credenziali AWS, puoi configurare un abbonamento ad AWS Marketplace con tali credenziali. L'abbonamento ti consente di pagare Cloud Volumes ONTAP con una tariffa oraria (PAYGO) o tramite un contratto annuale, e di pagare altri servizi dati.
Esistono due scenari in cui potresti configurare un abbonamento ad AWS Marketplace dopo aver già aggiunto le credenziali:
-
Non hai configurato un abbonamento quando hai aggiunto inizialmente le credenziali.
-
Vuoi modificare l'iscrizione al marketplace AWS configurata per le credenziali AWS.
Sostituendo l'attuale sottoscrizione al marketplace con una nuova sottoscrizione, l'abbonamento al marketplace viene modificato per qualsiasi ambiente di lavoro Cloud Volumes ONTAP esistente e per tutti i nuovi ambienti di lavoro.
È necessario creare un connettore prima di poter configurare un abbonamento. "Scopri come creare un connettore".
Il seguente video mostra i passaggi per abbonarsi a NetApp Intelligent Services da AWS Marketplace:
-
Nella parte superiore destra della console BlueXP, selezionare l'icona Impostazioni e selezionare credenziali.
-
Selezionare il menu azione per un set di credenziali, quindi selezionare Configura sottoscrizione.
Selezionare le credenziali associate a un connettore. Non puoi associare un abbonamento al marketplace alle credenziali associate a BlueXP.
-
Per associare le credenziali a un abbonamento esistente, selezionare l'abbonamento dall'elenco a discesa e selezionare Configura.
-
Per associare le credenziali a un nuovo abbonamento, selezionare Aggiungi abbonamento > continua e seguire la procedura descritta in AWS Marketplace:
-
Selezionare Visualizza opzioni di acquisto.
-
Selezionare Iscriviti.
-
Selezionare Configura account.
Verrai reindirizzato al sito Web di BlueXP.
-
Dalla pagina Subscription Assignment:
-
Seleziona le organizzazioni o gli account BlueXP a cui desideri associare questo abbonamento.
-
Nel campo Sostituisci abbonamento esistente, scegliere se sostituire automaticamente l'abbonamento esistente per un'organizzazione o un account con questo nuovo abbonamento.
BlueXP sostituisce l'abbonamento esistente per tutte le credenziali dell'organizzazione o dell'account con questo nuovo abbonamento. Se un insieme di credenziali non è mai stato associato a un abbonamento, questo nuovo abbonamento non sarà associato a tali credenziali.
-
Per tutte le altre organizzazioni o account, è necessario associare manualmente l'abbonamento ripetendo questi passaggi.
-
Selezionare Salva.
-
Associare un abbonamento esistente all'organizzazione o all'account
Quando ti abboni ad AWS Marketplace, l'ultimo passaggio del processo consiste nell'associare l'abbonamento alla tua organizzazione. Se non hai completato questo passaggio, non potrai utilizzare l'abbonamento con la tua organizzazione o il tuo account.
Segui i passaggi indicati di seguito se hai sottoscritto un abbonamento ai servizi dati intelligenti di NetApp da AWS Marketplace, ma hai saltato il passaggio per associare l'abbonamento al tuo account.
-
Accedi al portafoglio digitale per confermare di non aver associato il tuo abbonamento alla tua organizzazione o al tuo account BlueXP.
-
Dal menu di navigazione, seleziona Governance > Portafoglio digitale.
-
Selezionare Abbonamenti.
-
Verifica che il tuo abbonamento non venga visualizzato.
Verranno visualizzati solo gli abbonamenti associati all'organizzazione o all'account attualmente visualizzati. Se non vedi il tuo abbonamento, procedi con i passaggi seguenti.
-
-
Accedi alla console AWS e accedi a sottoscrizioni al marketplace AWS.
-
Trova l'abbonamento a NetApp Intelligent Data Services.
-
Selezionare configura prodotto.
La pagina dell'offerta di sottoscrizione dovrebbe essere caricata in una nuova scheda o finestra del browser.
-
Selezionare Configura account.
La pagina assegnazione abbonamento su netapp.com dovrebbe essere caricata in una nuova scheda o finestra del browser.
Nota: Potrebbe essere richiesto di accedere prima a BlueXP.
-
Dalla pagina Subscription Assignment:
-
Seleziona le organizzazioni o gli account BlueXP a cui desideri associare questo abbonamento.
-
Nel campo Sostituisci abbonamento esistente, scegliere se sostituire automaticamente l'abbonamento esistente per un'organizzazione o un account con questo nuovo abbonamento.
BlueXP sostituisce l'abbonamento esistente per tutte le credenziali dell'organizzazione o dell'account con questo nuovo abbonamento. Se un insieme di credenziali non è mai stato associato a un abbonamento, questo nuovo abbonamento non sarà associato a tali credenziali.
Per tutte le altre organizzazioni o account, è necessario associare manualmente l'abbonamento ripetendo questi passaggi.
-
-
Accedi al portafoglio digitale per confermare che l'abbonamento è associato alla tua organizzazione o al tuo account.
-
Dal menu di navigazione, seleziona Governance > Portafoglio digitale.
-
Selezionare Abbonamenti.
-
Verifica che il tuo abbonamento venga visualizzato.
-
-
Verifica che l'iscrizione sia associata alle tue credenziali AWS.
-
Nell'angolo in alto a destra della console, seleziona l'icona Impostazioni e seleziona Credenziali.
-
Nella pagina credenziali dell'organizzazione o credenziali dell'account, verifica che l'abbonamento sia associato alle tue credenziali AWS.
Ecco un esempio.
-
Modificare le credenziali
Modifica le tue credenziali AWS cambiando il tipo di account (chiavi AWS o ruolo di assunzione), modificando il nome o aggiornando le credenziali stesse (le chiavi o l'ARN del ruolo).
|
Non è possibile modificare le credenziali per un profilo di istanza associato a un'istanza Connector o a un'istanza Amazon FSx for ONTAP. È possibile rinominare le credenziali solo per un'istanza FSx for ONTAP. |
-
Nell'angolo in alto a destra della console, seleziona l'icona Impostazioni e seleziona Credenziali.
-
Nella pagina credenziali organizzazione o credenziali account, selezionare il menu azione per un set di credenziali, quindi selezionare Modifica credenziali.
-
Apportare le modifiche richieste, quindi selezionare Applica.
Eliminare le credenziali
Se un set di credenziali non ti serve più, puoi eliminarlo. È possibile eliminare solo le credenziali non associate a un ambiente di lavoro.
|
Non è possibile eliminare le credenziali per un profilo di istanza associato a un'istanza del connettore. |
-
Nell'angolo in alto a destra della console, seleziona l'icona Impostazioni e seleziona Credenziali.
-
Nella pagina credenziali organizzazione o credenziali account, selezionare il menu azione per un set di credenziali, quindi selezionare Elimina credenziali.
-
Selezionare Delete per confermare.