Credenziali e autorizzazioni AWS
Cloud Manager consente di scegliere le credenziali AWS da utilizzare durante l'implementazione di Cloud Volumes ONTAP. È possibile implementare tutti i sistemi Cloud Volumes ONTAP utilizzando le credenziali AWS iniziali oppure aggiungere credenziali aggiuntive.
Credenziali AWS iniziali
Quando si implementa un connettore da Cloud Manager, è necessario utilizzare un account AWS che disponga delle autorizzazioni per avviare l'istanza di Connector. Le autorizzazioni richieste sono elencate nella "Policy di implementazione del connettore per AWS".
Quando Cloud Manager avvia l'istanza del connettore in AWS, crea un ruolo IAM e un profilo di istanza per l'istanza. Allega inoltre una policy che fornisce a Cloud Manager le autorizzazioni per gestire risorse e processi all'interno di tale account AWS. "Analisi dell'utilizzo delle autorizzazioni da parte di Cloud Manager".
Cloud Manager seleziona queste credenziali AWS per impostazione predefinita quando crei un nuovo ambiente di lavoro per Cloud Volumes ONTAP:
Credenziali AWS aggiuntive
Se si desidera avviare Cloud Volumes ONTAP in diversi account AWS, è possibile farlo "Fornire le chiavi AWS per un utente IAM o l'ARN di un ruolo in un account attendibile". L'immagine seguente mostra due account aggiuntivi, uno che fornisce le autorizzazioni tramite un ruolo IAM in un account attendibile e l'altro tramite le chiavi AWS di un utente IAM:
Allora "Aggiungere le credenziali dell'account a Cloud Manager" Specificando il nome risorsa Amazon (ARN) del ruolo IAM o le chiavi AWS per l'utente IAM.
Dopo aver aggiunto un altro set di credenziali, è possibile passare a queste quando si crea un nuovo ambiente di lavoro:
E le implementazioni di Marketplace e on-premise?
Le sezioni precedenti descrivono il metodo di implementazione consigliato per il connettore, che proviene da Cloud Manager. È inoltre possibile implementare un connettore in AWS da "Mercato AWS" e puoi farlo "Installare il connettore on-premise".
Se si utilizza Marketplace, le autorizzazioni vengono fornite nello stesso modo. È sufficiente creare e configurare manualmente il ruolo IAM, quindi fornire le autorizzazioni per eventuali account aggiuntivi.
Per le implementazioni on-premise, non è possibile impostare un ruolo IAM per il sistema Cloud Manager, ma è possibile fornire le autorizzazioni esattamente come si farebbe per altri account AWS.
Come si possono ruotare in modo sicuro le credenziali AWS?
Come descritto in precedenza, Cloud Manager consente di fornire le credenziali AWS in diversi modi: Un ruolo IAM associato all'istanza del connettore, assumendo un ruolo IAM in un account attendibile o fornendo le chiavi di accesso AWS.
Con le prime due opzioni, Cloud Manager utilizza AWS Security Token Service per ottenere credenziali temporanee che ruotano costantemente. Questo processo è la Best practice: È automatico e sicuro.
Se si forniscono a Cloud Manager le chiavi di accesso AWS, è necessario ruotarle aggiornandole in Cloud Manager a intervalli regolari. Si tratta di un processo completamente manuale.