La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.
Imposta i ruoli AWS IAM per i nodi Cloud Volumes ONTAP
Collaboratori
Suggerisci modifiche
PDF
A ciascun nodo Cloud Volumes ONTAP devono essere associati i ruoli AWS Identity and Access Management (IAM) con le autorizzazioni richieste. Lo stesso vale per il mediatore HA. È più semplice lasciare che sia la console NetApp a creare i ruoli IAM per te, ma puoi anche utilizzare i tuoi ruoli.
Questo compito è facoltativo. Quando si crea un sistema Cloud Volumes ONTAP , l'opzione predefinita è quella di lasciare che la Console crei i ruoli IAM per conto dell'utente. Se le policy di sicurezza della tua azienda richiedono di creare autonomamente i ruoli IAM, segui i passaggi indicati di seguito.
|
In AWS Secret Cloud è obbligatorio fornire il proprio ruolo IAM. "Scopri come distribuire Cloud Volumes ONTAP in C2S" . |
Passi
-
Vai alla console AWS IAM.
-
Creare policy IAM che includano le seguenti autorizzazioni:
-
Criterio di base per i nodi Cloud Volumes ONTAP
Regioni standard{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::fabric-pool-*", "Effect": "Allow" } ] }Regioni GovCloud (USA){ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-us-gov:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-us-gov:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-us-gov:s3:::fabric-pool-*", "Effect": "Allow" }] }Regioni top secret{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }] }Regioni segrete{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso-b:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }] } -
Criterio di backup per i nodi Cloud Volumes ONTAP
Se si prevede di utilizzare NetApp Backup and Recovery con i sistemi Cloud Volumes ONTAP , il ruolo IAM per i nodi deve includere la seconda policy mostrata di seguito.
Regioni standard{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::netapp-backup*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:RestoreObject", "s3:GetBucketObjectLockConfiguration", "s3:GetObjectRetention", "s3:PutBucketObjectLockConfiguration", "s3:PutObjectRetention" ], "Resource": "arn:aws:s3:::netapp-backup*/*", "Effect": "Allow" } ] }Regioni GovCloud (USA){ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-us-gov:s3:::netapp-backup*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:RestoreObject", "s3:GetBucketObjectLockConfiguration", "s3:GetObjectRetention", "s3:PutBucketObjectLockConfiguration", "s3:PutObjectRetention" ], "Resource": "arn:aws-us-gov:s3:::netapp-backup*/*", "Effect": "Allow" } ] }Regioni top secret{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso:s3:::netapp-backup*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:RestoreObject", "s3:GetBucketObjectLockConfiguration", "s3:GetObjectRetention", "s3:PutBucketObjectLockConfiguration", "s3:PutObjectRetention" ], "Resource": "arn:aws-iso:s3:::netapp-backup*/*", "Effect": "Allow" } ] }Regioni segrete{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso-b:s3:::netapp-backup*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:PutObjectTagging", "s3:GetObjectTagging", "s3:RestoreObject", "s3:GetBucketObjectLockConfiguration", "s3:GetObjectRetention", "s3:PutBucketObjectLockConfiguration", "s3:PutObjectRetention" ], "Resource": "arn:aws-iso-b:s3:::netapp-backup*/*", "Effect": "Allow" } ] }-
Mediatore HA
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses", "sts:AssumeRole", "ec2:DescribeSubnets" ], "Resource": "*" } ] }
-
-
Crea un ruolo IAM e associa i criteri creati al ruolo.
Risultato
Ora disponi di ruoli IAM che puoi selezionare quando crei un nuovo sistema Cloud Volumes ONTAP .
Ulteriori informazioni