Skip to main content
Amazon FSx for NetApp ONTAP
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Impostare le autorizzazioni per FSx per ONTAP

Collaboratori netapp-rlithman
PDF

Per creare o gestire un file system FSx for ONTAP , è necessario aggiungere le credenziali AWS nella NetApp Console fornendo l'ARN di un ruolo IAM che fornisce le autorizzazioni necessarie per creare un sistema FSx for ONTAP dalla NetApp Console.

Perché sono richieste le credenziali AWS

Per creare e gestire i sistemi FSx for ONTAP dalla NetApp Console, sono necessarie le credenziali AWS. È possibile creare nuove credenziali o aggiungerle a un'organizzazione esistente. Le credenziali consentono di gestire le risorse AWS dalla NetApp Console.

Le credenziali e le autorizzazioni sono gestite da NetApp Workload Factory. Workload Factory è una piattaforma di gestione del ciclo di vita progettata per aiutare gli utenti a gestire e migliorare i carichi di lavoro VMware, EDA e database che vengono eseguiti su Amazon FSx for NetApp ONTAP file systems. La NetApp Console e Workload Factory utilizzano lo stesso set di credenziali e autorizzazioni AWS. Storage è la funzionalità di gestione dello storage in Workload Factory ed è l'unica funzionalità che è necessario attivare e per la quale è necessario aggiungere le credenziali per creare e gestire i file system FSx for ONTAP.

Informazioni su questo compito

Quando si aggiungono nuove credenziali per FSx for ONTAP da Storage in Workload Factory, è necessario decidere quali criteri di autorizzazione si desidera concedere. Per scoprire risorse AWS come FSx per i file system ONTAP , avrai bisogno delle autorizzazioni di visualizzazione, pianificazione e analisi. Per distribuire FSx per i file system ONTAP , sono necessarie le autorizzazioni di creazione ed eliminazione del file system. È possibile eseguire operazioni di base per FSx per ONTAP senza autorizzazioni. "Scopri di più sui permessi".

Le credenziali AWS nuove ed esistenti sono visualizzabili dal menu Amministrazione nella pagina Credenziali.

Uno screenshot del menu Amministrazione e dell'opzione Credenziali evidenziata nel menu di amministrazione NetApp Console .

È possibile aggiungere le credenziali utilizzando due metodi:

  • Manualmente: crei la policy IAM e il ruolo IAM nel tuo account AWS mentre aggiungi le credenziali in Workload Factory.

  • Automaticamente: acquisisci una quantità minima di informazioni sulle autorizzazioni e poi utilizzi uno stack CloudFormation per creare i criteri IAM e il ruolo per le tue credenziali.

Aggiungere manualmente le credenziali a un account

È possibile aggiungere manualmente le credenziali AWS alla NetApp Console per concedere al proprio account le autorizzazioni necessarie per gestire le funzionalità del carico di lavoro desiderate e un ruolo IAM assegnato all'account.

La creazione delle credenziali si compone di tre fasi:

  • Seleziona i servizi e il livello di autorizzazioni che desideri utilizzare, quindi crea policy IAM dalla AWS Management Console.

  • Crea un ruolo IAM dalla AWS Management Console.

  • Inserisci un nome e aggiungi le credenziali nella NetApp Console.

Per creare o gestire un file system FSx for ONTAP, è necessario aggiungere le credenziali AWS nella NetApp Console fornendo l'ARN di un ruolo IAM che concede a Workload Factory le autorizzazioni necessarie per creare un file system FSx for ONTAP.

Prima di iniziare

Per accedere al tuo account AWS dovrai disporre delle credenziali.

Passi

  1. Dal menu NetApp Console , selezionare Amministrazione e quindi Credenziali.

  2. Dalla pagina Credenziali dell'organizzazione, seleziona Aggiungi credenziali.

  3. Selezionare Amazon Web Services, quindi FSx per ONTAP e infine Avanti.

  4. Selezionare Aggiungi manualmente e quindi seguire i passaggi sottostanti per compilare le tre sezioni in Configurazione autorizzazioni.

Passaggio 1: selezionare la capacità di archiviazione e creare il criterio IAM

In questa sezione, sceglierai la funzionalità di archiviazione da gestire con queste credenziali e le autorizzazioni per l'archiviazione. Hai anche la possibilità di selezionare altri carichi di lavoro come Databases, GenAI o VMware. Una volta effettuate le selezioni, dovrai copiare le autorizzazioni delle policy per ciascun carico di lavoro selezionato da Codebox e aggiungerle nella AWS Management Console all'interno del tuo account AWS per creare le policy.

Passi

  1. Nella sezione Crea criteri di autorizzazione, abilita ciascuna delle funzionalità del carico di lavoro che desideri includere in queste credenziali. Abilita Storage per creare e gestire file system.

    È possibile aggiungere ulteriori funzionalità in un secondo momento, quindi è sufficiente selezionare i carichi di lavoro che si desidera distribuire e gestire al momento.

  2. Per le funzionalità del carico di lavoro che offrono una scelta di criteri di autorizzazione, selezionare il tipo di autorizzazioni che saranno disponibili con queste credenziali. "Scopri di più sulle autorizzazioni".

  3. Opzionale: Seleziona Abilita il controllo automatico delle autorizzazioni per verificare se disponi delle autorizzazioni necessarie all'account AWS per completare le operazioni del carico di lavoro. L'abilitazione del controllo aggiunge l' iam:SimulatePrincipalPolicy permission alle tue policy di autorizzazione. Lo scopo di questa autorizzazione è solo quello di confermare le autorizzazioni. Puoi rimuovere l'autorizzazione dopo aver aggiunto le credenziali, ma ti consigliamo di mantenerla per impedire la creazione di risorse in caso di errore in alcuni passaggi e per evitare la pulizia manuale.

  4. Nella finestra Codebox, copiare le autorizzazioni per il primo criterio IAM.

  5. Apri un'altra finestra del browser e accedi al tuo account AWS nella AWS Management Console.

  6. Aprire il servizio IAM, quindi selezionare Criteri > Crea criterio.

  7. Seleziona JSON come tipo di file, incolla le autorizzazioni che hai copiato al passaggio 4 e seleziona Avanti.

  8. Inserisci il nome per la policy e seleziona Crea policy.

  9. Se nel passaggio 1 hai selezionato più funzionalità del carico di lavoro, ripeti questi passaggi per creare un criterio per ciascun set di autorizzazioni del carico di lavoro.

Passaggio 2: creare il ruolo IAM che utilizza i criteri

In questa sezione configurerai un ruolo IAM che Workload Factory assumerà e che include le autorizzazioni e i criteri appena creati.

Passi

  1. Nella AWS Management Console, seleziona Ruoli > Crea ruolo.

  2. In Tipo di entità attendibile, seleziona Account AWS.

    1. Seleziona Another AWS account e copia e incolla l'ID dell'account per FSx for ONTAP workload management dall'interfaccia utente della Console.

    2. Seleziona ID esterno richiesto e copia e incolla l'ID esterno nell'interfaccia utente della NetApp Console.

  3. Selezionare Avanti.

  4. Nella sezione Criteri di autorizzazione, seleziona tutti i criteri definiti in precedenza e seleziona Avanti.

  5. Inserisci un nome per il ruolo e seleziona Crea ruolo.

  6. Copiare l'ARN del ruolo.

  7. Torna alla pagina Aggiungi credenziali nella NetApp Console, espandi la sezione Crea ruolo e incolla l'ARN nel campo Role ARN.

Passaggio 3: inserisci un nome e aggiungi le credenziali

L'ultimo passaggio consiste nell'inserire un nome per le credenziali.

Passi

  1. Dalla pagina Aggiungi credenziali, espandi Nome credenziali.

  2. Inserisci il nome che desideri utilizzare per queste credenziali.

  3. Selezionare Aggiungi per creare le credenziali.

Risultato

La console crea le credenziali e le visualizza nella pagina Credenziali. È possibile utilizzare, rinominare o rimuovere le credenziali dalla NetApp Console.

Aggiungere credenziali a un account utilizzando CloudFormation

È possibile aggiungere le credenziali AWS a NetApp Workload Factory utilizzando uno stack AWS CloudFormation selezionando le funzionalità di carico di lavoro che si desidera utilizzare e quindi avviando lo stack AWS CloudFormation nel proprio account AWS. CloudFormation creerà le policy IAM e il ruolo IAM in base alle funzionalità di carico di lavoro selezionate.

Prima di iniziare

  • Per accedere al tuo account AWS dovrai disporre delle credenziali.

  • Quando aggiungi credenziali utilizzando uno stack CloudFormation, dovrai disporre delle seguenti autorizzazioni nel tuo account AWS:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
Passi

  1. Dal menu NetApp Console , selezionare Amministrazione e quindi Credenziali.

  2. Seleziona Aggiungi credenziali.

  3. Selezionare Amazon Web Services, quindi FSx per ONTAP e infine Avanti.

    Ora ti trovi nella pagina Aggiungi credenziali di NetApp Workload Factory.

  4. Selezionare Aggiungi tramite AWS CloudFormation.

  5. In Crea policy, abilita ciascuna delle funzionalità del carico di lavoro che desideri includere in queste credenziali e scegli un livello di autorizzazione per ciascun carico di lavoro.

    È possibile aggiungere ulteriori funzionalità in un secondo momento, quindi è sufficiente selezionare i carichi di lavoro che si desidera distribuire e gestire al momento.

  6. Opzionale: Seleziona Abilita il controllo automatico delle autorizzazioni per verificare se disponi delle autorizzazioni richieste all'account AWS per completare le operazioni del carico di lavoro. L'abilitazione del controllo aggiunge l' `iam:SimulatePrincipalPolicy`autorizzazione alle tue policy di autorizzazione. Lo scopo di questa autorizzazione è solo quello di confermare le autorizzazioni. Puoi rimuovere l'autorizzazione dopo aver aggiunto le credenziali, ma ti consigliamo di mantenerla per impedire la creazione di risorse se alcuni passaggi falliscono e per evitare la pulizia manuale.

  7. In Nome credenziali, inserisci il nome che desideri utilizzare per queste credenziali.

  8. Aggiungere le credenziali da AWS CloudFormation:

    1. Selezionare Aggiungi (o selezionare Reindirizza a CloudFormation) e verrà visualizzata la pagina Reindirizza a CloudFormation.

    2. Se utilizzi l'accesso Single Sign-On (SSO) con AWS, apri una scheda separata del browser e accedi alla console AWS prima di selezionare Continua.

      È necessario accedere all'account AWS in cui risiede il file system FSx for ONTAP .

    3. Selezionare Continua dalla pagina Reindirizza a CloudFormation.

    4. Nella pagina Creazione rapida dello stack, in Funzionalità, seleziona Accetto che AWS CloudFormation possa creare risorse IAM.

    5. Seleziona Crea pila.

    6. Torna alla pagina Amministrazione > Credenziali dal menu principale per verificare che le nuove credenziali siano in corso di elaborazione o che siano state aggiunte.

Risultato

La console crea le credenziali e le visualizza nella pagina Credenziali. È possibile utilizzare, rinominare o rimuovere le credenziali dalla NetApp Console.