Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Aggiungi le credenziali AWS alla fabbrica del workload

Collaboratori
PDF

Aggiungi e gestisci le credenziali AWS in modo che la fabbrica dei workload disponga delle autorizzazioni necessarie per implementare e gestire le risorse cloud negli account AWS.

Panoramica

La fabbrica del carico di lavoro opererà in modalità Basic a meno che non vengano aggiunte le credenziali dell'account AWS. È possibile aggiungere credenziali per abilitare altre modalità operative, ad esempio la modalità lettura e la modalità automatica. "Ulteriori informazioni sulle modalità operative".

Puoi aggiungere le credenziali AWS a un account di fabbrica del carico di lavoro esistente dalla pagina credenziali. Ciò garantisce alla workload Factory le autorizzazioni necessarie per gestire risorse e processi all'interno dell'ambiente cloud AWS.

È possibile aggiungere credenziali utilizzando due metodi:

  • Manualmente: Si creano la policy IAM e il ruolo IAM nell'account AWS mentre si aggiungono le credenziali nella fabbrica del carico di lavoro.

  • Automaticamente: È possibile acquisire una quantità minima di informazioni sulle autorizzazioni e utilizzare uno stack CloudFormation per creare i criteri e il ruolo IAM per le credenziali.

Aggiungere manualmente le credenziali a un account

Puoi aggiungere manualmente le credenziali AWS alla fabbrica dei workload per fornire al tuo account workload Factory le autorizzazioni necessarie per gestire le risorse AWS che utilizzerai per eseguire i tuoi workload unici. Ogni insieme di credenziali aggiunto includerà uno o più criteri IAM in base alle capacità del carico di lavoro che si desidera utilizzare e un ruolo IAM assegnato all'account.

Nota Puoi aggiungere le credenziali AWS a un account dalla console workload Factory o dalla console BlueXP .

Le credenziali vengono create in tre parti:

  • Seleziona i servizi e i livelli di autorizzazioni che desideri utilizzare, quindi crea le policy IAM dalla Console di gestione AWS.

  • Creare un ruolo IAM dalla Console di gestione AWS.

  • Dalla fabbrica del carico di lavoro, immettere un nome e aggiungere le credenziali.

Prima di iniziare

Devi disporre delle credenziali per accedere al tuo account AWS.

Fasi

  1. Accedere a "console di fabbrica del carico di lavoro".

  2. Selezionare l'icona account e selezionare credenziali.

    Schermata che mostra l'icona Impostazioni account nella console di fabbrica del carico di lavoro.

  3. Nella pagina credenziali, selezionare Aggiungi credenziali.

  4. Nella pagina Aggiungi credenziali, selezionare Aggiungi manualmente, quindi attenersi alla seguente procedura per completare ogni sezione in Configurazione autorizzazioni.

    Una schermata che mostra gli elementi da definire manualmente per ogni set di credenziali.

Fase 1: Selezionare le capacità del carico di lavoro e creare i criteri IAM

In questa sezione è possibile scegliere quali tipi di funzionalità del carico di lavoro saranno gestibili come parte di queste credenziali e le autorizzazioni abilitate per ogni carico di lavoro. Per creare le policy, dovrai copiare da Codebox le autorizzazioni delle policy per ogni carico di lavoro selezionato e aggiungerle ad AWS Management Console all'interno dell'account AWS.

Uno screenshot che mostra quali tipi di funzionalità del carico di lavoro saranno gestibili come parte delle policy in queste credenziali.

Fasi

  1. Nella sezione Crea criteri, abilitare ciascuna funzionalità del carico di lavoro che si desidera includere in queste credenziali.

    Puoi aggiungere funzionalità in un secondo momento, quindi seleziona solo i carichi di lavoro da implementare e gestire.

  2. Per le funzionalità del carico di lavoro che offrono una scelta di livelli di autorizzazione (lettura o automazione), selezionare il tipo di autorizzazioni che saranno disponibili con queste credenziali.

  3. Facoltativo: Selezionare Abilita controllo automatico autorizzazioni per verificare se si dispone delle autorizzazioni necessarie per completare le operazioni del carico di lavoro. L'attivazione del segno di spunta aggiunge iam:SimulatePrincipalPolicy permission ai criteri di autorizzazione. Lo scopo di questa autorizzazione è solo confermare le autorizzazioni. È possibile rimuovere l'autorizzazione dopo aver aggiunto le credenziali, ma si consiglia di conservarla per evitare la creazione di risorse per operazioni parzialmente riuscite e per evitare di eliminare qualsiasi pulitura manuale delle risorse richiesta.

  4. Nella finestra Codebox, copiare le autorizzazioni per il primo criterio IAM.

  5. Apri un'altra finestra del browser ed effettua l'accesso al tuo account AWS in AWS Management Console.

  6. Aprire il servizio IAM, quindi selezionare Criteri > Crea criterio.

  7. Selezionare JSON come tipo di file, incollare le autorizzazioni copiate al passaggio 3 e selezionare Avanti.

  8. Immettere il nome del criterio e selezionare Crea criterio.

  9. Se nel passaggio 1 sono state selezionate più funzionalità del carico di lavoro, ripetere questi passaggi per creare un criterio per ogni gruppo di autorizzazioni del carico di lavoro.

Passaggio 2: Creare il ruolo IAM che utilizza i criteri

In questa sezione verrà impostato un ruolo IAM che verrà assunto da workload Factory, che include le autorizzazioni e i criteri appena creati.

Una schermata che mostra quali autorizzazioni faranno parte del nuovo ruolo.

Fasi

  1. Nella Console di gestione AWS, selezionare ruoli > Crea ruolo.

  2. In Trusted entity type, selezionare AWS account.

    1. Seleziona un altro account AWS e copia e incolla l'ID account per la gestione del workload di FSX per ONTAP dall'interfaccia utente di workload factory.

    2. Selezionare ID esterno richiesto e copiare e incollare l'ID esterno dall'interfaccia utente di fabbrica del carico di lavoro.

  3. Selezionare Avanti.

  4. Nella sezione Criteri autorizzazioni, scegliere tutti i criteri definiti in precedenza e selezionare Avanti.

  5. Immettere un nome per il ruolo e selezionare Crea ruolo.

  6. Copiare il ruolo ARN.

  7. Tornare alla pagina credenziali in fabbrica carichi di lavoro, espandere la sezione Crea ruolo e incollare l'ARN nel campo Role ARN.

Passaggio 3: Immettere un nome e aggiungere le credenziali

Il passaggio finale consiste nell'immettere un nome per le credenziali in fabbrica del carico di lavoro.

Fasi

  1. Dalla pagina credenziali nella fabbrica del carico di lavoro, espandere Nome credenziali.

  2. Immettere il nome che si desidera utilizzare per queste credenziali.

  3. Selezionare Aggiungi per creare le credenziali.

Risultato

Le credenziali vengono create e viene visualizzata nuovamente la pagina credenziali.

Aggiungere credenziali a un account utilizzando CloudFormation

Puoi aggiungere le credenziali AWS alla fabbrica del carico di lavoro utilizzando uno stack AWS CloudFormation selezionando le funzionalità di fabbrica del carico di lavoro che desideri utilizzare, quindi lanciare lo stack AWS CloudFormation nel tuo account AWS. CloudFormation creerà i criteri IAM e il ruolo IAM in base alle funzionalità del carico di lavoro selezionate.

Prima di iniziare

  • Devi disporre delle credenziali per accedere al tuo account AWS.

  • Quando si aggiungono credenziali utilizzando uno stack CloudFormation, è necessario disporre delle seguenti autorizzazioni nell'account AWS:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
    JSON
    Copy
Fasi

  1. Accedere a "console di fabbrica del carico di lavoro".

  2. Selezionare l'icona account e selezionare credenziali.

    Schermata che mostra l'icona Impostazioni account nella console di fabbrica del carico di lavoro.

  3. Nella pagina credenziali, selezionare Aggiungi credenziali.

  4. Selezionare Aggiungi tramite AWS CloudFormation.

    Una schermata che mostra gli elementi da definire prima di poter avviare CloudFormation per creare le credenziali.

  5. In Crea criteri, abilitare tutte le funzionalità del carico di lavoro che si desidera includere in queste credenziali e scegliere un livello di autorizzazione per ogni carico di lavoro.

    Puoi aggiungere funzionalità in un secondo momento, quindi seleziona solo i carichi di lavoro da implementare e gestire.

  6. Facoltativo: Selezionare Abilita controllo automatico autorizzazioni per verificare se si dispone delle autorizzazioni necessarie per completare le operazioni del carico di lavoro. L'attivazione del controllo aggiunge l' `iam:SimulatePrincipalPolicy`autorizzazione ai criteri di autorizzazione. Lo scopo di questa autorizzazione è solo confermare le autorizzazioni. È possibile rimuovere l'autorizzazione dopo aver aggiunto le credenziali, ma si consiglia di conservarla per evitare la creazione di risorse per operazioni parzialmente riuscite e per evitare di eliminare qualsiasi pulitura manuale delle risorse richiesta.

  7. In Nome credenziali, immettere il nome che si desidera utilizzare per queste credenziali.

  8. Aggiungi le credenziali da AWS CloudFormation:

    1. Selezionare Aggiungi (oppure selezionare Reindirizza a CloudFormation) per visualizzare la pagina Reindirizza a CloudFormation.

      Uno screenshot che mostra come creare lo stack CloudFormation per l'aggiunta di criteri e un ruolo per le credenziali di fabbrica del workload.

    2. Se si utilizza il single sign-on (SSO) con AWS, aprire una scheda separata del browser ed effettuare l'accesso alla console AWS prima di selezionare continua.

      Devi accedere all'account AWS in cui si trova il file system FSX per ONTAP.

    3. Selezionare continua dalla pagina Redirect to CloudFormation.

    4. Nella pagina creazione rapida stack, in funzionalità, selezionare Acknowledge that AWS CloudFormation May create IAM resources (riconosco che AWS CloudFormation potrebbe creare risorse IAM*).

    5. Selezionare Crea stack.

    6. Tornare alla fabbrica del carico di lavoro e monitorare la pagina credenziali per verificare che le nuove credenziali siano in corso o che siano state aggiunte.