Skip to main content
すべてのクラウドプロバイダ
  • Amazon Web Services の
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダ
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

AWS Secret CloudリージョンとTop Secret CloudリージョンにCloud Volumes ONTAPを導入

共同作成者

標準のAWSリージョンと同様に、BlueXPは "AWSシークレットクラウド" およびインチ "AWSのトップシークレットクラウド" クラウドストレージにエンタープライズクラスの機能を提供するCloud Volumes ONTAPを導入するには、次の手順を実行します。AWS Secret CloudとTop Secret Cloudは、米国Intelligence Community:このページの手順は、AWS Secret CloudおよびTop Secret Cloudリージョンのユーザにのみ適用されます。

作業を開始する前に

作業を開始する前に、AWS Secret CloudとTop Secret Cloudでサポートされているバージョンを確認し、BlueXPのプライベートモードについて学習してください。

  • AWS Secret CloudおよびTop Secret Cloudでサポートされている次のバージョンを確認してください。

    • Cloud Volumes ONTAP 9.12.1 P2

    • コネクタのバージョン3.9.32

      Connectorは、AWSでCloud Volumes ONTAP を導入して管理するために必要なソフトウェアです。コネクタインスタンスにインストールされているソフトウェアからBlueXPにログインします。BlueXP向けのSaaS Webサイトは、AWS Secret CloudとTop Secret Cloudではサポートされていません。

  • プライベートモードの詳細

    AWS Secret CloudおよびTop Secret Cloudでは、BlueXPは_privateモード_で動作します。プライベートモードでは、BlueXP SaaSレイヤへの接続はありません。BlueXPには、SaaSレイヤではなくコネクタからアクセスできるWebベースのコンソールからローカルにアクセスします。

    プライベートモードの動作の詳細については、を参照してください。 "BlueXPプライベート導入モード"

手順1:ネットワークをセットアップする

Cloud Volumes ONTAP が適切に動作するように AWS ネットワークをセットアップします。

手順

  1. コネクタインスタンスと Cloud Volumes ONTAP インスタンスを起動する VPC とサブネットを選択します。

  2. VPC とサブネットがコネクタと Cloud Volumes ONTAP 間の接続をサポートしていることを確認します。

  3. S3 サービスへの vPC エンドポイントをセットアップします。

    Cloud Volumes ONTAP から低コストのオブジェクトストレージにコールドデータを階層化する場合は、 VPC エンドポイントが必要です。

手順2:権限を設定する

AWSシークレットクラウドまたはトップシークレットクラウドでアクションを実行するために必要な権限をコネクタとCloud Volumes ONTAPに提供するIAMポリシーとロールを設定します。

次の項目について、 IAM ポリシーと IAM ロールを 1 つずつ用意する必要があります。

  • コネクタインスタンス

  • Cloud Volumes ONTAP インスタンス

  • HAペアの場合は、Cloud Volumes ONTAPのHAメディエーターインスタンス(HAペアを導入する場合)

手順

  1. AWS IAM コンソールに移動し、 * Policies * をクリックします。

  2. コネクタインスタンスのポリシーを作成します。

    メモ AWS環境のS3バケットをサポートするために、これらのポリシーを作成します。あとでバケットを作成するときは、バケット名の先頭に「 fabric-pool-。この要件は、AWSシークレットクラウドリージョンとTop Secret Cloudリージョンの両方を環境にします。
    シークレットリージョン
    {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:RunInstances",
                "ec2:ModifyInstanceAttribute",
                "ec2:DescribeRouteTables",
                "ec2:DescribeImages",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DescribeVolumes",
                "ec2:ModifyVolumeAttribute",
                "ec2:DeleteVolume",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSecurityGroups",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:CreateSnapshot",
                "ec2:DeleteSnapshot",
                "ec2:DescribeSnapshots",
                "ec2:GetConsoleOutput",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeRegions",
                "ec2:DeleteTags",
                "ec2:DescribeTags",
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:ValidateTemplate",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:PutRolePolicy",
                "iam:ListInstanceProfiles",
                "iam:CreateInstanceProfile",
                "iam:DeleteRolePolicy",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteInstanceProfile",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketTagging",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "kms:List*",
                "kms:Describe*",
                "ec2:AssociateIamInstanceProfile",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:DescribeInstanceAttribute",
                "ec2:CreatePlacementGroup",
                "ec2:DeletePlacementGroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "fabricPoolPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:DeleteBucket",
                "s3:GetLifecycleConfiguration",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketTagging",
                "s3:ListBucketVersions"
            ],
            "Resource": [
                "arn:aws-iso-b:s3:::fabric-pool*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances",
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/WorkingEnvironment": "*"
                }
            },
            "Resource": [
                "arn:aws-iso-b:ec2:*:*:instance/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": [
                "arn:aws-iso-b:ec2:*:*:volume/*"
            ]
        }
    ]
}
    Top Secret領域
    {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:RunInstances",
                "ec2:ModifyInstanceAttribute",
                "ec2:DescribeRouteTables",
                "ec2:DescribeImages",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DescribeVolumes",
                "ec2:ModifyVolumeAttribute",
                "ec2:DeleteVolume",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSecurityGroups",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:CreateSnapshot",
                "ec2:DeleteSnapshot",
                "ec2:DescribeSnapshots",
                "ec2:GetConsoleOutput",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeRegions",
                "ec2:DeleteTags",
                "ec2:DescribeTags",
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:ValidateTemplate",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:PutRolePolicy",
                "iam:ListInstanceProfiles",
                "iam:CreateInstanceProfile",
                "iam:DeleteRolePolicy",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteInstanceProfile",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketTagging",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "kms:List*",
                "kms:Describe*",
                "ec2:AssociateIamInstanceProfile",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:DescribeInstanceAttribute",
                "ec2:CreatePlacementGroup",
                "ec2:DeletePlacementGroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "fabricPoolPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:DeleteBucket",
                "s3:GetLifecycleConfiguration",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketTagging",
                "s3:ListBucketVersions"
            ],
            "Resource": [
                "arn:aws-iso:s3:::fabric-pool*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances",
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/WorkingEnvironment": "*"
                }
            },
            "Resource": [
                "arn:aws-iso:ec2:*:*:instance/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": [
                "arn:aws-iso:ec2:*:*:volume/*"
            ]
        }
    ]
}

  3. Cloud Volumes ONTAP のポリシーを作成します。

    シークレットリージョン
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": "s3:ListAllMyBuckets",
        "Resource": "arn:aws-iso-b:s3:::*",
        "Effect": "Allow"
    }, {
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketLocation"
        ],
        "Resource": "arn:aws-iso-b:s3:::fabric-pool-*",
        "Effect": "Allow"
    }, {
        "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:DeleteObject"
        ],
        "Resource": "arn:aws-iso-b:s3:::fabric-pool-*",
        "Effect": "Allow"
    }]
}
    Top Secret領域
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": "s3:ListAllMyBuckets",
        "Resource": "arn:aws-iso:s3:::*",
        "Effect": "Allow"
    }, {
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketLocation"
        ],
        "Resource": "arn:aws-iso:s3:::fabric-pool-*",
        "Effect": "Allow"
    }, {
        "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:DeleteObject"
        ],
        "Resource": "arn:aws-iso:s3:::fabric-pool-*",
        "Effect": "Allow"
    }]
}

    HAペアについて、Cloud Volumes ONTAP HAペアを導入する場合は、HAメディエーターのポリシーを作成します。

    {
	"Version": "2012-10-17",
	"Statement": [{
			"Effect": "Allow",
			"Action": [
				"ec2:AssignPrivateIpAddresses",
				"ec2:CreateRoute",
				"ec2:DeleteRoute",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeRouteTables",
				"ec2:DescribeVpcs",
				"ec2:ReplaceRoute",
				"ec2:UnassignPrivateIpAddresses"
			],
			"Resource": "*"
		}
	]
}

  4. タイプが Amazon EC2 の IAM ロールを作成し、前の手順で作成したポリシーを関連付けます。

    ロールを作成します。

    ポリシーと同様に、コネクタにはIAMロールが1つ、Cloud Volumes ONTAPノードにはIAMロールが1つ必要です。
    HAペアの場合:ポリシーと同様に、コネクタ用、Cloud Volumes ONTAPノード用、HAメディエーター用(HAペアを導入する場合)用にIAMロールが1つ必要です。

    ロールを選択します。

    コネクタインスタンスを起動するときに、コネクタ IAM ロールを選択する必要があります。Cloud Volumes ONTAPのIAMロールは、BlueXPでCloud Volumes ONTAP作業環境を作成するときに選択できます。
    HAペアの場合、BlueXPでCloud Volumes ONTAP作業環境を作成するときに、Cloud Volumes ONTAPのIAMロールとHAメディエーターを選択できます。

ステップ3:AWS KMSをセットアップする

Cloud Volumes ONTAPでAmazon暗号化を使用する場合は、AWSキー管理サービス(KMS)の要件が満たされていることを確認してください。

手順

  1. アクティブな Customer Master Key ( CMK ;カスタマーマスターキー)がアカウントまたは別の AWS アカウントに存在することを確認します。

    CMK は、 AWS 管理の CMK または顧客管理の CMK にすることができます。

  2. Cloud Volumes ONTAP を導入するアカウントとは別の AWS アカウントに CMK を配置する場合は、そのキーの ARN を取得する必要があります。

    Cloud Volumes ONTAP システムを作成するときは、BlueXPにARNを提供する必要があります。

  3. コネクタインスタンスのIAMロールをCMKのキーユーザのリストに追加します。

    これにより、Cloud Volumes ONTAP でCMKを使用するためのBlueXP権限が与えられます。

手順4:コネクタをインストールしてBlueXPをセットアップする

BlueXPを使用してAWSにCloud Volumes ONTAPを導入する前に、BlueXP Connectorをインストールしてセットアップする必要があります。Connectorを使用すると、BlueXPはパブリッククラウド環境内のリソースとプロセスを管理できます(Cloud Volumes ONTAP を含む)。

手順

  1. Privacy Enhanced Mail ( PEM ) Base-64 でエンコードされた X.509 形式の認証局( CA )が署名したルート証明書を取得する証明書を入手するには、組織のポリシーと手順を参照してください。

    メモ AWS Secret Cloudリージョンの場合は、 NSS Root CA 2 証明書、およびTop Secret Cloudの場合は、 Amazon Root CA 4 証明書。チェーン全体ではなく、これらの証明書のみをアップロードしてください。証明書チェーンのファイルが大きいため、アップロードに失敗する可能性があります。追加の証明書がある場合は、次の手順で説明するように、後でアップロードできます。

    セットアッププロセス中に証明書をアップロードする必要があります。BlueXPでは、HTTPS経由でAWSに要求を送信するときに信頼された証明書が使用されます。

  2. コネクタインスタンスを起動します。

    1. AWS Intelligence Community MarketplaceのBlueXPのページにアクセスします。

    2. Custom Launch タブで、 EC2 コンソールからインスタンスを起動するオプションを選択します。

    3. プロンプトに従って、インスタンスを設定します。

      インスタンスを設定する際には、次の点に注意してください。

      • t3.xlarge をお勧めします。

      • 権限の設定時に作成したIAMロールを選択する必要があります。

      • デフォルトのストレージオプションはそのままにしておく必要があります。

      • コネクタに必要な接続方法は、 SSH 、 HTTP 、 HTTPS です。

  3. コネクタインスタンスに接続されているホストからBlueXPをセットアップします。

    1. Web ブラウザを開き、と入力します https://ipaddress _ipaddress_は、コネクタをインストールしたLinuxホストのIPアドレスです。

    2. AWS サービスに接続するためのプロキシサーバを指定します。

    3. 手順 1 で取得した証明書をアップロードします。

    4. [新しいBlueXPのセットアップ]*を選択し、プロンプトに従ってシステムをセットアップします。

      • システムの詳細:コネクタの名前と会社名を入力します。

      • * 管理者ユーザーの作成 * :システムの管理者ユーザーを作成します。

        このユーザアカウントはシステム上でローカルに実行されます。BlueXPからはAuth0サービスに接続できません。

      • 確認:詳細を確認し、使用許諾契約に同意して、*セットアップ*を選択します。

    5. CA 署名証明書のインストールを完了するには、 EC2 コンソールからコネクタインスタンスを再起動します。

  4. コネクタが再起動したら、セットアップウィザードで作成した管理者ユーザアカウントを使用してログインします。

手順5:(オプション)プライベートモード証明書をインストールする

この手順は、AWS Secret CloudリージョンとTop Secret Cloudリージョンではオプションであり、前の手順でインストールしたルート証明書以外の追加の証明書がある場合にのみ必要です。

手順

  1. インストールされている既存の証明書を表示

    1. occmコンテナDocker ID(識別名「DS-occm-1」)を収集するには、次のコマンドを実行します。

      docker ps

    2. occmコンテナ内に入るには、次のコマンドを実行します。

      docker exec -it <docker-id> /bin/sh

    3. 「trust_store_password」環境変数からパスワードを収集するには、次のコマンドを実行します。

      env

    4. 信頼ストアにインストールされているすべての証明書を一覧表示するには、次のコマンドを実行し、前の手順で収集したパスワードを使用します。

      keytool -list -v -keystore occm.truststore

  2. 証明書を追加します。

    1. occmコンテナDocker ID(識別名「ds-occm-1」)を収集するには、次のコマンドを実行します。

      docker ps

    2. occmコンテナ内に入るには、次のコマンドを実行します。

      docker exec -it <docker-id> /bin/sh

      新しい証明書ファイルをに保存します。

    3. 「trust_store_password」環境変数からパスワードを収集するには、次のコマンドを実行します。

      env

    4. 証明書を信頼ストアに追加するには、次のコマンドを実行し、前の手順のパスワードを使用します。

      keytool -import -alias <alias-name> -file <certificate-file-name> -keystore occm.truststore

    5. 証明書がインストールされていることを確認するには、次のコマンドを実行します。

      keytool -list -v -keystore occm.truststore -alias <alias-name>

    6. occmコンテナを終了するには、次のコマンドを実行します。

      exit

    7. occmコンテナをリセットするには、次のコマンドを実行します。

      docker restart <docker-id>

手順6:BlueXPデジタルウォレットにライセンスを追加する

NetAppからライセンスを購入した場合は、新しいCloud Volumes ONTAPシステムを作成するときにライセンスを選択できるように、そのライセンスをBlueXPデジタルウォレットに追加する必要があります。デジタルウォレットは、これらのライセンスを未割り当てとして識別します。

手順

  1. BlueXPナビゲーションメニューから、* Governance > Digital Wallet *を選択します。

  2. [*Node] Cloud Volumes ONTAP タブで、ドロップダウンから[*Node Based Licenses]を選択します。

  3. [ * 未割り当て * ( Unassigned * ) ]

  4. [ 未割り当てライセンスの追加 ] をクリックします。

  5. ライセンスのシリアル番号を入力するか、ライセンスファイルをアップロードしてください。

  6. ライセンスファイルがまだない場合は、netapp.comからライセンスファイルを手動でアップロードする必要があります。

    1. にアクセスします "ネットアップライセンスファイルジェネレータ" をクリックし、NetApp Support Siteのクレデンシャルでログインします。

    2. パスワードを入力し、製品を選択してシリアル番号を入力し、プライバシーポリシーを読み、同意したことを確認してから、 * Submit * をクリックします。

    3. 電子メールまたは直接ダウンロードで serialnumber.nlf JSON ファイルを受信するかどうかを選択します。

  7. [ ライセンスの追加 ] をクリックします。

結果

BlueXPはデジタルウォレットにライセンスを追加します。ライセンスは、新しい Cloud Volumes ONTAP システムに関連付けるまでは未割り当てとみなされます。その後、ライセンスはデジタルウォレットの[BYOL]タブに移動します。

ステップ7:BlueXPからCloud Volumes ONTAPを起動する

BlueXPで新しい作業環境を作成することで、AWS Secret CloudおよびTop Secret CloudでCloud Volumes ONTAPインスタンスを起動できます。

作業を開始する前に

HAペアの場合、HAメディエーターへのキーベースのSSH認証を有効にするには、キーペアが必要です。

手順

  1. 作業環境ページで、 * 作業環境の追加 * をクリックします。

  2. [Create]*で、Cloud Volumes ONTAPを選択します。

    HAの場合:*[作成]*で、[ Cloud Volumes ONTAP ]または[ Cloud Volumes ONTAP HA]を選択します。

  3. ウィザードの手順に従って、 Cloud Volumes ONTAP システムを起動します。

    注意 ウィザードで選択を行う場合は、[サービス]*で[Data Sense & Compliance][Backup to Cloud]を選択しないでください。[Preconfigured Packages]*で[Change Configuration] Only]を選択し、他のオプションが選択されていないことを確認します。事前設定されたパッケージはAWS Secret CloudリージョンとTop Secret Cloudリージョンではサポートされておらず、選択するとデプロイに失敗します。
複数のアベイラビリティゾーンにCloud Volumes ONTAP HAを導入する場合の注意事項

HAペアのウィザードを実行する際は、次の点に注意してください。

  • 複数のアベイラビリティゾーン(AZ)にCloud Volumes ONTAP HAを導入する場合は、トランジットゲートウェイを設定する必要があります。を参照してください "AWS 転送ゲートウェイを設定します"

  • 公開時点でAWS Top Secret Cloudで利用可能なAZは2つしかなかったため、次のように構成を導入します。

    • ノード 1 :アベイラビリティゾーン A

    • ノード 2 :アベイラビリティゾーン B

    • メディエーター:アベイラビリティゾーン A または B

シングルノードとHAノードの両方にCloud Volumes ONTAPを導入する場合の注意事項

ウィザードを完了する際には、次の点に注意してください。

  • 生成されたセキュリティグループを使用するには、デフォルトのオプションをそのままにしておく必要があります。

    事前定義されたセキュリティグループには、 Cloud Volumes ONTAP が正常に動作するために必要なルールが含まれています。独自の要件がある場合は、下のセキュリティグループのセクションを参照してください。

  • AWS 環境の準備の際に作成した IAM ロールを選択する必要があります。

  • 基盤となる AWS ディスクタイプは Cloud Volumes ONTAP の初期ボリューム用です。

    以降のボリュームでは、別のディスクタイプを選択できます。

  • AWS ディスクのパフォーマンスはディスクサイズに依存します。

    必要なパフォーマンスを継続的に提供するディスクサイズを選択する必要があります。EBS のパフォーマンスの詳細については、 AWS のドキュメントを参照してください。

  • ディスクサイズは、システム上のすべてのディスクのデフォルトサイズです。

    メモ あとでサイズを変更する必要がある場合は、 Advanced allocation オプションを使用して、特定のサイズのディスクを使用するアグリゲートを作成できます。
結果

Cloud Volumes ONTAP インスタンスが起動します。タイムラインで進行状況を追跡できます。

手順8:データ階層化用のセキュリティ証明書をインストールする

AWS Secret CloudリージョンとTop Secret Cloudリージョンでデータの階層化を有効にするには、セキュリティ証明書を手動でインストールする必要があります。

作業を開始する前に

  1. S3 バケットを作成する。

    メモ バケット名の先頭にが付いていることを確認します。 fabric-pool-. 例えば fabric-pool-testbucket

  2. インストールしたルート証明書を保持します。 step 4 便利です。

手順

  1. にインストールしたルート証明書からテキストをコピーします。 step 4

  2. CLIを使用してCloud Volumes ONTAPシステムにセキュアに接続します。

  3. ルート証明書をインストールします。必要に応じて、 ENTER 複数回キーを押す:

    security certificate install -type server-ca -cert-name <certificate-name>

  4. プロンプトが表示されたら、コピーしたテキスト全体を入力します。 ----- BEGIN CERTIFICATE ----- 終了: ----- END CERTIFICATE -----

  5. あとで参照できるように、CA署名デジタル証明書のコピーを保管しておいてください。

  6. CA名と証明書のシリアル番号は保持します。

  7. AWS Secret CloudリージョンとTop Secret Cloudリージョン用のオブジェクトストアを設定します。 set -privilege advanced -confirmations off

  8. オブジェクトストアを設定するには、このコマンドを実行します。

    メモ すべてのAmazonリソース名(ARN)にサフィックスを付加 -iso-b`など `arn:aws-iso-b。たとえば、リソースにリージョンを含むARNが必要な場合、Top Secret Cloudにはという命名規則を使用します。 us-iso-b をクリックします -server フラグ。AWS Secret Cloudの場合は us-iso-b-1 
    storage aggregate object-store config create -object-store-name <S3Bucket> -provider-type AWS_S3 -auth-type EC2-IAM -server <s3.us-iso-b-1.server_name> -container-name <fabric-pool-testbucket> -is-ssl-enabled true -port 443

  9. オブジェクトストアが作成されたことを確認します。 storage aggregate object-store show -instance

  10. オブジェクトストアをアグリゲートに接続します。この処理は、新しいアグリゲートごとに繰り返す必要があります。 storage aggregate object-store attach -aggregate <aggr1> -object-store-name <S3Bucket>