Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP の FSX のアクセス許可を設定します

共同作成者
PDF

FSx for ONTAP作業環境を作成または管理するには、FSx for ONTAP作業環境の作成に必要な権限をBlueXPに付与するIAMロールのARNを指定して、AWSクレデンシャルをBlueXPに追加する必要があります。

AWSクレデンシャルが必要な理由

BlueXP  でFSx for ONTAP作業環境を作成および管理するには、AWSのクレデンシャルが必要です。新しいAWSクレデンシャルを作成するか、既存のBlueXP  組織にAWSクレデンシャルを追加できます。クレデンシャルを使用すると、AWSクラウド環境内のリソースとプロセスを管理するために必要な権限がBlueXP  に付与されます。

クレデンシャルと権限はBlueXP  ワークロードファクトリで管理されます。BlueXP  Workload Factoryは、Amazon FSx for NetApp ONTAPファイルシステムを使用してワークロードを最適化できるように設計されたライフサイクル管理プラットフォームです。BlueXP  では、BlueXP  ワークロードファクトリと同じAWSクレデンシャルと権限のセットが使用されます。

BlueXP  ユーザは、ワークロードファクトリインターフェイスを使用して、ストレージ、VMware、データベース、生成AIなどのワークロード機能を有効にしたり、ワークロードの権限を選択したりすることができます。_ストレージ_はワークロードファクトリのストレージ管理機能であり、FSx for ONTAPファイルシステムを作成および管理するためにクレデンシャルを有効にして追加するために必要な唯一の機能です。

このタスクについて

BlueXP  Workload FactoryでストレージからFSx for ONTAPの新しいクレデンシャルを追加する場合は、どの権限レベル(operational mode)で操作するかを決定する必要があります。FSx for ONTAPファイルシステムなどのAWSリソースを検出して導入するには、_read_or_automate_permissionsが必要です。BlueXP  FSx for ONTAPは、_read_modeまたは_automate_modeを選択しないかぎり、_basic_modeで動作します。"動作モードの詳細"です。

AWSの新規および既存のクレデンシャルは、BlueXP  設定>*クレデンシャル*ページで確認できます。

クレデンシャルは、次の2つの方法で追加できます。

  • 手動:AWSアカウントにIAMポリシーとIAMロールを作成し、ワークロードファクトリにクレデンシャルを追加します。

  • 自動的に:権限に関する最小限の情報を取得し、CloudFormationスタックを使用して資格情報のIAMポリシーと役割を作成します。

アカウントへのクレデンシャルの手動追加

BlueXP  にAWSクレデンシャルを手動で追加して、固有のワークロードの実行に使用するAWSリソースの管理に必要な権限をアカウントに付与することができます。追加するクレデンシャルの各セットには、使用するワークロード機能に基づいて1つ以上のIAMポリシーと、アカウントに割り当てられたIAMロールが含まれます。

クレデンシャルの作成には、次の3つの要素があります。

  • 使用するサービスと権限レベルを選択し、AWS管理コンソールからIAMポリシーを作成します。

  • AWS管理コンソールからIAMロールを作成します。

  • BlueXP  のワークロードで、名前を入力してクレデンシャルを追加します。

FSx for ONTAP作業環境を作成または管理するには、FSx for ONTAP作業環境の作成に必要な権限をBlueXPに付与するIAMロールのARNを指定して、AWSクレデンシャルをBlueXPに追加する必要があります。

作業を開始する前に

AWSアカウントにログインするにはクレデンシャルが必要です。

手順

  1. BlueXP  コンソールで、[設定]*アイコンを選択し、[クレデンシャル]*を選択します。

  2. [認証情報の追加]*を選択します。

  3. Amazon Web Services *、FSx for ONTAP *、Next *の順に選択します。

    これで、BlueXP  ワークロードファクトリの*[クレデンシャルの追加]*ページが表示されました。

  4. [手動で追加]*を選択し、次の手順に従って_Permissions configuration_の3つのセクションに記入します。

    クレデンシャルのセットごとに手動で定義する必要がある項目を示すスクリーンショット。

手順1:ワークロードの機能を選択し、IAMポリシーを作成する

このセクションでは、これらのクレデンシャルの一部として管理できるワークロード機能のタイプと、各ワークロードに対して有効にする権限を選択します。選択した各ワークロードのポリシー権限をCodeboxからコピーし、AWSアカウント内のAWS管理コンソールに追加してポリシーを作成する必要があります。

スクリーンショットは、これらのクレデンシャルのポリシーの一部として管理できるワークロード機能のタイプを示しています。

手順

  1. セクションで、これらのクレデンシャルに含めるワークロード機能をそれぞれ有効にします。ファイルシステムを作成および管理するには、[ストレージ]*を有効にします。

    あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。

  2. 権限レベル(自動化または読み取り)を選択できるワークロード機能については、これらのクレデンシャルで使用できる権限のタイプを選択します。"権限(運用モードとも呼ばれます)について説明します。"です。

  3. [コードボックス]ウィンドウで、最初のIAMポリシーの権限をコピーします。

  4. 別のブラウザウィンドウを開き、AWS管理コンソールでAWSアカウントにログインします。

  5. IAMサービスを開き、* Policies > Create Policy *を選択します。

  6. ファイルタイプとしてJSONを選択し、手順3でコピーした権限を貼り付けて* Next *を選択します。

  7. ポリシーの名前を入力し、*[ポリシーの作成]*を選択します。

  8. 手順1で複数のワークロード機能を選択した場合は、これらの手順を繰り返して、ワークロード権限のセットごとにポリシーを作成します。

手順2:ポリシーを使用するIAMロールを作成する

このセクションでは、作成した権限とポリシーが含まれているとWorkload Factoryが想定するIAMロールを設定します。

新しいロールに追加する権限を示すスクリーンショット。

手順

  1. AWS管理コンソールで、*[Roles]>[Create Role]*を選択します。

  2. 信頼されるエンティティのタイプ * で、 * AWS アカウント * を選択します。

    1. 別のAWSアカウント*を選択し、BlueXP  ワークロードファクトリのユーザインターフェイスからFSx for ONTAPワークロード管理のアカウントIDをコピーして貼り付けます。

    2. [Required external ID]*を選択し、BlueXP  ワークロードのユーザインターフェイスから外部IDをコピーして貼り付けます。

  3. 「 * 次へ * 」を選択します。

  4. [アクセス許可ポリシー]セクションで、以前に定義したすべてのポリシーを選択し、*[次へ]*を選択します。

  5. ロールの名前を入力し、*[ロールの作成]*を選択します。

  6. ロールARNをコピーします。

  7. BlueXP  Workloads Add credentialsページに戻り、* Create role *セクションを展開し、_Role ARN_フィールドにARNを貼り付けます。

手順3:名前を入力してクレデンシャルを追加

最後に、BlueXP  ワークロードファクトリでクレデンシャルの名前を入力します。

手順

  1. BlueXP  ワークロードのクレデンシャルの追加ページで、*クレデンシャル名*を展開します。

  2. これらのクレデンシャルに使用する名前を入力します。

  3. [追加]*を選択してクレデンシャルを作成します。

結果

クレデンシャルが作成され、[Credentials]ページで表示できます。ONTAP 作業環境で FSX を作成するときに、資格情報を使用できるようになりました。

CloudFormationを使用してアカウントにクレデンシャルを追加する

AWS CloudFormationスタックを使用してAWSクレデンシャルをBlueXP  ワークロードに追加するには、使用するワークロード機能を選択し、AWSアカウントでAWS CloudFormationスタックを起動します。CloudFormationは、選択したワークロード機能に基づいて、IAMポリシーとIAMロールを作成します。

作業を開始する前に

  • AWSアカウントにログインするにはクレデンシャルが必要です。

  • CloudFormationスタックを使用してクレデンシャルを追加する場合は、AWSアカウントで次の権限が必要です。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeChangeSet",
                "cloudformation:ExecuteChangeSet",
                "cloudformation:ListStacks",
                "cloudformation:ListStackResources",
                "cloudformation:GetTemplate",
                "cloudformation:ValidateTemplate",
                "lambda:InvokeFunction",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:AttachRolePolicy",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*"
        }
    ]
}
手順

  1. BlueXP  コンソールで、[設定]*アイコンを選択し、[クレデンシャル]*を選択します。

  2. [認証情報の追加]*を選択します。

  3. Amazon Web Services 、FSx for ONTAP *、Next *の順に選択します。これで、BlueXP  ワークロードファクトリの[クレデンシャルの追加]*ページが表示されました。

  4. [Add via AWS CloudFormation]*を選択します。

    CloudFormationを起動してクレデンシャルを作成する前に定義する必要がある項目を示すスクリーンショット。

  5. [ポリシーの作成]*で、これらのクレデンシャルに含める各ワークロード機能を有効にし、各ワークロードの権限レベルを選択します。

    あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。

  6. [クレデンシャル名]*で、これらのクレデンシャルに使用する名前を入力します。

  7. AWS CloudFormationからクレデンシャルを追加します。

    1. [Add]*(または[Redirect to CloudFormation]*を選択)を選択すると、[Redirect to CloudFormation]ページが表示されます。

      ポリシーを追加するためのCloudFormationスタックの作成方法と、ワークロードファクトリのクレデンシャルのロールを示すスクリーンショット。

    2. AWSでシングルサインオン(SSO)を使用している場合は、別のブラウザタブを開き、AWSコンソールにログインしてから*[続行]*を選択します。

      FSx for ONTAPファイルシステムが配置されているAWSアカウントにログインする必要があります。

    3. [Redirect to CloudFormation]ページから[Continue]*を選択します。

    4. [Quick create stack]ページの[Capabilities]で、*[I acknowledge that AWS CloudFormation might create IAM resources]*を選択します。

    5. [スタックの作成]*を選択します。

    6. BlueXP  ワークロードファクトリに戻り、メニューアイコンから[Credentials]ページを開き、新しいクレデンシャルが実行中であるか、または追加されていることを確認します。

結果

クレデンシャルが作成され、[Credentials]ページで表示できます。ONTAP 作業環境で FSX を作成するときに、資格情報を使用できるようになりました。