Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

AWS のクレデンシャルと権限について説明します

共同作成者
PDF

BlueXPがAWSクレデンシャルを使用してユーザに代わって操作を実行する方法と、それらのクレデンシャルがマーケットプレイスのサブスクリプションにどのように関連付けられているかをご確認くださいこれらの詳細を理解しておくと、BlueXPで1つ以上のAWSアカウントのクレデンシャルを管理する際に役立ちます。たとえば、AWSクレデンシャルをBlueXPに追加するタイミングを把握できます。

AWS の初期クレデンシャル

BlueXPからコネクタを展開する場合は、IAMロールのARNまたはIAMユーザのアクセスキーを指定する必要があります。使用する認証方式に、 Connector インスタンスを AWS に導入するための必要な権限がある必要があります。必要な権限は、に表示されます "AWS 用のコネクタ導入ポリシー"

BlueXPがAWSでコネクタインスタンスを起動すると、インスタンスのIAMロールとインスタンスプロファイルが作成されます。また、ポリシーを適用して、指定した AWS アカウント内のリソースやプロセスを管理する権限を Connector に提供します。 "BlueXPがどのように権限を使用しているかを確認します"

BlueXPがConnectorをAWSアカウントに導入する様子を示す概念図。IAMポリシーは、BlueXPインスタンスに関連付けられているIAMロールに割り当てられている。

Cloud Volumes ONTAPの新しい作業環境を作成すると、BlueXPでは次のAWSクレデンシャルがデフォルトで選択されます。

"[Details Credentialsページの[Switch Account]オプションを示すスクリーンショット。"]

すべての Cloud Volumes ONTAP システムは、初期の AWS クレデンシャルを使用して導入することも、クレデンシャルを追加することもできます。

追加の AWS クレデンシャル

次の場合、BlueXP  にAWSクレデンシャルを追加することがあります。

  • 既存のBlueXP  Connectorを追加のAWSアカウントで使用するには

  • 特定のAWSアカウントで新しいコネクタを作成するには

  • FSx for ONTAPファイルシステムの作成と管理

詳細については、以下のセクションを参照してください。

別のAWSアカウントでコネクタを使用するためのAWSクレデンシャルを追加する

BlueXPを追加のAWSアカウントで使用する場合は、IAMユーザのAWSキー、または信頼されたアカウントのロールのARNを指定できます。次の図は、 2 つの追加アカウントを示しています。 1 つは、信頼されたアカウントの IAM ロールを介してアクセス許可を提供し、もう 1 つは IAM ユーザの AWS キーを使用してアクセス許可を提供します。

2 つの追加アカウントを示す概念図。各には IAM ポリシーが 1 つあり、 1 つは IAM ユーザに関連付けられ、もう 1 つは IAM ロールに関連付けられている。」

その後、IAMロールのAmazon Resource Name(ARN)またはIAMユーザのAWSキーを指定して、アカウントクレデンシャルをBlueXPに追加します。

たとえば、新しいCloud Volumes ONTAP 作業環境を作成するときにクレデンシャルを切り替えることができます。

"[Details Credentialsページで[Switch Account]を選択した後、クラウドプロバイダアカウントを選択するスクリーンショット。"]

"既存のコネクタにAWSクレデンシャルを追加する方法を説明します。"

AWSクレデンシャルを追加してコネクタを作成

BlueXP  に新しいAWSクレデンシャルを追加すると、コネクタの作成に必要な権限が付与されます。

"コネクタを作成するためにAWSクレデンシャルをBlueXPに追加する方法について説明します"

FSx for ONTAP用のAWSクレデンシャルの追加

BlueXP  に新しいAWSクレデンシャルを追加すると、FSx for ONTAP作業環境の作成と管理に必要な権限が付与されます。

"BlueXP for Amazon FSx for ONTAP にAWSクレデンシャルを追加する方法をご紹介します"

クレデンシャルとマーケットプレイスのサブスクリプション

Cloud Volumes ONTAPの料金を時間単位(PAYGO)または年間契約で支払い、その他のBlueXPサービスを使用できるようにするには、Connectorに追加するクレデンシャルをAWS Marketplaceサブスクリプションに関連付ける必要があります。

"AWSサブスクリプションを関連付ける方法について説明します"

AWSクレデンシャルとマーケットプレイスサブスクリプションについては、次の点に注意してください。

  • 1つのAWSクレデンシャルに関連付けることができるAWS Marketplaceサブスクリプションは1つだけです。

  • 既存のMarketplaceサブスクリプションを新しいサブスクリプションに置き換えることが可能

よく寄せられる質問

次の質問は、クレデンシャルとサブスクリプションに関するものです。

AWS クレデンシャルを安全にローテーションするにはどうすればよいですか。

前述のセクションで説明したように、BlueXPではいくつかの方法でAWSクレデンシャルを指定できます。コネクタインスタンスに関連付けられたIAMロール、信頼されたアカウントでIAMロールを想定するか、AWSアクセスキーを指定します。

最初の2つのオプションでは、BlueXPはAWS Security Token Serviceを使用して、絶えず回転する一時的な資格情報を取得します。このプロセスはベストプラクティスであり、自動的に実行され、セキュリティが確保されています。

BlueXPにAWSアクセスキーを提供する場合は、BlueXPで定期的にキーを更新して、キーを回転させる必要があります。これは完全に手動で行います。

AWS MarketplaceのCloud Volumes ONTAP作業環境向けサブスクリプションを変更できますか。

はい、できます。一連のクレデンシャルに関連付けられているAWS Marketplaceサブスクリプションを変更すると、既存および新規のすべてのCloud Volumes ONTAP作業環境に新しいサブスクリプション料金が請求されます。

"AWSサブスクリプションを関連付ける方法について説明します"

マーケットプレイスのサブスクリプションごとに、複数のAWSクレデンシャルを追加できますか。

同じAWSアカウントに属するすべてのAWSクレデンシャルは、同じAWS Marketplaceサブスクリプションに関連付けられます。

異なるAWSアカウントに属する複数のAWSクレデンシャルがある場合は、それらのクレデンシャルを同じAWS Marketplaceサブスクリプションまたは異なるサブスクリプションに関連付けることができます。

既存のCloud Volumes ONTAP作業環境を別のAWSアカウントに移動できますか。

いいえ、Cloud Volumes ONTAP作業環境に関連付けられているAWSリソースを別のAWSアカウントに移動することはできません。

マーケットプレイスの導入とオンプレミスの導入でクレデンシャルはどのように機能しますか?

上記の項では、BlueXPのコネクタの推奨される展開方法について説明します。AWS MarketplaceからAWSにコネクタを導入したり、独自のLinuxホストにコネクタソフトウェアを手動でインストールしたりすることもできます。

Marketplace を使用する場合も、アクセス許可は同じ方法で提供されます。IAM ロールを手動で作成して設定し、追加のアカウントに権限を付与するだけで済みます。

オンプレミス環境の場合、BlueXPシステム用のIAMロールを設定することはできませんが、AWSアクセスキーを使用して権限を指定することはできます。

権限の設定方法については、次のページを参照してください。