Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

BlueXPのAWSクレデンシャルとマーケットプレイスサブスクリプションを管理

共同作成者
PDF

AWSクレデンシャルを追加および管理して、BlueXPがAWSアカウントでクラウドリソースを導入および管理するために必要な権限を持つようにします。複数のAWS Marketplaceサブスクリプションを管理している場合は、[Credentials]ページで各サブスクリプションを異なるAWSクレデンシャルに割り当てることができます。

概要

AWSクレデンシャルを既存のコネクタに追加するか、またはBlueXPに直接追加できます。

クレデンシャルのローテーション方法

BlueXPでは、いくつかの方法でAWSクレデンシャルを提供できます。コネクタインスタンスに関連付けられたIAMロールで、信頼されたアカウントでIAMロールを割り当てるか、AWSアクセスキーを指定します。 "AWS のクレデンシャルと権限に関する詳細情報"

最初の2つのオプションでは、BlueXPはAWS Security Token Serviceを使用して、絶えず回転する一時的な資格情報を取得します。このプロセスは自動でセキュアであるため、ベストプラクティスです。

BlueXPにAWSアクセスキーを提供する場合は、BlueXPで定期的にキーを更新して、キーを回転させる必要があります。これは完全に手動で行います。

コネクタにクレデンシャルを追加してください

AWSクレデンシャルをコネクタに追加して、パブリッククラウド環境内のリソースとプロセスの管理に必要な権限をコネクタに付与します。別のアカウントの IAM ロールの ARN を指定するか、 AWS アクセスキーを指定できます。

BlueXPを使い始めたばかりの方は、 "BlueXPでのAWSのクレデンシャルと権限の使用方法をご紹介します"

権限を付与します

ConnectorにAWSクレデンシャルを追加する前に、必要な権限を指定する必要があります。この権限を持つBlueXPは、そのAWSアカウント内のリソースとプロセスを管理できるようになります。アクセス許可の指定方法は、BlueXPに信頼されたアカウントまたはAWSキーの役割のARNを提供するかどうかによって異なります。

メモ BlueXPからコネクタを導入した場合'BlueXPはコネクタを導入したアカウントのAWS資格情報を自動的に追加しましたこの初期アカウントは、AWS MarketplaceからConnectorを導入した場合や、Connectorソフトウェアを既存のシステムに手動でインストールした場合は追加されません。 "AWS のクレデンシャルと権限について説明します"

別のアカウントで IAM ロールを想定して権限を付与します

IAM ロールを使用して、コネクタインスタンスを導入したソース AWS アカウントと他の AWS アカウントの間に信頼関係を設定できます。次に、信頼できるアカウントのIAMロールのARNをBlueXPに提供します。

コネクタがオンプレミスにインストールされている場合、この認証方法は使用できません。AWSキーを使用する必要があります。

手順

  1. コネクタに権限を付与するターゲットアカウントのIAMコンソールに移動します。

  2. [Access Management]で、*[Roles]>[Create Role]*を選択し、手順に従ってロールを作成します。

    必ず次の手順を実行してください。

    • 信頼されるエンティティのタイプ * で、 * AWS アカウント * を選択します。

    • 別の AWS アカウント * を選択し、コネクタインスタンスが存在するアカウントの ID を入力します。

    • の内容をコピーして貼り付けることで、必要なポリシーを作成します "コネクタのIAMポリシー"

  3. 後でBlueXPに貼り付けることができるように、IAMロールの役割ARNをコピーします。

結果

これで、アカウントに必要な権限が付与されました。 これで、クレデンシャルをコネクタに追加できるようになりました

AWS キーを指定して権限を付与します

IAMユーザにAWSキーを提供する場合は、そのユーザに必要な権限を付与する必要があります。BlueXP IAMポリシーでは、BlueXPで使用できるAWSのアクションとリソースを定義しています。

コネクタがオンプレミスにインストールされている場合は、この認証方法を使用する必要があります。IAMロールは使用できません。

手順

  1. IAMコンソールで、の内容をコピーして貼り付けることでポリシーを作成する "コネクタのIAMポリシー"

    "AWS のドキュメント:「 Creating IAM Policies"

  2. IAMロールまたはIAMユーザにポリシーを関連付けます。

結果

これで、アカウントに必要な権限が付与されました。 これで、クレデンシャルをコネクタに追加できるようになりました

クレデンシャルを追加します

必要な権限を AWS アカウントに付与したら、そのアカウントのクレデンシャルを既存のコネクタに追加できます。これにより、同じコネクタを使用してアカウントの Cloud Volumes ONTAP システムを起動できます。

作業を開始する前に

作成したクレデンシャルをクラウドプロバイダで使用できるようになるまでに数分かかることがあります。数分待ってから、BlueXPに資格情報を追加します。

手順

  1. BlueXPで正しいコネクタが選択されていることを確認します

  2. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

    BlueXPコンソールの右上にある設定アイコンを示すスクリーンショット。

  3. または[Account credentials]ページで、[Add Credentials]*を選択し、ウィザードの手順に従います。

    1. * 資格情報の場所 * :「 * Amazon Web Services > Connector * 」を選択します。

    2. * クレデンシャルの定義 * :信頼された IAM ロールの ARN ( Amazon リソース名)を指定するか、 AWS アクセスキーとシークレットキーを入力します。

    3. * Marketplace サブスクリプション *: 今すぐ登録するか、既存のサブスクリプションを選択して、 Marketplace サブスクリプションをこれらの資格情報に関連付けます。

      BlueXPサービスの料金を時間単位(PAYGO)または年間契約で支払うには、AWSクレデンシャルをAWS Marketplaceサブスクリプションに関連付ける必要があります。

    4. 確認:新しいクレデンシャルの詳細を確認し、*[追加]*を選択します。

結果

新しい作業環境を作成するときに、 [ 詳細と資格情報 ] ページから別の資格情報セットに切り替えることができるようになりました。

"[Details Credentialsページで[Switch Account]を選択した後、クラウドプロバイダアカウントを選択するスクリーンショット。"]

コネクタを作成するために、BlueXPに資格情報を追加します

BlueXPに、Connectorの作成に必要な権限をBlueXPに与えるIAMロールのARNを提供して、AWSクレデンシャルをBlueXPに追加します。これらのクレデンシャルは、新しいコネクタを作成するときに選択できます。

IAM ロールを設定します

BlueXP  Software as a Service(SaaS)レイヤが役割を引き継ぐことを可能にするIAMロールを設定します。

手順

  1. ターゲットアカウントの IAM コンソールに移動します。

  2. [Access Management]で、*[Roles]>[Create Role]*を選択し、手順に従ってロールを作成します。

    必ず次の手順を実行してください。

  3. 次の手順で、IAMロールのロールARNをコピーしてBlueXPに貼り付けることができます。

結果

IAM ロールに必要な権限が割り当てられます。 これで、BlueXPに追加できます

クレデンシャルを追加します

IAMロールに必要な権限を付与したら、BlueXPにARNロールを追加します。

作業を開始する前に

IAM ロールを作成したばかりの場合は、使用できるようになるまで数分かかることがあります。数分待ってから、BlueXPに資格情報を追加します。

手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

    BlueXPコンソールの右上にある設定アイコンを示すスクリーンショット。

  2. または[Account credentials]ページで、[Add Credentials]*を選択し、ウィザードの手順に従います。

    1. 資格情報の場所:「* Amazon Web Services > BlueXP *」を選択します。

    2. * クレデンシャルの定義 * : IAM ロールの ARN ( Amazon リソース名)を指定します。

    3. 確認:新しいクレデンシャルの詳細を確認し、*[追加]*を選択します。

結果

新しいコネクタを作成するときにクレデンシャルを使用できるようになりました。

BlueXP for Amazon FSx for ONTAP にクレデンシャルを追加

詳細については、を参照してください "Amazon FSx for ONTAP 向けBlueXPドキュメント"

AWS サブスクリプションを関連付ける

AWSのクレデンシャルをBlueXPに追加したら、AWS Marketplaceサブスクリプションをそれらのクレデンシャルに関連付けることができます。このサブスクリプションでは、Cloud Volumes ONTAP の料金を時間単位(PAYGO)または年単位の契約で支払い、その他のBlueXPサービスを利用できます。

BlueXPに資格情報を追加した後、AWS Marketplaceサブスクリプションを関連付けるシナリオは2つあります。

  • BlueXPに最初に資格情報を追加したときに、サブスクリプションを関連付けませんでした。

  • AWSクレデンシャルに関連付けられているAWS Marketplaceサブスクリプションを変更する。

    現行のMarketplaceサブスクリプションを新しいサブスクリプションに置き換えると、既存のCloud Volumes ONTAP作業環境とすべての新規作業環境のMarketplaceサブスクリプションが変更されます。

作業を開始する前に

BlueXP設定を変更する前にコネクタを作成する必要があります。 "コネクタの作成方法を説明します"

手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

  2. 一連の資格情報のアクションメニューを選択し、*サブスクリプションの関連付け*を選択します。

    コネクタに関連付けられているクレデンシャルを選択する必要があります。BlueXPに関連付けられているクレデンシャルにMarketplaceサブスクリプションを関連付けることはできません。

    一連の既存のクレデンシャルに対する操作メニューのスクリーンショット。

  3. クレデンシャルを既存のサブスクリプションに関連付けるには、ダウンリストからサブスクリプションを選択し、*[関連付け]*を選択します。

  4. クレデンシャルを新しいサブスクリプションに関連付けるには、*[Add Subscription]>[Continue]*を選択し、AWS Marketplaceで次の手順を実行します。

    1. [購入オプションの表示]*を選択します。

    2. [サブスクライブ]*を選択します。

    3. [アカウントを設定する]*を選択します。

      BlueXPのWebサイトにリダイレクトされます

    4. [サブスクリプションの割り当て*]ページで、次の操作を行います。

      • このサブスクリプションを関連付けるBlueXP  組織またはアカウントを選択します。

      • [既存のサブスクリプションを置き換える]*フィールドで、1つの組織またはアカウントの既存のサブスクリプションをこの新しいサブスクリプションに自動的に置き換えるかどうかを選択します。

        BlueXP  は、組織またはアカウントのすべてのクレデンシャルの既存のサブスクリプションをこの新しいサブスクリプションに置き換えます。一連の資格情報がサブスクリプションに関連付けられていない場合、この新しいサブスクリプションはこれらの資格情報に関連付けられません。

      他のすべての組織またはアカウントについては、これらの手順を繰り返して手動でサブスクリプションを関連付ける必要があります。

      • [ 保存( Save ) ] を選択します。

        次のビデオは、AWS Marketplaceからサブスクライブする手順を示しています。

    AWS MarketplaceでBlueXPにサブスクライブ

既存のサブスクリプションを組織またはアカウントに関連付ける

AWS MarketplaceからBlueXP  にサブスクライブする場合、最後にBlueXP  のWebサイトからBlueXP  組織またはBlueXP  アカウントにサブスクリプションを関連付ける必要があります。この手順を完了していない場合は、BlueXP  組織またはアカウントでサブスクリプションを使用することはできません。

ヒント BlueXP  を標準モードで使用している場合は、BlueXP  IDおよびアクセス管理(IAM)を使用して管理する_ BlueXP  organization_があります。ただし、制限モードまたはプライベートモードでBlueXP  を使用している場合は、_ BlueXP  アカウント_があります。

AWS MarketplaceからBlueXPのサブスクリプションを登録していて、アカウントにサブスクリプションを関連付ける手順をまだ間に合わなかった場合は、次の手順を実行してください。

手順

  1. BlueXP  のデジタルウォレットにアクセスして、サブスクリプションがBlueXP  の組織またはアカウントに関連付けられていないことを確認します。

    1. BlueXPナビゲーションメニューから、* Governance > Digital Wallet *を選択します。

    2. [サブスクリプション]を選択します。

    3. BlueXPサブスクリプションが表示されないことを確認します。

      現在表示している組織またはアカウントに関連付けられているサブスクリプションのみが表示されます。サブスクリプションが表示されない場合は、次の手順に進みます。

  2. AWSコンソールにログインし、*[AWS Marketplace Subscriptions]*に移動します。

  3. NetApp BlueXPサブスクリプションを見つけましょう。

    AWS Marketplaceのスクリーンショット。NetApp BlueXPサブスクリプションが表示されています。

  4. [製品の設定]*を選択します。

    サブスクリプションオファーページが新しいブラウザタブまたはウィンドウにロードされます。

  5. [アカウントを設定する]*を選択します。

    "AWS Marketplaceのスクリーンショット。NetApp BlueXPサブスクリプションとページの右上に表示される[Set up your accountオプションを示しています。"]

    netapp.comの* Subscription Assignment *ページが新しいブラウザタブまたはウィンドウにロードされます。

    最初にBlueXPにログインするように求められる場合があります。

  6. [サブスクリプションの割り当て*]ページで、次の操作を行います。

    • このサブスクリプションを関連付けるBlueXP  組織またはアカウントを選択します。

    • [既存のサブスクリプションを置き換える]*フィールドで、1つの組織またはアカウントの既存のサブスクリプションをこの新しいサブスクリプションに自動的に置き換えるかどうかを選択します。

      BlueXP  は、組織またはアカウントのすべてのクレデンシャルの既存のサブスクリプションをこの新しいサブスクリプションに置き換えます。一連の資格情報がサブスクリプションに関連付けられていない場合、この新しいサブスクリプションはこれらの資格情報に関連付けられません。

      他のすべての組織またはアカウントについては、これらの手順を繰り返して手動でサブスクリプションを関連付ける必要があります。

    "[Subscription Assignmentページのスクリーンショット。このサブスクリプションに関連付けるBlueXPアカウントを選択できます。"]

  7. BlueXP  のデジタルウォレットに移動して、サブスクリプションがBlueXP  の組織またはアカウントに関連付けられていることを確認します。

    1. BlueXPナビゲーションメニューから、* Governance > Digital Wallet *を選択します。

    2. [サブスクリプション]を選択します。

    3. BlueXPサブスクリプションが表示されることを確認します。

  8. サブスクリプションがAWSクレデンシャルに関連付けられていることを確認します。

    1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

    2. または[Account credentials]*ページで、サブスクリプションがAWSクレデンシャルに関連付けられていることを確認します。

      次に例を示します。

    "BlueXPの[Account credentialsページのスクリーンショット。AWSクレデンシャルには、クレデンシャルに関連付けられているサブスクリプションの名前を示すサブスクリプションフィールドが含まれています。"]

クレデンシャルを編集する

BlueXPでAWSクレデンシャルを編集するには、アカウントタイプ(AWSキーまたは権限)を変更するか、名前を編集するか、クレデンシャル自体(キーまたはロールARN)を更新します。

ヒント コネクタインスタンスに関連付けられているインスタンスプロファイルのクレデンシャルは編集できません。
手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

  2. または[Account credentials]ページで、一連のクレデンシャルのアクションメニューを選択し、[Edit Credentials]*を選択します。

  3. 必要な変更を行い、*適用*を選択します。

クレデンシャルを削除

一連の資格情報が不要になった場合は、BlueXPから削除できます。削除できるのは、作業環境に関連付けられていないクレデンシャルのみです。

ヒント コネクタインスタンスに関連付けられているインスタンスプロファイルのクレデンシャルは削除できません。
手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

  2. または[Account credentials]ページで、一連のクレデンシャルのアクションメニューを選択し、[Delete Credentials]*を選択します。

  3. [削除]*を選択して確定します。