Skip to main content
BlueXP setup and administration
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

BlueXPのAWSクレデンシャルとマーケットプレイスサブスクリプションを管理

共同作成者 netapp-bcammett netapp-tonias netapp-rlithman
PDF

BlueXP から AWS アカウントのクラウド リソースをデプロイおよび管理できるように、AWS 認証情報を追加および管理します。複数のAWS Marketplaceサブスクリプションを管理している場合は、[Credentials]ページで各サブスクリプションを異なるAWSクレデンシャルに割り当てることができます。

概要

AWSクレデンシャルを既存のコネクタに追加するか、またはBlueXPに直接追加できます。

クレデンシャルのローテーション方法

BlueXPでは、いくつかの方法でAWSクレデンシャルを提供できます。コネクタインスタンスに関連付けられたIAMロールで、信頼されたアカウントでIAMロールを割り当てるか、AWSアクセスキーを指定します。 "AWS のクレデンシャルと権限に関する詳細情報"

最初の2つのオプションでは、BlueXPはAWS Security Token Serviceを使用して、絶えず回転する一時的な資格情報を取得します。このプロセスは自動でセキュアであるため、ベストプラクティスです。

BlueXPでAWSアクセスキーを更新し、定期的にローテーションしてください。このプロセスは手動で行います。

コネクタにクレデンシャルを追加してください

AWSクレデンシャルをコネクタに追加して、パブリッククラウド環境内のリソースとプロセスの管理に必要な権限をコネクタに付与します。別のアカウントの IAM ロールの ARN を指定するか、 AWS アクセスキーを指定できます。

BlueXPを使い始めたばかりの方は、 "BlueXPでのAWSのクレデンシャルと権限の使用方法をご紹介します"

権限を付与します

AWS認証情報をコネクタに追加する前に、必要な権限を付与してください。これらの権限により、コネクタはAWSアカウント内のリソースとプロセスを管理できます。権限は、信頼できるアカウントのロールのARNまたはAWSキーを使用して付与できます。

メモ BlueXPからコネクタを導入した場合'BlueXPはコネクタを導入したアカウントのAWS資格情報を自動的に追加しましたこれにより、リソースを管理するために必要な権限が確保されます。"AWS のクレデンシャルと権限について説明します"です。

別のアカウントで IAM ロールを想定して権限を付与します

IAM ロールを使用して、コネクタインスタンスを導入したソース AWS アカウントと他の AWS アカウントの間に信頼関係を設定できます。次に、信頼できるアカウントのIAMロールのARNをBlueXPに提供します。

コネクタがオンプレミスにインストールされている場合、この認証方法は使用できません。AWSキーを使用する必要があります。

手順

  1. コネクタに権限を付与するターゲットアカウントのIAMコンソールに移動します。

  2. [Access Management]で、*[Roles]>[Create Role]*を選択し、手順に従ってロールを作成します。

    必ず次の手順を実行してください。

    • 信頼されるエンティティのタイプ * で、 * AWS アカウント * を選択します。

    • 別の AWS アカウント * を選択し、コネクタインスタンスが存在するアカウントの ID を入力します。

    • の内容をコピーして貼り付けることで、必要なポリシーを作成します "コネクタのIAMポリシー"

  3. 後でBlueXPに貼り付けることができるように、IAMロールの役割ARNをコピーします。

結果

これで、アカウントに必要な権限が付与されました。 これで、クレデンシャルをコネクタに追加できるようになりました

AWS キーを指定して権限を付与します

IAMユーザにAWSキーを提供する場合は、そのユーザに必要な権限を付与する必要があります。BlueXP IAMポリシーでは、BlueXPで使用できるAWSのアクションとリソースを定義しています。

コネクタがオンプレミスにインストールされている場合は、この認証方法を使用する必要があります。IAMロールは使用できません。

手順

  1. IAMコンソールで、の内容をコピーして貼り付けることでポリシーを作成する "コネクタのIAMポリシー"

    "AWS のドキュメント:「 Creating IAM Policies"

  2. IAMロールまたはIAMユーザにポリシーを関連付けます。

結果

これで、アカウントに必要な権限が付与されました。 これで、クレデンシャルをコネクタに追加できるようになりました

クレデンシャルを追加します

必要な権限を AWS アカウントに付与したら、そのアカウントのクレデンシャルを既存のコネクタに追加できます。これにより、同じコネクタを使用してアカウントの Cloud Volumes ONTAP システムを起動できます。

作業を開始する前に

作成したクレデンシャルをクラウドプロバイダで使用できるようになるまでに数分かかることがあります。数分待ってから資格情報を追加します。

手順

  1. 上部のナビゲーション バーを使用して、資格情報を追加するコネクタを選択します。

  2. コンソールの右上にある設定アイコンを選択し、*資格情報*を選択します。

    BlueXPコンソールの右上にある設定アイコンを示すスクリーンショット。

  3. または[Account credentials]ページで、[Add Credentials]*を選択し、ウィザードの手順に従います。

    1. * 資格情報の場所 * :「 * Amazon Web Services > Connector * 」を選択します。

    2. * クレデンシャルの定義 * :信頼された IAM ロールの ARN ( Amazon リソース名)を指定するか、 AWS アクセスキーとシークレットキーを入力します。

    3. * Marketplace サブスクリプション *: 今すぐ登録するか、既存のサブスクリプションを選択して、 Marketplace サブスクリプションをこれらの資格情報に関連付けます。

      時間単位の料金 (PAYGO) または年間契約でサービス料金を支払うには、AWS 認証情報を AWS Marketplace サブスクリプションに関連付ける必要があります。

    4. 確認:新しいクレデンシャルの詳細を確認し、*[追加]*を選択します。

結果

新しい作業環境を作成するときに、 [ 詳細と資格情報 ] ページから別の資格情報セットに切り替えることができるようになりました。

"[Details Credentialsページで[Switch Account]を選択した後、クラウドプロバイダアカウントを選択するスクリーンショット。"]

コネクタを作成するために、BlueXPに資格情報を追加します

コネクタの作成に必要な権限を付与する IAM ロールの ARN を指定して、AWS 認証情報を追加します。これらのクレデンシャルは、新しいコネクタを作成するときに選択できます。

IAM ロールを設定します

BlueXP  Software as a Service(SaaS)レイヤが役割を引き継ぐことを可能にするIAMロールを設定します。

手順

  1. ターゲットアカウントの IAM コンソールに移動します。

  2. [Access Management]で、*[Roles]>[Create Role]*を選択し、手順に従ってロールを作成します。

    必ず次の手順を実行してください。

    • 信頼されるエンティティのタイプ * で、 * AWS アカウント * を選択します。

    • 別のAWSアカウント*を選択して、BlueXP SaaSのID 952013314444を入力します

    • 特にAmazon FSx for NetApp ONTAPの場合は、信頼関係 ポリシーを編集して "AWS": "arn:aws:iam::952013314444:root" を含めます。

      たとえば、ポリシーは次のようになります。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::952013314444:root",
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    +
    参照"AWS Identity and Access Management (IAM) ドキュメント" IAM でのクロスアカウント リソース アクセスの詳細については、こちらをご覧ください。

  3. 次の手順で、IAMロールのロールARNをコピーしてBlueXPに貼り付けることができます。

結果

IAM ロールに必要な権限が割り当てられます。 これで、BlueXPに追加できます

クレデンシャルを追加します

IAMロールに必要な権限を付与したら、BlueXPにARNロールを追加します。

作業を開始する前に

IAM ロールを作成したばかりの場合は、使用できるようになるまで数分かかることがあります。数分待ってから、BlueXPに資格情報を追加します。

手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

    BlueXPコンソールの右上にある設定アイコンを示すスクリーンショット。

  2. または[Account credentials]ページで、[Add Credentials]*を選択し、ウィザードの手順に従います。

    1. 資格情報の場所:「* Amazon Web Services > BlueXP *」を選択します。

    2. * クレデンシャルの定義 * : IAM ロールの ARN ( Amazon リソース名)を指定します。

    3. 確認:新しいクレデンシャルの詳細を確認し、*[追加]*を選択します。

BlueXP for Amazon FSx for ONTAP にクレデンシャルを追加

詳細については、を参照してください "Amazon FSx for ONTAP 向けBlueXPドキュメント"

AWSサブスクリプションを設定

AWS認証情報を追加したら、その認証情報を使用してAWS Marketplaceサブスクリプションを設定できます。このサブスクリプションにより、Cloud Volumes ONTAPの料金を時間単位(PAYGO)または年間契約でお支払いいただけるほか、その他のデータサービスもご利用いただけます。

認証情報を追加した後に AWS Marketplace サブスクリプションを構成するシナリオは 2 つあります。

  • 資格情報を最初に追加したときに、サブスクリプションを構成しませんでした。

  • AWSクレデンシャルに設定されているAWS Marketplaceサブスクリプションを変更する。

    現行のMarketplaceサブスクリプションを新しいサブスクリプションに置き換えると、既存のCloud Volumes ONTAP作業環境とすべての新規作業環境のMarketplaceサブスクリプションが変更されます。

作業を開始する前に

サブスクリプションを構成する前に、コネクタを作成する必要があります。"コネクタの作成方法を説明します"です。

次のビデオは、AWS Marketplace から NetApp Intelligent Services をサブスクライブする手順を示しています。

AWS MarketplaceからNetAppインテリジェントサービスにサブスクライブする
手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

  2. 一連の資格情報のアクションメニューを選択し、*サブスクリプションの設定*を選択します。

    コネクタに関連付けられているクレデンシャルを選択する必要があります。BlueXPに関連付けられているクレデンシャルにMarketplaceサブスクリプションを関連付けることはできません。

    一連の既存のクレデンシャルに対する操作メニューのスクリーンショット。

  3. クレデンシャルを既存のサブスクリプションに関連付けるには、ダウンリストからサブスクリプションを選択し、*[設定]*を選択します。

  4. クレデンシャルを新しいサブスクリプションに関連付けるには、*[Add Subscription]>[Continue]*を選択し、AWS Marketplaceで次の手順を実行します。

    1. [購入オプションの表示]*を選択します。

    2. [サブスクライブ]*を選択します。

    3. [アカウントを設定する]*を選択します。

      BlueXPのWebサイトにリダイレクトされます

    4. [サブスクリプションの割り当て*]ページで、次の操作を行います。

      • このサブスクリプションを関連付けるBlueXP  組織またはアカウントを選択します。

      • [既存のサブスクリプションを置き換える]*フィールドで、1つの組織またはアカウントの既存のサブスクリプションをこの新しいサブスクリプションに自動的に置き換えるかどうかを選択します。

        BlueXP  は、組織またはアカウントのすべてのクレデンシャルの既存のサブスクリプションをこの新しいサブスクリプションに置き換えます。一連の資格情報がサブスクリプションに関連付けられていない場合、この新しいサブスクリプションはこれらの資格情報に関連付けられません。

    他のすべての組織またはアカウントについては、これらの手順を繰り返して手動でサブスクリプションを関連付ける必要があります。

    • [ 保存( Save ) ] を選択します。

既存のサブスクリプションを組織またはアカウントに関連付ける

AWS Marketplace からサブスクリプションを申し込む場合、プロセスの最後のステップは、サブスクリプションを組織に関連付けることです。このステップを完了していない場合、組織またはアカウントでサブスクリプションを使用することはできません。

AWS Marketplace から NetApp インテリジェント データ サービスにサブスクライブしたが、サブスクリプションをアカウントに関連付ける手順を忘れた場合は、以下の手順に従ってください。

手順

  1. デジタル ウォレットにアクセスして、サブスクリプションを BlueXP 組織またはアカウントに関連付けていないことを確認します。

    1. ナビゲーション メニューから、ガバナンス > デジタル ウォレット を選択します。

    2. [サブスクリプション]を選択します。

    3. サブスクリプションが表示されていないことを確認します。

      現在表示している組織またはアカウントに関連付けられているサブスクリプションのみが表示されます。サブスクリプションが表示されない場合は、次の手順に進みます。

  2. AWSコンソールにログインし、*[AWS Marketplace Subscriptions]*に移動します。

  3. NetApp Intelligent Data Services サブスクリプションを見つけます。

    NetApp サブスクリプションを示す AWS Marketplace のスクリーンショット。

  4. [製品の設定]*を選択します。

    サブスクリプションオファーページが新しいブラウザタブまたはウィンドウにロードされます。

  5. [アカウントを設定する]*を選択します。

    NetApp サブスクリプションと、ページの右上に表示されるアカウントの設定オプションを示す AWS Marketplace のスクリーンショット。

    netapp.comの* Subscription Assignment *ページが新しいブラウザタブまたはウィンドウにロードされます。

    最初にBlueXPにログインするように求められる場合があります。

  6. [サブスクリプションの割り当て*]ページで、次の操作を行います。

    • このサブスクリプションを関連付けるBlueXP  組織またはアカウントを選択します。

    • [既存のサブスクリプションを置き換える]*フィールドで、1つの組織またはアカウントの既存のサブスクリプションをこの新しいサブスクリプションに自動的に置き換えるかどうかを選択します。

      BlueXP  は、組織またはアカウントのすべてのクレデンシャルの既存のサブスクリプションをこの新しいサブスクリプションに置き換えます。一連の資格情報がサブスクリプションに関連付けられていない場合、この新しいサブスクリプションはこれらの資格情報に関連付けられません。

      他のすべての組織またはアカウントについては、これらの手順を繰り返して手動でサブスクリプションを関連付ける必要があります。

    "[Subscription Assignmentページのスクリーンショット。このサブスクリプションに関連付けるBlueXPアカウントを選択できます。"]

  7. デジタル ウォレットにアクセスして、サブスクリプションが組織またはアカウントに関連付けられていることを確認します。

    1. ナビゲーション メニューから、ガバナンス > デジタル ウォレット を選択します。

    2. [サブスクリプション]を選択します。

    3. サブスクリプションが表示されていることを確認します。

  8. サブスクリプションがAWSクレデンシャルに関連付けられていることを確認します。

    1. コンソールの右上にある設定アイコンを選択し、*資格情報*を選択します。

    2. または[Account credentials]*ページで、サブスクリプションがAWSクレデンシャルに関連付けられていることを確認します。

      次に例を示します。

    "BlueXPの[Account credentialsページのスクリーンショット。AWSクレデンシャルには、クレデンシャルに関連付けられているサブスクリプションの名前を示すサブスクリプションフィールドが含まれています。"]

クレデンシャルを編集する

アカウントの種類 (AWS キーまたはロールの引き受け) を変更したり、名前を編集したり、認証情報自体 (キーまたはロール ARN) を更新したりして、AWS 認証情報を編集します。

メモ コネクタインスタンスまたは Amazon FSx for ONTAP インスタンスに関連付けられているインスタンスプロファイルの認証情報を編集することはできません。FSx for ONTAP インスタンスの資格情報の名前のみを変更できます。
手順

  1. コンソールの右上にある設定アイコンを選択し、*資格情報*を選択します。

  2. または[Account credentials]ページで、一連のクレデンシャルのアクションメニューを選択し、[Edit Credentials]*を選択します。

  3. 必要な変更を行い、*適用*を選択します。

クレデンシャルを削除

資格情報セットが不要になった場合は、削除できます。削除できるのは、作業環境に関連付けられていないクレデンシャルのみです。

ヒント コネクタインスタンスに関連付けられているインスタンスプロファイルのクレデンシャルは削除できません。
手順

  1. コンソールの右上にある設定アイコンを選択し、*資格情報*を選択します。

  2. または[Account credentials]ページで、一連のクレデンシャルのアクションメニューを選択し、[Delete Credentials]*を選択します。

  3. [削除]*を選択して確定します。