Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP の FSX のアクセス許可を設定します

共同作成者
PDF

FSx for ONTAP作業環境を作成または管理するには、FSx for ONTAP作業環境の作成に必要な権限をBlueXPに付与するIAMロールのARNを指定して、AWSクレデンシャルをBlueXPに追加する必要があります。

IAM ロールを設定します

BlueXPが役割を引き受けることを可能にするIAMロールを設定します。

手順

  1. ターゲットアカウントの IAM コンソールに移動します。

  2. BlueXPにAWSアカウントへのアクセスを許可します。[ アクセス管理 ] で、 [ 役割 ] 、 [ 役割の作成 *] の順にクリックし、手順に従って役割を作成します。

    • 信頼されるエンティティのタイプ * で、 * AWS アカウント * を選択します。

    • 別のAWSアカウント*を選択し、BlueXP *のアカウントID *を入力します。

      • BlueXP SaaSの場合:952013314444

      • AWS GovCloud(US)の場合:033442085313

        メモ セキュリティを強化するには、 "外部ID"。AWSアカウントにアクセスするには、BlueXPでロールARN(Amazon Resource Name)と指定した外部IDを指定する必要があります。これにより、 "混乱した副保安官問題"

  3. 必要に応じて、次の必須最小権限とオプションの権限を含むポリシーを作成します。

    必要な権限

    FSx for NetApp ONTAP ファイルシステムを作成するには、BlueXPで最小限の権限が必要です。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "fsx:*",
                "ec2:Describe*",
                "ec2:CreateTags",
                "iam:CreateServiceLinkedRole",
                "kms:Describe*",
                "kms:List*",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        }
    ]
}
    自動容量

    を有効にするには、さらに次の権限が必要です "容量の自動管理"

    "cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
    セキュリティグループ

    BlueXPでを許可するには、次の追加権限が必要です "セキュリティグループを生成します"

    "ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"cloudformation:CreateStack",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents"

  4. IAMロールのARNをコピーして、次の手順でBlueXPに貼り付けられるようにします。

結果

IAM ロールに必要な権限が割り当てられます。

クレデンシャルを追加します

IAMロールに必要な権限を付与したら、BlueXPにARNロールを追加します。

始める前に

IAMロールを作成したばかりの場合は、新しいクレデンシャルが使用可能になるまで数分待ちます。

手順

  1. BlueXPコンソールの右上にある[設定]アイコンをクリックし、[資格情報*]を選択します。

    BlueXPコンソールの右上にある設定アイコンを示すスクリーンショット。

  2. [Add Credentials] をクリックし、ウィザードの手順に従います。

    1. 資格情報の場所:「* Amazon Web Services > BlueXP *」を選択します。

    2. クレデンシャルの定義:*クレデンシャル名*と*ロールARN *および*外部ID *(指定されている場合)を指定します。 IAM ロールを設定します

      メモ

      • AWS GovCloud(US)アカウントを使用している場合は、* AWS GovCloud(US)アカウントを使用している*を確認します。

        GovCloud(US)アカウントのチェックボックスのスクリーンショット。

      • AWS GovCloudを使用して認証すると、SaaSプラットフォームが無効になります。これはお客様のアカウントへの永続的な変更であり、元に戻すことはできません。

    3. * 確認 * :新しいクレデンシャルの詳細を確認し、 * 追加 * をクリックします。

結果

ONTAP 作業環境で FSX を作成するときに、資格情報を使用できるようになりました。

関連リンク