Skip to main content
Cloud Manager 3.6
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Cloud Manager にクラウドプロバイダアカウントを追加しています

共同作成者
PDF

Cloud Volumes ONTAP を別々のクラウドアカウントに導入する場合は、これらのアカウントに必要な権限を指定してから、 Cloud Manager に詳細を追加する必要があります。

Cloud Central から Cloud Manager を導入すると、 Cloud Manager は自動的にを追加します "クラウドプロバイダアカウント" Cloud Manager を導入したアカウント。既存のシステムに Cloud Manager ソフトウェアを手動でインストールした場合、初期クラウドプロバイダアカウントは追加されません。

AWS アカウントのセットアップと Cloud Manager への追加

Cloud Volumes ONTAP を別々の AWS アカウントに導入する場合は、これらのアカウントに必要な権限を指定してから、 Cloud Manager に詳細を追加する必要があります。権限の指定方法は、 Cloud Manager に AWS キーを提供するか、信頼されたアカウントのロールの ARN を提供するかによって異なります。

AWS キーを提供する際に権限を付与する

Cloud Manager に IAM ユーザの AWS キーを提供する場合は、必要な権限をそのユーザに付与する必要があります。Cloud Manager IAM ポリシーは、 Cloud Manager が使用できる AWS アクションとリソースを定義します。

手順

  1. から Cloud Manager IAM ポリシーをダウンロードします "Cloud Manager Policies ページ"

  2. IAM コンソールから、 Cloud Manager IAM ポリシーからテキストをコピーアンドペーストして、独自のポリシーを作成します。

    "AWS のドキュメント:「 Creating IAM Policies"

  3. IAM ロールまたは IAM ユーザにポリシーを関連付けます。

結果

これで、アカウントに必要な権限が付与されました。 これで、 Cloud Manager に追加できます

他のアカウントで IAM ロールを想定して権限を付与する

Cloud Manager インスタンスを導入したソース AWS アカウントと他の AWS アカウントの間には、 IAM ロールを使用して信頼関係を設定できます。その後、 Cloud Manager に信頼されたアカウントの IAM ロールの ARN を提供します。

手順

  1. Cloud Volumes ONTAP を導入するターゲットアカウントに移動し、 * 別の AWS アカウント * を選択して IAM ロールを作成します。

    必ず次の手順を実行してください。

    • Cloud Manager インスタンスが存在するアカウントの ID を入力します。

    • から入手できる Cloud Manager IAM ポリシーを関連付けます "Cloud Manager Policies ページ"

      AWS IAM コンソールの Create role ページを示すスクリーンショット。Select type of trusted entity で、別の AWS アカウントが選択されています。

  2. Cloud Manager インスタンスが存在するソースアカウントに移動し、インスタンスに関連付けられている IAM ロールを選択します。

    1. [ 信頼関係 ] 、 [ 信頼関係の編集 *] の順にクリックします。

    2. ターゲットアカウントで作成したロールの「 STS: AssumeRole 」アクションと ARN を追加します。

      • 例 *

    {
 "Version": "2012-10-17",
 "Statement": {
   "Effect": "Allow",
   "Action": "sts:AssumeRole",
   "Resource": "arn:aws:iam::ACCOUNT-B-ID:role/ACCOUNT-B-ROLENAME"
}
}
結果

これで、アカウントに必要な権限が付与されました。 これで、 Cloud Manager に追加できます

Cloud Manager に AWS アカウントを追加する

必要な権限を持つ AWS アカウントを指定したら、そのアカウントを Cloud Manager に追加できます。これにより、そのアカウントで Cloud Volumes ONTAP システムを起動できます。

手順

  1. Cloud Manager コンソールの右上にあるタスクドロップダウンリストをクリックし、 * Account Settings * を選択します。

  2. [Add New Account* ] をクリックし、 [* AWS* ] を選択します。

  3. AWS キーを指定するか、信頼された IAM ロールの ARN を指定するかを選択します。

  4. ポリシーの要件が満たされていることを確認し、 * アカウントの作成 * をクリックします。

結果

新しい作業環境を作成するときに、 [ 詳細と資格情報 ] ページから別のアカウントに切り替えることができるようになりました。

"[ 詳細と資格情報 ページで [ アカウントの切り替え ] をクリックした後に、クラウドプロバイダアカウントを選択する方法を示すスクリーンショット。"]

Azure アカウントを設定して Cloud Manager に追加

Cloud Volumes ONTAP を別々の Azure アカウントに導入する場合は、それらのアカウントに必要な権限を指定し、アカウントに関する詳細を Cloud Manager に追加する必要があります。

サービスプリンシパルを使用した Azure 権限の付与

Cloud Manager には、 Azure でアクションを実行するための権限が必要です。Azure アカウントに必要な権限を付与するには、 Azure Active Directory でサービスプリンシパルを作成して設定し、 Cloud Manager で必要な Azure クレデンシャルを取得します。

このタスクについて

次の図は、 Cloud Manager が Azure で操作を実行するための権限を取得する方法を示しています。1 つ以上の Azure サブスクリプションに関連付けられたサービスプリンシパルオブジェクトは、 Azure Active Directory の Cloud Manager を表し、必要な権限を許可するカスタムロールに割り当てられます。

API コールを発信する前に Azure Active Directory から認証と承認を取得するクラウドマネージャを示す概念図。Active Directory において、 Cloud Manager Operator ロールで権限を定義し、Azure サブスクリプションと、 Cloud Manger アプリケーションを表すサービスプリンシパルオブジェクトに関連付けています。

メモ 次の手順では、新しい Azure ポータルを使用します。問題が発生した場合は、 Azure クラシックポータルを使用してください。
手順

  1. 必要な Cloud Manager 権限を持つカスタムロールを作成します。

  2. Active Directory サービスプリンシパルを作成します。

  3. サービスプリンシパルにカスタムクラウドマネージャオペレータロールを割り当てます。

必要な Cloud Manager 権限を持つカスタムロールを作成する

Cloud Manager に、 Azure で Cloud Volumes ONTAP を起動および管理するために必要な権限を付与するには、カスタムロールが必要です。

手順

  1. をダウンロードします "Cloud Manager Azure ポリシー"

  2. 割り当て可能なスコープに Azure サブスクリプション ID を追加して、 JSON ファイルを変更します。

    ユーザが Cloud Volumes ONTAP システムを作成する Azure サブスクリプションごとに ID を追加する必要があります。

    • 例 *

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

  3. JSON ファイルを使用して、 Azure でカスタムロールを作成します。

    次の例は、 Azure CLI 2.0 を使用してカスタムロールを作成する方法を示しています。

    • AZ 役割定義 create — 役割定義 C : \Policy_for _Cloud_Manager_Azure_3.6.1.json *

結果

これで、 OnCommand Cloud Manager Operator というカスタムロールが作成されました。

Active Directory サービスプリンシパルの作成

Cloud Manager が Azure Active Directory で認証できるように、 Active Directory サービスプリンシパルを作成する必要があります。

作業を開始する前に

Active Directory アプリケーションを作成し、そのアプリケーションを役割に割り当てるには、 Azure で適切な権限を持っている必要があります。詳細については、を参照してください "Microsoft Azure のドキュメント:「 Use portal to create Active Directory application and service principal that can access resources"

手順

  1. Azure ポータルで、 * Azure Active Directory * サービスを開きます。

    は、 Microsoft Azure の Active Directory サービスを示しています。

  2. メニューで、 * アプリ登録(レガシー) * をクリックします。

  3. サービスプリンシパルを作成します。

    1. [ 新しいアプリケーション登録 * ] をクリックします。

    2. アプリケーションの名前を入力し、「 * Web app/API * 」を選択したまま、任意の URL を入力します。たとえば、次のように入力します。 http://url

    3. [ 作成( Create ) ] をクリックします。

  4. アプリケーションを変更して、必要な権限を追加します。

    1. 作成したアプリケーションを選択します。

    2. [ 設定 ] で、 [ 必要なアクセス許可 *] をクリックし、 [ * 追加 ] をクリックします。

      は、 Microsoft Azure の Active Directory アプリケーションの設定を示しています。 API アクセスに必要な権限を追加するオプションが強調表示されています。

    3. * API の選択 * をクリックし、 * Windows Azure Service Management API * を選択して、 * 選択 * をクリックします。

      は、 Active Directory アプリケーションに API アクセスを追加するときに Microsoft Azure で選択する API を示しています。API は、 Windows Azure Service Management API です。

    4. [ * 組織ユーザーとして Azure サービス管理にアクセス * ] をクリックし、 [ * 選択 * ] をクリックして、 [ * 完了 * ] をクリックします。

  5. サービスプリンシパルのキーを作成します。

    1. [ 設定 ] で、 [ * キー * ] をクリックします。

    2. 概要を入力し、期間を選択して、 * 保存 * をクリックします。

    3. キーの値をコピーします。

      このキーの値は、 Cloud Manager にクラウドプロバイダアカウントを追加するときに入力する必要があります。

    4. [Properties] をクリックし、サービスプリンシパルのアプリケーション ID をコピーします。

      Cloud Manager にクラウドプロバイダアカウントを追加するときは、キーの値と同様に、 Cloud Manager でアプリケーション ID を入力する必要があります。

    Azure Active Directory サービスプリンシパルのアプリケーション ID を表示します。

  6. 組織の Active Directory テナント ID を取得します。

    1. [Active Directory] メニューで、 [* プロパティ * ] をクリックします。

    2. ディレクトリ ID をコピーします。

      は、 Azure ポータルの Active Directory プロパティと、コピーする必要があるディレクトリ ID を示しています。

    Cloud Manager にクラウドプロバイダアカウントを追加する場合は、アプリケーション ID とアプリケーションキーの場合と同様に、 Active Directory テナント ID を入力する必要があります。

結果

これで、 Active Directory サービスプリンシパルが作成され、アプリケーション ID 、アプリケーションキー、および Active Directory テナント ID がコピーされました。この情報は、クラウドプロバイダアカウントを追加するときに Cloud Manager で入力する必要があります。

Cloud Manager Operator ロールをサービスプリンシパルに割り当てます

サービスプリンシパルを 1 つ以上の Azure サブスクリプションにバインドし、 Cloud Manager のオペレータロールを割り当てて、 Cloud Manager が Azure で権限を持つようにする必要があります。

このタスクについて

Cloud Volumes ONTAP を複数の Azure サブスクリプションから導入する場合は、サービスプリンシパルを各サブスクリプションにバインドする必要があります。Cloud Manager では、 Cloud Volumes ONTAP の導入時に使用するサブスクリプションを選択できます。

手順

  1. Azure ポータルの左側のペインで、「 * サブスクリプション」を選択します。

  2. サブスクリプションを選択します。

  3. * アクセスコントロール (IAM)* をクリックし、 * 追加 * をクリックします。

  4. OnCommand Cloud Manager Operator * ロールを選択します。

  5. アプリケーションの名前を検索します(スクロールしてもリストに表示されません)。

  6. アプリケーションを選択し、 * Select * をクリックして、 * OK * をクリックします。

結果

Cloud Manager のサービスプリンシパルに必要な Azure 権限が付与されました。

Cloud Manager への Azure アカウントの追加

必要な権限を持つ Azure アカウントを指定したら、そのアカウントを Cloud Manager に追加できます。これにより、そのアカウントで Cloud Volumes ONTAP システムを起動できます。

手順

  1. Cloud Manager コンソールの右上にあるタスクドロップダウンリストをクリックし、 * Account Settings * を選択します。

  2. [ 新規アカウントの追加 ] をクリックし、 [Microsoft Azure] を選択します。

  3. 必要な権限を付与する Azure Active Directory サービスプリンシパルに関する情報を入力します。

  4. ポリシーの要件が満たされていることを確認し、 * アカウントの作成 * をクリックします。

結果

新しい作業環境を作成するときに、 [ 詳細と資格情報 ] ページから別のアカウントに切り替えることができるようになりました。

"[ 詳細と資格情報 ページで [ アカウントの切り替え ] をクリックした後に、クラウドプロバイダアカウントを選択する方法を示すスクリーンショット。"]

追加の Azure サブスクリプションを管理対象 ID に関連付ける

Cloud Manager では、 Cloud Volumes ONTAP を導入する Azure アカウントとサブスクリプションを選択できます。管理対象に別の Azure サブスクリプションを選択することはできません を関連付けない限り、アイデンティティプロファイルを作成します "管理された ID" それらの登録と。

このタスクについて

管理対象 ID は最初の ID です "クラウドプロバイダアカウント" NetApp Cloud Central から Cloud Manager を導入する場合。Cloud Manager を導入すると、 Cloud Central は OnCommand Cloud Manager オペレータロールを作成し、 Cloud Manager 仮想マシンに割り当てました。

手順

  1. Azure ポータルにログインします。

  2. [ サブスクリプション ] サービスを開き、 Cloud Volumes ONTAP システムを展開するサブスクリプションを選択します。

  3. 「 * アクセスコントロール( IAM ) * 」をクリックします。

    1. [ * 追加 > 役割の割り当ての追加 * ] をクリックして、権限を追加します。

      • OnCommand Cloud Manager Operator * ロールを選択します。

        メモ OnCommand Cloud Manager Operator は、で指定されたデフォルトの名前です "Cloud Manager ポリシー"。ロールに別の名前を選択した場合は、代わりにその名前を選択します。

      • 仮想マシン * へのアクセスを割り当てます。

      • Cloud Manager 仮想マシンが作成されたサブスクリプションを選択します。

      • Cloud Manager 仮想マシンを選択します。

      • [ 保存( Save ) ] をクリックします。

  4. 追加のサブスクリプションについても、この手順を繰り返します。

結果

新しい作業環境を作成するときに、管理対象 ID プロファイルに対して複数の Azure サブスクリプションから選択できるようになりました。

Microsoft Azure プロバイダアカウントを選択する際に複数の Azure サブスクリプションを選択できる機能を示すスクリーンショット。