Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ワークロードファクトリへのAWSクレデンシャルの追加

共同作成者
PDF

AWSクレデンシャルを追加して管理し、ワークロードファクトリにAWSアカウントのクラウドリソースの導入と管理に必要な権限を付与する。

概要

AWSアカウントのクレデンシャルを追加しないかぎり、Workload Factoryは_basic_modeで動作します。クレデンシャルを追加して、読み取りモードや自動化モードなどの他の操作モードを有効にすることができます。"動作モードの詳細"です。

[Credentials]ページで、既存のワークロードファクトリアカウントにAWSクレデンシャルを追加できます。これにより、AWSクラウド環境内のリソースとプロセスの管理に必要な権限がワークロードファクトリに提供されます。

クレデンシャルは、次の2つの方法で追加できます。

  • 手動:AWSアカウントにIAMポリシーとIAMロールを作成し、ワークロードファクトリにクレデンシャルを追加します。

  • 自動的に:権限に関する最小限の情報を取得し、CloudFormationスタックを使用して資格情報のIAMポリシーと役割を作成します。

アカウントへのクレデンシャルの手動追加

ワークロードファクトリにAWSクレデンシャルを手動で追加して、ワークロードファクトリアカウントに、固有のワークロードの実行に使用するAWSリソースの管理に必要な権限を付与することができます。追加するクレデンシャルの各セットには、使用するワークロード機能に基づいて1つ以上のIAMポリシーと、アカウントに割り当てられたIAMロールが含まれます。

メモ AWSクレデンシャルは、Workload FactoryコンソールまたはBlueXP  コンソールからアカウントに追加できます。

クレデンシャルの作成には、次の3つの要素があります。

  • 使用するサービスと権限レベルを選択し、AWS管理コンソールからIAMポリシーを作成します。

  • AWS管理コンソールからIAMロールを作成します。

  • ワークロードファクトリで、名前を入力してクレデンシャルを追加します。

開始する前に

AWSアカウントにログインするにはクレデンシャルが必要です。

手順

  1. にログインし "ワークロードファクトリコンソール"ます。

  2. アイコンを選択し、[クレデンシャル]*を選択します。

    "ワークロードファクトリコンソールの[Account Settingsアイコンを示すスクリーンショット。"]

  3. [クレデンシャル]ページで、*[クレデンシャルの追加]*を選択します。

  4. [クレデンシャルの追加]ページで*[手動で追加]*を選択し、次の手順に従って_Permissions configuration_の各セクションを完了します。

    クレデンシャルのセットごとに手動で定義する必要がある項目を示すスクリーンショット。

手順1:ワークロードの機能を選択し、IAMポリシーを作成する

このセクションでは、これらのクレデンシャルの一部として管理できるワークロード機能のタイプと、各ワークロードに対して有効にする権限を選択します。選択した各ワークロードのポリシー権限をCodeboxからコピーし、AWSアカウント内のAWS管理コンソールに追加してポリシーを作成する必要があります。

スクリーンショットは、これらのクレデンシャルのポリシーの一部として管理できるワークロード機能のタイプを示しています。

手順

  1. [ポリシーの作成]*セクションで、これらのクレデンシャルに含めるワークロード機能をそれぞれ有効にします。

    あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。

  2. アクセス許可レベル(読み取りまたは自動化)を選択できるワークロード機能については、これらのクレデンシャルで使用できるアクセス許可のタイプを選択します。

  3. オプション:[自動権限チェックを有効にする]*を選択して、ワークロードの処理を完了するために必要なAWSアカウントの権限があるかどうかを確認します。チェックを有効にすると、権限ポリシーにが追加され `iam:SimulatePrincipalPolicy permission`ます。この権限の目的は、権限のみを確認することです。クレデンシャルを追加したあとにこの権限を削除することもできますが、処理が一部しか成功しないようにリソースが作成されないようにしたり、必要なリソースの手動クリーンアップを行わないようにするために、

  4. [コードボックス]ウィンドウで、最初のIAMポリシーの権限をコピーします。

  5. 別のブラウザウィンドウを開き、AWS管理コンソールでAWSアカウントにログインします。

  6. IAMサービスを開き、* Policies > Create Policy *を選択します。

  7. ファイルタイプとしてJSONを選択し、手順3でコピーした権限を貼り付けて* Next *を選択します。

  8. ポリシーの名前を入力し、*[ポリシーの作成]*を選択します。

  9. 手順1で複数のワークロード機能を選択した場合は、これらの手順を繰り返して、ワークロード権限のセットごとにポリシーを作成します。

手順2:ポリシーを使用するIAMロールを作成する

このセクションでは、作成した権限とポリシーが含まれているとワークロードファクトリが想定するIAMロールを設定します。

新しいロールに追加する権限を示すスクリーンショット。

手順

  1. AWS管理コンソールで、*[Roles]>[Create Role]*を選択します。

  2. 信頼されるエンティティのタイプ * で、 * AWS アカウント * を選択します。

    1. [Another AWS account]*を選択し、ワークロード工場出荷時のUIからFSx for ONTAPワークロード管理用のアカウントIDをコピーして貼り付けます。

    2. [Required external ID]*を選択し、ワークロードファクトリのUIから外部IDをコピーして貼り付けます。

  3. 「 * 次へ * 」を選択します。

  4. [アクセス許可ポリシー]セクションで、以前に定義したすべてのポリシーを選択し、*[次へ]*を選択します。

  5. ロールの名前を入力し、*[ロールの作成]*を選択します。

  6. ロールARNをコピーします。

  7. ワークロードファクトリの* Credentials ページに戻り、 Create role *セクションを展開し、_Role ARN_フィールドにARNを貼り付けます。

手順3:名前を入力してクレデンシャルを追加

最後に、ワークロードファクトリでクレデンシャルの名前を入力します。

手順

  1. Workload Factoryの*[クレデンシャル]ページ*で、*[クレデンシャル名]*を展開します。

  2. これらのクレデンシャルに使用する名前を入力します。

  3. [追加]*を選択してクレデンシャルを作成します。

結果

クレデンシャルが作成され、[Credentials]ページに戻ります。

CloudFormationを使用してアカウントにクレデンシャルを追加する

AWS CloudFormationスタックを使用してAWSクレデンシャルをワークロードファクトリに追加するには、使用するワークロードファクトリ機能を選択し、AWSアカウントでAWS CloudFormationスタックを起動します。CloudFormationは、選択したワークロード機能に基づいて、IAMポリシーとIAMロールを作成します。

開始する前に

  • AWSアカウントにログインするにはクレデンシャルが必要です。

  • CloudFormationスタックを使用してクレデンシャルを追加する場合は、AWSアカウントで次の権限が必要です。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
    JSON
    Copy
手順

  1. にログインし "ワークロードファクトリコンソール"ます。

  2. アイコンを選択し、[クレデンシャル]*を選択します。

    "ワークロードファクトリコンソールの[Account Settingsアイコンを示すスクリーンショット。"]

  3. [クレデンシャル]ページで、*[クレデンシャルの追加]*を選択します。

  4. [Add via AWS CloudFormation]*を選択します。

    CloudFormationを起動してクレデンシャルを作成する前に定義する必要がある項目を示すスクリーンショット。

  5. [ポリシーの作成]*で、これらのクレデンシャルに含める各ワークロード機能を有効にし、各ワークロードの権限レベルを選択します。

    あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。

  6. オプション:[自動権限チェックを有効にする]*を選択して、ワークロードの処理を完了するために必要なAWSアカウントの権限があるかどうかを確認します。チェックを有効にすると、権限ポリシーに権限が追加され `iam:SimulatePrincipalPolicy`ます。この権限の目的は、権限のみを確認することです。クレデンシャルを追加したあとにこの権限を削除することもできますが、処理が一部しか成功しないようにリソースが作成されないようにしたり、必要なリソースの手動クリーンアップを行わないようにするために、

  7. [クレデンシャル名]*で、これらのクレデンシャルに使用する名前を入力します。

  8. AWS CloudFormationからクレデンシャルを追加します。

    1. [Add]*(または[Redirect to CloudFormation]*を選択)を選択すると、[Redirect to CloudFormation]ページが表示されます。

      ポリシーを追加するためのCloudFormationスタックの作成方法と、ワークロードファクトリのクレデンシャルのロールを示すスクリーンショット。

    2. AWSでシングルサインオン(SSO)を使用している場合は、別のブラウザタブを開き、AWSコンソールにログインしてから*[続行]*を選択します。

      FSx for ONTAPファイルシステムが配置されているAWSアカウントにログインする必要があります。

    3. [Redirect to CloudFormation]ページから[Continue]*を選択します。

    4. [Quick create stack]ページの[Capabilities]で、*[I acknowledge that AWS CloudFormation might create IAM resources]*を選択します。

    5. [スタックの作成]*を選択します。

    6. ワークロードファクトリに戻り、[Credentials]ページを監視して、新しいクレデンシャルが実行中であるか、または追加されていることを確認します。