Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Workload FactoryにAWS認証情報を追加する

共同作成者 netapp-rlithman netapp-mwallis netapp-bcammett netapp-tonacki
PDF

AWS 認証情報を追加および管理して、 NetApp Workload Factory が AWS アカウントでクラウド リソースを展開および管理するために必要な権限を持つようにします。

概要

AWS アカウント認証情報を追加しない限り、Workload Factory は Basic モードで動作します。資格情報を追加して、読み取り専用 モードや 読み取り/書き込み モードなどの他の操作モードを有効にできます。"動作モードの詳細"

認証情報ページから、既存の Workload Factory アカウントに AWS 認証情報を追加できます。これにより、AWS クラウド環境内のリソースとプロセスを管理するために必要な権限が Workload Factory に付与されます。

クレデンシャルは、次の2つの方法で追加できます。

  • 手動: Workload Factory で認証情報を追加しながら、AWS アカウントに IAM ポリシーと IAM ロールを作成します。

  • 自動的に:権限に関する最小限の情報を取得し、CloudFormationスタックを使用して資格情報のIAMポリシーと役割を作成します。

アカウントへのクレデンシャルの手動追加

Workload Factory に AWS 認証情報を手動で追加して、独自のワークロードを実行するために使用する AWS リソースを管理するために必要な権限を Workload Factory アカウントに付与できます。追加する認証情報の各セットには、使用するワークロード機能に基づく 1 つ以上の IAM ポリシーと、アカウントに割り当てられた IAM ロールが含まれます。

メモ Workload Factory コンソールまたはNetAppコンソールから、アカウントに AWS 認証情報を追加できます。

クレデンシャルの作成には、次の3つの要素があります。

  • 使用するサービスと権限レベルを選択し、AWS管理コンソールからIAMポリシーを作成します。

  • AWS管理コンソールからIAMロールを作成します。

  • Workload Factory から名前を入力し、資格情報を追加します。

開始する前に

AWSアカウントにログインするにはクレデンシャルが必要です。

手順

  1. ログイン "ワークロードファクトリーコンソール"

  2. メニューから*管理*を選択し、次に*資格情報*を選択します。

  3. [クレデンシャル]ページで、*[クレデンシャルの追加]*を選択します。

  4. [クレデンシャルの追加]ページで*[手動で追加]*を選択し、次の手順に従って_Permissions configuration_の各セクションを完了します。

    クレデンシャルのセットごとに手動で定義する必要がある項目を示すスクリーンショット。

手順1:ワークロードの機能を選択し、IAMポリシーを作成する

このセクションでは、これらのクレデンシャルの一部として管理できるワークロード機能のタイプと、各ワークロードに対して有効にする権限を選択します。選択した各ワークロードのポリシー権限をCodeboxからコピーし、AWSアカウント内のAWS管理コンソールに追加してポリシーを作成する必要があります。

手順

  1. [ポリシーの作成]*セクションで、これらのクレデンシャルに含めるワークロード機能をそれぞれ有効にします。

    あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。

  2. 権限レベル (読み取り専用または読み取り/書き込み) を選択できるワークロード機能の場合は、これらの資格情報で使用できる権限の種類を選択します。

  3. オプション:[自動権限チェックを有効にする]*を選択して、ワークロードの処理を完了するために必要なAWSアカウントの権限があるかどうかを確認します。チェックを有効にすると、権限ポリシーにが追加され `iam:SimulatePrincipalPolicy permission`ます。この権限の目的は、権限のみを確認することです。クレデンシャルを追加したあとにこの権限を削除することもできますが、処理が一部しか成功しないようにリソースが作成されないようにしたり、必要なリソースの手動クリーンアップを行わないようにするために、

  4. [コードボックス]ウィンドウで、最初のIAMポリシーの権限をコピーします。

  5. 別のブラウザウィンドウを開き、AWS管理コンソールでAWSアカウントにログインします。

  6. IAMサービスを開き、* Policies > Create Policy *を選択します。

  7. ファイルタイプとしてJSONを選択し、手順3でコピーした権限を貼り付けて* Next *を選択します。

  8. ポリシーの名前を入力し、*[ポリシーの作成]*を選択します。

  9. 手順1で複数のワークロード機能を選択した場合は、これらの手順を繰り返して、ワークロード権限のセットごとにポリシーを作成します。

手順2:ポリシーを使用するIAMロールを作成する

このセクションでは、作成した権限とポリシーを含む、Workload Factory が引き受ける IAM ロールを設定します。

新しいロールに追加する権限を示すスクリーンショット。

手順

  1. AWS管理コンソールで、*[Roles]>[Create Role]*を選択します。

  2. 信頼されるエンティティのタイプ * で、 * AWS アカウント * を選択します。

    1. 別の AWS アカウント を選択し、Workload Factory UI から FSx for ONTAPワークロード管理のアカウント ID をコピーして貼り付けます。

    2. 必須の外部 ID を選択し、Workload Factory UI から外部 ID をコピーして貼り付けます。

  3. 「 * 次へ * 」を選択します。

  4. [アクセス許可ポリシー]セクションで、以前に定義したすべてのポリシーを選択し、*[次へ]*を選択します。

  5. ロールの名前を入力し、*[ロールの作成]*を選択します。

  6. ロールARNをコピーします。

  7. Workload Factory の [認証情報の追加] ページに戻り、[権限の設定] の下の [ロールの作成] セクションを展開して、[ロール ARN] フィールドに ARN を貼り付けます。

手順3:名前を入力してクレデンシャルを追加

最後のステップは、Workload Factory で資格情報の名前を入力することです。

手順

  1. Workload Factory の [資格情報の追加] ページで、[権限の構成] の下の [資格情報の名前] を展開します。

  2. これらのクレデンシャルに使用する名前を入力します。

  3. [追加]*を選択してクレデンシャルを作成します。

結果

クレデンシャルが作成され、[Credentials]ページに戻ります。

CloudFormationを使用してアカウントにクレデンシャルを追加する

使用する Workload Factory 機能を選択し、AWS アカウントで AWS CloudFormation スタックを起動することで、AWS CloudFormation スタックを使用して Workload Factory に AWS 認証情報を追加できます。 CloudFormation は、選択したワークロード機能に基づいて IAM ポリシーと IAM ロールを作成します。

開始する前に

  • AWSアカウントにログインするにはクレデンシャルが必要です。

  • CloudFormationスタックを使用してクレデンシャルを追加する場合は、AWSアカウントで次の権限が必要です。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
手順

  1. ログイン "ワークロードファクトリーコンソール"

  2. メニューから*管理*を選択し、次に*資格情報*を選択します。

  3. [クレデンシャル]ページで、*[クレデンシャルの追加]*を選択します。

  4. [Add via AWS CloudFormation]*を選択します。

    CloudFormationを起動してクレデンシャルを作成する前に定義する必要がある項目を示すスクリーンショット。

  5. [ポリシーの作成]*で、これらのクレデンシャルに含める各ワークロード機能を有効にし、各ワークロードの権限レベルを選択します。

    あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。

  6. オプション:[自動権限チェックを有効にする]*を選択して、ワークロードの処理を完了するために必要なAWSアカウントの権限があるかどうかを確認します。チェックを有効にすると、権限ポリシーに権限が追加され `iam:SimulatePrincipalPolicy`ます。この権限の目的は、権限のみを確認することです。クレデンシャルを追加したあとにこの権限を削除することもできますが、処理が一部しか成功しないようにリソースが作成されないようにしたり、必要なリソースの手動クリーンアップを行わないようにするために、

  7. [クレデンシャル名]*で、これらのクレデンシャルに使用する名前を入力します。

  8. AWS CloudFormationからクレデンシャルを追加します。

    1. [Add]*(または[Redirect to CloudFormation]*を選択)を選択すると、[Redirect to CloudFormation]ページが表示されます。

      Workload Factory 認証情報のポリシーとロールを追加するための CloudFormation スタックを作成する方法を示すスクリーンショット。

    2. AWSでシングルサインオン(SSO)を使用している場合は、別のブラウザタブを開き、AWSコンソールにログインしてから*[続行]*を選択します。

      FSx for ONTAPファイルシステムが配置されているAWSアカウントにログインする必要があります。

    3. [Redirect to CloudFormation]ページから[Continue]*を選択します。

    4. [Quick create stack]ページの[Capabilities]で、*[I acknowledge that AWS CloudFormation might create IAM resources]*を選択します。

    5. [スタックの作成]*を選択します。

    6. ワークロード ファクトリーに戻り、資格情報ページを監視して、新しい資格情報が進行中であること、または追加されたことを確認します。