AWSクレデンシャルをWorkload Factoryに追加
AWSクレデンシャルを追加および管理して、Workload FactoryがAWSアカウントのクラウドリソースの導入と管理に必要な権限を持つようにします。
概要
AWSアカウントのクレデンシャルを追加しないかぎり、Workload Factoryは_basic_modeで動作します。クレデンシャルを追加して、読み取りモードや自動化モードなどの他の操作モードを有効にすることができます。"動作モードの詳細"です。
[Credentials]ページで、既存のWorkload FactoryアカウントにAWSクレデンシャルを追加できます。これにより、AWSクラウド環境内のリソースとプロセスを管理するために必要な権限がWorkload Factoryに付与されます。
クレデンシャルは、次の2つの方法で追加できます。
-
手動:Workload Factoryでクレデンシャルを追加するときに、AWSアカウントでIAMポリシーとIAMロールを作成します。
-
自動的に:権限に関する最小限の情報を取得し、CloudFormationスタックを使用して資格情報のIAMポリシーと役割を作成します。
アカウントへのクレデンシャルの手動追加
AWSクレデンシャルを手動でWorkload Factoryに追加して、独自のワークロードを実行するために使用するAWSリソースの管理に必要な権限をWorkload Factoryアカウントに付与することができます。追加するクレデンシャルの各セットには、使用するワークロード機能に基づいて1つ以上のIAMポリシーと、アカウントに割り当てられたIAMロールが含まれます。
クレデンシャルの作成には、次の3つの要素があります。
-
使用するサービスと権限レベルを選択し、AWS管理コンソールからIAMポリシーを作成します。
-
AWS管理コンソールからIAMロールを作成します。
-
[Workload Factory]で、名前を入力してクレデンシャルを追加します。
AWSアカウントにログインするにはクレデンシャルが必要です。
-
Workload Factoryコンソールで、[Account]*アイコンを選択し、[Credentials]*を選択します。
アイコンを示すスクリーンショット。"]
-
ページで[クレデンシャルの追加]*を選択すると、[クレデンシャルの追加]ページが表示されます。
-
[手動で追加]*を選択し、次の手順に従って_Permissions configuration_の3つのセクションに記入します。
手順1:ワークロードの機能を選択し、IAMポリシーを作成する
このセクションでは、これらのクレデンシャルの一部として管理できるワークロード機能のタイプと、各ワークロードに対して有効にする権限を選択します。選択した各ワークロードのポリシー権限をCodeboxからコピーし、AWSアカウント内のAWS管理コンソールに追加してポリシーを作成する必要があります。
-
[ポリシーの作成]*セクションで、これらのクレデンシャルに含めるワークロード機能をそれぞれ有効にします。
あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。
-
権限レベル(Operate、Viewなど)を選択できるワークロード機能については、これらのクレデンシャルで使用できる権限のタイプを選択します。
-
[コードボックス]ウィンドウで、最初のIAMポリシーの権限をコピーします。
-
別のブラウザウィンドウを開き、AWS管理コンソールでAWSアカウントにログインします。
-
IAMサービスを開き、* Policies > Create Policy *を選択します。
-
ファイルタイプとしてJSONを選択し、手順3でコピーした権限を貼り付けて* Next *を選択します。
-
ポリシーの名前を入力し、*[ポリシーの作成]*を選択します。
-
手順1で複数のワークロード機能を選択した場合は、これらの手順を繰り返して、ワークロード権限のセットごとにポリシーを作成します。
手順2:ポリシーを使用するIAMロールを作成する
このセクションでは、作成した権限とポリシーが含まれているとWorkload Factoryが想定するIAMロールを設定します。
-
AWS管理コンソールで、*[Roles]>[Create Role]*を選択します。
-
信頼されるエンティティのタイプ * で、 * AWS アカウント * を選択します。
-
[Another AWS account]*を選択し、Workload Factory UIからFSx for ONTAPワークロード管理用のアカウントIDをコピーして貼り付けます。
-
[Required external ID]*を選択し、Workload Factory UIから外部IDをコピーして貼り付けます。
-
-
「 * 次へ * 」を選択します。
-
[アクセス許可ポリシー]セクションで、以前に定義したすべてのポリシーを選択し、*[次へ]*を選択します。
-
ロールの名前を入力し、*[ロールの作成]*を選択します。
-
ロールARNをコピーします。
-
Workload Factoryに戻り、* Create role *セクションを展開し、_Role ARN_フィールドにARNを貼り付けます。
手順3:名前を入力してクレデンシャルを追加
最後に、Workload Factoryでクレデンシャルの名前を入力します。
-
Workload Factoryで、* Credentials name *を展開します。
-
これらのクレデンシャルに使用する名前を入力します。
-
[追加]*を選択してクレデンシャルを作成します。
クレデンシャルが作成され、[Credentials]ページに戻ります。
CloudFormationを使用してアカウントにクレデンシャルを追加する
AWS CloudFormationスタックを使用してAWSクレデンシャルをWorkload Factoryに追加するには、使用するWorkload Factory機能を選択し、AWSアカウントでAWS CloudFormationスタックを起動します。CloudFormationは、選択したワークロード機能に基づいて、IAMポリシーとIAMロールを作成します。
-
AWSアカウントにログインするにはクレデンシャルが必要です。
-
CloudFormationスタックを使用してクレデンシャルを追加する場合は、AWSアカウントで次の権限が必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:ListStacks", "cloudformation:ListStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate", "lambda:InvokeFunction", "iam:PassRole", "iam:CreateRole", "iam:UpdateAssumeRolePolicy", "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole" ], "Resource": "*" } ] }
-
Workload Factoryコンソールで、[Account]*アイコンを選択し、[Credentials]*を選択します。
アイコンを示すスクリーンショット。"]
-
ページで、[クレデンシャルの追加]*を選択します。
-
[Add via AWS CloudFormation]*を選択します。
-
[ポリシーの作成]*で、これらのクレデンシャルに含める各ワークロード機能を有効にし、各ワークロードの権限レベルを選択します。
あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。
-
[クレデンシャル名]*で、これらのクレデンシャルに使用する名前を入力します。
-
AWS CloudFormationからクレデンシャルを追加します。
-
[Add]*(または[Redirect to CloudFormation]*を選択)を選択すると、[Redirect to CloudFormation]ページが表示されます。
-
AWSでシングルサインオン(SSO)を使用している場合は、別のブラウザタブを開き、AWSコンソールにログインしてから*[続行]*を選択します。
FSx for ONTAPファイルシステムが配置されているAWSアカウントにログインする必要があります。
-
[Redirect to CloudFormation]ページから[Continue]*を選択します。
-
[Quick create stack]ページの[Capabilities]で、*[I acknowledge that AWS CloudFormation might create IAM resources]*を選択します。
-
[スタックの作成]*を選択します。
-
Workload Factoryに戻り、[Credentials]ページを監視して、新しいクレデンシャルが実行中であること、または追加されていることを確認します。
-