Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

AWSクレデンシャルをWorkload Factoryに追加

共同作成者
PDF

AWSクレデンシャルを追加および管理して、Workload FactoryがAWSアカウントのクラウドリソースの導入と管理に必要な権限を持つようにします。

概要

AWSアカウントのクレデンシャルを追加しないかぎり、Workload Factoryは_basic_modeで動作します。クレデンシャルを追加して、読み取りモードや自動化モードなどの他の操作モードを有効にすることができます。"動作モードの詳細"です。

[Credentials]ページで、既存のWorkload FactoryアカウントにAWSクレデンシャルを追加できます。これにより、AWSクラウド環境内のリソースとプロセスを管理するために必要な権限がWorkload Factoryに付与されます。

クレデンシャルは、次の2つの方法で追加できます。

  • 手動:Workload Factoryでクレデンシャルを追加するときに、AWSアカウントでIAMポリシーとIAMロールを作成します。

  • 自動的に:権限に関する最小限の情報を取得し、CloudFormationスタックを使用して資格情報のIAMポリシーと役割を作成します。

アカウントへのクレデンシャルの手動追加

AWSクレデンシャルを手動でWorkload Factoryに追加して、独自のワークロードを実行するために使用するAWSリソースの管理に必要な権限をWorkload Factoryアカウントに付与することができます。追加するクレデンシャルの各セットには、使用するワークロード機能に基づいて1つ以上のIAMポリシーと、アカウントに割り当てられたIAMロールが含まれます。

クレデンシャルの作成には、次の3つの要素があります。

  • 使用するサービスと権限レベルを選択し、AWS管理コンソールからIAMポリシーを作成します。

  • AWS管理コンソールからIAMロールを作成します。

  • [Workload Factory]で、名前を入力してクレデンシャルを追加します。

開始する前に

AWSアカウントにログインするにはクレデンシャルが必要です。

手順

  1. Workload Factoryコンソールで、[Account]*アイコンを選択し、[Credentials]*を選択します。

    "Workload Factoryコンソールの[Account Settingsアイコンを示すスクリーンショット。"]

  2. ページで[クレデンシャルの追加]*を選択すると、[クレデンシャルの追加]ページが表示されます。

  3. [手動で追加]*を選択し、次の手順に従って_Permissions configuration_の3つのセクションに記入します。

    クレデンシャルのセットごとに手動で定義する必要がある項目を示すスクリーンショット。

手順1:ワークロードの機能を選択し、IAMポリシーを作成する

このセクションでは、これらのクレデンシャルの一部として管理できるワークロード機能のタイプと、各ワークロードに対して有効にする権限を選択します。選択した各ワークロードのポリシー権限をCodeboxからコピーし、AWSアカウント内のAWS管理コンソールに追加してポリシーを作成する必要があります。

スクリーンショットは、これらのクレデンシャルのポリシーの一部として管理できるワークロード機能のタイプを示しています。

手順

  1. [ポリシーの作成]*セクションで、これらのクレデンシャルに含めるワークロード機能をそれぞれ有効にします。

    あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。

  2. 権限レベル(Operate、Viewなど)を選択できるワークロード機能については、これらのクレデンシャルで使用できる権限のタイプを選択します。

  3. [コードボックス]ウィンドウで、最初のIAMポリシーの権限をコピーします。

  4. 別のブラウザウィンドウを開き、AWS管理コンソールでAWSアカウントにログインします。

  5. IAMサービスを開き、* Policies > Create Policy *を選択します。

  6. ファイルタイプとしてJSONを選択し、手順3でコピーした権限を貼り付けて* Next *を選択します。

  7. ポリシーの名前を入力し、*[ポリシーの作成]*を選択します。

  8. 手順1で複数のワークロード機能を選択した場合は、これらの手順を繰り返して、ワークロード権限のセットごとにポリシーを作成します。

手順2:ポリシーを使用するIAMロールを作成する

このセクションでは、作成した権限とポリシーが含まれているとWorkload Factoryが想定するIAMロールを設定します。

新しいロールに追加する権限を示すスクリーンショット。

手順

  1. AWS管理コンソールで、*[Roles]>[Create Role]*を選択します。

  2. 信頼されるエンティティのタイプ * で、 * AWS アカウント * を選択します。

    1. [Another AWS account]*を選択し、Workload Factory UIからFSx for ONTAPワークロード管理用のアカウントIDをコピーして貼り付けます。

    2. [Required external ID]*を選択し、Workload Factory UIから外部IDをコピーして貼り付けます。

  3. 「 * 次へ * 」を選択します。

  4. [アクセス許可ポリシー]セクションで、以前に定義したすべてのポリシーを選択し、*[次へ]*を選択します。

  5. ロールの名前を入力し、*[ロールの作成]*を選択します。

  6. ロールARNをコピーします。

  7. Workload Factoryに戻り、* Create role *セクションを展開し、_Role ARN_フィールドにARNを貼り付けます。

手順3:名前を入力してクレデンシャルを追加

最後に、Workload Factoryでクレデンシャルの名前を入力します。

手順

  1. Workload Factoryで、* Credentials name *を展開します。

  2. これらのクレデンシャルに使用する名前を入力します。

  3. [追加]*を選択してクレデンシャルを作成します。

結果

クレデンシャルが作成され、[Credentials]ページに戻ります。

CloudFormationを使用してアカウントにクレデンシャルを追加する

AWS CloudFormationスタックを使用してAWSクレデンシャルをWorkload Factoryに追加するには、使用するWorkload Factory機能を選択し、AWSアカウントでAWS CloudFormationスタックを起動します。CloudFormationは、選択したワークロード機能に基づいて、IAMポリシーとIAMロールを作成します。

開始する前に

  • AWSアカウントにログインするにはクレデンシャルが必要です。

  • CloudFormationスタックを使用してクレデンシャルを追加する場合は、AWSアカウントで次の権限が必要です。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeChangeSet",
                "cloudformation:ExecuteChangeSet",
                "cloudformation:ListStacks",
                "cloudformation:ListStackResources",
                "cloudformation:GetTemplate",
                "cloudformation:ValidateTemplate",
                "lambda:InvokeFunction",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:AttachRolePolicy",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*"
        }
    ]
}
手順

  1. Workload Factoryコンソールで、[Account]*アイコンを選択し、[Credentials]*を選択します。

    "Workload Factoryコンソールの[Account Settingsアイコンを示すスクリーンショット。"]

  2. ページで、[クレデンシャルの追加]*を選択します。

  3. [Add via AWS CloudFormation]*を選択します。

    CloudFormationを起動してクレデンシャルを作成する前に定義する必要がある項目を示すスクリーンショット。

  4. [ポリシーの作成]*で、これらのクレデンシャルに含める各ワークロード機能を有効にし、各ワークロードの権限レベルを選択します。

    あとから機能を追加できるので、導入と管理が必要なワークロードを選択するだけです。

  5. [クレデンシャル名]*で、これらのクレデンシャルに使用する名前を入力します。

  6. AWS CloudFormationからクレデンシャルを追加します。

    1. [Add]*(または[Redirect to CloudFormation]*を選択)を選択すると、[Redirect to CloudFormation]ページが表示されます。

      ポリシーを追加するためのCloudFormationスタックの作成方法と、Workload Factoryクレデンシャルのロールを示すスクリーンショット。

    2. AWSでシングルサインオン(SSO)を使用している場合は、別のブラウザタブを開き、AWSコンソールにログインしてから*[続行]*を選択します。

      FSx for ONTAPファイルシステムが配置されているAWSアカウントにログインする必要があります。

    3. [Redirect to CloudFormation]ページから[Continue]*を選択します。

    4. [Quick create stack]ページの[Capabilities]で、*[I acknowledge that AWS CloudFormation might create IAM resources]*を選択します。

    5. [スタックの作成]*を選択します。

    6. Workload Factoryに戻り、[Credentials]ページを監視して、新しいクレデンシャルが実行中であること、または追加されていることを確認します。