運用モードとAWSクレデンシャルの詳細
変更を提案
PDF
Workload Factoryには、ITポリシーに基づいてワークロードファクトリとクラウド資産の間のアクセスを慎重に制御できる3つの運用モードが用意されています。使用する運用モードは、ワークロードファクトリに提供するAWS権限のレベルによって決まります。
動作モード
運用モードでは、割り当てた信頼レベルに応じて、ワークロードファクトリによって提供される機能と機能の論理的な構成が提供されます。運用モードの主な目的は、ワークロードファクトリがAWSアカウント内で実行できるタスクと実行できないタスクを明確に伝えることです。
- 基本モード
-
ワークロードファクトリにAWS権限が割り当てられていないゼロトラスト関係を表します。ワークロードファクトリを早期に調査し、さまざまなウィザードを使用して必要なコードとしてのインフラ(IAC)を作成できるように設計されています。コードをコピーしてAWSで使用するには、AWSクレデンシャルを手動で入力します。
- 読み取りモード
-
読み取り専用権限を追加して、IACテンプレートに特定の変数(VPC、セキュリティグループなど)が入力されるようにすることで、基本モードのエクスペリエンスが向上します。これにより、ワークロードファクトリに変更権限を付与することなく、AWSアカウントからIACを直接実行できます。
- 自動モード
-
完全な信頼関係を表し、ワークロードファクトリに完全な権限が割り当てられます。これにより、ワークロードファクトリは、実行に必要な権限を持つ割り当てられたクレデンシャルとともに、AWSでの処理をユーザに代わって実行および自動化できます。
運用モードの機能
各モードを使用できる機能は、各モードに応じて拡張されます。
| モード | ワークロード工場からの自動化 | IaCを使用したAWS内での自動化 | AWSリソースの検出と自動補完 | シンノカンシ |
|---|---|---|---|---|
基本 |
いいえ |
最低限必要なIACテンプレート |
いいえ |
いいえ |
読み取り |
いいえ |
IACテンプレートを適度に完成させる |
はい |
はい |
自動化 |
フルオートメーション |
完全自動化された完全なIACテンプレート |
はい |
はい |
運用モードの要件
使用するモードを特定するためにワークロードファクトリで設定する必要のあるセレクタはありません。モードは、ワークロードファクトリアカウントに割り当てたAWSのクレデンシャルと権限に基づいて決定されます。
| モード | AWSアカウントノクレデンシャル | リンク |
|---|---|---|
基本 |
不要 |
不要 |
読み取り |
読み取り専用 |
不要 |
自動化 |
読み取り/書き込みクレデンシャル |
必須 |
運用モードの例
クレデンシャルを設定して、あるワークロードコンポーネントに1つのモードを設定し、別のコンポーネントに別のモードを設定できます。たとえば、FSx for ONTAPファイルシステムを導入および管理する運用については自動モードを設定できますが、ワークロードファクトリを使用してデータベースワークロードを作成および導入する場合は読み取りモードのみを設定できます。
これらの機能は、ワークロードファクトリアカウントの1つのクレデンシャルセット内で提供できます。また、各クレデンシャルが固有のワークロード導入機能を提供する場合は、複数のクレデンシャルセットを作成することもできます。
例1
次の権限が付与されたクレデンシャルを使用するアカウントユーザは、FSx for ONTAPファイルシステムの作成、データベースの導入、アカウントで使用されているその他のタイプのAWSストレージの表示を完全に制御(自動モード)できます。
ただし、ワークロードファクトリからVMwareワークロード(基本モード)を作成および導入するための自動制御機能はありません。VMwareワークロードを作成する場合、この機能を使用するには、コードボックスからコードをコピーし、AWSアカウントに手動でログインし、生成されたコードに不足しているエントリを手動で入力する必要があります。
例2
ここでは、選択されたクレデンシャルのセットに応じて異なる運用機能を許可するために、ユーザは2セットのクレデンシャルを作成しました。通常、クレデンシャルの各セットは別 々 のAWSアカウントとペアリングされます。
最初のクレデンシャルには、FSx for ONTAPファイルシステムの作成に関するフルコントロール(およびアカウントで使用されている他のタイプのAWSストレージを表示する機能)をユーザに付与する権限が含まれますが、VMwareワークロードを処理する場合は読み取り権限のみが付与されます。
2つ目のクレデンシャルには、FSx for ONTAPファイルシステムの作成、およびアカウントで使用されているその他のタイプのAWSストレージの表示をユーザが完全に制御できる権限のみが付与されます。
AWS クレデンシャル
AWS Assumeロールのクレデンシャルの登録フローは次のように設計されています。
-
では、使用するワークロード機能を指定し、選択内容に応じてIAMポリシーの要件を指定できるため、AWSアカウントの権限をより適切に調整できます。
-
特定のワークロード機能をオプトインまたはオプトアウトするときに、付与されたAWSアカウントの権限を調整できます。
-
AWSコンソールで適用できるカスタマイズされたJSONポリシーファイルを提供することで、IAMポリシーの手動作成を簡易化します。
-
AWS CloudFormationスタックを使用して必要なIAMポリシーとロールの作成を自動化するオプションをユーザに提供することで、クレデンシャルの登録プロセスをさらに簡易化します。
-
AWSベースのシークレット管理バックエンドにFSx for ONTAPサービスのクレデンシャルを格納できるようにすることで、クレデンシャルをAWSクラウドエコシステムの境界内に格納することを強く希望するFSx for ONTAPユーザとの連携が強化されます。
1つ以上のAWSクレデンシャル
最初のワークロードファクトリ機能(機能)を使用する場合は、それらのワークロード機能に必要な権限を使用してクレデンシャルを作成する必要があります。資格情報をワークロードファクトリに追加しますが、IAMロールとポリシーを作成するにはAWS管理コンソールにアクセスする必要があります。これらのクレデンシャルは、ワークロードファクトリの機能を使用している場合にアカウント内で使用できます。
AWSクレデンシャルの初期セットには、1つの機能または多数の機能のIAMポリシーを含めることができます。ビジネス要件によって異なります。
ワークロードファクトリに複数のAWSクレデンシャルを追加すると、FSx for ONTAPファイルシステム、FSx for ONTAPでのデータベースの導入、VMwareワークロードの移行など、追加の機能を使用するために必要な権限が追加されます。