運用モードとAWSクレデンシャルの詳細
変更を提案
PDF
NetApp Workload Factory には、IT ポリシーに基づいて Workload Factory とクラウド資産間のアクセスを慎重に制御できる 3 つの動作モードが用意されています。使用する動作モードは、Workload Factory に提供する AWS 権限のレベルによって決まります。
動作モード
運用モードは、割り当てた信頼レベルに応じて、Workload Factory によって提供される機能と機能を論理的に構成します。運用モードの主な目的は、Workload Factory が AWS アカウント内で実行できるタスクと実行できないタスクを明確に伝えることです。
- 基本モード
-
Workload Factory に AWS 権限が割り当てられていないゼロ トラスト関係を表します。これは、ワークロード ファクトリーを早期に調査し、さまざまなウィザードを使用して必要な Infrastructure as Code (IaC) を作成するために設計されています。コードをコピーし、AWS 認証情報を手動で入力して AWS で使用できます。
- 読み取り専用モード
-
読み取り専用権限を追加して基本モードのエクスペリエンスを強化し、IaC テンプレートに特定の変数 (VPC、セキュリティ グループなど) が入力されるようにします。これにより、Workload Factory に変更権限を与えることなく、AWS アカウントから直接 IaC を実行できるようになります。
- 読み取り/書き込みモード
-
完全な信頼関係を表し、Workload Factory に完全な権限が割り当てられるようにします。これにより、Workload Factory は、実行に必要な権限を持つ割り当てられた認証情報とともに、お客様に代わって AWS での操作を実行および自動化できるようになります。
詳細はこちら"NetApp Workload Factoryの権限" 。
運用モードの機能
各モードを使用できる機能は、各モードに応じて拡張されます。
| モード | ワークロードファクトリーからの自動化 | IaCを使用したAWS内での自動化 | AWSリソースの検出と自動補完 | シンノカンシ |
|---|---|---|---|---|
基本 |
いいえ |
最低限必要なIACテンプレート |
いいえ |
いいえ |
読み取り専用 |
いいえ |
IACテンプレートを適度に完成させる |
はい |
はい |
読み取り / 書き込み |
フルオートメーション |
完全自動化された完全なIACテンプレート |
はい |
はい |
運用モードの要件
使用する予定のモードを識別するために Workload Factory で設定する必要があるセレクターはありません。モードは、Workload Factory アカウントに割り当てた AWS 認証情報とアクセス許可に基づいて決定されます。
| モード | AWSアカウントノクレデンシャル | リンク |
|---|---|---|
基本 |
不要 |
不要 |
読み取り専用 |
読み取り専用 |
不要 |
読み取り / 書き込み |
読み取り/書き込み資格情報 |
必須 |
運用モードの例
資格情報を設定すると、1 つのワークロード コンポーネントに 1 つのモードを提供し、別のコンポーネントに別のモードを提供できます。たとえば、FSx for ONTAPファイルシステムをデプロイおよび管理する操作に対しては読み取り/書き込みモードを設定できますが、Workload Factory を使用してデータベースワークロードを作成およびデプロイする操作に対しては読み取り専用モードのみを設定できます。
これらの機能は、Workload Factory アカウントの単一の資格情報セット内で提供することも、資格情報ごとに固有のワークロード展開機能を提供する場合は複数の資格情報セットを作成することもできます。
例1
以下の権限が付与された認証情報を使用するアカウント ユーザーに、FSx for ONTAP ファイルシステムの作成、データベースのデプロイ、アカウントで使用される他の種類の AWS ストレージの表示に対するフル コントロール (読み取り/書き込みモード) が付与されます。
ただし、Workload Factory から VMware ワークロード (基本モード) を作成および展開するための自動化コントロールはありません。 VMware ワークロードを作成する場合は、Codebox からコードをコピーし、AWS アカウントに手動でログインし、生成されたコードに不足しているエントリを手動で入力して、この機能を使用する必要があります。
例2
ここでは、選択されたクレデンシャルのセットに応じて異なる運用機能を許可するために、ユーザは2セットのクレデンシャルを作成しました。通常、クレデンシャルの各セットは別 々 のAWSアカウントとペアリングされます。
最初の認証情報セットには、ユーザーに FSx for ONTAP ファイルシステムの作成に対する完全な制御 (およびアカウントで使用されている他の種類の AWS ストレージを表示する機能) を与える権限が含まれていますが、VMware ワークロードを操作する場合は読み取り専用権限のみが含まれます。
2つ目のクレデンシャルには、FSx for ONTAPファイルシステムの作成、およびアカウントで使用されているその他のタイプのAWSストレージの表示をユーザが完全に制御できる権限のみが付与されます。
AWS クレデンシャル
AWS Assumeロールのクレデンシャルの登録フローは次のように設計されています。
-
では、使用するワークロード機能を指定し、選択内容に応じてIAMポリシーの要件を指定できるため、AWSアカウントの権限をより適切に調整できます。
-
特定のワークロード機能をオプトインまたはオプトアウトするときに、付与されたAWSアカウントの権限を調整できます。
-
AWSコンソールで適用できるカスタマイズされたJSONポリシーファイルを提供することで、IAMポリシーの手動作成を簡易化します。
-
AWS CloudFormationスタックを使用して必要なIAMポリシーとロールの作成を自動化するオプションをユーザに提供することで、クレデンシャルの登録プロセスをさらに簡易化します。
-
AWSベースのシークレット管理バックエンドにFSx for ONTAPサービスのクレデンシャルを格納できるようにすることで、クレデンシャルをAWSクラウドエコシステムの境界内に格納することを強く希望するFSx for ONTAPユーザとの連携が強化されます。
1つ以上のAWSクレデンシャル
最初の Workload Factory 機能を使用する場合は、それらのワークロード機能に必要な権限を使用して資格情報を作成する必要があります。認証情報は Workload Factory に追加しますが、IAM ロールとポリシーを作成するには AWS マネジメントコンソールにアクセスする必要があります。これらの資格情報は、Workload Factory のあらゆる機能を使用するときにアカウント内で利用できるようになります。
AWSクレデンシャルの初期セットには、1つの機能または多数の機能のIAMポリシーを含めることができます。ビジネス要件によって異なります。
Workload Factory に複数の AWS 認証情報セットを追加すると、FSx for ONTAPファイルシステム、FSx for ONTAPへのデータベースのデプロイ、VMware ワークロードの移行など、追加機能を使用するために必要な追加の権限が提供されます。