운영 모드 및 AWS 자격 증명에 대해 자세히 알아보십시오
변경 제안
PDF
워크로드 팩토리는 IT 정책에 따라 워크로드 팩토리와 클라우드 자산 간의 액세스를 신중하게 제어할 수 있는 세 가지 운영 모드를 제공합니다. 사용하는 운영 모드는 워크로드 팩토리에 제공하는 AWS 권한의 수준에 따라 결정됩니다.
작동 모드
운영 모드는 할당된 신뢰 수준과 상관 관계를 맺고 워크로드 공장에서 제공하는 기능과 기능의 논리적 구성을 제공합니다. 운영 모드의 주요 목표는 워크로드 팩토리가 AWS 계정 내에서 수행할 수 있거나 수행할 수 없는 작업을 명확하게 전달하는 것입니다.
- 기본 모드
-
워크로드 팩토리에 AWS 권한이 할당되지 않은 제로 트러스트 관계를 나타냅니다. 워크로드 공장 초기 탐색 및 다양한 마법사를 사용하여 필요한 IAC(Infrastructure as Code)를 생성할 수 있도록 설계되었습니다. AWS 자격 증명을 수동으로 입력하여 AWS에서 코드를 복사하고 사용할 수 있습니다.
- 읽기 모드
-
IAC 템플릿이 특정 변수(예: VPC, 보안 그룹 등)로 채워지도록 읽기 전용 권한을 추가하여 기본 모드의 환경을 개선합니다. 따라서 워크로드 팩토리에 대한 수정 권한을 제공하지 않고 AWS 계정에서 직접 IAC를 실행할 수 있습니다.
- 자동 모드
-
작업 부하 팩터리에 모든 권한이 할당되도록 완전 신뢰 관계를 나타냅니다. 이를 통해 워크로드 팩토리는 실행을 위해 필요한 권한이 할당된 자격 증명과 함께 AWS에서 대신 작업을 실행하고 자동화할 수 있습니다.
작동 모드 기능
각 모드에서 사용할 수 있는 기능은 각 모드에 따라 증가합니다.
| 모드를 선택합니다 | 워크로드 공장 자동화 | IAC를 사용하여 AWS 내에서 자동화되었습니다 | AWS 리소스 검색 및 자동 완성 | 진행 상황 모니터링 |
|---|---|---|---|---|
기본 |
아니요 |
최소 전체 IAC 템플릿 |
아니요 |
아니요 |
읽기 |
아니요 |
IAC 템플릿을 적당히 작성합니다 |
예 |
예 |
자동화 |
완전 자동화 |
완전 자동화가 가능한 완전한 IAC 템플릿 |
예 |
예 |
운영 모드 요구사항
사용할 모드를 식별하기 위해 워크로드 팩토리에는 선택기를 설정할 필요가 없습니다. 모드는 워크로드 공장 계정에 할당한 AWS 자격 증명 및 권한에 따라 결정됩니다.
| 모드를 선택합니다 | AWS 계정 자격 증명 | 링크 |
|---|---|---|
기본 |
필요하지 않습니다 |
필요하지 않습니다 |
읽기 |
읽기 전용 |
필요하지 않습니다 |
자동화 |
읽기-쓰기 자격 증명 |
필수 요소입니다 |
작동 모드의 예
워크로드 구성요소 하나에 대해 하나의 모드를, 다른 구성요소에 대해 다른 모드를 제공하도록 자격 증명을 설정할 수 있습니다. 예를 들어, FSx for ONTAP 파일 시스템을 구축 및 관리하는 작업에 대해 자동화 모드를 구성할 수 있지만 워크로드 공장을 사용하여 데이터베이스 워크로드를 생성하고 배포하기 위한 읽기 모드만 구성할 수 있습니다.
워크로드 공장 계정의 단일 자격 증명 집합 내에서 이러한 기능을 제공하거나 각 자격 증명이 고유한 작업 부하 배포 기능을 제공할 때 여러 자격 증명 집합을 만들 수 있습니다.
예 1
다음 권한이 부여된 자격 증명을 사용하는 계정 사용자는 FSx for ONTAP 파일 시스템을 생성하고, 데이터베이스를 구축하고, 계정에 사용되는 다른 유형의 AWS 스토리지를 볼 수 있는 모든 권한(자동화 모드)을 갖게 됩니다.
하지만 워크로드 공장에서 VMware 워크로드(기본 모드)를 생성 및 구축하는 데 대한 자동화 제어 기능은 없습니다. VMware 워크로드를 생성하려면 코드박스에서 코드를 복사하고 AWS 계정에 수동으로 로그인한 다음 생성된 코드에 누락된 항목을 수동으로 채워 이 기능을 사용해야 합니다.
예 2
여기서 사용자는 선택한 자격 증명 세트에 따라 서로 다른 작동 기능을 사용할 수 있도록 두 개의 자격 증명을 만들었습니다. 일반적으로 각 자격 증명 세트는 다른 AWS 계정에 페어링됩니다.
첫 번째 자격 증명 세트에는 FSx for ONTAP 파일 시스템 생성 시 사용자와 이 계정에 사용되는 다른 유형의 AWS 스토리지 보기 기능을 완벽하게 제어할 수 있는 권한이 있지만, VMware 워크로드 작업 시에는 읽기 권한만 포함됩니다.
두 번째 자격 증명 세트는 FSx for ONTAP 파일 시스템을 생성하고 계정에 사용된 다른 유형의 AWS 스토리지를 볼 수 있는 권한을 사용자에게 부여할 뿐입니다.
AWS 자격 증명
다음과 같은 AWS 가정 역할 자격 증명 등록 흐름을 설계했습니다.
-
사용할 워크로드 기능을 지정하고 이러한 선택 항목에 따라 IAM 정책 요구사항을 제공하여 보다 조율된 AWS 계정 권한을 지원합니다.
-
특정 워크로드 기능에 대한 옵트인 또는 옵트아웃을 통해 부여된 AWS 계정 권한을 조정할 수 있습니다.
-
AWS 콘솔에 적용할 수 있는 맞춤형 JSON 정책 파일을 제공하여 수동 IAM 정책 생성을 간소화합니다.
-
AWS CloudFormation 스택을 사용하여 필요한 IAM 정책 및 역할 생성을 위한 자동화 옵션을 사용자에게 제공하여 자격 증명 등록 프로세스를 더욱 단순화합니다.
-
FSx for ONTAP 서비스 자격 증명을 AWS 기반 기밀 관리 백엔드에서 저장할 수 있으므로 AWS 클라우드 에코시스템 경계 내에 자격 증명을 저장하려는 FSx for ONTAP 사용자에게 더 적합합니다.
하나 이상의 AWS 자격 증명
첫 번째 작업 부하 출고 시 기능(또는 기능)을 사용하는 경우 해당 작업 부하 기능에 필요한 권한을 사용하여 자격 증명을 만들어야 합니다. 워크로드 팩토리에는 자격 증명을 추가하지만 AWS Management Console에 액세스하여 IAM 역할 및 정책을 생성해야 합니다. 이러한 자격 증명은 워크로드 공장에서 기능을 사용할 때 사용자 계정에서 사용할 수 있습니다.
초기 AWS 자격 증명 세트에는 하나의 기능 또는 여러 기능에 대한 IAM 정책이 포함될 수 있습니다. 비즈니스 요구 사항에 따라 다릅니다.
둘 이상의 AWS 자격 증명 세트를 워크로드 공장에 추가하면 FSx for ONTAP 파일 시스템, FSx for ONTAP에 데이터베이스 배포, VMware 워크로드 마이그레이션 등과 같은 추가 기능을 사용하는 데 필요한 추가 권한이 제공됩니다.