Configurar permissões para o FSX for ONTAP
Para criar ou gerenciar um ambiente de trabalho do FSX for ONTAP, você precisa adicionar credenciais da AWS ao BlueXP fornecendo o ARN de uma função do IAM que dá ao BlueXP as permissões necessárias para criar um ambiente de trabalho do FSX for ONTAP.
Por que as credenciais da AWS são necessárias
As credenciais da AWS são necessárias para criar e gerenciar ambientes de trabalho do FSX for ONTAP no BlueXP . Você pode criar novas credenciais da AWS ou adicionar credenciais da AWS a uma organização existente do BlueXP . As credenciais fornecem à BlueXP as permissões necessárias para gerenciar recursos e processos em seu ambiente de nuvem da AWS.
As credenciais e as permissões são gerenciadas de fábrica por meio do workload do BlueXP . O BlueXP Workload Factory é uma plataforma de gerenciamento de ciclo de vida projetada para ajudar os usuários a otimizar cargas de trabalho usando os sistemas de arquivos do Amazon FSX for NetApp ONTAP. O BlueXP usa o mesmo conjunto de credenciais e permissões da AWS de fábrica do workload do BlueXP .
A interface de fábrica do workload fornece aos usuários do BlueXP opções para habilitar recursos de workload, como armazenamento, VMware, bancos de dados e GenAI, e selecionar permissões para as cargas de trabalho. Storage é a capacidade de gerenciamento de armazenamento na fábrica de carga de trabalho e é a única capacidade que você precisa para habilitar e adicionar credenciais para criar e gerenciar seus sistemas de arquivos FSX for ONTAP.
Sobre esta tarefa
Ao adicionar novas credenciais para o FSX for ONTAP da fábrica de carga de armazenamento no BlueXP , você precisará decidir em que nível de permissões, ou modo operacional, você gostaria de operar. Para descobrir e implantar recursos da AWS, como o FSX for ONTAP, você precisará de permissões read ou automate. O BlueXP FSX for ONTAP funcionará no modo básico, a menos que você selecione o modo read ou o modo Automate. "Saiba mais sobre os modos operacionais".
Credenciais novas e existentes da AWS podem ser visualizadas na página Configurações do BlueXP > credenciais.
Você pode adicionar credenciais usando dois métodos:
-
Manualmente: Você cria a política do IAM e a função do IAM na sua conta da AWS enquanto adiciona credenciais na fábrica da carga de trabalho.
-
Automaticamente: Você captura uma quantidade mínima de informações sobre permissões e, em seguida, usa uma pilha do CloudFormation para criar as políticas e a função do IAM para suas credenciais.
Adicione credenciais a uma conta manualmente
Você pode adicionar credenciais da AWS ao BlueXP manualmente para fornecer à sua conta as permissões necessárias para gerenciar os recursos da AWS que você usará para executar suas cargas de trabalho exclusivas. Cada conjunto de credenciais que você adicionar incluirá uma ou mais políticas do IAM com base nos recursos de carga de trabalho que deseja usar e uma função do IAM atribuída à sua conta.
Há três partes para criar as credenciais:
-
Selecione o nível de serviços e permissões que você gostaria de usar e, em seguida, crie políticas do IAM no Console de Gerenciamento da AWS.
-
Crie uma função do IAM a partir do Console de Gerenciamento da AWS.
-
De workloads no BlueXP , insira um nome e adicione as credenciais.
Para criar ou gerenciar um ambiente de trabalho do FSX for ONTAP, você precisa adicionar credenciais da AWS ao BlueXP fornecendo o ARN de uma função do IAM que dá ao BlueXP as permissões necessárias para criar um ambiente de trabalho do FSX for ONTAP.
Você precisará ter credenciais para fazer login na sua conta da AWS.
-
No console do BlueXP , selecione o ícone Configurações e credenciais.
-
Selecione Adicionar credenciais.
-
Selecione Amazon Web Services, depois FSX for ONTAP e depois Next.
Você está agora na página Adicionar credenciais na fábrica de carga de trabalho do BlueXP .
-
Selecione Adicionar manualmente e siga as etapas abaixo para preencher as três seções em configuração de permissões.
Etapa 1: Selecione os recursos de carga de trabalho e crie as políticas do IAM
Nesta seção, você escolherá quais tipos de capacidades de carga de trabalho serão gerenciáveis como parte dessas credenciais e as permissões habilitadas para cada carga de trabalho. Você precisará copiar as permissões de política para cada carga de trabalho selecionada da caixa Codebox e adicioná-las ao Console de Gerenciamento da AWS em sua conta da AWS para criar as políticas.
-
Na seção criar políticas, habilite cada um dos recursos de carga de trabalho que você deseja incluir nessas credenciais. Ative Storage para criar e gerenciar sistemas de arquivos.
Você pode adicionar recursos adicionais posteriormente, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar atualmente.
-
Para os recursos de workload que oferecem a opção de níveis de permissão (automatizar ou ler), selecione o tipo de permissões que estarão disponíveis com essas credenciais. "Saiba mais sobre as permissões, também conhecidas como modos operacionais".
-
Na janela Codebox, copie as permissões para a primeira política do IAM.
-
Abra outra janela do navegador e faça login na sua conta da AWS no Console de Gerenciamento da AWS.
-
Abra o serviço IAM e selecione políticas > criar política.
-
Selecione JSON como o tipo de arquivo, cole as permissões que você copiou na etapa 3 e selecione Next.
-
Digite o nome da política e selecione criar política.
-
Se tiver selecionado várias capacidades de carga de trabalho na etapa 1, repita estas etapas para criar uma política para cada conjunto de permissões de carga de trabalho.
Etapa 2: Crie a função do IAM que usa as políticas
Nesta seção, você configurará uma função do IAM que o Workload Factory assumirá que inclui as permissões e políticas que você acabou de criar.
-
No Console de Gerenciamento da AWS, selecione funções > criar função.
-
Em tipo de entidade confiável, selecione conta AWS.
-
Selecione outra conta da AWS e copie e cole o ID da conta para o gerenciamento de carga de trabalho do FSX for ONTAP na interface de usuário de fábrica de carga de trabalho do BlueXP .
-
Selecione ID externa necessária e copie e cole a ID externa da interface de usuário do BlueXP workloads.
-
-
Selecione seguinte.
-
Na seção de política de permissões, escolha todas as políticas definidas anteriormente e selecione Avançar.
-
Insira um nome para a função e selecione criar função.
-
Copie a função ARN.
-
Retornar para cargas de trabalho do BlueXP Adicionar credenciais página, expanda a seção criar função e cole o ARN no campo função ARN.
Passo 3: Insira um nome e adicione as credenciais
A etapa final é inserir um nome para as credenciais na fábrica de carga de trabalho do BlueXP .
-
Na página cargas de trabalho do BlueXP Adicionar credenciais, expanda Nome das credenciais.
-
Introduza o nome que pretende utilizar para estas credenciais.
-
Selecione Adicionar para criar as credenciais.
As credenciais são criadas e visíveis na página credenciais. Agora você pode usar as credenciais ao criar um ambiente de trabalho do FSX for ONTAP.
Adicione credenciais a uma conta usando o CloudFormation
Você pode adicionar credenciais da AWS às cargas de trabalho do BlueXP usando uma pilha do AWS CloudFormation selecionando os recursos de carga de trabalho que deseja usar e, em seguida, iniciando a pilha do AWS CloudFormation na sua conta da AWS. O CloudFormation criará as políticas do IAM e a função do IAM com base nos recursos de carga de trabalho selecionados.
-
Você precisará ter credenciais para fazer login na sua conta da AWS.
-
Você precisará ter as seguintes permissões na sua conta da AWS ao adicionar credenciais usando uma pilha do CloudFormation:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:ListStacks", "cloudformation:ListStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate", "lambda:InvokeFunction", "iam:PassRole", "iam:CreateRole", "iam:UpdateAssumeRolePolicy", "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole" ], "Resource": "*" } ] }
-
No console do BlueXP , selecione o ícone Configurações e credenciais.
-
Selecione Adicionar credenciais.
-
Selecione Amazon Web Services, depois FSX for ONTAP e depois Next. Você está agora na página Adicionar credenciais na fábrica de carga de trabalho do BlueXP .
-
Selecione Adicionar via AWS CloudFormation.
-
Em criar políticas, habilite cada um dos recursos de carga de trabalho que você deseja incluir nessas credenciais e escolha um nível de permissão para cada carga de trabalho.
Você pode adicionar recursos adicionais posteriormente, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar atualmente.
-
Em Nome de credenciais, insira o nome que deseja usar para essas credenciais.
-
Adicione as credenciais do AWS CloudFormation:
-
Selecione Adicionar (ou selecione Redirecionar para o CloudFormation) e a página Redirecionar para o CloudFormation será exibida.
-
Se você usar o logon único (SSO) com a AWS, abra uma guia separada do navegador e faça login no Console da AWS antes de selecionar continuar.
Você deve fazer login na conta da AWS onde reside o sistema de arquivos FSX for ONTAP.
-
Selecione continuar na página Redirecionar para o CloudFormation.
-
Na página de pilha de criação rápida, em recursos, selecione reconheço que o AWS CloudFormation pode criar recursos do IAM.
-
Selecione criar pilha.
-
Retorne à fábrica da carga de trabalho do BlueXP e abra a página credenciais no ícone do menu para verificar se as novas credenciais estão em andamento ou se foram adicionadas.
-
As credenciais são criadas e visíveis na página credenciais. Agora você pode usar as credenciais ao criar um ambiente de trabalho do FSX for ONTAP.