Skip to main content
Amazon FSx for NetApp ONTAP
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar permissões para o FSX for ONTAP

Colaboradores juliantap netapp-rlithman netapp-bcammett netapp-mwallis
PDFs

Para criar ou gerenciar um ambiente de trabalho do FSX for ONTAP, você precisa adicionar credenciais da AWS ao BlueXP  fornecendo o ARN de uma função do IAM que dá ao BlueXP  as permissões necessárias para criar um ambiente de trabalho do FSX for ONTAP.

Por que as credenciais da AWS são necessárias

As credenciais da AWS são necessárias para criar e gerenciar ambientes de trabalho do FSX for ONTAP no BlueXP . Você pode criar novas credenciais da AWS ou adicionar credenciais da AWS a uma organização existente do BlueXP . As credenciais fornecem à BlueXP  as permissões necessárias para gerenciar recursos e processos em seu ambiente de nuvem da AWS.

As credenciais e as permissões são gerenciadas de fábrica por meio do workload do BlueXP . O BlueXP  Workload Factory é uma plataforma de gerenciamento de ciclo de vida projetada para ajudar os usuários a otimizar cargas de trabalho usando os sistemas de arquivos do Amazon FSX for NetApp ONTAP. O BlueXP  usa o mesmo conjunto de credenciais e permissões da AWS de fábrica do workload do BlueXP .

A interface de fábrica do workload fornece aos usuários do BlueXP  opções para habilitar recursos de workload, como armazenamento, VMware, bancos de dados e GenAI, e selecionar permissões para as cargas de trabalho. Storage é a capacidade de gerenciamento de armazenamento na fábrica de carga de trabalho e é a única capacidade que você precisa para habilitar e adicionar credenciais para criar e gerenciar seus sistemas de arquivos FSX for ONTAP.

Sobre esta tarefa

Ao adicionar novas credenciais para o FSx for ONTAP a partir do Armazenamento na fábrica de carga de trabalho do BlueXP, você precisará decidir em qual nível de permissões, ou modo operacional, deseja operar. Para descobrir e implantar recursos da AWS, como os sistemas de arquivos do FSx for ONTAP, você precisará de permissões somente leitura ou leitura/gravação. O BlueXP FSx for ONTAP operará no modo básico, a menos que você selecione o modo somente leitura ou o modo leitura/gravação. Somente leitura são as mesmas permissões de visualização. Read/Write são as mesmas permissões de operação. "Saiba mais sobre os modos operacionais".

Credenciais novas e existentes da AWS podem ser visualizadas na página Configurações do BlueXP  > credenciais.

Você pode adicionar credenciais usando dois métodos:

  • Manualmente: Você cria a política do IAM e a função do IAM na sua conta da AWS enquanto adiciona credenciais na fábrica da carga de trabalho.

  • Automaticamente: Você captura uma quantidade mínima de informações sobre permissões e, em seguida, usa uma pilha do CloudFormation para criar as políticas e a função do IAM para suas credenciais.

Adicione credenciais a uma conta manualmente

Você pode adicionar credenciais da AWS ao BlueXP  manualmente para fornecer à sua conta as permissões necessárias para gerenciar os recursos da AWS que você usará para executar suas cargas de trabalho exclusivas. Cada conjunto de credenciais que você adicionar incluirá uma ou mais políticas do IAM com base nos recursos de carga de trabalho que deseja usar e uma função do IAM atribuída à sua conta.

Há três partes para criar as credenciais:

  • Selecione o nível de serviços e permissões que você gostaria de usar e, em seguida, crie políticas do IAM no Console de Gerenciamento da AWS.

  • Crie uma função do IAM a partir do Console de Gerenciamento da AWS.

  • De workloads no BlueXP , insira um nome e adicione as credenciais.

Para criar ou gerenciar um ambiente de trabalho do FSX for ONTAP, você precisa adicionar credenciais da AWS ao BlueXP  fornecendo o ARN de uma função do IAM que dá ao BlueXP  as permissões necessárias para criar um ambiente de trabalho do FSX for ONTAP.

Antes de começar

Você precisará ter credenciais para fazer login na sua conta da AWS.

Passos

  1. No console do BlueXP , selecione o ícone Configurações e credenciais.

  2. Selecione Adicionar credenciais.

  3. Selecione Amazon Web Services, depois FSX for ONTAP e depois Next.

    Você está agora na página Adicionar credenciais na fábrica de carga de trabalho do BlueXP .

  4. Selecione Adicionar manualmente e siga as etapas abaixo para preencher as três seções em configuração de permissões.

    Uma captura de tela mostrando os itens que você precisa definir manualmente para cada conjunto de credenciais.

Etapa 1: Selecione a capacidade de armazenamento e crie a política do IAM

Nesta seção, você escolherá a capacidade de armazenamento a ser gerenciada como parte dessas credenciais e as permissões habilitadas para armazenamento. Você também tem a opção de selecionar outras cargas de trabalho, como bancos de dados, GenAI ou VMware. Depois de fazer suas seleções, você precisará copiar as permissões de política para cada carga de trabalho selecionada da caixa Codebox e adicioná-las ao Console de Gerenciamento da AWS na sua conta da AWS para criar as políticas.

Uma captura de tela mostrando quais tipos de capacidades de carga de trabalho serão gerenciáveis como parte das políticas nessas credenciais.

Passos

  1. Na seção criar políticas, habilite cada um dos recursos de carga de trabalho que você deseja incluir nessas credenciais. Ative Storage para criar e gerenciar sistemas de arquivos.

    Você pode adicionar recursos adicionais posteriormente, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar atualmente.

  2. Para os recursos de carga de trabalho que oferecem uma escolha de níveis de permissão (somente leitura ou leitura/gravação), selecione o tipo de permissão que estará disponível com essas credenciais. "Saiba mais sobre as permissões, também conhecidas como modos operacionais".

  3. Opcional: Selecione Ativar verificação automática de permissões para verificar se você tem as permissões de conta da AWS necessárias para concluir operações de carga de trabalho. A ativação da verificação adiciona o iam:SimulatePrincipalPolicy permission às suas políticas de permissão. O objetivo desta permissão é confirmar apenas permissões. Você pode remover a permissão depois de adicionar credenciais, mas recomendamos mantê-la para impedir a criação de recursos para operações parcialmente bem-sucedidas e salvá-lo de qualquer limpeza manual de recursos necessária.

  4. Na janela Codebox, copie as permissões para a primeira política do IAM.

    As permissões de armazenamento também podem ser copiadas das seguintes guias.

    Permissões somente leitura
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:Describe*",
        "fsx:ListTagsForResource",
        "ec2:Describe*",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}
    Permissões de leitura/gravação
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:*",
        "ec2:Describe*",
        "ec2:CreateTags",
        "ec2:CreateSecurityGroup",
        "iam:CreateServiceLinkedRole",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "kms:CreateGrant",
        "cloudwatch:PutMetricData",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/AppCreator": "NetappFSxWF"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

  5. Abra outra janela do navegador e faça login na sua conta da AWS no Console de Gerenciamento da AWS.

  6. Abra o serviço IAM e selecione políticas > criar política.

  7. Selecione JSON como o tipo de arquivo, cole as permissões que você copiou na etapa 3 e selecione Next.

  8. Digite o nome da política e selecione criar política.

  9. Se tiver selecionado várias capacidades de carga de trabalho na etapa 1, repita estas etapas para criar uma política para cada conjunto de permissões de carga de trabalho.

Etapa 2: Crie a função do IAM que usa as políticas

Nesta seção, você configurará uma função do IAM que o Workload Factory assumirá que inclui as permissões e políticas que você acabou de criar.

Uma captura de tela mostrando quais permissões farão parte da nova função.

Passos

  1. No Console de Gerenciamento da AWS, selecione funções > criar função.

  2. Em tipo de entidade confiável, selecione conta AWS.

    1. Selecione outra conta da AWS e copie e cole o ID da conta para o gerenciamento de carga de trabalho do FSX for ONTAP na interface de usuário de fábrica de carga de trabalho do BlueXP .

    2. Selecione ID externa necessária e copie e cole a ID externa da interface de usuário do BlueXP  workloads.

  3. Selecione seguinte.

  4. Na seção de política de permissões, escolha todas as políticas definidas anteriormente e selecione Avançar.

  5. Insira um nome para a função e selecione criar função.

  6. Copie a função ARN.

  7. Retornar para cargas de trabalho do BlueXP  Adicionar credenciais página, expanda a seção criar função e cole o ARN no campo função ARN.

Passo 3: Insira um nome e adicione as credenciais

A etapa final é inserir um nome para as credenciais na fábrica de carga de trabalho do BlueXP .

Passos

  1. Na página cargas de trabalho do BlueXP  Adicionar credenciais, expanda Nome das credenciais.

  2. Introduza o nome que pretende utilizar para estas credenciais.

  3. Selecione Adicionar para criar as credenciais.

Resultado

As credenciais são criadas e visíveis na página credenciais. Agora você pode usar as credenciais ao criar um ambiente de trabalho do FSX for ONTAP. Sempre que necessário, você pode renomear as credenciais ou removê-las do console do BlueXP.

Adicione credenciais a uma conta usando o CloudFormation

Você pode adicionar credenciais da AWS às cargas de trabalho do BlueXP  usando uma pilha do AWS CloudFormation selecionando os recursos de carga de trabalho que deseja usar e, em seguida, iniciando a pilha do AWS CloudFormation na sua conta da AWS. O CloudFormation criará as políticas do IAM e a função do IAM com base nos recursos de carga de trabalho selecionados.

Antes de começar

  • Você precisará ter credenciais para fazer login na sua conta da AWS.

  • Você precisará ter as seguintes permissões na sua conta da AWS ao adicionar credenciais usando uma pilha do CloudFormation:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
Passos

  1. No console do BlueXP , selecione o ícone Configurações e credenciais.

  2. Selecione Adicionar credenciais.

  3. Selecione Amazon Web Services, depois FSX for ONTAP e depois Next. Você está agora na página Adicionar credenciais na fábrica de carga de trabalho do BlueXP .

  4. Selecione Adicionar via AWS CloudFormation.

    Uma captura de tela mostrando os itens que precisam ser definidos antes de iniciar o CloudFormation para criar as credenciais.

  5. Em criar políticas, habilite cada um dos recursos de carga de trabalho que você deseja incluir nessas credenciais e escolha um nível de permissão para cada carga de trabalho.

    Você pode adicionar recursos adicionais posteriormente, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar atualmente.

  6. Opcional: Selecione Ativar verificação automática de permissões para verificar se você tem as permissões de conta da AWS necessárias para concluir operações de carga de trabalho. Ativar a verificação adiciona a iam:SimulatePrincipalPolicy permissão às suas políticas de permissão. O objetivo desta permissão é confirmar apenas permissões. Você pode remover a permissão depois de adicionar credenciais, mas recomendamos mantê-la para impedir a criação de recursos para operações parcialmente bem-sucedidas e salvá-lo de qualquer limpeza manual de recursos necessária.

  7. Em Nome de credenciais, insira o nome que deseja usar para essas credenciais.

  8. Adicione as credenciais do AWS CloudFormation:

    1. Selecione Adicionar (ou selecione Redirecionar para o CloudFormation) e a página Redirecionar para o CloudFormation será exibida.

      Uma captura de tela mostrando como criar a pilha do CloudFormation para adicionar políticas e uma função para credenciais de fábrica de carga de trabalho.

    2. Se você usar o logon único (SSO) com a AWS, abra uma guia separada do navegador e faça login no Console da AWS antes de selecionar continuar.

      Você deve fazer login na conta da AWS onde reside o sistema de arquivos FSX for ONTAP.

    3. Selecione continuar na página Redirecionar para o CloudFormation.

    4. Na página de pilha de criação rápida, em recursos, selecione reconheço que o AWS CloudFormation pode criar recursos do IAM.

    5. Selecione criar pilha.

    6. Retorne à fábrica da carga de trabalho do BlueXP  e abra a página credenciais no ícone do menu para verificar se as novas credenciais estão em andamento ou se foram adicionadas.

Resultado

As credenciais são criadas e visíveis na página credenciais. Agora você pode usar as credenciais ao criar um ambiente de trabalho do FSX for ONTAP. Sempre que necessário, você pode renomear as credenciais ou removê-las do console do BlueXP.