Saiba mais sobre as credenciais e permissões da AWS
Saiba como o BlueXP usa credenciais da AWS para executar ações em seu nome e como essas credenciais estão associadas às assinaturas do marketplace. Entender esses detalhes pode ser útil ao gerenciar as credenciais de uma ou mais contas da AWS no BlueXP . Por exemplo, você pode querer saber quando adicionar credenciais adicionais da AWS ao BlueXP .
Credenciais iniciais da AWS
Ao implantar um conetor do BlueXP , você precisa fornecer o ARN de uma função do IAM ou chaves de acesso para um usuário do IAM. O método de autenticação usado deve ter as permissões necessárias para implantar a instância do conetor na AWS. As permissões necessárias estão listadas no "Política de implantação do Connector para AWS".
Quando o BlueXP inicia a instância do Connector na AWS, ele cria uma função do IAM e um perfil de instância para a instância. Ele também anexa uma política que fornece ao conetor permissões para gerenciar recursos e processos dentro dessa conta da AWS. "Veja como o BlueXP usa as permissões".
Se você criar um novo ambiente de trabalho para o Cloud Volumes ONTAP, o BlueXP selecionará essas credenciais da AWS por padrão:
Você pode implantar todos os seus sistemas Cloud Volumes ONTAP usando as credenciais iniciais da AWS ou adicionar credenciais adicionais.
Credenciais adicionais da AWS
Você pode adicionar credenciais adicionais da AWS ao BlueXP nos seguintes casos:
-
Para usar seu BlueXP Connector existente com uma conta AWS adicional
-
Para criar um novo conetor em uma conta específica da AWS
-
Para criar e gerenciar o FSX para sistemas de arquivos ONTAP
Consulte as seções abaixo para obter mais detalhes.
Adicione credenciais da AWS para usar um conetor com outra conta da AWS
Se você quiser usar o BlueXP com contas adicionais da AWS, poderá fornecer chaves da AWS para um usuário do IAM ou o ARN de uma função em uma conta confiável. A imagem a seguir mostra duas contas adicionais, uma fornecendo permissões por meio de uma função do IAM em uma conta confiável e outra por meio das chaves da AWS de um usuário do IAM:
Em seguida, você adicionaria as credenciais da conta ao BlueXP especificando o Nome de recurso do Amazon (ARN) da função do IAM ou as chaves da AWS para o usuário do IAM.
Por exemplo, você pode alternar entre credenciais ao criar um novo ambiente de trabalho do Cloud Volumes ONTAP:
Adicione credenciais da AWS para criar um conetor
A adição de novas credenciais da AWS ao BlueXP fornece as permissões necessárias para criar um conetor.
Adicione credenciais da AWS para o FSX for ONTAP
Adicionar novas credenciais da AWS ao BlueXP fornece as permissões necessárias para criar e gerenciar um ambiente de trabalho do FSX for ONTAP.
Credenciais e assinaturas de mercado
As credenciais que você adicionar a um conetor devem estar associadas a uma assinatura do AWS Marketplace para que você possa pagar pelo Cloud Volumes ONTAP a uma taxa por hora (PAYGO) ou por meio de um contrato anual e usar outros serviços da BlueXP .
Observe o seguinte sobre as credenciais da AWS e as assinaturas do marketplace:
-
Você pode associar apenas uma assinatura do AWS Marketplace a um conjunto de credenciais da AWS
-
Você pode substituir uma assinatura existente do mercado por uma nova
FAQ
As perguntas a seguir estão relacionadas a credenciais e assinaturas.
Como posso girar com segurança minhas credenciais da AWS?
Como descrito nas seções acima, o BlueXP permite que você forneça credenciais da AWS de algumas maneiras: Uma função do IAM associada à instância do Connector, assumindo uma função do IAM em uma conta confiável ou fornecendo chaves de acesso da AWS.
Com as duas primeiras opções, o BlueXP usa o Serviço de token de segurança da AWS para obter credenciais temporárias que rodam constantemente. Este processo é a melhor prática - é automático e seguro.
Se você fornecer ao BlueXP as chaves de acesso da AWS, você deve girar as chaves atualizando-as no BlueXP em um intervalo regular. Este é um processo completamente manual.
Posso alterar a assinatura do AWS Marketplace para ambientes de trabalho do Cloud Volumes ONTAP?
Sim, você pode. Quando você altera a assinatura do AWS Marketplace associada a um conjunto de credenciais, todos os ambientes de trabalho existentes e novos do Cloud Volumes ONTAP serão cobrados com base na nova assinatura.
Posso adicionar várias credenciais da AWS, cada uma com diferentes assinaturas do marketplace?
Todas as credenciais da AWS que pertencem à mesma conta da AWS serão associadas à mesma assinatura do AWS Marketplace.
Se você tiver várias credenciais da AWS que pertencem a diferentes contas da AWS, essas credenciais poderão ser associadas à mesma assinatura do AWS Marketplace ou a assinaturas diferentes.
Posso mover os ambientes de trabalho existentes do Cloud Volumes ONTAP para uma conta diferente da AWS?
Não, não é possível mover os recursos da AWS associados ao ambiente de trabalho do Cloud Volumes ONTAP para uma conta diferente da AWS.
Como as credenciais funcionam para implantações no mercado e implantações locais?
As seções acima descrevem o método de implantação recomendado para o conetor, que é da BlueXP . Você também pode implantar um conetor na AWS a partir do AWS Marketplace e instalar manualmente o software Connector em seu próprio host Linux.
Se você usar o Marketplace, as permissões serão fornecidas da mesma maneira. Você só precisa criar e configurar manualmente a função do IAM e, em seguida, fornecer permissões para quaisquer contas adicionais.
Para implantações locais, você não pode configurar uma função do IAM para o sistema BlueXP , mas pode fornecer permissões usando chaves de acesso da AWS.
Para saber como configurar permissões, consulte as seguintes páginas: