Skip to main content
Amazon FSx for NetApp ONTAP
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar permissões para FSx para ONTAP

Colaboradores netapp-rlithman
PDFs

Para criar ou gerenciar um sistema de arquivos FSx for ONTAP , você precisa adicionar as credenciais da AWS no NetApp Console , fornecendo o ARN de uma função do IAM que conceda as permissões necessárias para criar um sistema FSx for ONTAP a partir do NetApp Console.

Por que as credenciais da AWS são necessárias

As credenciais da AWS são necessárias para criar e gerenciar sistemas FSx for ONTAP a partir do NetApp Console. Você pode criar novas credenciais ou adicioná-las a uma organização existente. As credenciais permitem gerenciar recursos da AWS a partir do NetApp Console.

As credenciais e permissões são gerenciadas pelo NetApp Workload Factory. O Workload Factory é uma plataforma de gerenciamento de ciclo de vida projetada para ajudar os usuários a gerenciar e aprimorar cargas de trabalho VMware, EDA e de banco de dados que são executadas em sistemas de arquivos Amazon FSx for NetApp ONTAP. O NetApp Console e o Workload Factory usam o mesmo conjunto de credenciais e permissões da AWS. Storage é a funcionalidade de gerenciamento de storage no Workload Factory e é a única funcionalidade que você precisa ativar e para a qual precisa adicionar credenciais para criar e gerenciar seus sistemas de arquivos FSx for ONTAP.

Sobre esta tarefa

Ao adicionar novas credenciais para o FSx for ONTAP a partir do Storage no Workload Factory, você precisará decidir quais políticas de permissão deseja conceder. Para descobrir recursos da AWS, como sistemas de arquivos FSx para ONTAP , você precisará de permissões de visualização, planejamento e análise. Para implantar o FSx em sistemas de arquivos ONTAP , você precisará de permissões de criação e exclusão de sistemas de arquivos. Você pode realizar operações básicas no FSx para ONTAP sem permissões. "Saiba mais sobre permissões".

Credenciais novas e existentes da AWS podem ser visualizadas no menu Administração na página Credenciais.

Uma captura de tela do menu Administração e da opção Credenciais destacada no menu de administração do NetApp Console .

Você pode adicionar credenciais usando dois métodos:

  • Manualmente: você cria a política do IAM e a função do IAM na sua conta da AWS enquanto adiciona credenciais no Workload Factory.

  • Automaticamente: você captura uma quantidade mínima de informações sobre permissões e, em seguida, usa uma pilha do CloudFormation para criar as políticas e a função do IAM para suas credenciais.

Adicionar credenciais a uma conta manualmente

Você pode adicionar manualmente as credenciais da AWS ao NetApp Console para conceder à sua conta as permissões para gerenciar as funcionalidades de carga de trabalho que deseja usar e uma função do IAM atribuída à sua conta.

A criação das credenciais é composta por três partes:

  • Selecione os serviços e níveis de permissão que você gostaria de usar e crie políticas do IAM no AWS Management Console.

  • Crie uma função do IAM no AWS Management Console.

  • Insira um nome e adicione as credenciais no NetApp Console.

Para criar ou gerenciar um sistema de arquivos FSx for ONTAP, você precisa adicionar as credenciais da AWS no NetApp Console, fornecendo o ARN de uma função do IAM que conceda ao Workload Factory as permissões necessárias para criar um sistema de arquivos FSx for ONTAP.

Antes de começar

Você precisará ter credenciais para fazer login na sua conta da AWS.

Passos

  1. No menu do NetApp Console , selecione Administração e depois Credenciais.

  2. Na página Credenciais da organização, selecione Adicionar credenciais.

  3. Selecione Amazon Web Services, depois FSx for ONTAP e depois Avançar.

  4. Selecione Adicionar manualmente e siga as etapas abaixo para preencher as três seções em Configuração de permissões.

Etapa 1: selecione a capacidade de armazenamento e crie a política do IAM

Nesta seção, você escolherá a capacidade de armazenamento a ser gerenciada com essas credenciais e as permissões de armazenamento. Você também tem a opção de selecionar outras cargas de trabalho, como bancos de dados, GenAI ou VMware. Depois de fazer suas seleções, você precisará copiar as permissões de política para cada carga de trabalho selecionada do Codebox e adicioná-las ao AWS Management Console em sua conta da AWS para criar as políticas.

Passos

  1. Na seção Criar políticas de permissão, habilite cada uma das funcionalidades de carga de trabalho que você deseja incluir nessas credenciais. Habilite Storage para criar e gerenciar sistemas de arquivos.

    Você pode adicionar recursos adicionais mais tarde, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar no momento.

  2. Para as funcionalidades de carga de trabalho que oferecem opções de políticas de permissão, selecione o tipo de permissões que estarão disponíveis com essas credenciais. "Saiba mais sobre as permissões.".

  3. Opcional: selecione Habilitar verificação automática de permissões para verificar se você possui as permissões necessárias da conta AWS para concluir as operações da carga de trabalho. Habilitar a verificação adiciona a iam:SimulatePrincipalPolicy permission às suas políticas de permissão. O objetivo dessa permissão é apenas confirmar as permissões. Você pode remover a permissão após adicionar as credenciais, mas sugerimos mantê-la para impedir a criação de recursos caso alguma etapa falhe e para evitar a limpeza manual.

  4. Na janela Codebox, copie as permissões para a primeira política do IAM.

  5. Abra outra janela do navegador e faça login na sua conta da AWS no AWS Management Console.

  6. Abra o serviço IAM e selecione Políticas > Criar política.

  7. Selecione JSON como tipo de arquivo, cole as permissões que você copiou na etapa 4 e selecione Next.

  8. Digite o nome da política e selecione Criar política.

  9. Se você selecionou vários recursos de carga de trabalho na etapa 1, repita essas etapas para criar uma política para cada conjunto de permissões de carga de trabalho.

Etapa 2: crie a função do IAM que usa as políticas

Nesta seção, você configurará uma função do IAM que o Workload Factory assumirá, incluindo as permissões e políticas que você acabou de criar.

Passos

  1. No AWS Management Console, selecione Funções > Criar função.

  2. Em Tipo de entidade confiável, selecione Conta AWS.

    1. Selecione Outra conta da AWS e copie e cole o ID da conta para gerenciamento de cargas de trabalho do FSx for ONTAP a partir da interface de usuário do Console.

    2. Selecione ID externo obrigatório e copie e cole o ID externo na interface de usuário da NetApp Console.

  3. Selecione Avançar.

  4. Na seção Política de permissões, escolha todas as políticas que você definiu anteriormente e selecione Avançar.

  5. Insira um nome para a função e selecione Criar função.

  6. Copie o ARN da função.

  7. Retorne à página Adicionar credenciais no NetApp Console, expanda a seção Criar função e cole o ARN no campo ARN da função.

Etapa 3: insira um nome e adicione as credenciais

A etapa final é inserir um nome para as credenciais.

Passos

  1. Na página Adicionar credenciais, expanda Nome das credenciais.

  2. Digite o nome que você deseja usar para essas credenciais.

  3. Selecione Adicionar para criar as credenciais.

Resultado

O Console cria as credenciais e as exibe na página Credenciais. Você pode usar, renomear ou remover credenciais do NetApp Console.

Adicionar credenciais a uma conta usando o CloudFormation

Você pode adicionar credenciais da AWS ao NetApp Workload Factory usando uma pilha CloudFormation da AWS, selecionando os recursos de carga de trabalho que deseja usar e, em seguida, iniciando a pilha CloudFormation da AWS em sua conta da AWS. CloudFormation criará as políticas do IAM e a função do IAM com base nos recursos de carga de trabalho selecionados.

Antes de começar

  • Você precisará ter credenciais para fazer login na sua conta da AWS.

  • Você precisará ter as seguintes permissões na sua conta da AWS ao adicionar credenciais usando uma pilha do CloudFormation:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
Passos

  1. No menu do NetApp Console , selecione Administração e depois Credenciais.

  2. Selecione Adicionar credenciais.

  3. Selecione Amazon Web Services, depois FSx for ONTAP e depois Avançar.

    Você está agora na página Adicionar Credenciais no NetApp Workload Factory.

  4. Selecione Adicionar via AWS CloudFormation.

  5. Em Criar políticas, ative cada um dos recursos de carga de trabalho que você deseja incluir nessas credenciais e escolha um nível de permissão para cada carga de trabalho.

    Você pode adicionar recursos adicionais mais tarde, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar no momento.

  6. Opcional: selecione Habilitar verificação automática de permissões para verificar se você possui as permissões necessárias na conta da AWS para concluir as operações da carga de trabalho. Habilitar a verificação adiciona a iam:SimulatePrincipalPolicy permissão às suas políticas de permissão. O objetivo dessa permissão é apenas confirmar as permissões. Você pode remover a permissão após adicionar as credenciais, mas sugerimos mantê-la para impedir a criação de recursos caso alguma etapa falhe e para evitar a limpeza manual.

  7. Em Nome das credenciais, insira o nome que você deseja usar para essas credenciais.

  8. Adicione as credenciais do AWS CloudFormation:

    1. Selecione Adicionar (ou selecione Redirecionar para CloudFormation) e a página Redirecionar para CloudFormation será exibida.

    2. Se você usar o logon único (SSO) com a AWS, abra uma guia separada do navegador e faça login no Console da AWS antes de selecionar Continuar.

      Você deve efetuar login na conta da AWS onde o sistema de arquivos FSx for ONTAP reside.

    3. Selecione Continuar na página Redirecionar para CloudFormation.

    4. Na página Criação rápida de pilha, em Recursos, selecione Eu reconheço que o AWS CloudFormation pode criar recursos do IAM.

    5. Selecione Criar pilha.

    6. Retorne à página Administração > Credenciais no menu principal para verificar se as novas credenciais estão em andamento ou se foram adicionadas.

Resultado

O Console cria as credenciais e as exibe na página Credenciais. Você pode usar, renomear ou remover credenciais do NetApp Console.