Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Adicionar credenciais da AWS ao Workload Factory

Colaboradores netapp-rlithman netapp-mwallis netapp-bcammett netapp-tonacki
PDFs

Adicione e gerencie credenciais da AWS para que o NetApp Workload Factory tenha as permissões necessárias para implantar e gerenciar recursos de nuvem em suas contas da AWS.

Visão geral

Você pode adicionar credenciais da AWS a uma conta existente do Workload Factory na página Credenciais. Isso fornece ao Workload Factory as permissões necessárias para gerenciar recursos e processos dentro do seu ambiente de nuvem AWS.

Você pode adicionar credenciais usando dois métodos:

  • Manualmente: você cria a política do IAM e a função do IAM na sua conta da AWS enquanto adiciona credenciais no Workload Factory.

  • Automaticamente: Você captura uma quantidade mínima de informações sobre permissões e, em seguida, usa uma pilha do CloudFormation para criar as políticas e a função do IAM para suas credenciais.

Credenciais da AWS

Nós projetamos um fluxo de Registro de credenciais do AWS assumir a função que:

  • Oferece suporte a permissões de conta da AWS mais alinhadas, permitindo que você especifique os recursos de carga de trabalho que deseja usar e forneça requisitos de política do IAM de acordo com essas seleções.

  • Permite que você ajuste as permissões de conta da AWS concedidas à medida que você opta por participar ou desativar recursos específicos de carga de trabalho.

  • Simplifica a criação manual de políticas do IAM fornecendo arquivos de política JSON personalizados que podem ser aplicados no console da AWS.

  • Simplifica ainda mais o processo de Registro de credenciais, oferecendo aos usuários uma opção automatizada para a política de IAM necessária e criação de funções usando o AWS CloudFormation Stacks.

  • Alinha-se melhor com os usuários do FSX for ONTAP que preferem ter suas credenciais armazenadas dentro dos limites do ecossistema de nuvem da AWS, permitindo o armazenamento das credenciais dos serviços do FSX for ONTAP em um back-end de gerenciamento secreto baseado na AWS.

Uma ou mais credenciais da AWS

Ao usar seu primeiro recurso (ou recursos) do Workload Factory, você precisará criar as credenciais usando as permissões necessárias para esses recursos de carga de trabalho. Você adicionará as credenciais ao Workload Factory, mas precisará acessar o AWS Management Console para criar a função e a política do IAM. Essas credenciais estarão disponíveis na sua conta ao usar qualquer recurso do Workload Factory.

Seu conjunto inicial de credenciais da AWS pode incluir uma política de permissões do IAM para uma ou várias funcionalidades. Depende das necessidades do seu negócio.

Adicionar mais de um conjunto de credenciais da AWS ao Workload Factory fornece permissões adicionais necessárias para usar recursos adicionais, como FSx para sistemas de arquivos ONTAP , implantar bancos de dados no FSx para ONTAP, migrar cargas de trabalho do VMware e muito mais.

Adicione credenciais a uma conta manualmente

Você pode adicionar credenciais da AWS ao Workload Factory manualmente para dar à sua conta do Workload Factory as permissões necessárias para gerenciar os recursos da AWS que você usará para executar suas cargas de trabalho exclusivas. Cada conjunto de credenciais que você adicionar incluirá uma ou mais políticas do IAM com base nos recursos de carga de trabalho que você deseja usar e uma função do IAM atribuída à sua conta.

Observação Você pode adicionar credenciais da AWS a uma conta no console do Workload Factory ou no console do NetApp .

Há três partes para criar as credenciais:

  • Selecione o nível de serviços e permissões que você gostaria de usar e, em seguida, crie políticas do IAM no Console de Gerenciamento da AWS.

  • Crie uma função do IAM a partir do Console de Gerenciamento da AWS.

  • No Workload Factory, insira um nome e adicione as credenciais.

Antes de começar

Você precisará ter credenciais para fazer login na sua conta da AWS.

Passos

  1. Faça login no "Console da Workload Factory" .

  2. No menu, selecione Administração e depois Credenciais.

  3. Na página credenciais, selecione Adicionar credenciais.

  4. Na página Adicionar credenciais, selecione Adicionar manualmente e, em seguida, use as etapas a seguir para concluir cada seção em configuração de permissões.

    Uma captura de tela mostrando os itens que você precisa definir manualmente para cada conjunto de credenciais.

Etapa 1: Selecione os recursos de carga de trabalho e crie as políticas do IAM

Nesta seção, você escolherá quais tipos de capacidades de carga de trabalho serão gerenciáveis como parte dessas credenciais e as permissões habilitadas para cada carga de trabalho. Você precisará copiar as permissões de política para cada carga de trabalho selecionada da caixa Codebox e adicioná-las ao Console de Gerenciamento da AWS em sua conta da AWS para criar as políticas.

Passos

  1. Na seção criar políticas, habilite cada um dos recursos de carga de trabalho que você deseja incluir nessas credenciais.

    Você pode adicionar recursos adicionais posteriormente, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar atualmente.

  2. Para as funcionalidades de carga de trabalho que oferecem opções de políticas de permissão, selecione o tipo de permissões que estarão disponíveis com essas credenciais.

  3. Opcional: Selecione Ativar verificação automática de permissões para verificar se você tem as permissões de conta da AWS necessárias para concluir operações de carga de trabalho. A ativação da verificação adiciona o iam:SimulatePrincipalPolicy permission às suas políticas de permissão. O objetivo desta permissão é confirmar apenas permissões. Você pode remover a permissão depois de adicionar credenciais, mas recomendamos mantê-la para impedir a criação de recursos para operações parcialmente bem-sucedidas e salvá-lo de qualquer limpeza manual de recursos necessária.

  4. Na janela Codebox, copie as permissões para a primeira política do IAM.

  5. Abra outra janela do navegador e faça login na sua conta da AWS no Console de Gerenciamento da AWS.

  6. Abra o serviço IAM e selecione políticas > criar política.

  7. Selecione JSON como o tipo de arquivo, cole as permissões que você copiou na etapa 3 e selecione Next.

  8. Digite o nome da política e selecione criar política.

  9. Se tiver selecionado várias capacidades de carga de trabalho na etapa 1, repita estas etapas para criar uma política para cada conjunto de permissões de carga de trabalho.

Etapa 2: Crie a função do IAM que usa as políticas

Nesta seção, você configurará uma função do IAM que o Workload Factory assumirá, incluindo as permissões e políticas que você acabou de criar.

Uma captura de tela mostrando quais permissões farão parte da nova função.

Passos

  1. No Console de Gerenciamento da AWS, selecione funções > criar função.

  2. Em tipo de entidade confiável, selecione conta AWS.

    1. Selecione Outra conta AWS e copie e cole o ID da conta para o gerenciamento de carga de trabalho do FSx para ONTAP na interface do usuário do Workload Factory.

    2. Selecione ID externo necessário e copie e cole o ID externo da interface do usuário do Workload Factory.

  3. Selecione seguinte.

  4. Na seção de política de permissões, escolha todas as políticas definidas anteriormente e selecione Avançar.

  5. Insira um nome para a função e selecione criar função.

  6. Copie a função ARN.

  7. Retorne à página Adicionar credenciais no Workload Factory, expanda a seção Criar função em Configuração de permissão e cole o ARN no campo ARN da função.

Passo 3: Insira um nome e adicione as credenciais

A etapa final é inserir um nome para as credenciais no Workload Factory.

Passos

  1. Na página Adicionar credenciais no Workload Factory, expanda Nome das credenciais em Configuração de permissão.

  2. Introduza o nome que pretende utilizar para estas credenciais.

  3. Selecione Adicionar para criar as credenciais.

Resultado

As credenciais são criadas e você retorna à página credenciais.

Adicione credenciais a uma conta usando o CloudFormation

Você pode adicionar credenciais da AWS ao Workload Factory usando uma pilha do AWS CloudFormation selecionando os recursos do Workload Factory que deseja usar e, em seguida, iniciando a pilha do AWS CloudFormation na sua conta da AWS. O CloudFormation criará as políticas e a função do IAM com base nos recursos de carga de trabalho selecionados.

Antes de começar

  • Você precisará ter credenciais para fazer login na sua conta da AWS.

  • Você precisará ter as seguintes permissões na sua conta da AWS ao adicionar credenciais usando uma pilha do CloudFormation:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
Passos

  1. Faça login no "Console da Workload Factory" .

  2. No menu, selecione Administração e depois Credenciais.

  3. Na página credenciais, selecione Adicionar credenciais.

  4. Selecione Adicionar via AWS CloudFormation.

    Uma captura de tela mostrando os itens que precisam ser definidos antes de iniciar o CloudFormation para criar as credenciais.

  5. Em criar políticas, habilite cada um dos recursos de carga de trabalho que você deseja incluir nessas credenciais e escolha um nível de permissão para cada carga de trabalho.

    Você pode adicionar recursos adicionais posteriormente, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar atualmente.

  6. Opcional: Selecione Ativar verificação automática de permissões para verificar se você tem as permissões de conta da AWS necessárias para concluir operações de carga de trabalho. Ativar a verificação adiciona a iam:SimulatePrincipalPolicy permissão às suas políticas de permissão. O objetivo desta permissão é confirmar apenas permissões. Você pode remover a permissão depois de adicionar credenciais, mas recomendamos mantê-la para impedir a criação de recursos para operações parcialmente bem-sucedidas e salvá-lo de qualquer limpeza manual de recursos necessária.

  7. Em Nome de credenciais, insira o nome que deseja usar para essas credenciais.

  8. Adicione as credenciais do AWS CloudFormation:

    1. Selecione Adicionar (ou selecione Redirecionar para o CloudFormation) e a página Redirecionar para o CloudFormation será exibida.

      Uma captura de tela mostrando como criar a pilha do CloudFormation para adicionar políticas e uma função para credenciais do Workload Factory.

    2. Se você usar o logon único (SSO) com a AWS, abra uma guia separada do navegador e faça login no Console da AWS antes de selecionar continuar.

      Você deve fazer login na conta da AWS onde reside o sistema de arquivos FSX for ONTAP.

    3. Selecione continuar na página Redirecionar para o CloudFormation.

    4. Na página de pilha de criação rápida, em recursos, selecione reconheço que o AWS CloudFormation pode criar recursos do IAM.

    5. Selecione criar pilha.

    6. Retorne ao Workload Factory e monitore a página Credenciais para verificar se as novas credenciais estão em andamento ou se foram adicionadas.