Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Adicione credenciais da AWS à fábrica do workload

Colaboradores
PDFs

Adicione e gerencie credenciais da AWS para que a fábrica de workloads tenha as permissões necessárias para implantar e gerenciar recursos de nuvem em suas contas da AWS.

Visão geral

A fábrica de carga de trabalho funcionará no modo básico, a menos que você adicione credenciais de conta da AWS. Você pode adicionar credenciais para ativar outros modos de operação, como modo de leitura e modo de automação. "Saiba mais sobre os modos operacionais".

Você pode adicionar credenciais da AWS a uma conta de fábrica de carga de trabalho existente na página credenciais. Isso fornece à fábrica de carga de trabalho as permissões necessárias para gerenciar recursos e processos em seu ambiente de nuvem da AWS.

Você pode adicionar credenciais usando dois métodos:

  • Manualmente: Você cria a política do IAM e a função do IAM na sua conta da AWS enquanto adiciona credenciais na fábrica da carga de trabalho.

  • Automaticamente: Você captura uma quantidade mínima de informações sobre permissões e, em seguida, usa uma pilha do CloudFormation para criar as políticas e a função do IAM para suas credenciais.

Adicione credenciais a uma conta manualmente

Você pode adicionar credenciais da AWS manualmente à carga de trabalho de fábrica para fornecer à sua conta de fábrica as permissões necessárias para gerenciar os recursos da AWS que você usará para executar suas cargas de trabalho exclusivas. Cada conjunto de credenciais que você adicionar incluirá uma ou mais políticas do IAM com base nos recursos de carga de trabalho que deseja usar e uma função do IAM atribuída à sua conta.

Observação Você pode adicionar credenciais da AWS a uma conta a partir do console de fábrica do workload ou do console do BlueXP .

Há três partes para criar as credenciais:

  • Selecione o nível de serviços e permissões que você gostaria de usar e, em seguida, crie políticas do IAM no Console de Gerenciamento da AWS.

  • Crie uma função do IAM a partir do Console de Gerenciamento da AWS.

  • Na fábrica do workload, insira um nome e adicione as credenciais.

Antes de começar

Você precisará ter credenciais para fazer login na sua conta da AWS.

Passos

  1. Inicie sessão no "console de fábrica do workload".

  2. Selecione o ícone conta e selecione credenciais.

    Uma captura de tela que mostra o ícone Configurações da conta no console de fábrica da carga de trabalho.

  3. Na página credenciais, selecione Adicionar credenciais.

  4. Na página Adicionar credenciais, selecione Adicionar manualmente e, em seguida, use as etapas a seguir para concluir cada seção em configuração de permissões.

    Uma captura de tela mostrando os itens que você precisa definir manualmente para cada conjunto de credenciais.

Etapa 1: Selecione os recursos de carga de trabalho e crie as políticas do IAM

Nesta seção, você escolherá quais tipos de capacidades de carga de trabalho serão gerenciáveis como parte dessas credenciais e as permissões habilitadas para cada carga de trabalho. Você precisará copiar as permissões de política para cada carga de trabalho selecionada da caixa Codebox e adicioná-las ao Console de Gerenciamento da AWS em sua conta da AWS para criar as políticas.

Uma captura de tela mostrando quais tipos de capacidades de carga de trabalho serão gerenciáveis como parte das políticas nessas credenciais.

Passos

  1. Na seção criar políticas, habilite cada um dos recursos de carga de trabalho que você deseja incluir nessas credenciais.

    Você pode adicionar recursos adicionais posteriormente, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar atualmente.

  2. Para os recursos de workload que oferecem a opção de níveis de permissão (leitura ou automação), selecione o tipo de permissões que estarão disponíveis com essas credenciais.

  3. Opcional: Selecione Ativar verificação automática de permissões para verificar se você tem as permissões de conta da AWS necessárias para concluir operações de carga de trabalho. A ativação da verificação adiciona o iam:SimulatePrincipalPolicy permission às suas políticas de permissão. O objetivo desta permissão é confirmar apenas permissões. Você pode remover a permissão depois de adicionar credenciais, mas recomendamos mantê-la para impedir a criação de recursos para operações parcialmente bem-sucedidas e salvá-lo de qualquer limpeza manual de recursos necessária.

  4. Na janela Codebox, copie as permissões para a primeira política do IAM.

  5. Abra outra janela do navegador e faça login na sua conta da AWS no Console de Gerenciamento da AWS.

  6. Abra o serviço IAM e selecione políticas > criar política.

  7. Selecione JSON como o tipo de arquivo, cole as permissões que você copiou na etapa 3 e selecione Next.

  8. Digite o nome da política e selecione criar política.

  9. Se tiver selecionado várias capacidades de carga de trabalho na etapa 1, repita estas etapas para criar uma política para cada conjunto de permissões de carga de trabalho.

Etapa 2: Crie a função do IAM que usa as políticas

Nesta seção, você configurará uma função do IAM que a fábrica de carga de trabalho assumirá que inclui as permissões e políticas que você acabou de criar.

Uma captura de tela mostrando quais permissões farão parte da nova função.

Passos

  1. No Console de Gerenciamento da AWS, selecione funções > criar função.

  2. Em tipo de entidade confiável, selecione conta AWS.

    1. Selecione outra conta da AWS e copie e cole o ID da conta para o gerenciamento de carga de trabalho do FSX for ONTAP na IU de fábrica da carga de trabalho.

    2. Selecione ID externo obrigatório e copie e cole a ID externa da IU de fábrica da carga de trabalho.

  3. Selecione seguinte.

  4. Na seção de política de permissões, escolha todas as políticas definidas anteriormente e selecione Avançar.

  5. Insira um nome para a função e selecione criar função.

  6. Copie a função ARN.

  7. Retorne à página Credentials na fábrica da carga de trabalho, expanda a seção Create Role e cole o ARN no campo Role ARN.

Passo 3: Insira um nome e adicione as credenciais

A etapa final é inserir um nome para as credenciais na fábrica da carga de trabalho.

Passos

  1. Na página Credentials na fábrica da carga de trabalho, expanda Credentials name.

  2. Introduza o nome que pretende utilizar para estas credenciais.

  3. Selecione Adicionar para criar as credenciais.

Resultado

As credenciais são criadas e você retorna à página credenciais.

Adicione credenciais a uma conta usando o CloudFormation

Você pode adicionar credenciais da AWS à fábrica de carga de trabalho usando uma pilha do AWS CloudFormation selecionando os recursos de fábrica de carga de trabalho que deseja usar e, em seguida, iniciando a pilha do AWS CloudFormation na sua conta da AWS. O CloudFormation criará as políticas do IAM e a função do IAM com base nos recursos de carga de trabalho selecionados.

Antes de começar

  • Você precisará ter credenciais para fazer login na sua conta da AWS.

  • Você precisará ter as seguintes permissões na sua conta da AWS ao adicionar credenciais usando uma pilha do CloudFormation:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
    JSON
    Copy
Passos

  1. Inicie sessão no "console de fábrica do workload".

  2. Selecione o ícone conta e selecione credenciais.

    Uma captura de tela que mostra o ícone Configurações da conta no console de fábrica da carga de trabalho.

  3. Na página credenciais, selecione Adicionar credenciais.

  4. Selecione Adicionar via AWS CloudFormation.

    Uma captura de tela mostrando os itens que precisam ser definidos antes de iniciar o CloudFormation para criar as credenciais.

  5. Em criar políticas, habilite cada um dos recursos de carga de trabalho que você deseja incluir nessas credenciais e escolha um nível de permissão para cada carga de trabalho.

    Você pode adicionar recursos adicionais posteriormente, então basta selecionar as cargas de trabalho que você deseja implantar e gerenciar atualmente.

  6. Opcional: Selecione Ativar verificação automática de permissões para verificar se você tem as permissões de conta da AWS necessárias para concluir operações de carga de trabalho. Ativar a verificação adiciona a iam:SimulatePrincipalPolicy permissão às suas políticas de permissão. O objetivo desta permissão é confirmar apenas permissões. Você pode remover a permissão depois de adicionar credenciais, mas recomendamos mantê-la para impedir a criação de recursos para operações parcialmente bem-sucedidas e salvá-lo de qualquer limpeza manual de recursos necessária.

  7. Em Nome de credenciais, insira o nome que deseja usar para essas credenciais.

  8. Adicione as credenciais do AWS CloudFormation:

    1. Selecione Adicionar (ou selecione Redirecionar para o CloudFormation) e a página Redirecionar para o CloudFormation será exibida.

      Uma captura de tela mostrando como criar a pilha do CloudFormation para adicionar políticas e uma função para credenciais de fábrica de carga de trabalho.

    2. Se você usar o logon único (SSO) com a AWS, abra uma guia separada do navegador e faça login no Console da AWS antes de selecionar continuar.

      Você deve fazer login na conta da AWS onde reside o sistema de arquivos FSX for ONTAP.

    3. Selecione continuar na página Redirecionar para o CloudFormation.

    4. Na página de pilha de criação rápida, em recursos, selecione reconheço que o AWS CloudFormation pode criar recursos do IAM.

    5. Selecione criar pilha.

    6. Retorne à fábrica da carga de trabalho e monitore a página credenciais para verificar se as novas credenciais estão em andamento ou se foram adicionadas.