Notas de lançamento
Saiba mais sobre os modos operacionais e as credenciais da AWS
Sugerir alterações
PDFs
A fábrica de workloads oferece três modos operacionais que permitem controlar cuidadosamente o acesso entre a fábrica de workloads e o estado da nuvem com base em suas políticas DE TI. O modo operacional usado é determinado pelo nível de permissões da AWS que você fornece à fábrica de carga de trabalho.
Modos operacionais
Os modos operacionais fornecem uma organização lógica da funcionalidade e dos recursos fornecidos pela fábrica da carga de trabalho, conforme correlacionados ao nível de confiança que você atribui. O principal objetivo nos modos operacionais é comunicar claramente quais tarefas a fábrica de carga de trabalho pode ou não executar em sua conta da AWS.
- Modo básico
-
Representa um relacionamento de confiança zero em que nenhuma permissão da AWS é atribuída à fábrica de carga de trabalho. Ele é projetado para exploração precoce da fábrica de carga de trabalho e uso dos vários assistentes para criar a infraestrutura necessária como código (IAC). Você pode copiar o código e usá-lo na AWS inserindo suas credenciais da AWS manualmente.
- Modo de leitura
-
Melhora a experiência do modo básico adicionando permissões somente leitura para que os modelos IAC sejam preenchidos com suas variáveis específicas (por exemplo, VPC, grupos de segurança, etc.). Isso permite que você execute o IAC diretamente da sua conta da AWS sem fornecer permissões de modificação para a fábrica de carga de trabalho.
- Modo de automação
-
Representa um relacionamento de confiança total para que a fábrica da carga de trabalho seja atribuída com permissões completas. Isso permite que a fábrica de carga de trabalho execute e automatize operações na AWS em seu nome, juntamente com as credenciais atribuídas que têm as permissões necessárias para execução.
Funções do modo operacional
Os recursos disponíveis usando cada um dos modos aumentam com cada modo.
| Modo | Automação de fábrica de workloads | Automação na AWS usando IAC | Descoberta de recursos da AWS e conclusão automática | Monitorização do progresso |
|---|---|---|---|---|
Básico |
Não |
Modelo IAC minimamente completo |
Não |
Não |
Leia |
Não |
Modelo IAC moderadamente completo |
Sim |
Sim |
Automatizar |
Automação completa |
Modelo IAC completo com automação completa |
Sim |
Sim |
Requisitos do modo operacional
Não há nenhum seletor que você precise definir na fábrica da carga de trabalho para identificar qual modo você está planejando usar. O modo é determinado com base nas credenciais e permissões da AWS que você atribui à sua conta de fábrica de carga de trabalho.
| Modo | Credenciais da conta AWS | Link |
|---|---|---|
Básico |
Não é necessário |
Não é necessário |
Leia |
Somente leitura |
Não é necessário |
Automatizar |
Credenciais de leitura-gravação |
Obrigatório |
Exemplos de modo operacional
Você pode configurar suas credenciais para fornecer um modo para um componente de carga de trabalho e outro modo para outro componente. Por exemplo, você pode configurar o modo de automação para operações em que você está implantando e gerenciando sistemas de arquivos FSX for ONTAP, mas apenas configurar o modo de leitura para criar e implantar cargas de trabalho de banco de dados usando a fábrica de carga de trabalho.
Você pode fornecer esses recursos em um único conjunto de credenciais em uma conta de fábrica de workload ou criar vários conjuntos de credenciais quando cada credencial fornece recursos exclusivos de implantação de workload.
Exemplo 1
Os usuários de conta que usam as credenciais que receberam as seguintes permissões terão controle total (modo automático) para criar o FSX para sistemas de arquivos ONTAP, implantar bancos de dados e visualizar outros tipos de armazenamento da AWS usados na conta.
No entanto, eles não terão controles de automação para criar e implantar cargas de trabalho VMware (modo básico) da fábrica de cargas de trabalho. Se quiserem criar cargas de trabalho VMware, precisarão copiar o código da caixa de código, fazer login na conta da AWS manualmente e preencher manualmente as entradas ausentes no código gerado para usar essa funcionalidade.
Exemplo 2
Aqui, o usuário criou dois conjuntos de credenciais para permitir diferentes capacidades operacionais, dependendo do conjunto de credenciais selecionado. Normalmente, cada conjunto de credenciais é emparelhado com uma conta AWS diferente.
O primeiro conjunto de credenciais inclui permissões que dão aos usuários controle total para criar os sistemas de arquivos FSX for ONTAP (e a capacidade de visualizar outros tipos de armazenamento da AWS usados na conta), mas apenas permissões de leitura ao trabalhar com cargas de trabalho VMware.
O segundo conjunto de credenciais fornece apenas permissões que dão aos usuários controle total para criar o FSX para sistemas de arquivos ONTAP e visualizar outros tipos de armazenamento da AWS usados na conta.
Credenciais da AWS
Nós projetamos um fluxo de Registro de credenciais do AWS assumir a função que:
-
Oferece suporte a permissões de conta da AWS mais alinhadas, permitindo que você especifique os recursos de carga de trabalho que deseja usar e forneça requisitos de política do IAM de acordo com essas seleções.
-
Permite que você ajuste as permissões de conta da AWS concedidas à medida que você opta por participar ou desativar recursos específicos de carga de trabalho.
-
Simplifica a criação manual de políticas do IAM fornecendo arquivos de política JSON personalizados que podem ser aplicados no console da AWS.
-
Simplifica ainda mais o processo de Registro de credenciais, oferecendo aos usuários uma opção automatizada para a política de IAM necessária e criação de funções usando o AWS CloudFormation Stacks.
-
Alinha-se melhor com os usuários do FSX for ONTAP que preferem ter suas credenciais armazenadas dentro dos limites do ecossistema de nuvem da AWS, permitindo o armazenamento das credenciais dos serviços do FSX for ONTAP em um back-end de gerenciamento secreto baseado na AWS.
Uma ou mais credenciais da AWS
Ao usar sua primeira funcionalidade de fábrica de workload (ou recursos), você precisará criar as credenciais usando as permissões necessárias para esses recursos de workload. Você adicionará as credenciais à fábrica da carga de trabalho, mas precisará acessar o Console de Gerenciamento da AWS para criar a função e a política do IAM. Essas credenciais estarão disponíveis na sua conta ao usar qualquer funcionalidade na fábrica de carga de trabalho.
Seu conjunto inicial de credenciais da AWS pode incluir uma política do IAM para uma funcionalidade ou para vários recursos. Depende apenas das suas necessidades de negócio.
Adicionar mais de um conjunto de credenciais da AWS à fábrica de workloads fornece permissões adicionais necessárias para usar recursos adicionais, como os sistemas de arquivos FSX for ONTAP, implantar bancos de dados no FSX for ONTAP, migrar cargas de trabalho VMware e muito mais.
