Saiba mais sobre os modos operacionais e as credenciais da AWS
Sugerir alterações
PDFs
O NetApp Workload Factory fornece três modos operacionais que permitem controlar cuidadosamente o acesso entre o Workload Factory e seu ambiente de nuvem com base em suas políticas de TI. O modo operacional que você usa é determinado pelo nível de permissões da AWS que você fornece ao Workload Factory.
Modos operacionais
Os modos operacionais fornecem uma organização lógica da funcionalidade e dos recursos fornecidos pelo Workload Factory, correlacionados ao nível de confiança que você atribui. O principal objetivo nos modos operacionais é comunicar claramente quais tarefas o Workload Factory pode ou não executar na sua conta da AWS.
- Modo básico
-
Representa um relacionamento de confiança zero em que nenhuma permissão da AWS é atribuída ao Workload Factory. Ele foi projetado para exploração inicial do Workload Factory e uso de vários assistentes para criar a infraestrutura como código (IaC) necessária. Você pode copiar o código e usá-lo na AWS inserindo suas credenciais da AWS manualmente.
- Modo só de leitura
-
Melhora a experiência do modo básico adicionando permissões somente leitura para que os modelos IaC sejam preenchidos com suas variáveis específicas (por exemplo, VPC, grupos de segurança, etc.). Isso permite que você execute o IaC diretamente da sua conta da AWS sem fornecer nenhuma permissão de modificação ao Workload Factory.
- Modo de leitura/escrita
-
Representa uma relação de confiança total para que o Workload Factory receba permissões totais. Isso permite que o Workload Factory execute e automatize operações na AWS em seu nome, juntamente com as credenciais atribuídas que têm as permissões necessárias para execução.
Saiba mais sobre "permissões para NetApp Workload Factory" .
Funções do modo operacional
Os recursos disponíveis usando cada um dos modos aumentam com cada modo.
| Modo | Automação da Workload Factory | Automação na AWS usando IAC | Descoberta de recursos da AWS e conclusão automática | Monitorização do progresso |
|---|---|---|---|---|
Básico |
Não |
Modelo IAC minimamente completo |
Não |
Não |
Somente leitura |
Não |
Modelo IAC moderadamente completo |
Sim |
Sim |
Leitura/escrita |
Automação completa |
Modelo IAC completo com automação completa |
Sim |
Sim |
Requisitos do modo operacional
Não há nenhum seletor que você precise definir no Workload Factory para identificar qual modo você planeja usar. O modo é determinado com base nas credenciais e permissões da AWS que você atribui à sua conta do Workload Factory.
| Modo | Credenciais da conta AWS | Link |
|---|---|---|
Básico |
Não é necessário |
Não é necessário |
Somente leitura |
Somente leitura |
Não é necessário |
Leitura/escrita |
Credenciais de leitura/gravação |
Obrigatório |
Exemplos de modo operacional
Você pode configurar suas credenciais para fornecer um modo para um componente de carga de trabalho e outro modo para outro componente. Por exemplo, você pode configurar o modo de leitura/gravação para operações nas quais está implantando e gerenciando o FSx para sistemas de arquivos ONTAP , mas configurar apenas o modo somente leitura para criar e implantar cargas de trabalho de banco de dados usando o Workload Factory.
Você pode fornecer esses recursos em um único conjunto de credenciais em uma conta do Workload Factory ou pode criar vários conjuntos de credenciais quando cada credencial fornecer recursos exclusivos de implantação de carga de trabalho.
Exemplo 1
Os usuários da conta que utilizarem as credenciais que receberam as seguintes permissões terão controle total (modo de leitura/gravação) para criar o FSx para sistemas de arquivos ONTAP, implantar bancos de dados e visualizar outros tipos de armazenamento da AWS usados na conta.
No entanto, eles não terão controles de automação para criar e implantar cargas de trabalho do VMware (modo Básico) do Workload Factory. Se quiserem criar cargas de trabalho do VMware, eles precisarão copiar o código do Codebox, fazer login na conta da AWS manualmente e preencher manualmente as entradas ausentes no código gerado para usar essa funcionalidade.
Exemplo 2
Aqui, o usuário criou dois conjuntos de credenciais para permitir diferentes capacidades operacionais, dependendo do conjunto de credenciais selecionado. Normalmente, cada conjunto de credenciais é emparelhado com uma conta AWS diferente.
O primeiro conjunto de credenciais inclui permissões que dão aos usuários controle total para criar o FSx para sistemas de arquivos ONTAP (e a capacidade de visualizar outros tipos de armazenamento da AWS usados na conta), mas apenas permissões somente leitura ao trabalhar com cargas de trabalho do VMware.
O segundo conjunto de credenciais fornece apenas permissões que dão aos usuários controle total para criar o FSX para sistemas de arquivos ONTAP e visualizar outros tipos de armazenamento da AWS usados na conta.
Credenciais da AWS
Nós projetamos um fluxo de Registro de credenciais do AWS assumir a função que:
-
Oferece suporte a permissões de conta da AWS mais alinhadas, permitindo que você especifique os recursos de carga de trabalho que deseja usar e forneça requisitos de política do IAM de acordo com essas seleções.
-
Permite que você ajuste as permissões de conta da AWS concedidas à medida que você opta por participar ou desativar recursos específicos de carga de trabalho.
-
Simplifica a criação manual de políticas do IAM fornecendo arquivos de política JSON personalizados que podem ser aplicados no console da AWS.
-
Simplifica ainda mais o processo de Registro de credenciais, oferecendo aos usuários uma opção automatizada para a política de IAM necessária e criação de funções usando o AWS CloudFormation Stacks.
-
Alinha-se melhor com os usuários do FSX for ONTAP que preferem ter suas credenciais armazenadas dentro dos limites do ecossistema de nuvem da AWS, permitindo o armazenamento das credenciais dos serviços do FSX for ONTAP em um back-end de gerenciamento secreto baseado na AWS.
Uma ou mais credenciais da AWS
Ao usar seu primeiro recurso (ou recursos) do Workload Factory, você precisará criar as credenciais usando as permissões necessárias para esses recursos de carga de trabalho. Você adicionará as credenciais ao Workload Factory, mas precisará acessar o AWS Management Console para criar a função e a política do IAM. Essas credenciais estarão disponíveis na sua conta ao usar qualquer recurso do Workload Factory.
Seu conjunto inicial de credenciais da AWS pode incluir uma política do IAM para uma funcionalidade ou para vários recursos. Depende apenas das suas necessidades de negócio.
Adicionar mais de um conjunto de credenciais da AWS ao Workload Factory fornece permissões adicionais necessárias para usar recursos adicionais, como FSx para sistemas de arquivos ONTAP , implantar bancos de dados no FSx para ONTAP, migrar cargas de trabalho do VMware e muito mais.