为适用于 ONTAP 的 FSX 设置权限
要创建或管理FSx for ONTAP工作环境、您需要向BlueXP添加AWS凭据、方法是提供IAM角色的ARN、为BlueXP提供创建FSx for ONTAP工作环境所需的权限。
设置 IAM 角色
设置一个IAM角色、使BlueXP能够承担此角色。
-
转到目标帐户中的 IAM 控制台。
-
授予BlueXP对AWS帐户的访问权限。在访问管理下,单击 * 角色 > 创建角色 * ,然后按照步骤创建角色。
-
在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。
-
选择*另一个AWS帐户*并输入BlueXP 帐户ID:
-
对于BlueXP SaaS:952013314444
-
对于AWS GovCloud (美国):033442085313
为了提高安全性、建议您指定 "外部ID_"。要访问您的AWS帐户、BlueXP必须提供角色ARN (Amazon资源名称)和您指定的外部ID。这会阻止 "令人困惑的副问题"。
-
-
-
根据需要创建一个包含以下所需最低权限和可选权限的策略。
所需权限要允许BlueXP创建FSx for NetApp ONTAP 文件系统、需要具备以下最低权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "fsx:*", "ec2:Describe*", "ec2:CreateTags", "iam:CreateServiceLinkedRole", "kms:Describe*", "kms:List*", "kms:CreateGrant" ], "Resource": "*" } ] }
自动容量要启用、需要具备以下附加权限 "自动容量管理"。
"cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics"
安全组要允许BlueXP执行此操作、需要具备以下附加权限 "生成安全组"。
"ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "cloudformation:CreateStack", "cloudformation:ValidateTemplate", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents"
-
复制IAM角色的角色ARN、以便在下一步中将其粘贴到BlueXP中。
IAM 角色现在具有所需的权限。
添加凭据
为IAM角色提供所需权限后、将角色ARN添加到BlueXP中。
如果您刚刚创建了IAM角色、请等待几分钟、以使新凭据可用。
-
在BlueXP控制台的右上角、单击设置图标、然后选择*凭据*。
-
单击 * 添加凭据 * ,然后按照向导中的步骤进行操作。
-
凭据位置:选择* Amazon Web Services > BlueX*。
-
定义身份凭证:提供*身份凭证名称*以及您在创建时创建的*角色ARN*和*外部ID*(如果已指定) 设置 IAM 角色。
-
如果您使用的是AWS GovCloud (US)帐户、请选中*我使用的是AWS GovCloud (US)帐户*。
-
使用AWS GovCloud进行身份验证将禁用SaaS平台。这是对您的帐户的永久更改、无法撤消。
-
-
* 查看 * :确认有关新凭据的详细信息,然后单击 * 添加 * 。
-
现在,您可以在创建适用于 ONTAP 的 FSX 工作环境时使用这些凭据。