Skip to main content
Amazon FSx for NetApp ONTAP
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

为适用于 ONTAP 的 FSX 设置权限

贡献者

要创建或管理FSx for ONTAP工作环境、您需要向BlueXP添加AWS凭据、方法是提供IAM角色的ARN、为BlueXP提供创建FSx for ONTAP工作环境所需的权限。

设置 IAM 角色

设置一个IAM角色、使BlueXP能够承担此角色。

步骤
  1. 转到目标帐户中的 IAM 控制台。

  2. 授予BlueXP对AWS帐户的访问权限。在访问管理下,单击 * 角色 > 创建角色 * ,然后按照步骤创建角色。

    • 在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。

    • 选择*另一个AWS帐户*并输入BlueXP 帐户ID

      • 对于BlueXP SaaS:952013314444

      • 对于AWS GovCloud (美国):033442085313

        备注 为了提高安全性、建议您指定 "外部ID_"。要访问您的AWS帐户、BlueXP必须提供角色ARN (Amazon资源名称)和您指定的外部ID。这会阻止 "令人困惑的副问题"
  3. 根据需要创建一个包含以下所需最低权限和可选权限的策略。

    所需权限

    要允许BlueXP创建FSx for NetApp ONTAP 文件系统、需要具备以下最低权限。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "VisualEditor0",
                "Effect": "Allow",
                "Action": [
                    "fsx:*",
                    "ec2:Describe*",
                    "ec2:CreateTags",
                    "iam:CreateServiceLinkedRole",
                    "kms:Describe*",
                    "kms:List*",
                    "kms:CreateGrant"
                ],
                "Resource": "*"
            }
        ]
    }
    自动容量

    要启用、需要具备以下附加权限 "自动容量管理"

    "cloudwatch:GetMetricData",
    "cloudwatch:GetMetricStatistics"
    安全组

    要允许BlueXP执行此操作、需要具备以下附加权限 "生成安全组"

    "ec2:AuthorizeSecurityGroupEgress",
    "ec2:AuthorizeSecurityGroupIngress",
    "ec2:RevokeSecurityGroupEgress",
    "ec2:RevokeSecurityGroupIngress",
    "ec2:CreateSecurityGroup",
    "ec2:DeleteSecurityGroup",
    "cloudformation:CreateStack",
    "cloudformation:ValidateTemplate",
    "cloudformation:DescribeStacks",
    "cloudformation:DescribeStackEvents"
  4. 复制IAM角色的角色ARN、以便在下一步中将其粘贴到BlueXP中。

结果

IAM 角色现在具有所需的权限。

添加凭据

为IAM角色提供所需权限后、将角色ARN添加到BlueXP中。

开始之前

如果您刚刚创建了IAM角色、请等待几分钟、以使新凭据可用。

步骤
  1. 在BlueXP控制台的右上角、单击设置图标、然后选择*凭据*。

    一个屏幕截图、显示了BlueXP控制台右上角的设置图标。

  2. 单击 * 添加凭据 * ,然后按照向导中的步骤进行操作。

    1. 凭据位置:选择* Amazon Web Services > BlueX*。

    2. 定义身份凭证:提供*身份凭证名称*以及您在创建时创建的*角色ARN*和*外部ID*(如果已指定) 设置 IAM 角色

      备注
      • 如果您使用的是AWS GovCloud (US)帐户、请选中*我使用的是AWS GovCloud (US)帐户*。

        GovCloud (US)帐户复选框的屏幕截图。

      • 使用AWS GovCloud进行身份验证将禁用SaaS平台。这是对您的帐户的永久更改、无法撤消。

    3. * 查看 * :确认有关新凭据的详细信息,然后单击 * 添加 * 。

结果

现在,您可以在创建适用于 ONTAP 的 FSX 工作环境时使用这些凭据。