Skip to main content
Amazon FSx for NetApp ONTAP
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

为适用于 ONTAP 的 FSX 设置权限

贡献者 juliantap netapp-rlithman netapp-bcammett netapp-mwallis
PDF

要创建或管理FSx for ONTAP工作环境、您需要向BlueXP添加AWS凭据、方法是提供IAM角色的ARN、为BlueXP提供创建FSx for ONTAP工作环境所需的权限。

为什么需要AWS凭据

要在BlueXP  中创建和管理FSx for ONTAP工作环境、需要AWS凭据。您可以创建新的AWS凭据、也可以将AWS凭据添加到现有BlueXP  组织。凭据为BlueXP  提供了在AWS云环境中管理资源和流程所需的权限。

凭据和权限通过BlueXP  工作负载工厂进行管理。BlueXP  工作负载工厂是一个生命周期管理平台、旨在帮助用户使用适用于NetApp ONTAP文件系统的Amazon FSx优化工作负载。BlueXP  使用与BlueXP  工作负载工厂相同的一组AWS凭据和权限。

工作负载出厂界面为BlueXP  用户提供了各种选项、可用于启用存储、VMware、数据库和GenAI等工作负载功能、以及为工作负载选择权限。_Storage_是工作负载工厂提供的存储管理功能、它是唯一需要启用和添加凭据才能创建和管理FSx for ONTAP文件系统的功能。

关于此任务

在 BlueXP 工作负载工厂中从存储添加 FSx for ONTAP 的新凭证时,您需要确定要以哪种权限级别(或“操作模式”)进行操作。要发现和部署 AWS 资源(例如 FSx for ONTAP 文件系统),您需要“只读”或“读/写”权限。除非您选择“只读”或“读/写”模式,否则 BlueXP FSx for ONTAP 将以“基本”模式运行。_read-only _与查看权限相同。_Read/Write_与操作权限相同。"了解有关操作模式的更多信息"(英文)

可从BlueXP  设置>*凭据*页面查看新的和现有的AWS凭据。

您可以使用两种方法添加凭据:

  • 手动:在工作负载工厂添加凭据的同时、在AWS帐户中创建IAM策略和IAM角色。

  • 自动:您捕获有关权限的最少信息、然后使用CloudFormation堆栈为凭据创建IAM策略和角色。

手动向帐户添加凭据

您可以手动将AWS凭据添加到BlueXP  中、以便为您的帐户授予管理用于运行您的独特工作负载的AWS资源所需的权限。您添加的每组凭据都将根据要使用的工作负载功能包含一个或多个IAM策略、以及分配给您的帐户的IAM角色。

创建凭据分为三部分:

  • 选择要使用的服务和权限级别、然后从AWS管理控制台创建IAM策略。

  • 从AWS管理控制台创建IAM角色。

  • 在BlueXP  中的工作负载中、输入名称并添加凭据。

要创建或管理FSx for ONTAP工作环境、您需要向BlueXP添加AWS凭据、方法是提供IAM角色的ARN、为BlueXP提供创建FSx for ONTAP工作环境所需的权限。

开始之前

您需要具有凭据才能登录到AWS帐户。

步骤

  1. 在BlueXP  控制台中,选择*Settings*图标,然后选择*凭 据*。

  2. 选择*添加凭据*。

  3. 选择*Amazon Web Services*,然后选择*FSx for AMAZON* ONTAP,最后选择*Next*。

    您现在位于BlueXP  工作负载出厂时的*添加凭据*页面。

  4. 选择*手动添加*,然后按照以下步骤填写_Permissions configuration_下的三个部分。

    屏幕截图显示了需要为每组凭据手动定义的项目。

第1步:选择存储功能并创建IAM策略

在本节中、您将选择要作为这些凭据的一部分进行管理的存储功能、以及为存储启用的权限。您还可以选择其他工作负载、例如数据库、GenAI或VMware。做出选择后、您需要从CodeBox中复制每个选定工作负载的策略权限、并将其添加到AWS帐户中的AWS管理控制台中以创建策略。

屏幕截图显示哪些类型的工作负载功能可作为这些凭据中的策略的一部分进行管理。

步骤

  1. 在*Create Policies*部分中,启用要包含在这些凭据中的每个工作负载功能。启用*Storage*以创建和管理文件系统。

    您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。

  2. 对于那些提供权限级别选择(只读或读/写)的工作负载功能,请选择这些凭据可用的权限类型。"了解权限、也称为操作模式"(英文)

  3. 可选:选择*启用自动权限检查*以检查您是否具有完成工作负载操作所需的AWS帐户权限。启用此复选框会将添加 `iam:SimulatePrincipalPolicy permission`到权限策略中。此权限的目的仅是确认权限。您可以在添加凭据后删除此权限、但我们建议保留此权限、以防止为部分成功的操作创建资源、并避免手动清理任何所需的资源。

  4. 在CodeBox窗口中、复制第一个IAM策略的权限。

    也可以从以下选项卡复制存储权限。

    只读权限
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:Describe*",
        "fsx:ListTagsForResource",
        "ec2:Describe*",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}
    读/写权限
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:*",
        "ec2:Describe*",
        "ec2:CreateTags",
        "ec2:CreateSecurityGroup",
        "iam:CreateServiceLinkedRole",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "kms:CreateGrant",
        "cloudwatch:PutMetricData",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/AppCreator": "NetappFSxWF"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

  5. 打开另一个浏览器窗口、并在AWS管理控制台中登录到您的AWS帐户。

  6. 打开IAM服务,然后选择*Policies*>*Create Policy*。

  7. 选择JSON作为文件类型,粘贴您在第3步中复制的权限,然后选择*Next*。

  8. 输入策略的名称,然后选择*Create Policy*。

  9. 如果您在步骤1中选择了多个工作负载功能、请重复这些步骤为每组工作负载权限创建一个策略。

第2步:创建使用策略的IAM角色

在本节中、您将设置一个IAM角色、工作负载工厂将假定该角色包含您刚刚创建的权限和策略。

屏幕截图、显示哪些权限将成为新角色的一部分。

步骤

  1. 在AWS管理控制台中、选择*角色>创建角色*。

  2. 在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。

    1. 选择*另一个AWS帐户*、然后从BlueXP  工作负载工厂用户界面复制并粘贴FSx for ONTAP工作负载管理的帐户ID。

    2. 选择*必需的外部ID*,然后从BlueXP  工作负载用户界面复制并粘贴外部ID。

  3. 选择 * 下一步 * 。

  4. 在权限策略部分中,选择先前定义的所有策略,然后选择*Next*。

  5. 输入角色的名称,然后选择*Create Role*。

  6. 复制角色ARN。

  7. 返回到BlueXP  Workloads Add cred凭证 页面,展开*Create Role*部分,然后将ARN粘贴到_Role ARN_字段中。

第3步:输入名称并添加凭据

最后一步是在BlueXP  Workload Factory中输入凭据的名称。

步骤

  1. 在BlueXP  Workloads Add credcredcredcredcredcredals.页面中、展开*凭据名称*。

  2. 输入要用于这些凭据的名称。

  3. 选择*Add*以创建凭据。

结果

此时将创建这些凭据、并可在"凭据"页面上查看这些凭据。现在,您可以在创建适用于 ONTAP 的 FSX 工作环境时使用这些凭据。无论何时需要,您都可以重命名凭据或将其从 BlueXP 控制台中删除。

使用CloudFormation向帐户添加凭据

您可以通过选择要使用的工作负载功能、然后在AWS帐户中启动AWS CloudFormation堆栈、使用AWS CloudFormation堆栈向BlueXP  工作负载添加AWS凭据。CloudFormation将根据您选择的工作负载功能创建IAM策略和IAM角色。

开始之前

  • 您需要具有凭据才能登录到AWS帐户。

  • 使用CloudFormation堆栈添加凭据时、您需要在AWS帐户中具有以下权限:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
步骤

  1. 在BlueXP  控制台中,选择*Settings*图标,然后选择*凭 据*。

  2. 选择*添加凭据*。

  3. 选择*Amazon Web Services*,然后选择*FSx for AMAZON* ONTAP,最后选择*Next*。您现在位于BlueXP  工作负载出厂时的*添加凭据*页面。

  4. 选择*通过AWS CloudFormation*添加。

    屏幕截图显示了在启动CloudFormation以创建凭据之前需要定义的项目。

  5. 在*创建策略*下,启用要包含在这些凭据中的每个工作负载功能,然后为每个工作负载选择一个权限级别。

    您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。

  6. 可选:选择*启用自动权限检查*以检查您是否具有完成工作负载操作所需的AWS帐户权限。启用此复选框会将权限添加 `iam:SimulatePrincipalPolicy`到权限策略中。此权限的目的仅是确认权限。您可以在添加凭据后删除此权限、但我们建议保留此权限、以防止为部分成功的操作创建资源、并避免手动清理任何所需的资源。

  7. 在*凭据名称*下,输入要用于这些凭据的名称。

  8. 从AWS CloudFormation添加凭据:

    1. 选择*添加*(或选择*重定向到CloudFormation*)、此时将显示重定向到CloudFormation页面。

      显示如何创建CloudFormation堆栈以添加策略和工作负载工厂凭据角色的屏幕截图。

    2. 如果在AWS中使用单点登录(SSO)、请先打开单独的浏览器选项卡并登录AWS控制台、然后再选择*继续*。

      您应登录到FSx for ONTAP文件系统所在的AWS帐户。

    3. 从重定向到CloudFormation页面中选择*继续*。

    4. 在Quick create堆栈页面的"Capabilities"下、选择*我确认AWS CloudFormation可能会创建IAM资源*。

    5. 选择*创建堆栈*。

    6. 返回到BlueXP  工作负载出厂设置、然后从菜单图标打开凭据页面、以验证新凭据是否正在运行或是否已添加。

结果

此时将创建这些凭据、并可在"凭据"页面上查看这些凭据。现在,您可以在创建适用于 ONTAP 的 FSX 工作环境时使用这些凭据。无论何时需要,您都可以重命名凭据或将其从 BlueXP 控制台中删除。