了解 AWS 凭据和权限
建议更改
PDF
了解BlueXP如何使用AWS凭据代表您执行操作、以及这些凭据如何与商城订阅相关联。了解这些详细信息有助于您在BlueXP中管理一个或多个AWS帐户的凭据。例如、您可能希望了解何时向BlueXP添加其他AWS凭据。
初始 AWS 凭据
从BlueXP部署Connector时、您需要为IAM用户提供IAM角色的ARN或访问密钥。您使用的身份验证方法必须具有在 AWS 中部署 Connector 实例所需的权限。中列出了所需的权限 "适用于AWS的Connector部署策略"。
当BlueXP在AWS中启动Connector实例时、它会为此实例创建IAM角色和实例配置文件。此外,它还会附加一个策略,为 Connector 提供管理该 AWS 帐户中资源和进程的权限。 "查看BlueXP如何使用权限"。
如果为Cloud Volumes ONTAP创建新的工作环境、则BlueXP会默认选择以下AWS凭据:
您可以使用初始 AWS 凭据部署所有 Cloud Volumes ONTAP 系统,也可以添加其他凭据。
其他 AWS 凭据
在以下情况下、您可以向BlueXP 添加其他AWS凭据:
-
将现有BlueXP Connector与其他AWS帐户结合使用
-
在特定AWS帐户中创建新连接器
-
创建和管理FSx for ONTAP文件系统
有关更多详细信息、请查看以下各节。
添加AWS凭据以将Connector与其他AWS帐户结合使用
如果要将BlueXP与其他AWS帐户结合使用、则可以为IAM用户或可信帐户中某个角色的ARN提供AWS密钥。下图显示了另外两个帐户,一个通过可信帐户中的 IAM 角色提供权限,另一个通过 IAM 用户的 AWS 密钥提供权限:
然后、您可以通过指定IAM角色的Amazon资源名称(ARN)或IAM用户的AWS密钥将帐户凭据添加到BlueXP。
例如、在创建新的Cloud Volumes ONTAP 工作环境时、您可以在凭据之间切换:
为FSx for ONTAP添加AWS凭据
向BlueXP 添加新的AWS凭据可提供创建和管理FSx for ONTAP工作环境所需的权限。
凭据和商城订阅
您添加到连接器的凭据必须与AWS Marketplace订阅相关联、以便您可以按小时费率(PAYGO)或通过年度合同支付Cloud Volumes ONTAP费用、并使用其他BlueXP服务。
请注意以下有关AWS凭据和Marketplace订阅的信息:
-
您只能将一个AWS Marketplace订阅与一组AWS凭据相关联
-
您可以将现有商城订阅替换为新订阅
常见问题解答
以下问题与凭据和订阅相关。
如何安全地轮换 AWS 凭据?
如上文各节所述、BlueXP支持您通过几种方式提供AWS凭据:与连接器实例关联的IAM角色、在受信任帐户中承担IAM角色或提供AWS访问密钥。
对于前两个选项、BlueXP使用AWS安全令牌服务获取持续轮换的临时凭据。这是最佳实践—它是自动的,安全的。
如果您为BlueXP提供了AWS访问密钥、则应定期在BlueXP中更新这些密钥以轮换使用。这是一个完全手动的过程。
我是否可以更改适用于Cloud Volumes ONTAP工作环境的AWS Marketplace订阅?
可以。当您更改与一组凭据关联的AWS Marketplace订阅时、所有现有和新的Cloud Volumes ONTAP工作环境都将按新订阅收费。
我是否可以添加多个AWS凭据、每个凭据都有不同的商城订阅?
属于同一AWS帐户的所有AWS凭据都将与同一AWS Marketplace订阅相关联。
如果您有多个属于不同AWS帐户的AWS凭据、则这些凭据可以与同一AWS Marketplace订阅或不同订阅相关联。
我是否可以将现有Cloud Volumes ONTAP工作环境移至其他AWS帐户?
不可以、不能将与您的Cloud Volumes ONTAP工作环境关联的AWS资源移动到其他AWS帐户。
凭据如何用于市场部署和内置部署?
以上各节介绍了BlueXP中建议的Connector部署方法。您还可以从AWS Marketplace在AWS中部署Connector、并在您自己的Linux主机上手动安装Connector软件。
如果您使用 Marketplace ,则会以相同方式提供权限。您只需手动创建和设置 IAM 角色,然后为任何其他帐户提供权限即可。
对于内部部署、您无法为BlueXP系统设置IAM角色、但可以使用AWS访问密钥提供权限。
要了解如何设置权限、请参见以下页面: