Skip to main content
BlueXP setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理BlueXP的AWS凭据和市场订阅

贡献者 netapp-bcammett netapp-tonias netapp-rlithman
PDF

添加和管理 AWS 凭证,以便您从 BlueXP 部署和管理 AWS 账户中的云资源。如果您管理多个AWS Marketplace订阅、则可以从"凭据"页面将其中每个订阅分配给不同的AWS凭据。

概述

您可以将AWS凭据添加到现有Connector或直接添加到BlueXP:

如何轮换凭据

通过BlueXP、您可以通过以下几种方式提供AWS凭据:与Connector实例关联的IAM角色、在可信帐户中担任IAM角色或提供AWS访问密钥。 "详细了解 AWS 凭据和权限"

对于前两个选项、BlueXP使用AWS安全令牌服务获取持续轮换的临时凭据。此过程是最佳实践,因为它是自动的,并且安全。

通过在 BlueXP 中更新来定期轮换 AWS 访问密钥。此过程是手动的。

向Connector添加其他凭据

将其他AWS凭据添加到Connector、以便其拥有管理公共云环境中的资源和流程所需的权限。您可以在其他帐户中提供 IAM 角色的 ARN ,也可以提供 AWS 访问密钥。

如果您刚刚开始使用BlueXP、 "了解BlueXP如何使用AWS凭据和权限"

授予权限

在将 AWS 凭证添加到 Connector 之前,请提供所需的权限。这些权限允许 Connector 管理该 AWS 账户中的资源和流程。您可以使用受信任账户中角色的 ARN 或 AWS 密钥来提供这些权限。

备注 如果您从BlueXP部署了Connector、则BlueXP会自动为部署此Connector的帐户添加AWS凭据。这确保了管理资源所需的必要权限。"了解 AWS 凭据和权限"(英文)

在另一个帐户中担任 IAM 角色以授予权限

您可以使用 IAM 角色在部署 Connector 实例的源 AWS 帐户与其他 AWS 帐户之间设置信任关系。然后、您可以为BlueXP提供可信帐户中IAM角色的ARN。

如果连接器安装在内部、则不能使用此身份验证方法。您必须使用AWS密钥。

步骤

  1. 转到要为Connector提供权限的目标帐户中的IAM控制台。

  2. 在访问管理下、选择*角色>创建角色*、然后按照步骤创建角色。

    请务必执行以下操作:

    • 在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。

    • 选择 * 其他 AWS 帐户 * ,然后输入 Connector 实例所在帐户的 ID 。

    • 通过复制和粘贴内容来创建所需的策略 "Connector的IAM策略"

  3. 复制IAM角色的角色ARN、以便稍后将其粘贴到BlueXP中。

结果

现在,此帐户具有所需权限。 现在,您可以将凭据添加到 Connector

通过提供 AWS 密钥授予权限

如果要为BlueXP为IAM用户提供AWS密钥、则需要向该用户授予所需的权限。BlueXP IAM策略定义了允许BlueXP使用的AWS操作和资源。

如果连接器安装在内部、则必须使用此身份验证方法。您不能使用IAM角色。

步骤

  1. 在IAM控制台中、通过复制和粘贴内容来创建策略 "Connector的IAM策略"

    "AWS 文档:创建 IAM 策略"

  2. 将策略附加到IAM角色或IAM用户。

结果

现在,此帐户具有所需权限。 现在,您可以将凭据添加到 Connector

添加凭据

在为 AWS 帐户提供所需权限后,您可以将该帐户的凭据添加到现有 Connector 。这样,您就可以使用同一个连接器在该帐户中启动 Cloud Volumes ONTAP 系统了。

开始之前

如果您刚刚在云提供商中创建了这些凭据,则可能需要几分钟的时间才能使用这些凭据。等待几分钟,然后添加凭据。

步骤

  1. 使用顶部导航栏选择要添加凭据的连接器。

  2. 在控制台的右上角,选择“设置”图标,然后选择“凭据”。

    一个屏幕截图、显示了BlueXP控制台右上角的设置图标。

  3. 在*组织凭据*或*帐户凭据*页面上,选择*添加凭据*并按照向导中的步骤进行操作。

    1. * 凭据位置 * :选择 * Amazon Web Services > Connector* 。

    2. * 定义凭据 * :提供可信 IAM 角色的 ARN ( Amazon 资源名称),或者输入 AWS 访问密钥和机密密钥。

    3. * 市场订阅 * :通过立即订阅或选择现有订阅,将市场订阅与这些凭据相关联。

      要按小时费率 (PAYGO) 或年度合同支付服务费用,您必须将 AWS 凭证与您的 AWS Marketplace 订阅关联起来。

    4. 查看:确认有关新凭据的详细信息、然后选择*添加*。

结果

现在,在创建新的工作环境时,您可以从 " 详细信息和凭据 " 页面切换到另一组凭据:

显示在"详细信息和凭据"页面中选择"切换帐户"后在云提供商帐户之间进行选择的屏幕截图。

向BlueXP添加用于创建Connector的凭据

通过提供 IAM 角色的 ARN 来添加 AWS 凭证,该角色授予创建连接器所需的权限。您可以在创建新的Connector时选择这些凭据。

设置 IAM 角色

设置一个IAM角色、使BlueXP  软件即服务(SaaS)层能够承担此角色。

步骤

  1. 转到目标帐户中的 IAM 控制台。

  2. 在访问管理下、选择*角色>创建角色*、然后按照步骤创建角色。

    请务必执行以下操作:

    • 在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。

    • 选择*其他AWS帐户*、然后输入BlueXP SaaS的ID:952013314444

    • 具体来说,对于Amazon FSx for NetApp ONTAP ,编辑 信任关系 策略以包含“AWS”:“arn:aws:iam::952013314444:root”。

      例如,该策略应如下所示:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::952013314444:root",
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    +
    参考"AWS 身份和访问管理 (IAM) 文档"有关 IAM 中跨账户资源访问的更多信息。

  3. 复制IAM角色的角色ARN、以便在下一步将其粘贴到BlueXP中。

结果

IAM 角色现在具有所需的权限。 现在、您可以将其添加到BlueXP中

添加凭据

为IAM角色提供所需权限后、将角色ARN添加到BlueXP中。

开始之前

如果您刚刚创建了 IAM 角色,则可能需要几分钟的时间,直到这些角色可用为止。请等待几分钟、然后再将凭据添加到BlueXP。

步骤

  1. 在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。

    一个屏幕截图、显示了BlueXP控制台右上角的设置图标。

  2. 在*组织凭据*或*帐户凭据*页面上,选择*添加凭据*并按照向导中的步骤进行操作。

    1. 凭据位置:选择* Amazon Web Services > BlueX*。

    2. * 定义凭据 * :提供 IAM 角色的 ARN ( Amazon 资源名称)。

    3. 查看:确认有关新凭据的详细信息、然后选择*添加*。

向BlueXP for Amazon FSX for ONTAP 添加凭据

有关详细信息,请参见 "适用于ONTAP 的Amazon FSX的BlueXP文档"

配置AWS订阅

添加 AWS 凭证后,您可以使用这些凭证配置 AWS Marketplace 订阅。订阅后,您可以按小时费率 (PAYGO) 或使用年度合同支付 Cloud Volumes ONTAP 费用,并支付其他数据服务费用。

在添加凭证后,您可以在两种情况下配置 AWS Marketplace 订阅:

  • 最初添加凭据时您没有配置订阅。

  • 您希望更改配置为AWS凭据的AWS Marketplace订阅。

    将当前市场订阅替换为新订阅会改变任何现有Cloud Volumes ONTAP工作环境和所有新工作环境的市场订阅。

开始之前

您需要先创建连接器,然后才能配置订阅。"了解如何创建 Connector"(英文)

以下视频展示了从 AWS Marketplace 订阅 NetApp 智能服务的步骤:

从 AWS Marketplace 订阅 NetApp 智能服务
步骤

  1. 在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。

  2. 选择一组凭据的操作菜单,然后选择*Configure订阅*。

    您必须选择与连接器关联的凭据。您不能将商城订阅与BlueXP关联的凭据关联。

    一组现有凭据的操作菜单屏幕截图。

  3. 要将凭据与现有订阅相关联,请从下拉列表中选择订阅,然后选择*Config*。

  4. 要将凭据与新订阅关联、请选择*添加订阅>继续*、然后按照AWS Marketplace中的步骤进行操作:

    1. 选择*查看购买选项*。

    2. 选择*订阅*。

    3. 选择*设置您的帐户*。

      您将重定向到BlueXP网站。

    4. 在*订阅分配*页面中:

      • 选择要与此订阅关联的BlueXP  组织或帐户。

      • 在*替换现有订阅*字段中,选择是否要将某个组织或帐户的现有订阅自动替换为此新订阅。

        BlueXP  会将组织或帐户中所有凭据的现有订阅替换为此新订阅。如果一组凭据从未与订阅关联、则此新订阅将不会与这些凭据关联。

    对于所有其他组织或帐户、您需要重复这些步骤来手动关联订阅。

    • 选择 * 保存 * 。

将现有订阅与您的组织或帐户相关联

当您从 AWS Marketplace 订阅时,流程的最后一步是将订阅与您的组织关联。如果您未完成此步骤,则无法将订阅与您的组织或账户一起使用。

如果您从 AWS Marketplace 订阅了 NetApp 智能数据服务,但错过了将订阅与您的帐户关联的步骤,请按照以下步骤操作。

步骤

  1. 转到数字钱包确认您没有将您的订阅与您的 BlueXP 组织或帐户关联。

    1. 从导航菜单中,选择*治理>数字钱包*。

    2. 选择*订阅*。

    3. 确认您的订阅没有出现。

      您只会看到与您当前正在查看的组织或帐户关联的订阅。如果您看不到您的订阅、请继续执行以下步骤。

  2. 登录到AWS控制台并导航到*AWS Marketplace订阅*。

  3. 查找 NetApp 智能数据服务订阅。

    AWS Marketplace 的屏幕截图,显示了 NetApp 订阅。

  4. 选择*设置产品*。

    订阅服务页面应加载到新的浏览器选项卡或窗口中。

  5. 选择*设置您的帐户*。

    AWS Marketplace 的屏幕截图,其中显示了 NetApp 订阅和页面右上角的“设置您的帐户”选项。

    netapp.com上的*订阅分配*页面应加载到新的浏览器选项卡或窗口中。

    请注意、系统可能会提示您先登录BlueXP。

  6. 在*订阅分配*页面中:

    • 选择要与此订阅关联的BlueXP  组织或帐户。

    • 在*替换现有订阅*字段中,选择是否要将某个组织或帐户的现有订阅自动替换为此新订阅。

      BlueXP  会将组织或帐户中所有凭据的现有订阅替换为此新订阅。如果一组凭据从未与订阅关联、则此新订阅将不会与这些凭据关联。

      对于所有其他组织或帐户、您需要重复这些步骤来手动关联订阅。

    "订阅分配"页面的屏幕截图、可用于选择要与此订阅关联的确切BlueXP帐户。

  7. 前往数字钱包确认订阅与您的组织或帐户相关联。

    1. 从导航菜单中,选择*治理>数字钱包*。

    2. 选择*订阅*。

    3. 验证您的订阅是否出现。

  8. 确认订阅与您的AWS凭据关联。

    1. 在控制台的右上角,选择“设置”图标,然后选择“凭据”。

    2. 在*组织凭据*或*帐户凭据*页面上、验证订阅是否与您的AWS凭据关联。

      下面是一个示例。

    BlueXP帐户凭据页面的屏幕截图、其中显示AWS凭据、其中包含一个订阅字段、用于标识与这些凭据关联的订阅的名称。

编辑凭据

通过更改帐户类型(AWS 密钥或承担角色)、编辑名称或更新凭证本身(密钥或角色 ARN)来编辑您的 AWS 凭证。

备注 您无法编辑与连接器实例或 Amazon FSx for ONTAP 实例关联的实例配置文件的凭证。您只能重命名 FSx for ONTAP 实例的凭据。
步骤

  1. 在控制台的右上角,选择“设置”图标,然后选择“凭据”。

  2. 在*组织凭据*或*帐户凭据*页面上,选择一组凭据的操作菜单,然后选择*编辑凭据*。

  3. 进行所需更改、然后选择*应用*。

删除凭据

如果您不再需要一组凭证,您可以删除它们。您只能删除与工作环境无关的凭据。

提示 您不能删除与 Connector 实例关联的实例配置文件的凭据。
步骤

  1. 在控制台的右上角,选择“设置”图标,然后选择“凭据”。

  2. 在*组织凭据*或*帐户凭据*页面上,选择一组凭据的操作菜单,然后选择*删除凭据*。

  3. 选择*删除*进行确认。