管理BlueXP的AWS凭据和市场订阅
添加和管理AWS凭据、以便BlueXP拥有在AWS帐户中部署和管理云资源所需的权限。如果您管理多个AWS Marketplace订阅、则可以从"凭据"页面将其中每个订阅分配给不同的AWS凭据。
概述
您可以将AWS凭据添加到现有Connector或直接添加到BlueXP:
-
向现有Connector添加其他AWS凭据
将AWS凭据添加到现有连接器可提供在公有 云环境中管理资源和进程所需的权限。 了解如何将 AWS 凭据添加到 Connector。
-
将AWS凭据添加到BlueXP以创建Connector
向BlueXP添加新的AWS凭据可为BlueXP提供创建Connector所需的权限。 了解如何向BlueXP添加AWS凭据。
-
将AWS凭据添加到BlueXP for FSX for ONTAP
向BlueXP添加新的AWS凭据可为BlueXP提供创建和管理适用于ONTAP 的FSX所需的权限。 "了解如何为适用于 ONTAP 的 FSX 设置权限"
如何轮换凭据
通过BlueXP、您可以通过以下几种方式提供AWS凭据:与Connector实例关联的IAM角色、在可信帐户中担任IAM角色或提供AWS访问密钥。 "详细了解 AWS 凭据和权限"。
对于前两个选项、BlueXP使用AWS安全令牌服务获取持续轮换的临时凭据。此过程是最佳实践,因为它是自动的,并且安全。
如果您为BlueXP提供了AWS访问密钥、则应定期在BlueXP中更新这些密钥以轮换使用。这是一个完全手动的过程。
向Connector添加其他凭据
将其他AWS凭据添加到Connector、以便其拥有管理公共云环境中的资源和流程所需的权限。您可以在其他帐户中提供 IAM 角色的 ARN ,也可以提供 AWS 访问密钥。
如果您刚刚开始使用BlueXP、 "了解BlueXP如何使用AWS凭据和权限"。
授予权限
在将AWS凭据添加到Connector之前、您需要提供所需的权限。通过这些权限、BlueXP可以管理该AWS帐户中的资源和进程。如何提供权限取决于您是要为BlueXP提供受信任帐户或AWS密钥中某个角色的ARN。
如果您从BlueXP部署了Connector、则BlueXP会自动为部署此Connector的帐户添加AWS凭据。如果您从AWS Marketplace部署了Connector或在现有系统上手动安装了Connector软件、则不会添加此初始帐户。 "了解 AWS 凭据和权限"。 |
在另一个帐户中担任 IAM 角色以授予权限
您可以使用 IAM 角色在部署 Connector 实例的源 AWS 帐户与其他 AWS 帐户之间设置信任关系。然后、您可以为BlueXP提供可信帐户中IAM角色的ARN。
如果连接器安装在内部、则不能使用此身份验证方法。您必须使用AWS密钥。
-
转到要为Connector提供权限的目标帐户中的IAM控制台。
-
在访问管理下、选择*角色>创建角色*、然后按照步骤创建角色。
请务必执行以下操作:
-
在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。
-
选择 * 其他 AWS 帐户 * ,然后输入 Connector 实例所在帐户的 ID 。
-
通过复制和粘贴内容来创建所需的策略 "Connector的IAM策略"。
-
-
复制IAM角色的角色ARN、以便稍后将其粘贴到BlueXP中。
现在,此帐户具有所需权限。 现在,您可以将凭据添加到 Connector。
通过提供 AWS 密钥授予权限
如果要为BlueXP为IAM用户提供AWS密钥、则需要向该用户授予所需的权限。BlueXP IAM策略定义了允许BlueXP使用的AWS操作和资源。
如果连接器安装在内部、则必须使用此身份验证方法。您不能使用IAM角色。
-
在IAM控制台中、通过复制和粘贴内容来创建策略 "Connector的IAM策略"。
-
将策略附加到IAM角色或IAM用户。
现在,此帐户具有所需权限。 现在,您可以将凭据添加到 Connector。
添加凭据
在为 AWS 帐户提供所需权限后,您可以将该帐户的凭据添加到现有 Connector 。这样,您就可以使用同一个连接器在该帐户中启动 Cloud Volumes ONTAP 系统了。
如果您刚刚在云提供商中创建了这些凭据,则可能需要几分钟的时间才能使用这些凭据。请等待几分钟、然后再将凭据添加到BlueXP。
-
确保当前在BlueXP中选择了正确的Connector。
-
在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。
-
在*组织凭据*或*帐户凭据*页面上,选择*添加凭据*并按照向导中的步骤进行操作。
-
* 凭据位置 * :选择 * Amazon Web Services > Connector* 。
-
* 定义凭据 * :提供可信 IAM 角色的 ARN ( Amazon 资源名称),或者输入 AWS 访问密钥和机密密钥。
-
* 市场订阅 * :通过立即订阅或选择现有订阅,将市场订阅与这些凭据相关联。
要按小时费率(PAYGO)或按年度合同支付BlueXP服务费用、AWS凭据必须与AWS Marketplace订阅相关联。
-
查看:确认有关新凭据的详细信息、然后选择*添加*。
-
现在,在创建新的工作环境时,您可以从 " 详细信息和凭据 " 页面切换到另一组凭据:
向BlueXP添加用于创建Connector的凭据
通过提供IAM角色的ARN、为BlueXP提供创建Connector所需的权限、将AWS凭据添加到BlueXP。您可以在创建新的Connector时选择这些凭据。
设置 IAM 角色
设置一个IAM角色、使BlueXP 软件即服务(SaaS)层能够承担此角色。
-
转到目标帐户中的 IAM 控制台。
-
在访问管理下、选择*角色>创建角色*、然后按照步骤创建角色。
请务必执行以下操作:
-
在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。
-
选择*其他AWS帐户*、然后输入BlueXP SaaS的ID:952013314444
-
创建包含创建Connector所需权限的策略。
-
-
复制IAM角色的角色ARN、以便在下一步将其粘贴到BlueXP中。
IAM 角色现在具有所需的权限。 现在、您可以将其添加到BlueXP中。
添加凭据
为IAM角色提供所需权限后、将角色ARN添加到BlueXP中。
如果您刚刚创建了 IAM 角色,则可能需要几分钟的时间,直到这些角色可用为止。请等待几分钟、然后再将凭据添加到BlueXP。
-
在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。
-
在*组织凭据*或*帐户凭据*页面上,选择*添加凭据*并按照向导中的步骤进行操作。
-
凭据位置:选择* Amazon Web Services > BlueX*。
-
* 定义凭据 * :提供 IAM 角色的 ARN ( Amazon 资源名称)。
-
查看:确认有关新凭据的详细信息、然后选择*添加*。
-
现在、您可以在创建新Connector时使用这些凭据。
向BlueXP for Amazon FSX for ONTAP 添加凭据
有关详细信息,请参见 "适用于ONTAP 的Amazon FSX的BlueXP文档"
关联 AWS 订阅
将AWS凭据添加到BlueXP后、您可以将AWS Marketplace订阅与这些凭据相关联。通过订阅、您可以按每小时费率(PAYGO)或使用年度合同为Cloud Volumes ONTAP 付费、并使用其他BlueXP服务。
在以下两种情况下、您可能会在将凭据添加到BlueXP后关联AWS Marketplace订阅:
-
最初将凭据添加到BlueXP时、您未关联订阅。
-
您希望更改与AWS凭据关联的AWS Marketplace订阅。
将当前市场订阅替换为新订阅会改变任何现有Cloud Volumes ONTAP工作环境和所有新工作环境的市场订阅。
您需要先创建Connector、然后才能更改BlueXP设置。 "了解如何创建 Connector"。
-
在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。
-
选择一组凭据的操作菜单,然后选择*关联订阅*。
您必须选择与连接器关联的凭据。您不能将商城订阅与BlueXP关联的凭据关联。
-
要将凭据与现有订阅关联、请从下拉列表中选择此订阅、然后选择*关联*。
-
要将凭据与新订阅关联、请选择*添加订阅>继续*、然后按照AWS Marketplace中的步骤进行操作:
-
选择*查看购买选项*。
-
选择*订阅*。
-
选择*设置您的帐户*。
您将重定向到BlueXP网站。
-
在*订阅分配*页面中:
-
选择要与此订阅关联的BlueXP 组织或帐户。
-
在*替换现有订阅*字段中,选择是否要将某个组织或帐户的现有订阅自动替换为此新订阅。
BlueXP 会将组织或帐户中所有凭据的现有订阅替换为此新订阅。如果一组凭据从未与订阅关联、则此新订阅将不会与这些凭据关联。
对于所有其他组织或帐户、您需要重复这些步骤来手动关联订阅。
-
选择 * 保存 * 。
以下视频显示了从AWS Marketplace订阅的步骤:
-
从AWS Marketplace订阅BlueXP -
将现有订阅与您的组织或帐户相关联
从AWS Marketplace订阅BlueXP 后、此过程的最后一步是将此订阅与您的BlueXP 组织或BlueXP 网站上的BlueXP 帐户相关联。如果您未完成此步骤、则无法对您的BlueXP 组织或帐户使用订阅。
如果您在标准模式下使用BlueXP 、您将拥有一个_ BlueXP organization 、您可以使用BlueXP 身份和访问管理(IAM)来管理该组织。但是、如果您在受限模式或专用模式下使用BlueXP 、则您将拥有一个BlueXP account。 |
如果您从AWS Marketplace订阅了BlueXP、但错过了将订阅与您的帐户关联的步骤、请按照以下步骤进行操作。
-
转到BlueXP 电子钱包、确认您的订阅未与您的BlueXP 组织或帐户关联。
-
从BlueXP导航菜单中、选择*监管>数字电子钱包*。
-
选择*订阅*。
-
确认未显示您的BlueXP订阅。
您只会看到与您当前正在查看的组织或帐户关联的订阅。如果您看不到您的订阅、请继续执行以下步骤。
-
-
登录到AWS控制台并导航到*AWS Marketplace订阅*。
-
查找NetApp BlueXP订阅。
-
选择*设置产品*。
订阅服务页面应加载到新的浏览器选项卡或窗口中。
-
选择*设置您的帐户*。
netapp.com上的*订阅分配*页面应加载到新的浏览器选项卡或窗口中。
请注意、系统可能会提示您先登录BlueXP。
-
在*订阅分配*页面中:
-
选择要与此订阅关联的BlueXP 组织或帐户。
-
在*替换现有订阅*字段中,选择是否要将某个组织或帐户的现有订阅自动替换为此新订阅。
BlueXP 会将组织或帐户中所有凭据的现有订阅替换为此新订阅。如果一组凭据从未与订阅关联、则此新订阅将不会与这些凭据关联。
对于所有其他组织或帐户、您需要重复这些步骤来手动关联订阅。
-
-
转到BlueXP 电子钱包、确认订阅与您的BlueXP 组织或帐户关联。
-
从BlueXP导航菜单中、选择*监管>数字电子钱包*。
-
选择*订阅*。
-
验证是否显示您的BlueXP订阅。
-
-
确认订阅与您的AWS凭据关联。
-
在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。
-
在*组织凭据*或*帐户凭据*页面上、验证订阅是否与您的AWS凭据关联。
下面是一个示例。
-
编辑凭据
通过更改帐户类型(AWS密钥或承担角色)、编辑名称或更新凭据本身(密钥或角色ARN)、在BlueXP中编辑AWS凭据。
您不能编辑与 Connector 实例关联的实例配置文件的凭据。 |
-
在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。
-
在*组织凭据*或*帐户凭据*页面上,选择一组凭据的操作菜单,然后选择*编辑凭据*。
-
进行所需更改、然后选择*应用*。
删除凭据
如果您不再需要一组凭据、可以从BlueXP中删除这些凭据。您只能删除与工作环境无关的凭据。
您不能删除与 Connector 实例关联的实例配置文件的凭据。 |
-
在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。
-
在*组织凭据*或*帐户凭据*页面上,选择一组凭据的操作菜单,然后选择*删除凭据*。
-
选择*删除*进行确认。