Skip to main content
Setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

了解 AWS 凭据和权限

贡献者

了解BlueXP如何使用AWS凭据代表您执行操作、以及这些凭据如何与商城订阅相关联。了解这些详细信息有助于您在BlueXP中管理一个或多个AWS帐户的凭据。例如、您可能希望了解何时向BlueXP添加其他AWS凭据。

初始 AWS 凭据

从BlueXP部署Connector时、您需要为IAM用户提供IAM角色的ARN或访问密钥。您使用的身份验证方法必须具有在 AWS 中部署 Connector 实例所需的权限。中列出了所需的权限 "适用于AWS的Connector部署策略"

当BlueXP在AWS中启动Connector实例时、它会为此实例创建IAM角色和实例配置文件。此外,它还会附加一个策略,为 Connector 提供管理该 AWS 帐户中资源和进程的权限。 "查看BlueXP如何使用权限"

一个概念映像、显示了BlueXP在AWS帐户中部署Connector。IAM策略会分配给一个IAM角色、该角色会附加到BlueXP实例。

如果为Cloud Volumes ONTAP创建新的工作环境、则BlueXP会默认选择以下AWS凭据:

显示详细信息和凭据页面中的切换帐户选项的屏幕截图()。

您可以使用初始 AWS 凭据部署所有 Cloud Volumes ONTAP 系统,也可以添加其他凭据。

其他 AWS 凭据

可以通过两种方式添加其他AWS凭据:

  • 您可以向现有Connector添加AWS凭据

  • 您可以将AWS凭据直接添加到BlueXP

有关更多详细信息、请查看以下各节。

将 AWS 凭据添加到现有 Connector

如果要将BlueXP与其他AWS帐户结合使用、则可以为IAM用户或可信帐户中某个角色的ARN提供AWS密钥。下图显示了另外两个帐户,一个通过可信帐户中的 IAM 角色提供权限,另一个通过 IAM 用户的 AWS 密钥提供权限:

一个概念映像,显示另外两个帐户。每个都有一个 IAM 策略,一个附加到 IAM 用户,另一个附加到 IAM 角色。

然后、您可以通过指定IAM角色的Amazon资源名称(ARN)或IAM用户的AWS密钥将帐户凭据添加到BlueXP。

例如、在创建新的Cloud Volumes ONTAP 工作环境时、您可以在凭据之间切换:

显示在"详细信息和凭据"页面中选择"切换帐户"后在云提供商帐户之间进行选择的屏幕截图。

将AWS凭据直接添加到BlueXP

向BlueXP添加新的AWS凭据可提供创建和管理适用于ONTAP 的FSX工作环境或创建连接器所需的权限。

凭据和商城订阅

您添加到连接器的凭据必须与AWS Marketplace订阅相关联、以便您可以按小时费率(PAYGO)或通过年度合同支付Cloud Volumes ONTAP费用、并使用其他BlueXP服务。

请注意以下有关AWS凭据和Marketplace订阅的信息:

  • 您只能将一个AWS Marketplace订阅与一组AWS凭据相关联

  • 您可以将现有商城订阅替换为新订阅

常见问题解答

以下问题与凭据和订阅相关。

如何安全地轮换 AWS 凭据?

如上文各节所述、BlueXP支持您通过几种方式提供AWS凭据:与连接器实例关联的IAM角色、在受信任帐户中承担IAM角色或提供AWS访问密钥。

对于前两个选项、BlueXP使用AWS安全令牌服务获取持续轮换的临时凭据。这是最佳实践—它是自动的,安全的。

如果您为BlueXP提供了AWS访问密钥、则应定期在BlueXP中更新这些密钥以轮换使用。这是一个完全手动的过程。

我是否可以更改适用于Cloud Volumes ONTAP工作环境的AWS Marketplace订阅?

可以。当您更改与一组凭据关联的AWS Marketplace订阅时、所有现有和新的Cloud Volumes ONTAP工作环境都将按新订阅收费。

我是否可以添加多个AWS凭据、每个凭据都有不同的商城订阅?

属于同一AWS帐户的所有AWS凭据都将与同一AWS Marketplace订阅相关联。

如果您有多个属于不同AWS帐户的AWS凭据、则这些凭据可以与同一AWS Marketplace订阅或不同订阅相关联。

我是否可以将现有Cloud Volumes ONTAP工作环境移至其他AWS帐户?

不可以、不能将与您的Cloud Volumes ONTAP工作环境关联的AWS资源移动到其他AWS帐户。

凭据如何用于市场部署和内置部署?

以上各节介绍了BlueXP中建议的Connector部署方法。您还可以从AWS Marketplace在AWS中部署Connector、并在您自己的Linux主机上手动安装Connector软件。

如果您使用 Marketplace ,则会以相同方式提供权限。您只需手动创建和设置 IAM 角色,然后为任何其他帐户提供权限即可。

对于内部部署、您无法为BlueXP系统设置IAM角色、但可以使用AWS访问密钥提供权限。

要了解如何设置权限、请参见以下页面: