简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

AWS 凭据和权限

通过 Cloud Manager ,您可以选择部署 Cloud Volumes ONTAP 时要使用的 AWS 凭据。您可以使用初始 AWS 凭据部署所有 Cloud Volumes ONTAP 系统,也可以添加其他凭据。

初始 AWS 凭据

从 Cloud Manager 部署 Connector 时,您需要为 IAM 用户提供 IAM 角色的 ARN 或访问密钥。您使用的身份验证方法必须具有在 AWS 中部署 Connector 实例所需的权限。中列出了所需的权限 "AWS 的连接器部署策略"

当 Cloud Manager 在 AWS 中启动 Connector 实例时,它会为此实例创建 IAM 角色和实例配置文件。此外,它还会附加一个策略,为 Connector 提供管理该 AWS 帐户中资源和进程的权限。 "查看 Cloud Manager 如何使用权限"

一个概念映像,显示 Cloud Central 在 AWS 帐户中部署 Cloud Manager 。IAM 策略会分配给一个 IAM 角色,该角色会附加到 Cloud Manager 实例。

在为 Cloud Volumes ONTAP 创建新工作环境时, Cloud Manager 会默认选择以下 AWS 凭据:

屏幕截图,显示 "Details" 和 "amp" ; "Credentials" 页面中的 "Switch Account" 选项。

其他 AWS 凭据

可以通过两种方式添加其他 AWS 凭据。

将 AWS 凭据添加到现有 Connector

如果您要在不同的 AWS 帐户中启动 Cloud Volumes ONTAP ,则可以选择一种 "为 IAM 用户或受信任帐户中某个角色的 ARN 提供 AWS 密钥"。下图显示了另外两个帐户,一个通过可信帐户中的 IAM 角色提供权限,另一个通过 IAM 用户的 AWS 密钥提供权限:

一个概念映像,显示另外两个帐户。每个都有一个 IAM 策略,一个附加到 IAM 用户,另一个附加到 IAM 角色。

您可以这样做 "将帐户凭据添加到 Cloud Manager" 指定 IAM 角色的 Amazon 资源名称( ARN )或 IAM 用户的 AWS 密钥。

添加另一组凭据后,您可以在创建新的工作环境时切换到这些凭据:

单击详细信息和 amp ;凭据页面中的切换帐户后,显示在云提供商帐户之间进行选择的屏幕截图。

将 AWS 凭据直接添加到 Cloud Manager

向 Cloud Manager 添加新的 AWS 凭据可为 Cloud Manager 提供创建和管理适用于 ONTAP 的 FSX 工作环境或创建 Connector 所需的权限。

市场部署和内部部署如何?

以上各节介绍了 Cloud Manager 中建议的 Connector 部署方法。您也可以从在 AWS 中部署连接器 "AWS Marketplace" 您可以做到 "在内部安装 Connector"

如果您使用 Marketplace ,则会以相同方式提供权限。您只需手动创建和设置 IAM 角色,然后为任何其他帐户提供权限即可。

对于内部部署,您不能为 Cloud Manager 系统设置 IAM 角色,但可以像为其他 AWS 帐户提供权限一样提供权限。

如何安全地轮换 AWS 凭据?

如上所述, Cloud Manager 支持您通过以下几种方式提供 AWS 凭据:与 Connector 实例关联的 IAM 角色,在可信帐户中承担 IAM 角色或提供 AWS 访问密钥。

对于前两个选项, Cloud Manager 使用 AWS 安全令牌服务获取持续轮换的临时凭据。这是最佳实践—它是自动的,安全的。

如果您为 Cloud Manager 提供了 AWS 访问密钥,则应定期在 Cloud Manager 中更新这些密钥以轮换使用。这是一个完全手动的过程。