Skip to main content
NetApp Console setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理NetApp控制台的 AWS 凭证和市场订阅

贡献者 netapp-tonias
PDF

添加和管理 AWS 凭证,以便您从NetApp控制台部署和管理 AWS 帐户中的云资源。如果您管理多个 AWS Marketplace 订阅,则可以从“凭证”页面将每个订阅分配给不同的 AWS 凭证。

概述

您可以将 AWS 凭证添加到现有的控制台代理或直接添加到控制台:

如何轮换凭证

NetApp控制台允许您通过几种方式提供 AWS 凭证:与代理实例关联的 IAM 角色、在受信任的帐户中承担 IAM 角色或提供 AWS 访问密钥。"了解有关 AWS 凭证和权限的更多信息"

对于前两个选项,控制台使用 AWS 安全令牌服务来获取不断轮换的临时凭证。这个过程是最佳实践,因为它是自动的并且是安全的。

通过在控制台中更新来手动轮换 AWS 访问密钥。

向控制台代理添加附加凭据

向控制台代理添加额外的 AWS 凭证,以便它具有管理公共云环境中的资源和流程所需的权限。您可以提供另一个账户中的 IAM 角色的 ARN,也可以提供 AWS 访问密钥。

如果您刚刚开始使用控制台,"了解NetApp控制台如何使用 AWS 凭证和权限"

授予权限

在将 AWS 凭证添加到控制台代理之前授予权限。这些权限允许控制台代理管理该 AWS 账户内的资源和流程。您可以使用受信任账户或 AWS 密钥中角色的 ARN 来提供权限。

备注 如果您从控制台部署了控制台代理,它会自动为您部署控制台代理的账户添加 AWS 凭证。这确保了管理资源所需的必要权限。"了解 AWS 凭证和权限"

选择

通过承担另一个账户中的 IAM 角色来授予权限

您可以使用 IAM 角色在部署控制台代理实例的源 AWS 账户与其他 AWS 账户之间建立信任关系。然后,您将向控制台提供来自受信任账户的 IAM 角色的 ARN。

如果控制台代理安装在本地,则无法使用此身份验证方法。您必须使用 AWS 密钥。

步骤

  1. 转到您想要为控制台代理提供权限的目标账户中的 IAM 控制台。

  2. 在访问管理下,选择*角色>创建角色*并按照步骤创建角色。

    请务必执行以下操作:

    • 受信任实体类型 下,选择 AWS 账户

    • 选择“其他 AWS 账户”,并输入控制台代理实例所在账户的 ID。

    • 通过复制并粘贴以下内容来创建所需的策略"控制台代理的 IAM 策略"

  3. 复制 IAM 角色的角色 ARN,以便稍后将其粘贴到控制台中。

结果

该帐户具有所需的权限。您现在可以将凭证添加到控制台代理

通过提供 AWS 密钥授予权限

如果您想为 IAM 用户提供带有 AWS 密钥的控制台,则需要向该用户授予所需的权限。控制台 IAM 策略定义了控制台允许使用的 AWS 操作和资源。

如果本地安装了控制台代理,则必须使用此身份验证方法。您不能使用 IAM 角色。

步骤

  1. 从 IAM 控制台,通过复制并粘贴以下内容来创建策略"控制台代理的 IAM 策略"

    "AWS 文档:创建 IAM 策略"

  2. 将策略附加到 IAM 角色或 IAM 用户。

结果

该帐户具有所需的权限。您现在可以将凭证添加到控制台代理

添加凭据

为 AWS 账户提供所需权限后,您可以将该账户的凭证添加到现有代理。这使您可以使用相同的代理在该帐户中启动Cloud Volumes ONTAP系统。

 New credentials in your cloud provider may take a few minutes to become available. Then, add the credentials.
.步骤
. 使用顶部导航栏选择要添加凭据的控制台代理。
. 在左侧导航栏中,选择“管理”>“凭据”。
. 在*组织凭据*页面上,选择*添加凭据*并按照向导中的步骤进行操作。

+
.. 凭证位置:选择*Amazon Web Services > 代理*。
.. 定义凭证:提供受信任的 IAM 角色的 ARN(Amazon 资源名称),或输入 AWS 访问密钥和密钥。
.. 市场订阅:通过立即订阅或选择现有订阅将市场订阅与这些凭证关联。

+
要按小时费率(PAYGO)或年度合同支付服务费用,您必须将 AWS 凭证与您的 AWS Marketplace 订阅关联起来。

  1. 审核:确认有关新凭证的详细信息并选择*添加*。

结果

现在,在将系统添加到控制台时,您可以从“详细信息和凭据”页面切换到另一组凭据

屏幕截图显示在“详细信息和凭据”页面中选择“切换帐户”后在云提供商帐户之间进行选择。

将凭据添加到控制台以创建控制台代理

通过提供 IAM 角色的 ARN 来添加 AWS 凭证,该角色授予创建控制台代理所需的权限。您可以在创建新代理时选择这些凭据。

设置 IAM 角色

设置一个 IAM 角色,使NetApp控制台软件即服务 (SaaS) 层能够承担该角色。

步骤

  1. 转到目标账户中的 IAM 控制台。

  2. 在访问管理下,选择*角色>创建角色*并按照步骤创建角色。

    请务必执行以下操作:

    • 受信任实体类型 下,选择 AWS 账户

    • 选择“另一个 AWS 账户”并输入NetApp Console SaaS 的 ID:952013314444

    • 具体来说,对于Amazon FSx for NetApp ONTAP ,编辑 信任关系 策略以包含“AWS”:“arn:aws:iam::952013314444:root”。

      例如,该策略应如下所示:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::952013314444:root",
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    +
    参考"AWS 身份和访问管理 (IAM) 文档"有关 IAM 中跨账户资源访问的更多信息。

  3. 复制 IAM 角色的角色 ARN,以便您可以在下一步中将其粘贴到控制台中。

结果

IAM 角色现在具有所需的权限。您现在可以将其添加到控制台

添加凭据

为 IAM 角色提供所需的权限后,将角色 ARN 添加到控制台。

开始之前

如果您刚刚创建了 IAM 角色,则可能需要几分钟才能使用它们。等待几分钟,然后将凭据添加到控制台。

步骤

  1. 选择“管理 > 凭证”。

    显示控制台右上角的“设置”图标的屏幕截图。

  2. 在*组织凭据*或*帐户凭据*页面上,选择*添加凭据*并按照向导中的步骤进行操作。

    1. 凭证位置:选择*Amazon Web Services > NetApp Console*。

    2. 定义凭证:提供 IAM 角色的 ARN(Amazon 资源名称)。

    3. 审核:确认有关新凭证的详细信息并选择*添加*。

向Amazon FSx for ONTAP控制台添加凭证

有关详细信息,请参阅 "Amazon FSx for ONTAP 的控制台文档"

配置 AWS 订阅

添加 AWS 凭证后,您可以使用这些凭证配置 AWS Marketplace 订阅。通过订阅,您可以按小时费率(PAYGO)或使用年度合同支付Cloud Volumes ONTAP费用,并支付其他数据服务费用。

在添加凭证后,您可以在两种情况下配置 AWS Marketplace 订阅:

  • 最初添加凭据时您没有配置订阅。

  • 您想要更改配置为 AWS 凭证的 AWS Marketplace 订阅。

    用新的订阅替换当前的市场订阅会更改任何现有Cloud Volumes ONTAP系统和所有新系统的市场订阅。

开始之前

您需要先创建控制台代理,然后才能配置订阅。"了解如何创建控制台代理"

以下视频展示了从 AWS Marketplace 订阅NetApp智能服务的步骤:

从 AWS Marketplace 订阅NetApp智能服务
步骤

  1. 选择“管理>*凭证”。

  2. 选择*组织凭证*。

  3. 选择与控制台代理关联的一组凭据的操作菜单,然后选择*配置订阅*。

    您必须选择与控制台代理关联的凭据。您无法将市场订阅与与NetApp控制台关联的凭据关联。

    一组现有凭证的操作菜单的屏幕截图。

  4. 要将凭据与现有订阅关联,请从下拉列表中选择订阅并选择*配置*。

  5. 要将凭证与新订阅关联,请选择“添加订阅”>“继续”*,然后按照 AWS Marketplace 中的步骤操作:

    1. 选择“查看购买选项”。

    2. 选择*订阅*。

    3. 选择*设置您的帐户*。

      您将被重定向到NetApp控制台。

    4. 从“订阅分配”页面:

      • 选择您想要与此订阅关联的控制台组织或帐户。

      • 在“替换现有订阅”字段中,选择是否要用这个新订阅自动替换一个组织或帐户的现有订阅。

        控制台将用这个新订阅替换组织或帐户中所有凭据的现有订阅。如果一组凭证从未与订阅关联,那么这个新订阅将不会与这些凭证关联。

    对于所有其他组织或帐户,您需要重复这些步骤来手动关联订阅。

    • 选择*保存*。

将现有订阅与您的组织或帐户关联

当您从 AWS Marketplace 订阅时,流程的最后一步是将订阅与您的组织关联。如果您没有完成此步骤,那么您就无法在您的组织或帐户中使用该订阅。

如果您从 AWS Marketplace 订阅了NetApp智能数据服务,但错过了将订阅与您的帐户关联的步骤,请按照以下步骤操作。

步骤

  1. 确认您没有将您的订阅与您的控制台组织或帐户关联。

    1. 从导航菜单中,选择*管理>许可证和订阅*。

    2. 选择*订阅*。

    3. 确认您的订阅没有出现。

      您只会看到与您当前正在查看的组织或帐户相关的订阅。如果您没有看到您的订阅,请继续执行以下步骤。

  2. 登录 AWS 控制台并导航到 AWS Marketplace 订阅

  3. 查找订阅。

    AWS Marketplace 的屏幕截图,显示NetApp订阅。

  4. 选择*设置产品*。

    订阅优惠页面应在新的浏览器选项卡或窗口中加载。

  5. 选择*设置您的帐户*。

    AWS Marketplace 的屏幕截图,其中显示了NetApp订阅和页面右上角的“设置您的帐户”选项。

    netapp.com 上的 Subscription Assignment 页面应在新浏览器选项卡或窗口中加载。

    请注意,系统可能会提示您先登录控制台。

  6. 从“订阅分配”页面:

    • 选择您想要与此订阅关联的控制台组织或帐户。

    • 在“替换现有订阅”字段中,选择是否要用这个新订阅自动替换一个组织或帐户的现有订阅。

      控制台将用这个新订阅替换组织或帐户中所有凭据的现有订阅。如果一组凭证从未与订阅关联,那么这个新订阅将不会与这些凭证关联。

      对于所有其他组织或帐户,您需要重复这些步骤来手动关联订阅。

    订阅分配页面的屏幕截图,可让您选择与此订阅关联的组织。

  7. 确认订阅与您的组织或帐户相关联。

    1. 从导航菜单中,选择*管理>许可证和订阅*。

    2. 选择*订阅*。

    3. 验证您的订阅是否出现。

  8. 确认订阅与您的 AWS 凭证相关联。

    1. 在控制台的右上角,选择“设置”图标,然后选择“凭据”。

    2. 在“组织凭证”页面上,验证订阅是否与您的 AWS 凭证关联。

      这是一个例子。

    控制台帐户凭证页面的屏幕截图,其中显示了 AWS 凭证,其中包括一个订阅字段,用于标识与凭证关联的订阅的名称。

编辑凭据

通过更改帐户类型(AWS 密钥或承担角色)、编辑名称或更新凭证本身(密钥或角色 ARN)来编辑您的 AWS 凭证。

备注 您无法编辑与控制台代理实例或Amazon FSx for ONTAP实例关联的实例配置文件的凭证。您只能重命名 FSx for ONTAP实例的凭据。
步骤

  1. 选择“管理 > 凭证”。

  2. 在*组织凭据*或*帐户凭据*页面上,选择一组凭据的操作菜单,然后选择*编辑凭据*。

  3. 进行所需的更改,然后选择*应用*。

删除凭据

如果您不再需要一组凭证,您可以删除它们。您只能删除与系统无关的凭据。

提示 您无法删除与控制台代理实例关联的实例配置文件的凭据。
步骤

  1. 选择“管理 > 凭证”。

  2. 在*组织凭据*或*帐户凭据*页面上,选择一组凭据的操作菜单,然后选择*删除凭据*。

  3. 选择*删除*进行确认。