简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

AWS 凭据和权限

提供者 netapp-bcammett 下载此页面的 PDF

通过 Cloud Manager ,您可以选择部署 Cloud Volumes ONTAP 时要使用的 AWS 凭据。您可以使用初始 AWS 凭据部署所有 Cloud Volumes ONTAP 系统,也可以添加其他凭据。

初始 AWS 凭据

从 Cloud Manager 部署 Connector 时,您需要使用有权启动 Connector 实例的 AWS 帐户。中列出了所需的权限 "AWS 的连接器部署策略"

当 Cloud Manager 在 AWS 中启动 Connector 实例时,它会为此实例创建 IAM 角色和实例配置文件。它还会附加一个策略,为 Cloud Manager 提供管理该 AWS 帐户中资源和进程的权限。 "查看 Cloud Manager 如何使用权限"

一个概念映像,显示 Cloud Central 在 AWS 帐户中部署 Cloud Manager 。IAM 策略会分配给一个 IAM 角色,该角色会附加到 Cloud Manager 实例。

在为 Cloud Volumes ONTAP 创建新工作环境时, Cloud Manager 会默认选择以下 AWS 凭据:

屏幕截图,显示 "Details" 和 "amp" ; "Credentials" 页面中的 "Switch Account" 选项。

其他 AWS 凭据

如果您要在不同的 AWS 帐户中启动 Cloud Volumes ONTAP ,则可以选择一种 "为 IAM 用户或受信任帐户中某个角色的 ARN 提供 AWS 密钥"。下图显示了另外两个帐户,一个通过可信帐户中的 IAM 角色提供权限,另一个通过 IAM 用户的 AWS 密钥提供权限:

一个概念映像,显示另外两个帐户。每个都有一个 IAM 策略,一个附加到 IAM 用户,另一个附加到 IAM 角色。

您可以这样做 "将帐户凭据添加到 Cloud Manager" 指定 IAM 角色的 Amazon 资源名称( ARN )或 IAM 用户的 AWS 密钥。

添加另一组凭据后,您可以在创建新的工作环境时切换到这些凭据:

单击详细信息和 amp ;凭据页面中的切换帐户后,显示在云提供商帐户之间进行选择的屏幕截图。

市场部署和内部部署如何?

以上各节介绍了 Cloud Manager 中建议的 Connector 部署方法。您也可以从在 AWS 中部署连接器 "AWS Marketplace" 您可以做到 。

如果您使用 Marketplace ,则会以相同方式提供权限。您只需手动创建和设置 IAM 角色,然后为任何其他帐户提供权限即可。

对于内部部署,您不能为 Cloud Manager 系统设置 IAM 角色,但可以像为其他 AWS 帐户提供权限一样提供权限。

如何安全地轮换 AWS 凭据?

如上所述, Cloud Manager 支持您通过以下几种方式提供 AWS 凭据:与 Connector 实例关联的 IAM 角色,在可信帐户中承担 IAM 角色或提供 AWS 访问密钥。

对于前两个选项, Cloud Manager 使用 AWS 安全令牌服务获取持续轮换的临时凭据。这是最佳实践—它是自动的,安全的。

如果您为 Cloud Manager 提供了 AWS 访问密钥,则应定期在 Cloud Manager 中更新这些密钥以轮换使用。这是一个完全手动的过程。