Skip to main content
Amazon FSx for NetApp ONTAP
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

设置 FSx for ONTAP的权限

贡献者 netapp-rlithman
PDF

要创建或管理 FSx for ONTAP文件系统,您需要在NetApp Console中添加 AWS 凭证,方法是提供 IAM 角色的 ARN,该角色授予从NetApp Console创建 FSx for ONTAP系统所需的权限。

为什么需要 AWS 凭证

从 NetApp Console 创建和管理 FSx for ONTAP 系统需要 AWS 凭据。您可以创建新凭据或将其添加到现有组织。凭据允许您从 NetApp Console 管理 AWS 资源。

凭据和权限由 NetApp Workload Factory 管理。Workload Factory 是一个生命周期管理平台,旨在帮助用户管理和改进在 Amazon FSx for NetApp ONTAP 文件系统上运行的 VMware、EDA 和数据库工作负载。NetApp Console 和 Workload Factory 使用相同的 AWS 凭据和权限集。Storage 是 Workload Factory 中的存储管理功能,它是您需要打开和添加凭据以创建和管理 FSx for ONTAP 文件系统的唯一功能。

关于此任务

在 Workload Factory 中从存储为 FSx for ONTAP添加新凭据时,您需要决定要授予哪些权限策略。要发现 AWS 资源(例如 FSx for ONTAP文件系统),您需要查看、规划和分析权限。要为ONTAP文件系统部署 FSx,您需要 文件系统创建和删除 权限。无需权限即可对ONTAP上的 FSx 执行基本操作。"了解更多权限信息"

可以从“凭证”页面上的“管理”菜单中查看新的和现有的 AWS 凭证。

NetApp Console管理菜单中突出显示的管理菜单和凭据选项的屏幕截图。

您可以使用两种方法添加凭据:

  • 手动:您在 Workload Factory 中添加凭证时在您的 AWS 账户中创建 IAM 策略和 IAM 角色。

  • 自动:您捕获有关权限的最少量信息,然后使用 CloudFormation 堆栈为您的凭证创建 IAM 策略和角色。

手动向帐户添加凭据

您可以手动将 AWS 凭据添加到 NetApp Console,以授予您的帐户管理要使用的工作负载功能的权限,以及分配给您的帐户的 IAM 角色。

创建凭证分为三个部分:

  • 选择您想要使用的服务和权限级别,然后从 AWS 管理控制台创建 IAM 策略。

  • 从 AWS 管理控制台创建 IAM 角色。

  • 在 NetApp Console 中输入名称并添加凭据。

要创建或管理 FSx for ONTAP 文件系统,您需要通过提供 IAM 角色的 ARN 在 NetApp Console 中添加 AWS 凭据,该角色为 Workload Factory 提供创建 FSx for ONTAP 文件系统所需的权限。

开始之前

您需要拥有凭证才能登录您的 AWS 账户。

步骤

  1. 从NetApp Console菜单中,选择 管理,然后选择 凭据

  2. 从“组织凭证”页面中,选择“添加凭证”。

  3. 选择 Amazon Web Services,然后选择 FSx for ONTAP,再选择 Next

  4. 选择*手动添加*,然后按照以下步骤填写_权限配置_下的三个部分。

步骤 1:选择存储功能并创建 IAM 策略

在本节中,您将选择使用这些凭据管理的存储功能以及存储权限。您还可以选择其他工作负载,如 Databases、GenAI 或 VMware。做出选择后,您需要从 Codebox 复制每个选定工作负载的策略权限,并将其添加到 AWS 帐户中的 AWS Management Console 中以创建策略。

步骤

  1. Create permission policies 部分,启用要包含在这些凭据中的每个工作负载功能。启用 Storage 以创建和管理文件系统。

    您可以稍后添加其他功能,因此只需选择当前想要部署和管理的工作负载即可。

  2. 对于那些提供权限策略选择的工作负载功能,请选择使用这些凭据可获得的权限类型。"了解权限"

  3. 可选:选择*启用自动权限检查*以检查您是否具有所需的 AWS 帐户权限来完成工作负载操作。启用检查会将 iam:SimulatePrincipalPolicy permission 添加到您的权限策略中。此权限的目的仅用于确认权限。您可以在添加凭据后删除权限,但我们建议保留该权限,以便在某些步骤失败时停止创建资源并避免手动清理。

  4. 在 Codebox 窗口中,复制第一个 IAM 策略的权限。

  5. 打开另一个浏览器窗口并在 AWS 管理控制台中登录到您的 AWS 账户。

  6. 打开 IAM 服务,然后选择 策略 > 创建策略

  7. 选择 JSON 作为文件类型,粘贴您在步骤 4 中复制的权限,然后选择 Next

  8. 输入策略名称并选择*创建策略*。

  9. 如果您在步骤 1 中选择了多个工作负载功能,请重复这些步骤为每组工作负载权限创建一个策略。

步骤 2:创建使用策略的 IAM 角色

在本节中,您将设置 Workload Factory 将承担的 IAM 角色,其中包括您刚刚创建的权限和策略。

步骤

  1. 在 AWS 管理控制台中,选择“角色”>“创建角色”。

  2. 受信任实体类型 下,选择 AWS 账户

    1. 选择 另一个 AWS 账户,然后从 Console 用户界面复制并粘贴 FSx for ONTAP 工作负载管理的账户 ID。

    2. 选择 Required external ID 并在 NetApp Console 用户界面中复制并粘贴外部 ID。

  3. 选择“下一步”。

  4. 在权限策略部分,选择您之前定义的所有策略并选择*下一步*。

  5. 输入角色名称并选择*创建角色*。

  6. 复制角色 ARN。

  7. 返回 NetApp Console 中的添加凭据页面,展开 Create role 部分,然后将 ARN 粘贴到 Role ARN 字段中。

步骤 3:输入名称并添加凭证

最后一步是输入凭据的名称。

步骤

  1. 在添加凭据页面中,展开 凭据名称

  2. 输入您想要用于这些凭证的名称。

  3. 选择“添加”来创建凭证。

结果

Console 创建凭据并将其显示在凭据页面上。您可以使用、重命名或删除 NetApp Console 中的凭据。

使用 CloudFormation 向帐户添加凭证

您可以通过选择要使用的工作负载功能,然后在您的 AWS 账户中启动 AWS CloudFormation 堆栈,将 AWS 凭证添加到 NetApp Workload Factory。CloudFormation 将根据您选择的工作负载功能创建 IAM 策略和 IAM 角色。

开始之前

  • 您需要拥有凭证才能登录您的 AWS 账户。

  • 使用 CloudFormation 堆栈添加凭证时,您需要在 AWS 账户中拥有以下权限:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
步骤

  1. 从NetApp Console菜单中,选择 管理,然后选择 凭据

  2. 选择*添加凭证*。

  3. 选择 Amazon Web Services,然后选择 FSx for ONTAP,再选择 Next

    您现在位于 NetApp Workload Factory 的 Add Credentials 页面。

  4. 选择*通过 AWS CloudFormation 添加*。

  5. 在“创建策略”下,启用您想要包含在这些凭据中的每个工作负载功能,并为每个工作负载选择一个权限级别。

    您可以稍后添加其他功能,因此只需选择当前想要部署和管理的工作负载即可。

  6. 可选:选择 启用自动权限检查 以检查您是否具有所需的 AWS 帐户权限来完成工作负载操作。启用检查会将 iam:SimulatePrincipalPolicy 权限添加到您的权限策略中。此权限的目的仅是确认权限。您可以在添加凭据后删除该权限,但我们建议保留该权限,以便在某些步骤失败时停止创建资源并避免手动清理。

  7. 凭证名称 下,输入您想要用于这些凭证的名称。

  8. 从 AWS CloudFormation 添加凭证:

    1. 选择*添加*(或选择*重定向到 CloudFormation*),将显示“重定向到 CloudFormation”页面。

    2. 如果您在 AWS 中使用单点登录 (SSO),请打开单独的浏览器选项卡并登录到 AWS 控制台,然后选择 继续

      您应该登录 FSx for ONTAP文件系统所在的 AWS 账户。

    3. 从“重定向到 CloudFormation”页面选择“继续”。

    4. 在快速创建堆栈页面的功能下,选择*我确认 AWS CloudFormation 可能会创建 IAM 资源*。

    5. 选择*创建堆栈*。

    6. 从主菜单返回到*管理* > *凭证*页面,以验证新凭证是否正在进行中,或者是否已添加。

结果

Console 创建凭据并将其显示在凭据页面上。您可以使用、重命名或删除 NetApp Console 中的凭据。