将AWS凭据添加到工作负载工厂
添加和管理AWS凭据、以便工作负载工厂拥有在AWS帐户中部署和管理云资源所需的权限。
概述
除非添加AWS帐户凭据、否则工作负载工厂将在_BASIC模式下运行。您可以添加凭据以启用其他操作模式、例如读取模式和自动模式。"了解有关操作模式的更多信息"(英文)
您可以从凭据页面将AWS凭据添加到现有工作负载工厂帐户。这样、工作负载工厂便可获得在AWS云环境中管理资源和流程所需的权限。
您可以使用两种方法添加凭据:
-
手动:在工作负载工厂添加凭据的同时、在AWS帐户中创建IAM策略和IAM角色。
-
自动:您捕获有关权限的最少信息、然后使用CloudFormation堆栈为凭据创建IAM策略和角色。
手动向帐户添加凭据
您可以手动将AWS凭据添加到工作负载工厂、以便为您的工作负载工厂帐户授予管理用于运行您的唯一工作负载的AWS资源所需的权限。您添加的每组凭据都将根据要使用的工作负载功能包含一个或多个IAM策略、以及分配给您的帐户的IAM角色。
|
您可以从工作负载出厂控制台或BlueXP 控制台向帐户添加AWS凭据。 |
创建凭据分为三部分:
-
选择要使用的服务和权限级别、然后从AWS管理控制台创建IAM策略。
-
从AWS管理控制台创建IAM角色。
-
在工作负载出厂时、输入名称并添加凭据。
您需要具有凭据才能登录到AWS帐户。
-
登录到 "工作负载出厂控制台"。
-
选择*Account*图标,然后选择*凭 据*。
-
在“凭据”页面上,选择*添加凭据*。
-
在添加凭据页面上、选择*手动添加*、然后使用以下步骤完成_Permissions configuration_下的每个部分。
第1步:选择工作负载功能并创建IAM策略
在本节中、您将选择哪些类型的工作负载功能可作为这些凭据的一部分进行管理、以及为每个工作负载启用的权限。您需要从CodeBox中复制每个选定工作负载的策略权限、并将其添加到AWS帐户中的AWS管理控制台中以创建策略。
-
在*Create Policies*部分中,启用要包含在这些凭据中的每个工作负载功能。
您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。
-
对于可选择权限级别(操作、查看等)的工作负载功能、请选择可通过这些凭据使用的权限类型。
-
在CodeBox窗口中、复制第一个IAM策略的权限。
-
打开另一个浏览器窗口、并在AWS管理控制台中登录到您的AWS帐户。
-
打开IAM服务,然后选择*Policies*>*Create Policy*。
-
选择JSON作为文件类型,粘贴您在第3步中复制的权限,然后选择*Next*。
-
输入策略的名称,然后选择*Create Policy*。
-
如果您在步骤1中选择了多个工作负载功能、请重复这些步骤为每组工作负载权限创建一个策略。
第2步:创建使用策略的IAM角色
在本节中、您将设置工作负载工厂假定的IAM角色、其中包括您刚刚创建的权限和策略。
-
在AWS管理控制台中、选择*角色>创建角色*。
-
在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。
-
选择*另一个AWS帐户*、然后从工作负载出厂UI复制并粘贴FSx for ONTAP工作负载管理的帐户ID。
-
选择*必需的外部ID*、然后从工作负载出厂UI复制并粘贴外部ID。
-
-
选择 * 下一步 * 。
-
在权限策略部分中,选择先前定义的所有策略,然后选择*Next*。
-
输入角色的名称,然后选择*Create Role*。
-
复制角色ARN。
-
返回到工作负载工厂中的*凭据*页面,展开*创建角色*部分,然后将ARN粘贴到_Role ARN_字段中。
第3步:输入名称并添加凭据
最后一步是在工作负载工厂中输入凭据的名称。
-
从工作负载工厂的*凭据页面*中,展开*凭据名称*。
-
输入要用于这些凭据的名称。
-
选择*Add*以创建凭据。
此时将创建凭据、您将返回到"凭据"页面。
使用CloudFormation向帐户添加凭据
您可以使用AWS CloudFormation堆栈将AWS凭据添加到工作负载工厂、方法是选择要使用的工作负载工厂功能、然后在AWS帐户中启动AWS CloudFormation堆栈。CloudFormation将根据您选择的工作负载功能创建IAM策略和IAM角色。
-
您需要具有凭据才能登录到AWS帐户。
-
使用CloudFormation堆栈添加凭据时、您需要在AWS帐户中具有以下权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:ListStacks", "cloudformation:ListStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate", "lambda:InvokeFunction", "iam:PassRole", "iam:CreateRole", "iam:UpdateAssumeRolePolicy", "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole" ], "Resource": "*" } ] }
-
登录到 "工作负载出厂控制台"。
-
选择*Account*图标,然后选择*凭 据*。
-
在“凭据”页面上,选择*添加凭据*。
-
选择*通过AWS CloudFormation*添加。
-
在*创建策略*下,启用要包含在这些凭据中的每个工作负载功能,然后为每个工作负载选择一个权限级别。
您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。
-
在*凭据名称*下,输入要用于这些凭据的名称。
-
从AWS CloudFormation添加凭据:
-
选择*添加*(或选择*重定向到CloudFormation*)、此时将显示重定向到CloudFormation页面。
-
如果在AWS中使用单点登录(SSO)、请先打开单独的浏览器选项卡并登录AWS控制台、然后再选择*继续*。
您应登录到FSx for ONTAP文件系统所在的AWS帐户。
-
从重定向到CloudFormation页面中选择*继续*。
-
在Quick create堆栈页面的"Capabilities"下、选择*我确认AWS CloudFormation可能会创建IAM资源*。
-
选择*创建堆栈*。
-
返回到工作负载出厂设置并监控到凭据页面、以验证新凭据是否正在运行或是否已添加。
-