Skip to main content
Setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将 AWS 凭证添加到 Workload Factory

贡献者 netapp-rlithman netapp-mwallis netapp-bcammett netapp-tonacki
PDF

添加和管理 AWS 凭证,以便NetApp Workload Factory 拥有在您的 AWS 账户中部署和管理云资源所需的权限。

概述

您可以从“凭证”页面将 AWS 凭证添加到现有的 Workload Factory 帐户。这为 Workload Factory 提供了管理 AWS 云环境中的资源和流程所需的权限。

您可以使用两种方法添加凭据:

  • 手动:您在 Workload Factory 中添加凭证时在您的 AWS 账户中创建 IAM 策略和 IAM 角色。

  • 自动:您捕获有关权限的最少信息、然后使用CloudFormation堆栈为凭据创建IAM策略和角色。

AWS凭据

我们设计了一个AWS假定角色凭据注册流、该流可:

  • 通过允许您指定要使用的工作负载功能并根据这些选择提供IAM策略要求、支持更一致的AWS帐户权限。

  • 允许您在选择加入或退出特定工作负载功能时调整已授予的AWS帐户权限。

  • 通过提供可在AWS控制台中应用的定制JSON策略文件、简化手动IAM策略创建。

  • 通过使用AWS CloudFormation堆栈为用户提供所需IAM策略和角色创建的自动化选项、进一步简化了凭据注册流程。

  • 通过允许将FSx for ONTAP服务凭据存储在基于AWS的机密管理后端、更好地与FSx for ONTAP用户保持一致、他们强烈希望将其凭据存储在AWS云生态系统的边界内。

一个或多个AWS凭据

当您使用第一个工作负载工厂功能(或多个功能)时,您需要使用这些工作负载功能所需的权限来创建凭据。您将把凭证添加到 Workload Factory,但您需要访问 AWS 管理控制台来创建 IAM 角色和策略。当使用 Workload Factory 中的任何功能时,这些凭证将在您的帐户中可用。

您的初始 AWS 凭证集可以包含针对一项功能或多项功能的 IAM 权限策略。这完全取决于您的业务需求。

向 Workload Factory 添加多组 AWS 凭证可提供使用其他功能所需的额外权限,例如 FSx for ONTAP文件系统、在 FSx for ONTAP上部署数据库、迁移 VMware 工作负载等。

手动向帐户添加凭据

您可以手动将 AWS 凭证添加到 Workload Factory,以授予您的 Workload Factory 帐户管理用于运行独特工作负载的 AWS 资源所需的权限。您添加的每组凭证都将包含一个或多个基于您要使用的工作负载功能的 IAM 策略,以及分配给您账户的 IAM 角色。

备注 您可以从 Workload Factory 控制台或NetApp控制台将 AWS 凭证添加到帐户。

创建凭据分为三部分:

  • 选择要使用的服务和权限级别、然后从AWS管理控制台创建IAM策略。

  • 从AWS管理控制台创建IAM角色。

  • 从 Workload Factory 中输入名称并添加凭据。

开始之前

您需要具有凭据才能登录到AWS帐户。

步骤

  1. 登录 "工作负载工厂控制台"

  2. 从菜单中选择“管理”,然后选择“凭据”。

  3. 在“凭据”页面上,选择*添加凭据*。

  4. 在添加凭据页面上、选择*手动添加*、然后使用以下步骤完成_Permissions configuration_下的每个部分。

    屏幕截图显示了需要为每组凭据手动定义的项目。

第1步:选择工作负载功能并创建IAM策略

在本节中、您将选择哪些类型的工作负载功能可作为这些凭据的一部分进行管理、以及为每个工作负载启用的权限。您需要从CodeBox中复制每个选定工作负载的策略权限、并将其添加到AWS帐户中的AWS管理控制台中以创建策略。

步骤

  1. 在*Create Policies*部分中,启用要包含在这些凭据中的每个工作负载功能。

    您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。

  2. 对于那些提供权限策略选择的工作负载功能,请选择使用这些凭据可获得的权限类型。

  3. 可选:选择*启用自动权限检查*以检查您是否具有完成工作负载操作所需的AWS帐户权限。启用此复选框会将添加 `iam:SimulatePrincipalPolicy permission`到权限策略中。此权限的目的仅是确认权限。您可以在添加凭据后删除此权限、但我们建议保留此权限、以防止为部分成功的操作创建资源、并避免手动清理任何所需的资源。

  4. 在CodeBox窗口中、复制第一个IAM策略的权限。

  5. 打开另一个浏览器窗口、并在AWS管理控制台中登录到您的AWS帐户。

  6. 打开IAM服务,然后选择*Policies*>*Create Policy*。

  7. 选择JSON作为文件类型,粘贴您在第3步中复制的权限,然后选择*Next*。

  8. 输入策略的名称,然后选择*Create Policy*。

  9. 如果您在步骤1中选择了多个工作负载功能、请重复这些步骤为每组工作负载权限创建一个策略。

第2步:创建使用策略的IAM角色

在本节中,您将设置 Workload Factory 将承担的 IAM 角色,其中包括您刚刚创建的权限和策略。

屏幕截图、显示哪些权限将成为新角色的一部分。

步骤

  1. 在AWS管理控制台中、选择*角色>创建角色*。

  2. 在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。

    1. 选择 另一个 AWS 账户,然后从 Workload Factory UI 复制并粘贴 FSx for ONTAP工作负载管理的账户 ID。

    2. 选择*所需的外部 ID*并从 Workload Factory UI 复制并粘贴外部 ID。

  3. 选择 * 下一步 * 。

  4. 在权限策略部分中,选择先前定义的所有策略,然后选择*Next*。

  5. 输入角色的名称,然后选择*Create Role*。

  6. 复制角色ARN。

  7. 返回 Workload Factory 中的“添加凭证”页面,展开“权限配置”下的“创建角色”部分,然后将 ARN 粘贴到“角色 ARN”字段中。

第3步:输入名称并添加凭据

最后一步是在 Workload Factory 中输入凭证的名称。

步骤

  1. 在 Workload Factory 中的“添加凭据”页面中,展开“权限配置”下的“凭据名称”。

  2. 输入要用于这些凭据的名称。

  3. 选择*Add*以创建凭据。

结果

此时将创建凭据、您将返回到"凭据"页面。

使用CloudFormation向帐户添加凭据

您可以使用 AWS CloudFormation 堆栈将 AWS 凭证添加到 Workload Factory,方法是选择要使用的 Workload Factory 功能,然后在您的 AWS 账户中启动 AWS CloudFormation 堆栈。 CloudFormation 将根据您选择的工作负载功能创建 IAM 策略和 IAM 角色。

开始之前

  • 您需要具有凭据才能登录到AWS帐户。

  • 使用CloudFormation堆栈添加凭据时、您需要在AWS帐户中具有以下权限:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
步骤

  1. 登录 "工作负载工厂控制台"

  2. 从菜单中选择“管理”,然后选择“凭据”。

  3. 在“凭据”页面上,选择*添加凭据*。

  4. 选择*通过AWS CloudFormation*添加。

    屏幕截图显示了在启动CloudFormation以创建凭据之前需要定义的项目。

  5. 在*创建策略*下,启用要包含在这些凭据中的每个工作负载功能,然后为每个工作负载选择一个权限级别。

    您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。

  6. 可选:选择*启用自动权限检查*以检查您是否具有完成工作负载操作所需的AWS帐户权限。启用此复选框会将权限添加 `iam:SimulatePrincipalPolicy`到权限策略中。此权限的目的仅是确认权限。您可以在添加凭据后删除此权限、但我们建议保留此权限、以防止为部分成功的操作创建资源、并避免手动清理任何所需的资源。

  7. 在*凭据名称*下,输入要用于这些凭据的名称。

  8. 从AWS CloudFormation添加凭据:

    1. 选择*添加*(或选择*重定向到CloudFormation*)、此时将显示重定向到CloudFormation页面。

      屏幕截图展示了如何创建 CloudFormation 堆栈以添加策略和 Workload Factory 凭证的角色。

    2. 如果在AWS中使用单点登录(SSO)、请先打开单独的浏览器选项卡并登录AWS控制台、然后再选择*继续*。

      您应登录到FSx for ONTAP文件系统所在的AWS帐户。

    3. 从重定向到CloudFormation页面中选择*继续*。

    4. 在Quick create堆栈页面的"Capabilities"下、选择*我确认AWS CloudFormation可能会创建IAM资源*。

    5. 选择*创建堆栈*。

    6. 返回 Workload Factory 并监视 Credentials 页面以验证新凭证是否正在进行中,或者是否已添加。