Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将AWS凭据添加到Workload Factory

贡献者
PDF

添加和管理AWS凭据、以便Workload Factory拥有在AWS帐户中部署和管理云资源所需的权限。

概述

除非您添加AWS帐户凭据、否则Workload Factory将在_BASIC模式下运行。您可以添加凭据以启用其他操作模式、例如读取模式和自动模式。"了解有关操作模式的更多信息"(英文)

您可以从凭据页面将AWS凭据添加到现有工作负载工厂帐户。这样、Workload Factory便可获得在AWS云环境中管理资源和流程所需的权限。

您可以使用两种方法添加凭据:

  • 手动:在Workload Factory中添加凭据时、您可以在AWS帐户中创建IAM策略和IAM角色。

  • 自动:您捕获有关权限的最少信息、然后使用CloudFormation堆栈为凭据创建IAM策略和角色。

手动向帐户添加凭据

您可以手动将AWS凭据添加到Workload Factory、以便为您的Workload Factory帐户授予管理用于运行唯一工作负载的AWS资源所需的权限。您添加的每组凭据都将根据要使用的工作负载功能包含一个或多个IAM策略、以及分配给您的帐户的IAM角色。

创建凭据分为三部分:

  • 选择要使用的服务和权限级别、然后从AWS管理控制台创建IAM策略。

  • 从AWS管理控制台创建IAM角色。

  • 在Workload Factory中、输入名称并添加凭据。

开始之前

您需要具有凭据才能登录到AWS帐户。

步骤

  1. 在Workload Factory控制台中,选择*Account*图标,然后选择*凭 据*。

    显示工作负载出厂控制台中的"Account Settings"图标的屏幕截图。

  2. 在*凭据*页面上,选择*添加凭据*,此时将显示添加凭据页面。

  3. 选择*手动添加*,然后按照以下步骤填写_Permissions configuration_下的三个部分。

    屏幕截图显示了需要为每组凭据手动定义的项目。

第1步:选择工作负载功能并创建IAM策略

在本节中、您将选择哪些类型的工作负载功能可作为这些凭据的一部分进行管理、以及为每个工作负载启用的权限。您需要从CodeBox中复制每个选定工作负载的策略权限、并将其添加到AWS帐户中的AWS管理控制台中以创建策略。

屏幕截图显示哪些类型的工作负载功能可作为这些凭据中的策略的一部分进行管理。

步骤

  1. 在*Create Policies*部分中,启用要包含在这些凭据中的每个工作负载功能。

    您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。

  2. 对于可选择权限级别(操作、查看等)的工作负载功能、请选择可通过这些凭据使用的权限类型。

  3. 在CodeBox窗口中、复制第一个IAM策略的权限。

  4. 打开另一个浏览器窗口、并在AWS管理控制台中登录到您的AWS帐户。

  5. 打开IAM服务,然后选择*Policies*>*Create Policy*。

  6. 选择JSON作为文件类型,粘贴您在第3步中复制的权限,然后选择*Next*。

  7. 输入策略的名称,然后选择*Create Policy*。

  8. 如果您在步骤1中选择了多个工作负载功能、请重复这些步骤为每组工作负载权限创建一个策略。

第2步:创建使用策略的IAM角色

在本节中、您将设置一个IAM角色、工作负载工厂将假定该角色包含您刚刚创建的权限和策略。

屏幕截图、显示哪些权限将成为新角色的一部分。

步骤

  1. 在AWS管理控制台中、选择*角色>创建角色*。

  2. 在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。

    1. 选择*另一个AWS帐户*、然后从工作负载工厂UI复制并粘贴FSx for ONTAP工作负载管理的帐户ID。

    2. 选择*必需的外部ID*、然后从工作负载出厂UI复制并粘贴外部ID。

  3. 选择 * 下一步 * 。

  4. 在权限策略部分中,选择先前定义的所有策略,然后选择*Next*。

  5. 输入角色的名称,然后选择*Create Role*。

  6. 复制角色ARN。

  7. 返回到Workload Factory、展开*Create Role*部分、然后将ARN粘贴到_Role ARN_字段中。

第3步:输入名称并添加凭据

最后一步是在Workload Factory中输入凭据的名称。

步骤

  1. 在Workload Factory中,展开*凭 据名称*。

  2. 输入要用于这些凭据的名称。

  3. 选择*Add*以创建凭据。

结果

此时将创建凭据、您将返回到"凭据"页面。

使用CloudFormation向帐户添加凭据

您可以使用AWS CloudFormation堆栈向Workload Factory添加AWS凭据、方法是选择要使用的Workload Factory功能、然后在AWS帐户中启动AWS CloudFormation堆栈。CloudFormation将根据您选择的工作负载功能创建IAM策略和IAM角色。

开始之前

  • 您需要具有凭据才能登录到AWS帐户。

  • 使用CloudFormation堆栈添加凭据时、您需要在AWS帐户中具有以下权限:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:UpdateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeChangeSet",
                "cloudformation:ExecuteChangeSet",
                "cloudformation:ListStacks",
                "cloudformation:ListStackResources",
                "cloudformation:GetTemplate",
                "cloudformation:ValidateTemplate",
                "lambda:InvokeFunction",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:AttachRolePolicy",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*"
        }
    ]
}
步骤

  1. 在Workload Factory控制台中,选择*Account*图标,然后选择*凭 据*。

    显示工作负载出厂控制台中的"Account Settings"图标的屏幕截图。

  2. 在*凭据*页面上,选择*添加凭据*。

  3. 选择*通过AWS CloudFormation*添加。

    屏幕截图显示了在启动CloudFormation以创建凭据之前需要定义的项目。

  4. 在*创建策略*下,启用要包含在这些凭据中的每个工作负载功能,然后为每个工作负载选择一个权限级别。

    您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。

  5. 在*凭据名称*下,输入要用于这些凭据的名称。

  6. 从AWS CloudFormation添加凭据:

    1. 选择*添加*(或选择*重定向到CloudFormation*)、此时将显示重定向到CloudFormation页面。

      显示如何创建CloudFormation堆栈以添加策略和工作负载工厂凭据角色的屏幕截图。

    2. 如果在AWS中使用单点登录(SSO)、请先打开单独的浏览器选项卡并登录AWS控制台、然后再选择*继续*。

      您应登录到FSx for ONTAP文件系统所在的AWS帐户。

    3. 从重定向到CloudFormation页面中选择*继续*。

    4. 在Quick create堆栈页面的"Capabilities"下、选择*我确认AWS CloudFormation可能会创建IAM资源*。

    5. 选择*创建堆栈*。

    6. 返回到工作负载出厂设置并监控到凭据页面、以验证新凭据是否正在运行或是否已添加。