将 AWS 凭证添加到 Workload Factory
建议更改
PDF
添加和管理 AWS 凭证,以便NetApp Workload Factory 拥有在您的 AWS 账户中部署和管理云资源所需的权限。
概述
除非您添加 AWS 帐户凭证,否则 Workload Factory 将以 Basic 模式运行。您可以添加凭据以启用其他操作模式,例如_只读_模式和_读/写_模式。"了解有关操作模式的更多信息" 。
您可以从“凭证”页面将 AWS 凭证添加到现有的 Workload Factory 帐户。这为 Workload Factory 提供了管理 AWS 云环境中的资源和流程所需的权限。
您可以使用两种方法添加凭据:
-
手动:您在 Workload Factory 中添加凭证时在您的 AWS 账户中创建 IAM 策略和 IAM 角色。
-
自动:您捕获有关权限的最少信息、然后使用CloudFormation堆栈为凭据创建IAM策略和角色。
手动向帐户添加凭据
您可以手动将 AWS 凭证添加到 Workload Factory,以授予您的 Workload Factory 帐户管理用于运行独特工作负载的 AWS 资源所需的权限。您添加的每组凭证都将包含一个或多个基于您要使用的工作负载功能的 IAM 策略,以及分配给您账户的 IAM 角色。
|
您可以从 Workload Factory 控制台或NetApp控制台将 AWS 凭证添加到帐户。 |
创建凭据分为三部分:
-
选择要使用的服务和权限级别、然后从AWS管理控制台创建IAM策略。
-
从AWS管理控制台创建IAM角色。
-
从 Workload Factory 中输入名称并添加凭据。
您需要具有凭据才能登录到AWS帐户。
-
登录 "工作负载工厂控制台"。
-
从菜单中选择“管理”,然后选择“凭据”。
-
在“凭据”页面上,选择*添加凭据*。
-
在添加凭据页面上、选择*手动添加*、然后使用以下步骤完成_Permissions configuration_下的每个部分。
第1步:选择工作负载功能并创建IAM策略
在本节中、您将选择哪些类型的工作负载功能可作为这些凭据的一部分进行管理、以及为每个工作负载启用的权限。您需要从CodeBox中复制每个选定工作负载的策略权限、并将其添加到AWS帐户中的AWS管理控制台中以创建策略。
-
在*Create Policies*部分中,启用要包含在这些凭据中的每个工作负载功能。
您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。
-
对于那些提供权限级别选择(只读或读/写)的工作负载功能,请选择这些凭据可用的权限类型。
-
可选:选择*启用自动权限检查*以检查您是否具有完成工作负载操作所需的AWS帐户权限。启用此复选框会将添加 `iam:SimulatePrincipalPolicy permission`到权限策略中。此权限的目的仅是确认权限。您可以在添加凭据后删除此权限、但我们建议保留此权限、以防止为部分成功的操作创建资源、并避免手动清理任何所需的资源。
-
在CodeBox窗口中、复制第一个IAM策略的权限。
-
打开另一个浏览器窗口、并在AWS管理控制台中登录到您的AWS帐户。
-
打开IAM服务,然后选择*Policies*>*Create Policy*。
-
选择JSON作为文件类型,粘贴您在第3步中复制的权限,然后选择*Next*。
-
输入策略的名称,然后选择*Create Policy*。
-
如果您在步骤1中选择了多个工作负载功能、请重复这些步骤为每组工作负载权限创建一个策略。
第2步:创建使用策略的IAM角色
在本节中,您将设置 Workload Factory 将承担的 IAM 角色,其中包括您刚刚创建的权限和策略。
-
在AWS管理控制台中、选择*角色>创建角色*。
-
在 * 可信实体类型 * 下,选择 * AWS 帐户 * 。
-
选择 另一个 AWS 账户,然后从 Workload Factory UI 复制并粘贴 FSx for ONTAP工作负载管理的账户 ID。
-
选择*所需的外部 ID*并从 Workload Factory UI 复制并粘贴外部 ID。
-
-
选择 * 下一步 * 。
-
在权限策略部分中,选择先前定义的所有策略,然后选择*Next*。
-
输入角色的名称,然后选择*Create Role*。
-
复制角色ARN。
-
返回 Workload Factory 中的“添加凭证”页面,展开“权限配置”下的“创建角色”部分,然后将 ARN 粘贴到“角色 ARN”字段中。
第3步:输入名称并添加凭据
最后一步是在 Workload Factory 中输入凭证的名称。
-
在 Workload Factory 中的“添加凭据”页面中,展开“权限配置”下的“凭据名称”。
-
输入要用于这些凭据的名称。
-
选择*Add*以创建凭据。
此时将创建凭据、您将返回到"凭据"页面。
使用CloudFormation向帐户添加凭据
您可以使用 AWS CloudFormation 堆栈将 AWS 凭证添加到 Workload Factory,方法是选择要使用的 Workload Factory 功能,然后在您的 AWS 账户中启动 AWS CloudFormation 堆栈。 CloudFormation 将根据您选择的工作负载功能创建 IAM 策略和 IAM 角色。
-
您需要具有凭据才能登录到AWS帐户。
-
使用CloudFormation堆栈添加凭据时、您需要在AWS帐户中具有以下权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:ListStacks", "cloudformation:ListStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate", "lambda:InvokeFunction", "iam:PassRole", "iam:CreateRole", "iam:UpdateAssumeRolePolicy", "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole" ], "Resource": "*" } ] }
-
登录 "工作负载工厂控制台"。
-
从菜单中选择“管理”,然后选择“凭据”。
-
在“凭据”页面上,选择*添加凭据*。
-
选择*通过AWS CloudFormation*添加。
-
在*创建策略*下,启用要包含在这些凭据中的每个工作负载功能,然后为每个工作负载选择一个权限级别。
您可以稍后添加其他功能、因此只需选择当前要部署和管理的工作负载即可。
-
可选:选择*启用自动权限检查*以检查您是否具有完成工作负载操作所需的AWS帐户权限。启用此复选框会将权限添加 `iam:SimulatePrincipalPolicy`到权限策略中。此权限的目的仅是确认权限。您可以在添加凭据后删除此权限、但我们建议保留此权限、以防止为部分成功的操作创建资源、并避免手动清理任何所需的资源。
-
在*凭据名称*下,输入要用于这些凭据的名称。
-
从AWS CloudFormation添加凭据:
-
选择*添加*(或选择*重定向到CloudFormation*)、此时将显示重定向到CloudFormation页面。
-
如果在AWS中使用单点登录(SSO)、请先打开单独的浏览器选项卡并登录AWS控制台、然后再选择*继续*。
您应登录到FSx for ONTAP文件系统所在的AWS帐户。
-
从重定向到CloudFormation页面中选择*继续*。
-
在Quick create堆栈页面的"Capabilities"下、选择*我确认AWS CloudFormation可能会创建IAM资源*。
-
选择*创建堆栈*。
-
返回 Workload Factory 并监视 Credentials 页面以验证新凭证是否正在进行中,或者是否已添加。
-