发行说明
了解操作模式和AWS凭据
建议更改
PDF
工作负载工厂提供三种操作模式、使您能够根据IT策略仔细控制工作负载工厂与云资产之间的访问。您使用的操作模式取决于您为工作负载工厂提供的AWS权限级别。
操作模式
操作模式可根据您分配的信任级别对工作负载工厂提供的功能和功能进行逻辑组织。操作模式的主要目标是明确传达工作负载工厂可以在您的AWS帐户中执行或不能执行的任务。
- 基本模式
-
表示零信任关系、其中不会向工作负载工厂分配AWS权限。它旨在早期探索工作负载工厂、并使用各种向导来创建所需的基础架构即代码(Infrastructure as Code、IAC)。您可以通过手动输入AWS凭据来复制代码并在AWS中使用它。
- 读取模式
-
通过添加只读权限、使IAC模板填充您的特定变量(例如VPC、安全组等)、增强基本模式体验。这样、您就可以直接从AWS帐户执行IAC、而无需为工作负载工厂提供任何修改权限。
- 自动模式
-
表示完全信任关系、以便为工作负载工厂分配完全权限。这样、工作负载工厂便可代表您在AWS中执行和自动执行操作、并可获得分配的凭据、这些凭据具有执行所需的权限。
详细了解 "BlueXP 工作负载出厂时的权限"。
操作模式功能
使用每种模式时、可用功能会随每种模式而增加。
| 模式 | 从工作负载工厂实现自动化 | 使用IAC在AWS中实现自动化 | AWS资源发现和自动完成 | 进度监控 |
|---|---|---|---|---|
基本 |
否 |
至少完成IAC模板 |
否 |
否 |
读取 |
否 |
适度填写IAC模板 |
是 |
是 |
自动化 |
完全自动化 |
完全自动化的完整IAC模板 |
是 |
是 |
操作模式要求
您无需在工作负载出厂时设置任何选择器、即可确定要使用的模式。模式取决于您分配给工作负载工厂帐户的AWS凭据和权限。
| 模式 | AWS帐户凭据 | 链路 |
|---|---|---|
基本 |
不需要 |
不需要 |
读取 |
只读 |
不需要 |
自动化 |
读写凭据 |
必填 |
操作模式示例
您可以设置凭据、以便为一个工作负载组件提供一种模式、而为另一个组件提供另一种模式。例如、您可以为要部署和管理FSx for ONTAP文件系统的操作配置自动模式、但只能为使用工作负载工厂创建和部署数据库工作负载配置读取模式。
您可以在一个工作负载工厂帐户的一组凭据中提供这些功能、也可以在每个凭据提供独特的工作负载部署功能时创建多组凭据。
示例1
使用已授予以下权限的凭据的帐户用户将完全控制(自动模式)为ONTAP文件系统创建FSx、部署数据库以及查看帐户中使用的其他类型AWS存储。
但是、他们在工作负载出厂时没有用于创建和部署VMware工作负载(基本模式)的自动化控制。如果他们要创建VMware工作负载、则需要从代码框中复制代码、手动登录到其AWS帐户、然后手动填充生成的代码中缺少的条目、才能使用此功能。
示例2
在此、用户创建了两组凭据、以根据所选凭据集提供不同的操作功能。通常、每组凭据都会与一个不同的AWS帐户配对。
第一组凭据包括一些权限、可赋予用户完全控制创建FSx for ONTAP文件系统的权限(以及查看帐户中使用的其他类型AWS存储的能力)、但仅在处理VMware工作负载时具有读取权限。
第二组凭据仅提供权限、用户可以完全控制为ONTAP文件系统创建FSx以及查看帐户中使用的其他类型AWS存储。
AWS凭据
我们设计了一个AWS假定角色凭据注册流、该流可:
-
通过允许您指定要使用的工作负载功能并根据这些选择提供IAM策略要求、支持更一致的AWS帐户权限。
-
允许您在选择加入或退出特定工作负载功能时调整已授予的AWS帐户权限。
-
通过提供可在AWS控制台中应用的定制JSON策略文件、简化手动IAM策略创建。
-
通过使用AWS CloudFormation堆栈为用户提供所需IAM策略和角色创建的自动化选项、进一步简化了凭据注册流程。
-
通过允许将FSx for ONTAP服务凭据存储在基于AWS的机密管理后端、更好地与FSx for ONTAP用户保持一致、他们强烈希望将其凭据存储在AWS云生态系统的边界内。
一个或多个AWS凭据
在使用第一个工作负载出厂功能时、您需要使用这些工作负载功能所需的权限创建凭据。您需要将凭据添加到工作负载工厂、但需要访问AWS管理控制台才能创建IAM角色和策略。在工作负载工厂中使用任何功能时、您的帐户中都可以提供这些凭据。
您的初始AWS凭据集可以包含一项功能或多项功能的IAM策略。这完全取决于您的业务需求。
向工作负载工厂添加多组AWS凭据可提供使用其他功能所需的额外权限、例如FSx for ONTAP文件系统、在FSx for ONTAP上部署数据库、迁移VMware工作负载等。
