发行说明
了解操作模式和AWS凭据
建议更改
PDF
Workload Factory提供三种操作模式、使您能够根据IT策略仔细控制Workload Factory与云资产之间的访问。您使用的操作模式取决于您为Workload Factory提供的AWS权限级别。
操作模式
操作模式可根据您分配的信任级别对Workload Factory提供的功能和功能进行逻辑组织。操作模式的主要目标是明确传达Workload Factory可以在您的AWS帐户中执行或不能执行的任务。
- 基本模式
-
表示零信任关系、其中不会向Workload Factory分配AWS权限。它旨在早期探索Workload Factory、并使用各种向导创建所需的基础架构即代码(Infrastructure as Code、IAC)。您可以通过手动输入AWS凭据来复制代码并在AWS中使用它。
- 读取模式
-
通过添加只读权限、使IAC模板填充您的特定变量(例如VPC、安全组等)、增强基本模式体验。这样、您就可以直接从AWS帐户执行IAC、而无需向Workload Factory提供任何修改权限。
- 自动模式
-
表示完全信任关系、以便为Workload Factory分配完全权限。这样、Workload Factory便可代表您在AWS中执行和自动执行操作、并可获得分配的凭据、这些凭据具有执行所需的权限。
操作模式功能
使用每种模式时、可用功能会随每种模式而增加。
| 模式 | 从工作负载工厂实现自动化 | 使用IAC在AWS中实现自动化 | AWS资源发现和自动完成 | 进度监控 |
|---|---|---|---|---|
基本 |
否 |
至少完成IAC模板 |
否 |
否 |
读取 |
否 |
适度填写IAC模板 |
是 |
是 |
自动化 |
完全自动化 |
完全自动化的完整IAC模板 |
是 |
是 |
操作模式要求
您无需在Workload Factory中设置任何选择器、即可确定要使用的模式。此模式取决于您分配给Workload Factory帐户的AWS凭据和权限。
| 模式 | AWS帐户凭据 | 链路 |
|---|---|---|
基本 |
不需要 |
不需要 |
读取 |
只读 |
不需要 |
自动化 |
读写凭据 |
必填 |
操作模式示例
您可以设置凭据、以便为一个工作负载组件提供一种模式、而为另一个组件提供另一种模式。例如、您可以为要部署和管理FSx for ONTAP文件系统的操作配置自动模式、但只能为使用Workload Factory创建和部署数据库工作负载配置读取模式。
您可以在工作负载工厂帐户的一组凭据中提供这些功能、也可以在每个凭据提供唯一的工作负载部署功能时创建多组凭据。
示例1
使用已授予以下权限的凭据的帐户用户将完全控制(自动模式)为ONTAP文件系统创建FSx、部署数据库以及查看帐户中使用的其他类型AWS存储。
但是、他们无法通过Workload Factory自动控制VMware工作负载的创建和部署(基本模式)。如果他们要创建VMware工作负载、则需要从代码框中复制代码、手动登录到其AWS帐户、然后手动填充生成的代码中缺少的条目、才能使用此功能。
示例2
在此、用户创建了两组凭据、以根据所选凭据集提供不同的操作功能。通常、每组凭据都会与一个不同的AWS帐户配对。
第一组凭据包括一些权限、可赋予用户完全控制创建FSx for ONTAP文件系统的权限(以及查看帐户中使用的其他类型AWS存储的能力)、但仅在处理VMware工作负载时具有读取权限。
第二组凭据仅提供权限、用户可以完全控制为ONTAP文件系统创建FSx以及查看帐户中使用的其他类型AWS存储。
AWS凭据
我们设计了一个AWS假定角色凭据注册流、该流可:
-
通过允许您指定要使用的工作负载功能并根据这些选择提供IAM策略要求、支持更一致的AWS帐户权限。
-
允许您在选择加入或退出特定工作负载功能时调整已授予的AWS帐户权限。
-
通过提供可在AWS控制台中应用的定制JSON策略文件、简化手动IAM策略创建。
-
通过使用AWS CloudFormation堆栈为用户提供所需IAM策略和角色创建的自动化选项、进一步简化了凭据注册流程。
-
通过允许将FSx for ONTAP服务凭据存储在基于AWS的机密管理后端、更好地与FSx for ONTAP用户保持一致、他们强烈希望将其凭据存储在AWS云生态系统的边界内。
一个或多个AWS凭据
在使用第一个工作负载出厂功能时、您需要使用这些工作负载功能所需的权限创建凭据。您需要将这些凭据添加到Workload Factory、但需要访问AWS管理控制台才能创建IAM角色和策略。在Workload Factory中使用任何功能时、您的帐户均可提供这些凭据。
您的初始AWS凭据集可以包含一项功能或多项功能的IAM策略。这完全取决于您的业务需求。
通过向Workload Factory添加多组AWS凭据、可以获得使用其他功能所需的其他权限、例如FSx for ONTAP文件系统、在FSx for ONTAP上部署数据库、迁移VMware工作负载等。