Skip to main content
Setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

深入瞭解 AWS 認證與權限

貢獻者

瞭解 BlueXP 如何使用 AWS 認證來代表您執行動作、以及這些認證如何與市場訂閱相關聯。在 BlueXP 中管理一或多個 AWS 帳戶的認證時、瞭解這些詳細資料可能很有幫助。例如、您可能想要瞭解何時將額外的 AWS 認證新增至 BlueXP 。

初始 AWS 認證資料

從BlueXP部署連接器時、您需要為IAM使用者提供IAM角色或存取金鑰的ARN。您使用的驗證方法必須具有必要的權限、才能在AWS中部署Connector執行個體。所需權限列於 "AWS 的 Connector 部署原則"

當BlueXP在AWS中啟動Connector執行個體時、會為執行個體建立IAM角色和執行個體設定檔。它也附加原則、讓Connector有權限管理該AWS帳戶內的資源和程序。 "檢閱BlueXP如何使用權限"

顯示在AWS帳戶中部署Connector的BlueXP概念性映像。IAM原則會指派給附加至BlueXP執行個體的IAM角色。

如果您為 Cloud Volumes ONTAP 建立新的工作環境、 BlueXP 預設會選取這些 AWS 認證:

在「詳細資料擴大機;認證」頁面中顯示「切換帳戶」選項的螢幕擷取畫面。

您可以 Cloud Volumes ONTAP 使用初始 AWS 認證來部署所有的資訊系統、也可以新增其他認證資料。

其他 AWS 認證資料

有兩種方法可以新增額外的 AWS 認證:

  • 您可以將 AWS 認證新增至現有的 Connector

  • 您可以直接將 AWS 認證新增至 BlueXP

請參閱以下各節以取得更多詳細資料。

將AWS認證資料新增至現有的Connector

如果您想要將 BlueXP 與其他 AWS 帳戶搭配使用、則可以為 IAM 使用者提供 AWS 金鑰、或是在信任的帳戶中提供角色的 ARN 。下圖顯示兩個額外的帳戶、一個透過信任帳戶中的 IAM 角色提供權限、另一個則透過 IAM 使用者的 AWS 金鑰提供權限:

顯示兩個額外帳戶的概念性映像。每個都有 IAM 原則、一個附加到 IAM 使用者、另一個附加到 IAM 角色。

然後您可以指定 IAM 角色的 Amazon 資源名稱( ARN )或 IAM 使用者的 AWS 金鑰、將帳戶認證新增至 BlueXP 。

例如、您可以在建立新的 Cloud Volumes ONTAP 工作環境時、在認證之間切換:

螢幕快照、顯示在「詳細資料  擴大機;認證」頁面中選取「切換帳戶」之後、在雲端供應商帳戶之間進行選擇。

直接將AWS認證資料新增至BlueXP

新增AWS認證資料至藍圖XP、可提供必要的權限來建立及管理適用於ONTAP 整個作業環境的FSX、或是建立Connector。

認證與市場訂閱

您新增至 Connector 的認證必須與 AWS Marketplace 訂閱相關聯、以便您可以按小時費率( PAYGO )或透過年度合約支付 Cloud Volumes ONTAP 費用、以及使用其他 BlueXP 服務。

請注意下列關於 AWS 認證和市場訂閱的資訊:

  • 您只能將一項 AWS Marketplace 訂閱與一組 AWS 認證建立關聯

  • 您可以使用新訂閱來取代現有的市場訂閱

常見問題集

下列問題與認證和訂閱有關。

我該如何安全地旋轉 AWS 認證資料?

如前節所述、 BlueXP 可讓您以幾種方式提供 AWS 認證:與 Connector 執行個體相關聯的 IAM 角色、在信任的帳戶中擔任 IAM 角色、或提供 AWS 存取金鑰。

在前兩個選項中、BlueXP會使用AWS安全性權杖服務來取得持續循環的暫用認證資料。此程序是最佳實務做法、它是自動且安全的。

如果您為BlueXP提供AWS存取金鑰、您應該定期在BlueXP中更新金鑰、以旋轉金鑰。這是完全手動的程序。

我可以變更適用於 Cloud Volumes ONTAP 工作環境的 AWS Marketplace 訂閱嗎?

是的、您可以。當您變更與一組認證相關聯的 AWS Marketplace 訂閱時、所有現有和新的 Cloud Volumes ONTAP 工作環境都會被收取新訂閱的費用。

我是否可以新增多個 AWS 認證、每個認證都有不同的市場訂閱?

屬於同一個 AWS 帳戶的所有 AWS 認證都會與相同的 AWS Marketplace 訂閱相關聯。

如果您有多個 AWS 認證屬於不同的 AWS 帳戶、則這些認證可以與相同的 AWS Marketplace 訂閱或不同的訂閱相關聯。

我可以將現有的 Cloud Volumes ONTAP 工作環境移至不同的 AWS 帳戶嗎?

否、您無法將與 Cloud Volumes ONTAP 工作環境相關的 AWS 資源移至不同的 AWS 帳戶。

認證如何適用於市場部署和內部部署?

以上各節說明建議的連接器部署方法、該方法來自於BlueXP。您也可以從 AWS Marketplace 在 AWS 中部署 Connector 、然後在自己的 Linux 主機上手動安裝 Connector 軟體。

如果您使用 Marketplace 、則會以相同方式提供權限。您只需要手動建立和設定 IAM 角色、然後為任何其他帳戶提供權限。

對於內部部署、您無法為 BlueXP 系統設定 IAM 角色、但可以使用 AWS 存取金鑰提供權限。

若要瞭解如何設定權限、請參閱下列頁面: