了解NetApp Console中的 AWS 憑證和權限
建議變更
PDF
您可以透過NetApp Console直接管理 AWS 憑證和市集訂閱,透過在控制台代理部署期間提供適當的 IAM 憑證並將其與 AWS Marketplace 訂閱關聯以進行計費,來確保Cloud Volumes ONTAP和其他資料服務的安全部署。
初始 AWS 憑證
從控制台部署控制台代理程式時,您需要提供 IAM 角色的 ARN 或 IAM 使用者的存取金鑰。身份驗證方法必須具有在 AWS 中部署控制台代理程式的權限。所需權限列於表中"AWS代理部署策略"。
當控制台在 AWS 中啟動控制台代理時,它會為代理程式建立一個 IAM 角色和一個設定檔。它還附加了一項策略,為控制台代理提供管理該 AWS 帳戶內的資源和流程的權限。"查看代理如何使用權限"。
如果您新增的Cloud Volumes ONTAP系統,控制台將預設選擇以下 AWS 憑證:
使用初始 AWS 憑證部署所有Cloud Volumes ONTAP系統,或者您可以新增其他憑證。
額外的 AWS 憑證
在下列情況下,您可能會為控制台新增其他 AWS 憑證:
-
若要將您現有的控制台代理程式與額外的 AWS 帳戶一起使用,請執行下列操作:
-
在特定 AWS 帳戶中建立新代理
-
建立和管理 FSx for ONTAP檔案系統
請參閱以下部分以了解更多詳細資訊。
新增 AWS 憑證以將控制台代理程式與另一個 AWS 帳戶一起使用
若要將控制台與額外的 AWS 帳戶一起使用,請提供 AWS 金鑰或受信任帳戶中角色的 ARN。下圖顯示了兩個附加帳戶,一個透過受信任帳戶中的 IAM 角色提供權限,另一個透過 IAM 使用者的 AWS 金鑰提供權限:
您可以透過指定 IAM 角色的 Amazon 資源名稱 (ARN) 或 IAM 使用者的 AWS 金鑰,將帳戶憑證新增至控制台。
例如,您可以在建立新的Cloud Volumes ONTAP系統時在憑證之間切換:
為 FSx for ONTAP新增 AWS 憑證
將 AWS 憑證新增至控制台以提供建立和管理 FSx for ONTAP系統所需的權限。
憑證和市場訂閱
您必須將新增至控制台代理的憑證與 AWS Marketplace 訂閱關聯起來,才能按小時費率 (PAYGO) 支付Cloud Volumes ONTAP費用,並透過年度合約支付其他NetApp資料服務費用。"了解如何關聯 AWS 訂閱"。
請注意以下有關 AWS 憑證和市場訂閱的事項:
-
您只能將一個 AWS Marketplace 訂閱與一組 AWS 憑證關聯
-
您可以使用新的訂閱替換現有的市場訂閱
常問問題
以下問題與憑證和訂閱有關。
如何安全地輪換我的 AWS 憑證?
如上文所述,控制台可讓您透過幾種方式提供 AWS 憑證:與控制台代理程式關聯的 IAM 角色、在受信任的帳戶中承擔 IAM 角色或提供 AWS 存取金鑰。
對於前兩個選項,控制台使用 AWS 安全性令牌服務來取得不斷輪換的臨時憑證。這個過程是最佳實踐——它是自動的並且是安全的。
如果您向控制台提供 AWS 存取金鑰,則應透過定期在控制台中更新金鑰來輪替金鑰。這是一個完全手動的過程。
我可以更改Cloud Volumes ONTAP系統的 AWS Marketplace 訂閱嗎?
是的,你可以。當您變更與一組憑證關聯的 AWS Marketplace 訂閱時,所有現有和新的Cloud Volumes ONTAP系統都會根據新訂閱收費。
我可以新增多個 AWS 憑證,每個憑證都有不同的市場訂閱嗎?
屬於相同 AWS 帳戶的所有 AWS 憑證都將與相同 AWS Marketplace 訂閱相關聯。
如果您擁有屬於不同 AWS 帳戶的多個 AWS 憑證,則這些憑證可以與相同 AWS Marketplace 訂閱或不同的訂閱相關聯。
我可以將現有的Cloud Volumes ONTAP系統移至不同的 AWS 帳號嗎?
不可以,無法將與您的Cloud Volumes ONTAP系統關聯的 AWS 資源移至其他 AWS 帳戶。
憑證如何用於市場部署和本地部署?
以上部分描述了控制台代理的建議部署方法,即從控制台部署。您也可以從 AWS Marketplace 在 AWS 部署代理,也可以在您自己的 Linux 主機或 VCenter 中手動安裝控制台代理軟體。
如果您使用市場,則權限以相同的方式提供。您只需手動建立和設定 IAM 角色,然後為任何其他帳戶提供權限。
對於本機部署,您無法為控制台設定 IAM 角色,但可以使用 AWS 存取金鑰提供權限。
若要了解如何設定權限,請參閱以下頁面:
-
標準模式
-
限制模式