本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

管理 AWS 認證資料和 Cloud Manager 訂閱

12/14/2022 貢獻者

當您建立 Cloud Volumes ONTAP 一個功能完善的系統時、您需要選取 AWS 認證資料和訂閱、才能與該系統搭配使用。如果您管理多個 AWS 訂閱、您可以從「認證」頁面將每個訂閱指派給不同的 AWS 認證資料。

將 AWS 認證資料新增至 Cloud Manager 之前、您必須先提供該帳戶所需的權限。這些權限可讓 Cloud Manager 管理該 AWS 帳戶內的資源和程序。您提供權限的方式取決於您是要為 Cloud Manager 提供 AWS 金鑰、還是要為信任帳戶中的角色提供 ARN 。

當您從 Cloud Manager 部署 Connector 時、 Cloud Manager 會自動為您部署 Connector 的帳戶新增 AWS 認證資料。如果您在現有系統上手動安裝 Connector 軟體、則不會新增此初始帳戶。 "深入瞭解 AWS 認證與權限"。

我該如何安全地旋轉 AWS 認證資料？

Cloud Manager 可讓您以幾種方式提供 AWS 認證資料：與 Connector 執行個體相關的 IAM 角色、在信任的帳戶中擔任 IAM 角色、或提供 AWS 存取金鑰。 "深入瞭解 AWS 認證與權限"。

Cloud Manager 採用前兩個選項、使用 AWS 安全性權杖服務取得持續循環的暫用認證資料。此程序是最佳實務做法、自動化且安全無虞。

如果您為 Cloud Manager 提供 AWS 存取金鑰、您應該定期在 Cloud Manager 中更新金鑰、藉此旋轉金鑰。這是完全手動的程序。

提供 AWS 金鑰來授予權限

如果您想要為 IAM 使用者提供 AWS 金鑰給 Cloud Manager 、則必須將必要的權限授予該使用者。Cloud Manager IAM 原則定義了允許 Cloud Manager 使用的 AWS 動作和資源。

步驟

結果

您可以使用 IAM 角色、在部署 Connector 執行個體的來源 AWS 帳戶與其他 AWS 帳戶之間建立信任關係。接著、您將從信任的帳戶中、為 Cloud Manager 提供 IAM 角色的 ARN 。

步驟

前往您要部署 Cloud Volumes ONTAP 的目標帳戶、並選取 * 其他 AWS 帳戶 * 來建立 IAM 角色。

請務必執行下列動作：
- 輸入連接器執行個體所在帳戶的 ID 。
- 附加 Cloud Manager IAM 原則、可從取得 "Cloud Manager 原則頁面"。
前往連接器執行個體所在的來源帳戶、然後選取附加至執行個體的 IAM 角色。
1. 按一下「 * 附加原則 * 」、然後按一下「 * 建立原則 * 」。
2. 建立包含「 STS:AssumeRole 」動作的原則、以及您在目標帳戶中建立之角色的 ARN 。
  - 範例 *
```
{
 "Version": "2012-10-17",
 "Statement": {
   "Effect": "Allow",
   "Action": "sts:AssumeRole",
   "Resource": "arn:aws:iam::ACCOUNT-B-ID:role/ACCOUNT-B-ROLENAME"
}
}
```

結果

在您提供具備所需權限的 AWS 帳戶之後、您可以將該帳戶的認證資料新增至 Cloud Manager 。如此一來、您就能在 Cloud Volumes ONTAP 該帳戶中啟動支援系統。

步驟

在 Cloud Manager 主控台右上角、按一下「設定」圖示、然後選取 * 認證 * 。
按一下 * 「 Add Credentials 」（新增認證） * 、然後選取 * 「 AWS
提供 AWS 金鑰或可信 IAM 角色的 ARN 。
確認已符合原則需求、然後按一下 * 繼續 * 。
選擇您要與認證相關聯的隨用隨付訂閱、或是如果您還沒有認證、請按一下 * 新增訂閱 * 。

若要建立隨用隨付 Cloud Volumes ONTAP 的功能、 AWS 認證資料必須與 Cloud Volumes ONTAP 從 AWS Marketplace 訂閱的功能相關聯。
按一下「 * 新增 * 」。