Skip to main content
Amazon FSx for NetApp ONTAP
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定 FSx for ONTAP的權限

貢獻者 netapp-rlithman
PDF

若要建立或管理 FSx for ONTAP檔案系統,您需要在NetApp Console中新增 AWS 憑證,方法是提供 IAM 角色的 ARN,該角色授予從NetApp Console建立 FSx for ONTAP系統所需的權限。

為什麼需要 AWS 憑證

若要透過 NetApp Console 建立和管理 FSx for ONTAP 系統,需要 AWS 憑證。您可以建立新憑證或將其新增至現有組織。憑證可讓您透過 NetApp Console 管理 AWS 資源。

憑證和權限由 NetApp Workload Factory 管理。Workload Factory 是一個生命週期管理平台,旨在幫助使用者管理和改進運行在 Amazon FSx for NetApp ONTAP 檔案系統上的 VMware、EDA 和資料庫工作負載。NetApp Console 和 Workload Factory 使用同一套 AWS 憑證和權限。Storage 是 Workload Factory 中的儲存管理功能,也是您建立和管理 FSx for ONTAP 檔案系統時唯一需要啟用並新增憑證的功能。

關於此任務

在 Workload Factory 中從儲存為 FSx for ONTAP新增憑證時,您需要決定要授予哪些權限原則。若要發現 AWS 資源(例如 FSx for ONTAP檔案系統),您需要檢視、規劃和分析權限。若要為ONTAP檔案系統部署 FSx,您需要 檔案系統建立和刪除 權限。無需權限即可對ONTAP上的 FSx 執行基本操作。"了解更多權限資訊"

可以從「憑證」頁面上的「管理」選單中查看新的和現有的 AWS 憑證。

NetApp Console管理選單中反白顯示的管理選單和憑證選項的螢幕截圖。

您可以使用兩種方法新增憑證:

  • 手動:您在 Workload Factory 中新增憑證時在您的 AWS 帳戶中建立 IAM 原則和 IAM 角色。

  • 自動:您捕獲有關權限的最少量信息,然後使用 CloudFormation 堆疊為您的憑證建立 IAM 策略和角色。

手動向帳戶新增憑證

您可以手動將 AWS 憑證新增至 NetApp Console,從而授予您的帳戶管理您想要使用的工作負載功能的權限,以及指派給您帳戶的 IAM 角色。

建立憑證分為三個部分:

  • 選擇您想要使用的服務和權限級別,然後從 AWS 管理主控台建立 IAM 原則。

  • 從 AWS 管理主控台建立 IAM 角色。

  • 輸入名稱並在 NetApp Console 中新增認證。

若要建立或管理 FSx for ONTAP 檔案系統,您需要在 NetApp Console 中新增 AWS 憑證,方法是提供 IAM 角色的 ARN,該角色賦予 Workload Factory 建立 FSx for ONTAP 檔案系統所需的權限。

開始之前

您需要擁有憑證才能登入您的 AWS 帳戶。

步驟

  1. 從NetApp Console選單中,選擇 管理,然後選擇 憑證

  2. 從「組織憑證」頁面中,選擇「新增憑證」。

  3. 選擇 Amazon Web Services,然後選擇 FSx for ONTAP,再選擇 Next

  4. 選擇*手動新增*,然後依照下列步驟填入_權限配置_下的三個部分。

步驟 1:選擇儲存功能並建立 IAM 策略

在本節中,您將選擇要使用這些憑證管理的儲存功能以及對應的儲存權限。您也可以選擇其他工作負載,例如資料庫、GenAI 或 VMware。選擇完成後,您需要從 Codebox 複製每個選定工作負載的政策權限,並將其新增至 AWS 帳戶中的 AWS Management Console 以建立政策。

步驟

  1. Create permission policies 區段中,啟用您要納入這些認證的每個工作負載功能。啟用 Storage 以建立和管理檔案系統。

    您可以稍後新增其他功能,因此只需選擇目前想要部署和管理的工作負載即可。

  2. 對於那些提供權限策略選擇的工作負載功能,請選擇使用這些憑證可取得的權限類型。"了解權限"

  3. 選用:勾選 Enable automatic permissions check 以檢查您是否擁有完成工作負載操作所需的 AWS 帳戶權限。啟用此檢查會將 `iam:SimulatePrincipalPolicy permission`新增至您的權限原則。此權限僅用於確認權限。您可以在新增憑證後移除此權限,但我們建議保留它,以防止在某些步驟失敗時建立資源,並避免手動清理。

  4. 在 Codebox 視窗中,複製第一個 IAM 策略的權限。

  5. 開啟另一個瀏覽器視窗並在 AWS 管理主控台中登入您的 AWS 帳戶。

  6. 開啟 IAM 服務,然後選擇 政策 > 建立政策

  7. 選擇 JSON 作為檔案類型,貼上您在步驟 4 中複製的權限,然後選擇 Next

  8. 輸入策略名稱並選擇*建立策略*。

  9. 如果您在步驟 1 中選擇了多個工作負載功能,請重複這些步驟為每組工作負載權限建立原則。

步驟 2:建立使用策略的 IAM 角色

在本節中,您將設定 Workload Factory 將承擔的 IAM 角色,其中包含您剛剛建立的權限和政策。

步驟

  1. 在 AWS 管理主控台中,選擇「角色」>「建立角色」。

  2. 受信任實體類型 下,選擇 AWS 帳戶

    1. 選擇 Another AWS account ,然後從 Console 使用者介面複製並貼上 FSx for ONTAP 工作負載管理的帳戶 ID 。

    2. 選擇 Required external ID ,然後將外部 ID 複製並貼上到 NetApp Console 使用者介面中。

  3. 選擇“下一步”。

  4. 在權限策略部分,選擇您之前定義的所有策略並選擇*下一步*。

  5. 輸入角色名稱並選擇*建立角色*。

  6. 複製角色 ARN。

  7. 返回 NetApp Console 的新增認證頁面,展開*建立角色*區段,並將 ARN 貼到 Role ARN 欄位。

步驟 3:輸入名稱並新增憑證

最後一步是輸入憑證的名稱。

步驟

  1. 在「新增憑證」頁面中,展開 Credentials name

  2. 輸入您想要用於這些憑證的名稱。

  3. 選擇“新增”來建立憑證。

結果

NetApp Console 會建立憑證並將其顯示在「憑證」頁面上。您可以在 NetApp Console 中使用、重新命名或刪除憑證。

使用 CloudFormation 為帳戶新增憑證

您可以透過選擇您想要使用的工作負載功能,然後在您的 AWS 帳戶中啟動 AWS CloudFormation stack,將 AWS 認證新增至 NetApp Workload Factory。CloudFormation 會根據您所選擇的工作負載功能建立 IAM 原則和 IAM 角色。

開始之前

  • 您需要擁有憑證才能登入您的 AWS 帳戶。

  • 使用 CloudFormation 堆疊新增憑證時,您需要在 AWS 帳戶中擁有下列權限:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
步驟

  1. 從NetApp Console選單中,選擇 管理,然後選擇 憑證

  2. 選擇*新增憑證*。

  3. 選擇 Amazon Web Services,然後選擇 FSx for ONTAP,再選擇 Next

    您現在位於 NetApp Workload Factory 的「新增憑證」頁面。

  4. 選擇*透過 AWS CloudFormation 新增*。

  5. 在「建立政策」下,啟用您想要包含在這些憑證中的每個工作負載功能,並為每個工作負載選擇一個權限等級。

    您可以稍後新增其他功能,因此只需選擇目前想要部署和管理的工作負載即可。

  6. 選用:勾選 Enable automatic permissions check 以檢查您是否擁有完成工作負載操作所需的 AWS 帳戶權限。啟用此檢查會將 `iam:SimulatePrincipalPolicy`權限新增至您的權限原則。此權限僅用於確認權限。您可以在新增憑證後移除此權限,但我們建議保留它,以防止在某些步驟失敗時建立資源,並避免手動清理。

  7. 憑證名稱 下,輸入您想要用於這些憑證的名稱。

  8. 從 AWS CloudFormation 新增憑證:

    1. 選擇*新增*(或選擇*重新導向至 CloudFormation*),將顯示「重新導向至 CloudFormation」頁面。

    2. 如果您在 AWS 中使用單一登入 (SSO),請開啟單獨的瀏覽器標籤並登入 AWS 控制台,然後選擇 繼續

      您應該登入 FSx for ONTAP檔案系統所在的 AWS 帳戶。

    3. 從「重定向到 CloudFormation」頁面選擇「繼續」。

    4. 在快速建立堆疊頁面的功能下,選擇*我確認 AWS CloudFormation 可能會建立 IAM 資源*。

    5. 選擇*建立堆疊*。

    6. 從主選單返回*管理* > *憑證*頁面,以驗證新憑證是否正在進行中,或是否已新增。

結果

NetApp Console 會建立憑證並將其顯示在「憑證」頁面上。您可以在 NetApp Console 中使用、重新命名或刪除憑證。