Skip to main content
Setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

將 AWS 憑證新增至 Workload Factory

貢獻者 netapp-rlithman netapp-mwallis netapp-bcammett netapp-tonacki
PDF

新增和管理 AWS 憑證,以便NetApp Workload Factory 擁有在您的 AWS 帳戶中部署和管理雲端資源所需的權限。

總覽

您可以從「憑證」頁面將 AWS 憑證新增至現有的 Workload Factory 帳戶。這為 Workload Factory 提供了管理 AWS 雲端環境中的資源和流程所需的權限。

您可以使用兩種方法新增認證:

  • 手動:您在 Workload Factory 中新增憑證時在您的 AWS 帳戶中建立 IAM 原則和 IAM 角色。

  • * 自動 * :您擷取的權限相關資訊量最少、然後使用 CloudForgation 堆疊來建立您認證的 IAM 原則和角色。

身分證明AWS

我們設計了 AWS 假設角色認證登錄流程、可:

  • 可讓您指定要使用的工作負載功能、並根據這些選擇提供 IAM 原則需求、以支援更符合的 AWS 帳戶權限。

  • 可讓您在選擇加入或選擇退出特定工作負載功能時、調整授予的 AWS 帳戶權限。

  • 提供可在 AWS 主控台套用的量身打造 JSON 原則檔案、簡化手動 IAM 原則建立。

  • 使用 AWS CloudForgation 堆疊、為使用者提供自動化選項、以執行必要的 IAM 原則和角色建立、進而簡化認證登錄程序。

  • 對於強烈偏好將認證儲存在 AWS 雲端生態系統範圍內的 ONTAP 使用者、請在 AWS 型秘密管理後端儲存用於 ONTAP 服務認證的 FSX 、以更符合 FSX 。

一或多個 AWS 認證

當您使用第一個工作負載工廠功能(或多個功能)時,您需要使用這些工作負載功能所需的權限來建立憑證。您將把憑證新增至 Workload Factory,但您需要存取 AWS 管理主控台來建立 IAM 角色和原則。當使用 Workload Factory 中的任何功能時,這些憑證將在您的帳戶中可用。

您的初始 AWS 憑證集可以包含針對一項功能或多項功能的 IAM 權限原則。這完全取決於您的業務需求。

在 Workload Factory 中新增多組 AWS 憑證可提供使用其他功能所需的額外權限,例如 FSx for ONTAP檔案系統、在 FSx for ONTAP上部署資料庫、遷移 VMware 工作負載等。

手動新增認證至帳戶

您可以手動將 AWS 憑證新增至 Workload Factory,以授予您的 Workload Factory 帳戶管理用於執行獨特工作負載的 AWS 資源所需的權限。您新增的每組憑證都將包含一個或多個基於您要使用的工作負載功能的 IAM 策略,以及指派給您帳戶的 IAM 角色。

註 您可以從 Workload Factory 控制台或NetApp控制台將 AWS 憑證新增至帳戶。

建立認證有三個部分:

  • 選取您要使用的服務和權限層級、然後從 AWS 管理主控台建立 IAM 原則。

  • 從 AWS 管理主控台建立 IAM 角色。

  • 從 Workload Factory 中輸入名稱並新增憑證。

開始之前

您必須擁有認證才能登入 AWS 帳戶。

步驟

  1. 登入 "工作負載工廠控制台"

  2. 從選單中選擇“管理”,然後選擇“憑證”。

  3. 在「認證」頁面上,選取 * 新增認證 * 。

  4. 在「新增認證」頁面上,選取 * 手動新增 * ,然後使用下列步驟完成 _ 權限組態 _ 下的每個區段。

    螢幕擷取畫面會顯示您需要手動定義每組認證的項目。

步驟 1 :選取工作負載功能並建立 IAM 原則

在本節中、您將選擇哪些類型的工作負載功能可作為這些認證的一部分進行管理、以及為每個工作負載啟用的權限。您需要從 Codebox 複製每個選取工作負載的原則權限、並將其新增至 AWS 帳戶內的 AWS 管理主控台、以建立原則。

步驟

  1. 在 * 建立原則 * 區段中、啟用您要納入這些認證的每項工作負載功能。

    您可以稍後新增其他功能、只要選取您目前想要部署及管理的工作負載即可。

  2. 對於那些提供權限策略選擇的工作負載功能,請選擇使用這些憑證可取得的權限類型。

  3. 選用:選取 * 啟用自動權限檢查 * ,檢查您是否擁有完成工作負載作業所需的 AWS 帳戶權限。啟用檢查會將新增 `iam:SimulatePrincipalPolicy permission`至您的權限原則。此權限的目的只是確認權限。您可以在新增認證後移除權限,但我們建議保留權限,以防止資源建立部分成功的作業,並避免您執行任何必要的手動資源清理作業。

  4. 在 Codebox 視窗中、複製第一個 IAM 原則的權限。

  5. 開啟另一個瀏覽器視窗、然後在 AWS 管理主控台登入 AWS 帳戶。

  6. 開啟 IAM 服務、然後選取 * 原則 * > * 建立原則 * 。

  7. 選取 JSON 做為檔案類型、貼上您在步驟 3 中複製的權限、然後選取 * 下一步 * 。

  8. 輸入原則名稱、然後選取 * 建立原則 * 。

  9. 如果您在步驟 1 中選取了多個工作負載功能、請重複這些步驟、為每組工作負載權限建立原則。

步驟 2 :建立使用原則的 IAM 角色

在本節中,您將設定 Workload Factory 將承擔的 IAM 角色,其中包含您剛剛建立的權限和政策。

顯示哪些權限將成為新角色一部分的螢幕擷取畫面。

步驟

  1. 在 AWS 管理主控台中、選取 * 角色 > 建立角色 * 。

  2. 在*信任的實體類型*下、選取* AWS帳戶*。

    1. 選擇 另一個 AWS 帳戶,然後從 Workload Factory UI 複製並貼上 FSx for ONTAP工作負載管理的帳戶 ID。

    2. 選擇*所需的外部 ID*並從 Workload Factory UI 複製並貼上外部 ID。

  3. 選擇*下一步*。

  4. 在權限原則區段中、選擇您先前定義的所有原則、然後選取 * 下一步 * 。

  5. 輸入角色名稱、然後選取 * 建立角色 * 。

  6. 複製角色 ARN 。

  7. 返回 Workload Factory 中的「新增憑證」頁面,展開「權限配置」下的「建立角色」部分,然後將 ARN 貼到「角色 ARN」欄位中。

步驟 3 :輸入名稱並新增認證

最後一步是在 Workload Factory 中輸入憑證的名稱。

步驟

  1. 在 Workload Factory 中的「新增憑證」頁面中,展開「權限配置」下的「憑證名稱」。

  2. 輸入您要用於這些認證的名稱。

  3. 選取 * 新增 * 以建立認證。

結果

隨即建立認證、並返回「認證」頁面。

使用 CloudForgation 將認證新增至帳戶

您可以使用 AWS CloudFormation 堆疊將 AWS 憑證新增至 Workload Factory,方法是選擇要使用的 Workload Factory 功能,然後在您的 AWS 帳戶中啟動 AWS CloudFormation 堆疊。 CloudFormation 將根據您選擇的工作負載功能建立 IAM 原則和 IAM 角色。

開始之前

  • 您必須擁有認證才能登入 AWS 帳戶。

  • 使用 CloudForgation 堆疊新增認證時、您必須在 AWS 帳戶中擁有下列權限:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeChangeSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:ListStacks",
        "cloudformation:ListStackResources",
        "cloudformation:GetTemplate",
        "cloudformation:ValidateTemplate",
        "lambda:InvokeFunction",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:UpdateAssumeRolePolicy",
        "iam:AttachRolePolicy",
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*"
    }
  ]
}
步驟

  1. 登入 "工作負載工廠控制台"

  2. 從選單中選擇“管理”,然後選擇“憑證”。

  3. 在「認證」頁面上,選取 * 新增認證 * 。

  4. 選取 * 透過 AWS CloudForgium* 新增。

    螢幕擷取畫面會顯示需要定義的項目、然後才能啟動 CloudForgation 以建立認證。

  5. 在 * 建立原則 * 下、啟用您要納入這些認證的每項工作負載功能、並為每個工作負載選擇權限等級。

    您可以稍後新增其他功能、只要選取您目前想要部署及管理的工作負載即可。

  6. 選用:選取 * 啟用自動權限檢查 * ,檢查您是否擁有完成工作負載作業所需的 AWS 帳戶權限。啟用檢查會將權限新增 `iam:SimulatePrincipalPolicy`至您的權限原則。此權限的目的只是確認權限。您可以在新增認證後移除權限,但我們建議保留權限,以防止資源建立部分成功的作業,並避免您執行任何必要的手動資源清理作業。

  7. 在 * 認證名稱 * 下、輸入您要用於這些認證的名稱。

  8. 從 AWS CloudForgation 新增認證:

    1. 選取 * 新增 * (或選取 * 重新導向至 CloudForgium* )、隨即顯示重新導向至 CloudForgation 頁面。

      螢幕截圖展示如何建立 CloudFormation 堆疊以新增策略和 Workload Factory 憑證的角色。

    2. 如果您將單一登入( SSO )與 AWS 搭配使用、請先開啟另一個瀏覽器索引標籤、然後登入 AWS 主控台、再選取 * 繼續 * 。

      您應該登入 ONTAP 檔案系統的 FSX 所在的 AWS 帳戶。

    3. 從「重新導向至 CloudForgation 」頁面選取 * 繼續 * 。

    4. 在「快速建立堆疊」頁面的「功能」下、選取 * 我瞭解 AWS CloudForgation 可能會建立 IAM 資源 * 。

    5. 選取 * 建立堆疊 * 。

    6. 返回 Workload Factory 並監視 Credentials 頁面以驗證新憑證是否正在進行中,或是否已新增。