版本資訊
將 AWS 認證新增至 Workload Factory
建議變更
PDF
新增及管理 AWS 認證、讓 Workload Factory 擁有在 AWS 帳戶中部署及管理雲端資源所需的權限。
總覽
除非您新增 AWS 帳戶認證、否則 Workload Factory 將以 basive 模式運作。您可以新增認證以啟用其他操作模式、例如讀取模式和自動模式。"深入瞭解操作模式"。
您可以從「認證」頁面、將 AWS 認證新增至現有的 Workload Factory 帳戶。這可讓 Workload Factory 擁有管理 AWS 雲端環境中資源和程序所需的權限。
您可以使用兩種方法新增認證:
-
* 手動 * :在 Workload Factory 中新增認證時、您可以在 AWS 帳戶中建立 IAM 原則和 IAM 角色。
-
* 自動 * :您擷取的權限相關資訊量最少、然後使用 CloudForgation 堆疊來建立您認證的 IAM 原則和角色。
手動新增認證至帳戶
您可以手動將 AWS 認證新增至 Workload Factory 、讓您的 Workload Factory 帳戶擁有管理 AWS 資源所需的權限、以便執行您獨特的工作負載。您新增的每組認證都會根據您要使用的工作負載功能、包括一或多個 IAM 原則、以及指派給您帳戶的 IAM 角色。
建立認證有三個部分:
-
選取您要使用的服務和權限層級、然後從 AWS 管理主控台建立 IAM 原則。
-
從 AWS 管理主控台建立 IAM 角色。
-
從 Workload Factory 輸入名稱並新增認證。
您必須擁有認證才能登入 AWS 帳戶。
-
在 Workload Factory 主控台中、選取 * 帳戶 * 圖示、然後選取 * 認證 * 。
-
在 * 認證 * 頁面上、選取 * 新增認證 * 、隨即顯示新增認證頁面。
-
選取 * 手動新增 * 、然後依照下列步驟填寫 _ 權限組態 _ 下的三個區段。
步驟 1 :選取工作負載功能並建立 IAM 原則
在本節中、您將選擇哪些類型的工作負載功能可作為這些認證的一部分進行管理、以及為每個工作負載啟用的權限。您需要從 Codebox 複製每個選取工作負載的原則權限、並將其新增至 AWS 帳戶內的 AWS 管理主控台、以建立原則。
-
在 * 建立原則 * 區段中、啟用您要納入這些認證的每項工作負載功能。
您可以稍後新增其他功能、只要選取您目前想要部署及管理的工作負載即可。
-
對於提供權限等級選擇(操作、檢視等)的工作負載功能、請選取這些認證可用的權限類型。
-
在 Codebox 視窗中、複製第一個 IAM 原則的權限。
-
開啟另一個瀏覽器視窗、然後在 AWS 管理主控台登入 AWS 帳戶。
-
開啟 IAM 服務、然後選取 * 原則 * > * 建立原則 * 。
-
選取 JSON 做為檔案類型、貼上您在步驟 3 中複製的權限、然後選取 * 下一步 * 。
-
輸入原則名稱、然後選取 * 建立原則 * 。
-
如果您在步驟 1 中選取了多個工作負載功能、請重複這些步驟、為每組工作負載權限建立原則。
步驟 2 :建立使用原則的 IAM 角色
在本節中、您將設定一個 IAM 角色、由 Workload Factory 假設其中包含您剛建立的權限和原則。
-
在 AWS 管理主控台中、選取 * 角色 > 建立角色 * 。
-
在*信任的實體類型*下、選取* AWS帳戶*。
-
選取 * 另一個 AWS 帳戶 * 、然後從工作負載工廠 UI 複製並貼上適用於 ONTAP 工作負載管理的 FSX 帳戶 ID 。
-
選取 * 必要的外部 ID* 、然後從 Workload Factory UI 複製並貼上外部 ID 。
-
-
選擇*下一步*。
-
在權限原則區段中、選擇您先前定義的所有原則、然後選取 * 下一步 * 。
-
輸入角色名稱、然後選取 * 建立角色 * 。
-
複製角色 ARN 。
-
返回工作負載工廠、展開 * 建立角色 * 區段、然後將 ARN 貼到 _ 角色 ARN_ 欄位。
步驟 3 :輸入名稱並新增認證
最後一步是在 Workload Factory 中輸入認證的名稱。
-
從 Workload Factory 展開 * 認證名稱 * 。
-
輸入您要用於這些認證的名稱。
-
選取 * 新增 * 以建立認證。
隨即建立認證、並返回「認證」頁面。
使用 CloudForgation 將認證新增至帳戶
您可以使用 AWS CloudForgation 堆疊將 AWS 認證新增至 Workload Factory 、方法是選取您要使用的 Workload Factory 功能、然後在 AWS 帳戶中啟動 AWS CloudForgation 堆疊。CloudForgation 將根據您所選的工作負載功能、建立 IAM 原則和 IAM 角色。
-
您必須擁有認證才能登入 AWS 帳戶。
-
使用 CloudForgation 堆疊新增認證時、您必須在 AWS 帳戶中擁有下列權限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:ListStacks", "cloudformation:ListStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate", "lambda:InvokeFunction", "iam:PassRole", "iam:CreateRole", "iam:UpdateAssumeRolePolicy", "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole" ], "Resource": "*" } ] }
-
在 Workload Factory 主控台中、選取 * 帳戶 * 圖示、然後選取 * 認證 * 。
-
在 * 認證 * 頁面上、選取 * 新增認證 * 。
-
選取 * 透過 AWS CloudForgium* 新增。
-
在 * 建立原則 * 下、啟用您要納入這些認證的每項工作負載功能、並為每個工作負載選擇權限等級。
您可以稍後新增其他功能、只要選取您目前想要部署及管理的工作負載即可。
-
在 * 認證名稱 * 下、輸入您要用於這些認證的名稱。
-
從 AWS CloudForgation 新增認證:
-
選取 * 新增 * (或選取 * 重新導向至 CloudForgium* )、隨即顯示重新導向至 CloudForgation 頁面。
-
如果您將單一登入( SSO )與 AWS 搭配使用、請先開啟另一個瀏覽器索引標籤、然後登入 AWS 主控台、再選取 * 繼續 * 。
您應該登入 ONTAP 檔案系統的 FSX 所在的 AWS 帳戶。
-
從「重新導向至 CloudForgation 」頁面選取 * 繼續 * 。
-
在「快速建立堆疊」頁面的「功能」下、選取 * 我瞭解 AWS CloudForgation 可能會建立 IAM 資源 * 。
-
選取 * 建立堆疊 * 。
-
返回 Workload Factory 並監控「認證」頁面、以確認新認證正在進行中或已新增認證。
-