版本資訊
將 AWS 認證新增至工作負載工廠
建議變更
PDF
新增及管理 AWS 認證,讓工作負載工廠擁有在 AWS 帳戶中部署及管理雲端資源所需的權限。
總覽
除非您新增 AWS 帳戶認證,否則工作負載工廠將以 basive 模式運作。您可以新增認證以啟用其他操作模式、例如讀取模式和自動模式。"深入瞭解操作模式"。
您可以從「認證」頁面,將 AWS 認證新增至現有的工作負載原廠帳戶。這可為工作負載工廠提供管理 AWS 雲端環境中資源和程序所需的權限。
您可以使用兩種方法新增認證:
-
* 手動 * :在工作負載工廠中新增認證時,您可以在 AWS 帳戶中建立 IAM 原則和 IAM 角色。
-
* 自動 * :您擷取的權限相關資訊量最少、然後使用 CloudForgation 堆疊來建立您認證的 IAM 原則和角色。
手動新增認證至帳戶
您可以手動將 AWS 認證新增至工作負載原廠,讓您的工作負載原廠帳戶擁有管理 AWS 資源所需的權限,以便執行您獨特的工作負載。您新增的每組認證都會根據您要使用的工作負載功能、包括一或多個 IAM 原則、以及指派給您帳戶的 IAM 角色。
|
您可以從工作負載原廠主控台或 BlueXP 主控台,將 AWS 認證新增至帳戶。 |
建立認證有三個部分:
-
選取您要使用的服務和權限層級、然後從 AWS 管理主控台建立 IAM 原則。
-
從 AWS 管理主控台建立 IAM 角色。
-
從工作負載工廠輸入名稱並新增認證。
您必須擁有認證才能登入 AWS 帳戶。
-
登入 "工作負載原廠主控台"。
-
選取 * 帳戶 * 圖示,然後選取 * 認證 * 。
-
在「認證」頁面上,選取 * 新增認證 * 。
-
在「新增認證」頁面上,選取 * 手動新增 * ,然後使用下列步驟完成 _ 權限組態 _ 下的每個區段。
步驟 1 :選取工作負載功能並建立 IAM 原則
在本節中、您將選擇哪些類型的工作負載功能可作為這些認證的一部分進行管理、以及為每個工作負載啟用的權限。您需要從 Codebox 複製每個選取工作負載的原則權限、並將其新增至 AWS 帳戶內的 AWS 管理主控台、以建立原則。
-
在 * 建立原則 * 區段中、啟用您要納入這些認證的每項工作負載功能。
您可以稍後新增其他功能、只要選取您目前想要部署及管理的工作負載即可。
-
對於提供權限等級選擇(讀取或自動化)的工作負載功能,請選取這些認證可用的權限類型。
-
選用:選取 * 啟用自動權限檢查 * ,檢查您是否擁有完成工作負載作業所需的 AWS 帳戶權限。啟用檢查會將新增 `iam:SimulatePrincipalPolicy permission`至您的權限原則。此權限的目的只是確認權限。您可以在新增認證後移除權限,但我們建議保留權限,以防止資源建立部分成功的作業,並避免您執行任何必要的手動資源清理作業。
-
在 Codebox 視窗中、複製第一個 IAM 原則的權限。
-
開啟另一個瀏覽器視窗、然後在 AWS 管理主控台登入 AWS 帳戶。
-
開啟 IAM 服務、然後選取 * 原則 * > * 建立原則 * 。
-
選取 JSON 做為檔案類型、貼上您在步驟 3 中複製的權限、然後選取 * 下一步 * 。
-
輸入原則名稱、然後選取 * 建立原則 * 。
-
如果您在步驟 1 中選取了多個工作負載功能、請重複這些步驟、為每組工作負載權限建立原則。
步驟 2 :建立使用原則的 IAM 角色
在本節中,您將設定一個 IAM 角色,由工作負載工廠假設其中包含您剛建立的權限和原則。
-
在 AWS 管理主控台中、選取 * 角色 > 建立角色 * 。
-
在*信任的實體類型*下、選取* AWS帳戶*。
-
選取 * 另一個 AWS 帳戶 * ,然後從工作負載原廠 UI 複製並貼上用於 ONTAP 工作負載管理的 FSX 帳戶 ID 。
-
選取 * 必要的外部 ID* ,然後從工作負載原廠 UI 複製並貼上外部 ID 。
-
-
選擇*下一步*。
-
在權限原則區段中、選擇您先前定義的所有原則、然後選取 * 下一步 * 。
-
輸入角色名稱、然後選取 * 建立角色 * 。
-
複製角色 ARN 。
-
返回工作負載工廠的 * 認證 * 頁面,展開 * 建立角色 * 區段,然後將 ARN 貼到 _ 角色 ARN_ 欄位。
步驟 3 :輸入名稱並新增認證
最後一步是在工作負載工廠中輸入認證名稱。
-
從工作負載工廠的 * 認證頁面 * ,展開 * 認證名稱 * 。
-
輸入您要用於這些認證的名稱。
-
選取 * 新增 * 以建立認證。
隨即建立認證、並返回「認證」頁面。
使用 CloudForgation 將認證新增至帳戶
您可以使用 AWS CloudForgation 堆疊將 AWS 認證新增至工作負載工廠,方法是選取您要使用的工作負載工廠功能,然後在 AWS 帳戶中啟動 AWS CloudForgation 堆疊。CloudForgation 將根據您所選的工作負載功能、建立 IAM 原則和 IAM 角色。
-
您必須擁有認證才能登入 AWS 帳戶。
-
使用 CloudForgation 堆疊新增認證時、您必須在 AWS 帳戶中擁有下列權限:
-
登入 "工作負載原廠主控台"。
-
選取 * 帳戶 * 圖示,然後選取 * 認證 * 。
-
在「認證」頁面上,選取 * 新增認證 * 。
-
選取 * 透過 AWS CloudForgium* 新增。
-
在 * 建立原則 * 下、啟用您要納入這些認證的每項工作負載功能、並為每個工作負載選擇權限等級。
您可以稍後新增其他功能、只要選取您目前想要部署及管理的工作負載即可。
-
選用:選取 * 啟用自動權限檢查 * ,檢查您是否擁有完成工作負載作業所需的 AWS 帳戶權限。啟用檢查會將權限新增 `iam:SimulatePrincipalPolicy`至您的權限原則。此權限的目的只是確認權限。您可以在新增認證後移除權限,但我們建議保留權限,以防止資源建立部分成功的作業,並避免您執行任何必要的手動資源清理作業。
-
在 * 認證名稱 * 下、輸入您要用於這些認證的名稱。
-
從 AWS CloudForgation 新增認證:
-
選取 * 新增 * (或選取 * 重新導向至 CloudForgium* )、隨即顯示重新導向至 CloudForgation 頁面。
-
如果您將單一登入( SSO )與 AWS 搭配使用、請先開啟另一個瀏覽器索引標籤、然後登入 AWS 主控台、再選取 * 繼續 * 。
您應該登入 ONTAP 檔案系統的 FSX 所在的 AWS 帳戶。
-
從「重新導向至 CloudForgation 」頁面選取 * 繼續 * 。
-
在「快速建立堆疊」頁面的「功能」下、選取 * 我瞭解 AWS CloudForgation 可能會建立 IAM 資源 * 。
-
選取 * 建立堆疊 * 。
-
返回工作負載工廠並監控「認證」頁面,以確認新認證正在進行中,或已新增認證。
-
