將 AWS 憑證新增至 Workload Factory
建議變更
PDF
新增和管理 AWS 憑證,以便NetApp Workload Factory 擁有在您的 AWS 帳戶中部署和管理雲端資源所需的權限。
總覽
除非您新增 AWS 帳戶憑證,否則 Workload Factory 將以 Basic 模式運作。您可以新增憑證以啟用其他操作模式,例如_唯讀_模式和_讀/寫_模式。"深入瞭解操作模式" 。
您可以從「憑證」頁面將 AWS 憑證新增至現有的 Workload Factory 帳戶。這為 Workload Factory 提供了管理 AWS 雲端環境中的資源和流程所需的權限。
您可以使用兩種方法新增認證:
-
手動:您在 Workload Factory 中新增憑證時在您的 AWS 帳戶中建立 IAM 原則和 IAM 角色。
-
* 自動 * :您擷取的權限相關資訊量最少、然後使用 CloudForgation 堆疊來建立您認證的 IAM 原則和角色。
手動新增認證至帳戶
您可以手動將 AWS 憑證新增至 Workload Factory,以授予您的 Workload Factory 帳戶管理用於執行獨特工作負載的 AWS 資源所需的權限。您新增的每組憑證都將包含一個或多個基於您要使用的工作負載功能的 IAM 策略,以及指派給您帳戶的 IAM 角色。
|
您可以從 Workload Factory 控制台或NetApp控制台將 AWS 憑證新增至帳戶。 |
建立認證有三個部分:
-
選取您要使用的服務和權限層級、然後從 AWS 管理主控台建立 IAM 原則。
-
從 AWS 管理主控台建立 IAM 角色。
-
從 Workload Factory 中輸入名稱並新增憑證。
您必須擁有認證才能登入 AWS 帳戶。
-
登入 "工作負載工廠控制台"。
-
從選單中選擇“管理”,然後選擇“憑證”。
-
在「認證」頁面上,選取 * 新增認證 * 。
-
在「新增認證」頁面上,選取 * 手動新增 * ,然後使用下列步驟完成 _ 權限組態 _ 下的每個區段。
步驟 1 :選取工作負載功能並建立 IAM 原則
在本節中、您將選擇哪些類型的工作負載功能可作為這些認證的一部分進行管理、以及為每個工作負載啟用的權限。您需要從 Codebox 複製每個選取工作負載的原則權限、並將其新增至 AWS 帳戶內的 AWS 管理主控台、以建立原則。
-
在 * 建立原則 * 區段中、啟用您要納入這些認證的每項工作負載功能。
您可以稍後新增其他功能、只要選取您目前想要部署及管理的工作負載即可。
-
對於那些提供權限等級選擇(唯讀或讀取/寫入)的工作負載功能,請選擇這些憑證可用的權限類型。
-
選用:選取 * 啟用自動權限檢查 * ,檢查您是否擁有完成工作負載作業所需的 AWS 帳戶權限。啟用檢查會將新增 `iam:SimulatePrincipalPolicy permission`至您的權限原則。此權限的目的只是確認權限。您可以在新增認證後移除權限,但我們建議保留權限,以防止資源建立部分成功的作業,並避免您執行任何必要的手動資源清理作業。
-
在 Codebox 視窗中、複製第一個 IAM 原則的權限。
-
開啟另一個瀏覽器視窗、然後在 AWS 管理主控台登入 AWS 帳戶。
-
開啟 IAM 服務、然後選取 * 原則 * > * 建立原則 * 。
-
選取 JSON 做為檔案類型、貼上您在步驟 3 中複製的權限、然後選取 * 下一步 * 。
-
輸入原則名稱、然後選取 * 建立原則 * 。
-
如果您在步驟 1 中選取了多個工作負載功能、請重複這些步驟、為每組工作負載權限建立原則。
步驟 2 :建立使用原則的 IAM 角色
在本節中,您將設定 Workload Factory 將承擔的 IAM 角色,其中包含您剛剛建立的權限和政策。
-
在 AWS 管理主控台中、選取 * 角色 > 建立角色 * 。
-
在*信任的實體類型*下、選取* AWS帳戶*。
-
選擇 另一個 AWS 帳戶,然後從 Workload Factory UI 複製並貼上 FSx for ONTAP工作負載管理的帳戶 ID。
-
選擇*所需的外部 ID*並從 Workload Factory UI 複製並貼上外部 ID。
-
-
選擇*下一步*。
-
在權限原則區段中、選擇您先前定義的所有原則、然後選取 * 下一步 * 。
-
輸入角色名稱、然後選取 * 建立角色 * 。
-
複製角色 ARN 。
-
返回 Workload Factory 中的「新增憑證」頁面,展開「權限配置」下的「建立角色」部分,然後將 ARN 貼到「角色 ARN」欄位中。
步驟 3 :輸入名稱並新增認證
最後一步是在 Workload Factory 中輸入憑證的名稱。
-
在 Workload Factory 中的「新增憑證」頁面中,展開「權限配置」下的「憑證名稱」。
-
輸入您要用於這些認證的名稱。
-
選取 * 新增 * 以建立認證。
隨即建立認證、並返回「認證」頁面。
使用 CloudForgation 將認證新增至帳戶
您可以使用 AWS CloudFormation 堆疊將 AWS 憑證新增至 Workload Factory,方法是選擇要使用的 Workload Factory 功能,然後在您的 AWS 帳戶中啟動 AWS CloudFormation 堆疊。 CloudFormation 將根據您選擇的工作負載功能建立 IAM 原則和 IAM 角色。
-
您必須擁有認證才能登入 AWS 帳戶。
-
使用 CloudForgation 堆疊新增認證時、您必須在 AWS 帳戶中擁有下列權限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:ListStacks", "cloudformation:ListStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate", "lambda:InvokeFunction", "iam:PassRole", "iam:CreateRole", "iam:UpdateAssumeRolePolicy", "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole" ], "Resource": "*" } ] }
-
登入 "工作負載工廠控制台"。
-
從選單中選擇“管理”,然後選擇“憑證”。
-
在「認證」頁面上,選取 * 新增認證 * 。
-
選取 * 透過 AWS CloudForgium* 新增。
-
在 * 建立原則 * 下、啟用您要納入這些認證的每項工作負載功能、並為每個工作負載選擇權限等級。
您可以稍後新增其他功能、只要選取您目前想要部署及管理的工作負載即可。
-
選用:選取 * 啟用自動權限檢查 * ,檢查您是否擁有完成工作負載作業所需的 AWS 帳戶權限。啟用檢查會將權限新增 `iam:SimulatePrincipalPolicy`至您的權限原則。此權限的目的只是確認權限。您可以在新增認證後移除權限,但我們建議保留權限,以防止資源建立部分成功的作業,並避免您執行任何必要的手動資源清理作業。
-
在 * 認證名稱 * 下、輸入您要用於這些認證的名稱。
-
從 AWS CloudForgation 新增認證:
-
選取 * 新增 * (或選取 * 重新導向至 CloudForgium* )、隨即顯示重新導向至 CloudForgation 頁面。
-
如果您將單一登入( SSO )與 AWS 搭配使用、請先開啟另一個瀏覽器索引標籤、然後登入 AWS 主控台、再選取 * 繼續 * 。
您應該登入 ONTAP 檔案系統的 FSX 所在的 AWS 帳戶。
-
從「重新導向至 CloudForgation 」頁面選取 * 繼續 * 。
-
在「快速建立堆疊」頁面的「功能」下、選取 * 我瞭解 AWS CloudForgation 可能會建立 IAM 資源 * 。
-
選取 * 建立堆疊 * 。
-
返回 Workload Factory 並監視 Credentials 頁面以驗證新憑證是否正在進行中,或是否已新增。
-