瞭解作業模式和 AWS 認證
建議變更
PDF
NetApp Workload Factory 提供三種操作模式,讓您能夠根據您的 IT 策略仔細控制 Workload Factory 和雲端資產之間的存取。您使用的操作模式取決於您向 Workload Factory 提供的 AWS 權限等級。
作業模式
操作模式提供了工作負載工廠提供的功能和能力的邏輯組織,與您分配的信任等級相關。操作模式的主要目標是清楚傳達 Workload Factory 在您的 AWS 帳戶中可以或不能執行哪些任務。
- 基本模式
-
表示零信任關係,其中沒有為 Workload Factory 指派任何 AWS 權限。它旨在用於工作負載工廠的早期探索和使用各種嚮導來創建所需的基礎設施即代碼 (IaC)。您可以複製程式碼並透過手動輸入 AWS 憑證在 AWS 中使用它。
- 唯讀模式
-
透過新增唯讀權限來增強基本模式的體驗,以便 IaC 範本填入您的特定變數(例如,VPC、安全性群組等)。這使您能夠直接從您的 AWS 帳戶執行 IaC,而無需向 Workload Factory 提供任何修改權限。
- 讀取 / 寫入模式
-
表示完全信任關係,以便 Workload Factory 獲得完全權限。這允許 Workload Factory 代表您在 AWS 中執行和自動執行操作,並提供具有執行所需權限的指派憑證。
操作模式功能
使用每種模式的可用功能會隨著每種模式而增加。
| 模式 | 工作負載工廠的自動化 | 使用 IAC 在 AWS 內自動化 | AWS 資源探索與自動完成 | 進度監控 |
|---|---|---|---|---|
基本 |
否 |
最少完整的 IAC 範本 |
否 |
否 |
唯讀 |
否 |
適度填寫 IAC 範本 |
是的 |
是的 |
讀取/寫入 |
完全自動化 |
完整的 IAC 範本、完全自動化 |
是的 |
是的 |
作業模式需求
您無需在 Workload Factory 中設定選擇器來識別您計劃使用的模式。此模式根據您指派給 Workload Factory 帳戶的 AWS 憑證和權限來決定。
| 模式 | AWS 帳戶認證 | 連結 |
|---|---|---|
基本 |
不需要 |
不需要 |
唯讀 |
唯讀 |
不需要 |
讀取/寫入 |
讀/寫憑證 |
必要 |
作業模式範例
您可以設定憑證來為一個工作負載組件提供一種模式,為另一個工作負載組件提供另一種模式。例如,您可以為部署和管理 FSx for ONTAP檔案系統的操作配置讀取/寫入模式,但僅使用 Workload Factory 建立和部署資料庫工作負載配置唯讀模式。
您可以在 Workload Factory 帳戶中的一組憑證中提供這些功能,也可以建立多組憑證,每個憑證提供獨特的工作負載部署功能。
範例1
使用已取得下列權限的憑證的帳戶使用者將擁有建立 FSx for ONTAP 檔案系統、部署資料庫和檢視帳戶中使用的其他類型的 AWS 儲存的完全控制權(讀取/寫入模式)。
但是,他們沒有從 Workload Factory 建立和部署 VMware 工作負載(基本模式)的自動化控制。如果他們想要建立 VMware 工作負載,他們需要從 Codebox 複製程式碼,手動登入他們的 AWS 帳戶,並手動填充生成的程式碼中缺少的條目以使用此功能。
範例2
在此、使用者已建立兩組認證、根據所選的認證集、允許不同的操作功能。通常、每組認證都會與不同的 AWS 帳戶配對。
第一組憑證包括授予使用者完全控制建立 FSx for ONTAP 檔案系統的權限(以及查看帳戶中使用的其他類型的 AWS 儲存的能力),但在使用 VMware 工作負載時僅有唯讀權限。
第二組認證僅提供權限、可讓使用者完全控制為 ONTAP 檔案系統建立 FSX 、以及檢視帳戶中使用的其他 AWS 儲存設備類型。
身分證明AWS
我們設計了 AWS 假設角色認證登錄流程、可:
-
可讓您指定要使用的工作負載功能、並根據這些選擇提供 IAM 原則需求、以支援更符合的 AWS 帳戶權限。
-
可讓您在選擇加入或選擇退出特定工作負載功能時、調整授予的 AWS 帳戶權限。
-
提供可在 AWS 主控台套用的量身打造 JSON 原則檔案、簡化手動 IAM 原則建立。
-
使用 AWS CloudForgation 堆疊、為使用者提供自動化選項、以執行必要的 IAM 原則和角色建立、進而簡化認證登錄程序。
-
對於強烈偏好將認證儲存在 AWS 雲端生態系統範圍內的 ONTAP 使用者、請在 AWS 型秘密管理後端儲存用於 ONTAP 服務認證的 FSX 、以更符合 FSX 。
一或多個 AWS 認證
當您使用第一個工作負載工廠功能(或多個功能)時,您需要使用這些工作負載功能所需的權限來建立憑證。您將把憑證新增至 Workload Factory,但您需要存取 AWS 管理主控台來建立 IAM 角色和原則。當使用 Workload Factory 中的任何功能時,這些憑證將在您的帳戶中可用。
您最初的 AWS 認證集可以包含 IAM 原則、用於一項功能或多項功能。這取決於您的業務需求。
在 Workload Factory 中新增多組 AWS 憑證可提供使用其他功能所需的額外權限,例如 FSx for ONTAP檔案系統、在 FSx for ONTAP上部署資料庫、遷移 VMware 工作負載等。