版本資訊
瞭解作業模式和 AWS 認證
建議變更
PDF
Workload Factory 提供三種作業模式、可讓您根據 IT 原則、仔細控制 Workload Factory 與雲端環境之間的存取。您使用的作業模式取決於您提供給 Workload Factory 的 AWS 權限層級。
作業模式
營運模式提供工作負載工廠所提供功能與功能的邏輯組織、與您指定的信任層級相關聯。營運模式的主要目標是清楚傳達工作負載工廠可以或無法在 AWS 帳戶內執行的工作。
- 基本模式
-
代表零信任關係、其中沒有 AWS 權限指派給 Workload Factory 。它旨在早期探索工作負載工廠、並使用各種精靈來建立所需的基礎架構即程式碼( IAC )。您可以手動輸入 AWS 認證、複製程式碼並在 AWS 中使用。
- 讀取模式
-
新增唯讀權限、讓 IAC 範本填入您的特定變數(例如 VPC 、安全性群組等)、以提升基本模式的使用體驗。這可讓您直接從 AWS 帳戶執行 IAC 、而無需提供任何工作負載工廠的修改權限。
- 自動化模式
-
代表完全信任關係、以便指派完整權限給 Workload Factory 。這可讓 Workload Factory 代表您執行及自動化 AWS 中的作業、以及具有執行所需權限的指派認證。
操作模式功能
使用每種模式的可用功能會隨著每種模式而增加。
| 模式 | 工作負載工廠自動化 | 使用 IAC 在 AWS 內自動化 | AWS 資源探索與自動完成 | 進度監控 |
|---|---|---|---|---|
基本 |
否 |
最少完整的 IAC 範本 |
否 |
否 |
讀取 |
否 |
適度填寫 IAC 範本 |
是的 |
是的 |
自動化 |
完全自動化 |
完整的 IAC 範本、完全自動化 |
是的 |
是的 |
作業模式需求
您無需在 Workload Factory 中設定任何選取器、即可識別您打算使用的模式。此模式是根據您指派給 Workload Factory 帳戶的 AWS 認證和權限來決定。
| 模式 | AWS 帳戶認證 | 連結 |
|---|---|---|
基本 |
不需要 |
不需要 |
讀取 |
唯讀 |
不需要 |
自動化 |
讀寫認證 |
必要 |
作業模式範例
您可以設定認證、為一個工作負載元件提供一個模式、而為另一個元件提供另一個模式。例如、您可以針對部署和管理 ONTAP 檔案系統之 FSX 的作業、設定自動化模式、但只能設定讀取模式、使用 Workload Factory 來建立和部署資料庫工作負載。
您可以在 Workload Factory 帳戶中的單一認證集內提供這些功能、或在每個認證提供獨特的工作負載部署功能時、建立多組認證。
範例1
使用下列權限認證的帳戶使用者將擁有完整控制權(自動化模式)、可為 ONTAP 檔案系統建立 FSX 、部署資料庫、以及檢視帳戶中使用的其他 AWS 儲存設備類型。
不過、他們將無法透過 Workload Factory 建立和部署 VMware 工作負載(基本模式)、如果他們想要建立 VMware 工作負載、就必須從 Codebox 複製程式碼、手動登入 AWS 帳戶、然後手動填入產生的程式碼中遺失的項目、才能使用此功能。
範例2
在此、使用者已建立兩組認證、根據所選的認證集、允許不同的操作功能。通常、每組認證都會與不同的 AWS 帳戶配對。
第一組認證包含權限、可讓使用者完全控制為 ONTAP 檔案系統建立 FSX (以及檢視帳戶中使用的其他 AWS 儲存設備類型)、但只有在使用 VMware 工作負載時才具有讀取權限。
第二組認證僅提供權限、可讓使用者完全控制為 ONTAP 檔案系統建立 FSX 、以及檢視帳戶中使用的其他 AWS 儲存設備類型。
身分證明AWS
我們設計了 AWS 假設角色認證登錄流程、可:
-
可讓您指定要使用的工作負載功能、並根據這些選擇提供 IAM 原則需求、以支援更符合的 AWS 帳戶權限。
-
可讓您在選擇加入或選擇退出特定工作負載功能時、調整授予的 AWS 帳戶權限。
-
提供可在 AWS 主控台套用的量身打造 JSON 原則檔案、簡化手動 IAM 原則建立。
-
使用 AWS CloudForgation 堆疊、為使用者提供自動化選項、以執行必要的 IAM 原則和角色建立、進而簡化認證登錄程序。
-
對於強烈偏好將認證儲存在 AWS 雲端生態系統範圍內的 ONTAP 使用者、請在 AWS 型秘密管理後端儲存用於 ONTAP 服務認證的 FSX 、以更符合 FSX 。
一或多個 AWS 認證
當您使用第一項 Workload Factory 功能(或功能)時、您需要使用這些工作負載功能所需的權限來建立認證。您將會將認證新增至 Workload Factory 、但您必須存取 AWS 管理主控台才能建立 IAM 角色和原則。在 Workload Factory 中使用任何功能時、您的帳戶中都會提供這些認證。
您最初的 AWS 認證集可以包含 IAM 原則、用於一項功能或多項功能。這取決於您的業務需求。
將一組以上的 AWS 認證新增至工作負載工廠、可提供使用額外功能所需的額外權限、例如 ONTAP 檔案系統的 FSX 、在 ONTAP 的 FSX 上部署資料庫、移轉 VMware 工作負載等。