Configuración de Amazon FSx para Lustre - FSxpara Lustre
Inscribirse en Amazon Web ServicesAgregar permisos para utilizar repositorios de datos en Amazon S3Cómo FSx para Lustre comprueba el acceso a los buckets S3Siguiente paso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de Amazon FSx para Lustre

Antes de usar Amazon FSx para Lustre por primera vez, complete las tareas de la sección Inscribirse en Amazon Web Services. Para completar la Explicación introductoria, asegúrese de que el bucket de Amazon S3 que va a vincular a su sistema de archivos tenga los permisos que se indican en Agregar permisos para utilizar repositorios de datos en Amazon S3.

Inscribirse en Amazon Web Services

Para configurarlo AWS, complete las siguientes tareas:

  1. Inscríbase en una Cuenta de AWS

  2. Creación de un usuario con acceso administrativo

Inscríbase en una Cuenta de AWS

Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.

Para suscribirte a una Cuenta de AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Cuando te registras en un Cuenta de AWS, Usuario raíz de la cuenta de AWSse crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.

AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando Mi cuenta.

Creación de un usuario con acceso administrativo

Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.

Proteja su Usuario raíz de la cuenta de AWS

  1. Inicie sesión AWS Management Consolecomo propietario de la cuenta seleccionando el usuario root e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Signing in as the root user en la Guía del usuario de AWS Sign-In .

  2. Active la autenticación multifactor (MFA) para el usuario raíz.

    Para obtener instrucciones, consulte Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola) en la Guía del usuario de IAM.

Creación de un usuario con acceso administrativo

  1. Activar IAM Identity Center.

    Consulte las instrucciones en Activar AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center .

  2. En IAM Identity Center, conceda acceso administrativo a un usuario.

    Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la Guía del AWS IAM Identity Center usuario.

Iniciar sesión como usuario con acceso de administrador

  • Para iniciar sesión con el usuario de IAM Identity Center, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte Iniciar sesión en el portal de AWS acceso en la Guía del AWS Sign-In usuario.

Concesión de acceso a usuarios adicionales

  1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

    Para conocer las instrucciones, consulte Create a permission set en la Guía del usuario de AWS IAM Identity Center .

  2. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

    Para conocer las instrucciones, consulte Add groups en la Guía del usuario de AWS IAM Identity Center .

Agregar permisos para utilizar repositorios de datos en Amazon S3

Amazon FSx para Lustre está profundamente integrado con Amazon S3. Esta integración significa que las aplicaciones que acceden a su sistema de archivos de FSx para Lustre también pueden acceder sin problemas a los objetos almacenados en su bucket de Amazon S3 vinculado. Para obtener más información, consulte Uso de repositorios de datos con Amazon FSx for Lustre.

Para utilizar repositorios de datos, primero debe permitir a Amazon FSx para Lustre determinados permisos de IAM en un rol asociado a la cuenta de su usuario administrador.

Para integrar una política en línea para un rol utilizando la consola

  1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en https://console.aws.amazon.com//iam/.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista, seleccione el nombre del rol en el que incrustará una política.

  4. Elija la pestaña Permisos.

  5. Desplácese a la parte inferior de la página y seleccione Agregar política en línea.

    nota

    No puede integrar una política insertada en un rol vinculado a un servicio en IAM. Dado que el servicio vinculado define si puede modificar los permisos del rol, podría añadir las políticas adicionales del servicio desde la consola, la API o la AWS CLI. Para ver la documentación del rol vinculado al servicio de un servicio, consulte Servicios que funcionan con IAM AWS y elija en la columna Rol vinculado a servicio del servicio.

  6. Seleccione Creación de políticas con el editor visual

  7. Agregue la siguiente declaración de política de permisos.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:CreateServiceLinkedRole",
            "iam:AttachRolePolicy",
            "iam:PutRolePolicy"
        ],
        "Resource": "arn:aws:iam::*:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/*"
    }
}

Una vez que cree una política insertada, se integra automáticamente en su rol. Para obtener más información acerca de los roles vinculados a servicios, consulte Uso de roles vinculados a servicios para Amazon FSx.

Cómo FSx para Lustre comprueba el acceso a los buckets S3 vinculados

Si el rol de IAM que utiliza para crear el sistema de archivos de FSx para Lustre no tiene los permisos iam:AttachRolePolicy y iam:PutRolePolicy, Amazon FSx comprueba si puede actualizar su política de bucket de S3. Amazon FSx puede actualizar su política de bucket si el permiso s3:PutBucketPolicy está incluido en su rol de IAM para permitir que el sistema de archivos de Amazon FSx importe o exporte datos a su bucket de S3. Si se le permite modificar la política del bucket, Amazon FSx agrega los siguientes permisos a la política del bucket:

  • s3:AbortMultipartUpload

  • s3:DeleteObject

  • s3:PutObject

  • s3:Get*

  • s3:List*

  • s3:PutBucketNotification

  • s3:PutBucketPolicy

  • s3:DeleteBucketPolicy

Si Amazon FSx no puede modificar la política de bucket, comprueba si la política de bucket existente concede a Amazon FSx acceso al bucket.

Si todas estas opciones fallan, entonces la solicitud para crear el sistema de archivos falla. El siguiente diagrama ilustra las comprobaciones que realiza Amazon FSx para determinar si un sistema de archivos puede acceder al bucket de S3 al que se vinculará.

Progresión de comprobaciones que utiliza Amazon FSx para determinar si tendrá permiso para importar o exportar datos al bucket de S3 al que estará vinculado.

Siguiente paso

Para empezar a utilizar FSx para Lustre, consulte Cómo empezar a usar Amazon FSx for Lustre para obtener instrucciones para crear sus recursos Amazon FSx para Lustre.