Configuração do Amazon FSx para Lustre - FSxpara Lustre
Cadastre-se na Amazon Web ServicesAdição de permissões para usar repositórios de dados no Amazon S3Como o FSx para Lustre verifica o acesso aos buckets do S3Próxima etapa

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração do Amazon FSx para Lustre

Antes de usar o Amazon FSx para Lustre pela primeira vez, execute as tarefas da seção Cadastre-se na Amazon Web Services. Para concluir o Tutorial de conceitos básicos, certifique-se de que o bucket do Amazon S3 que você vinculará ao seu sistema de arquivos tenha as permissões listadas em Adição de permissões para usar repositórios de dados no Amazon S3.

Cadastre-se na Amazon Web Services

Para configurar AWS, conclua as seguintes tarefas:

  1. Inscreva-se para um Conta da AWS

  2. Criar um usuário com acesso administrativo

Inscreva-se para um Conta da AWS

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

Para se inscrever em um Conta da AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções on-line.

    Parte do procedimento de inscrição envolve receber uma chamada telefônica e digitar um código de verificação no teclado do telefone.

    Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como uma prática recomendada de segurança, atribua o acesso administrativo para um usuário e use somente o usuário-raiz para executar tarefas que requerem o acesso de usuário-raiz.

AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, é possível visualizar as atividades da conta atual e gerenciar sua conta acessando https://aws.amazon.com/ e selecionando Minha conta.

Criar um usuário com acesso administrativo

Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS AWS IAM Identity Center, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.

Proteja seu Usuário raiz da conta da AWS

  1. Faça login AWS Management Consolecomo proprietário da conta escolhendo Usuário raiz e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, digite sua senha.

    Para obter ajuda ao fazer login usando o usuário-raiz, consulte Signing in as the root user (Fazer login como usuário-raiz) no Guia do usuário do Início de Sessão da AWS .

  2. Habilite a autenticação multifator (MFA) para o usuário-raiz.

    Para obter instruções, consulte Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia do usuário do IAM.

Criar um usuário com acesso administrativo

  1. Habilitar o IAM Identity Center.

    Para obter instruções, consulte Habilitar AWS IAM Identity Center no Guia do usuário do AWS IAM Identity Center .

  2. No Centro de Identidade do IAM, conceda o acesso administrativo para um usuário.

    Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM no Guia AWS IAM Identity Center do usuário.

Iniciar sessão como o usuário com acesso administrativo

  • Para fazer login com seu usuário do Centro de Identidade do IAM, use a URL de login que foi enviada ao seu endereço de e-mail quando você criou o usuário do Centro do Usuário do IAM.

    Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como fazer login no portal de AWS acesso no Guia Início de Sessão da AWS do usuário.

Atribuir acesso para usuários adicionais

  1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.

    Para obter instruções, consulte Create a permission set no Guia do usuário do AWS IAM Identity Center .

  2. Atribua usuários a um grupo e, em seguida, atribua o acesso de autenticação única ao grupo.

    Para obter instruções, consulte Add groups no Guia do usuário do AWS IAM Identity Center .

Adição de permissões para usar repositórios de dados no Amazon S3

O Amazon FSx para Lustre está profundamente integrado ao Amazon S3. Essa integração significa que as aplicações que acessam o sistema de arquivos do FSx para Lustre também podem acessar facilmente os objetos armazenados no bucket vinculado do Amazon S3. Para ter mais informações, consulte Usando repositórios de dados com o Amazon FSx for Lustre.

Para usar repositórios de dados, primeiro você deve dar ao Amazon FSx para Lustre determinadas permissões do IAM em um perfil associado à conta do usuário administrador.

Para incorporar uma política em linha de um perfil usando o console

  1. Faça login AWS Management Console e abra o console do IAM em https://console.aws.amazon.com//iam/.

  2. No painel de navegação, escolha Perfis.

  3. Na lista, selecione o nome da função para incorporar uma política.

  4. Escolha a aba Permissões.

  5. Role até o final da página e selecione Add inline policy.

    nota

    Você não pode incorporar uma política em linha em um perfil vinculado ao serviço no IAM. Como o serviço vinculado determina se as permissões da função podem ou não ser modificadas, você pode adicionar políticas adicionais do console de serviço, da API ou da AWS CLI. Para ver a documentação do perfil vinculado de um serviço, consulte AWS Serviços que funcionam com o IAM e escolha Sim na coluna Perfil vinculado ao serviço do seu serviço.

  6. Escolha Criação de políticas com o editor visual

  7. Adicione a instrução de política de permissões a seguir.

    {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:CreateServiceLinkedRole",
            "iam:AttachRolePolicy",
            "iam:PutRolePolicy"
        ],
        "Resource": "arn:aws:iam::*:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/*"
    }
}

Após a criação de uma política em linha, ela é automaticamente incorporada à sua função. Para obter mais informações sobre funções vinculadas ao serviço, consulte Como usar perfis vinculados a serviço no Amazon FSx.

Como o FSx para Lustre verifica o acesso aos buckets do S3 vinculados

Se o perfil do IAM que você usa para criar o sistema de arquivos do FSx para Lustre não tiver as permissões iam:AttachRolePolicy e iam:PutRolePolicy, o Amazon FSx verificará se pode atualizar a política de bucket do S3. O Amazon FSx poderá atualizar a política de bucket se a permissão s3:PutBucketPolicy estiver incluída no perfil do IAM para permitir que o sistema de arquivos do Amazon FSx importe ou exporte dados para o bucket do S3. Se for permitido modificar a política do bucket, o Amazon FSx adicionará as seguintes permissões à política do bucket:

  • s3:AbortMultipartUpload

  • s3:DeleteObject

  • s3:PutObject

  • s3:Get*

  • s3:List*

  • s3:PutBucketNotification

  • s3:PutBucketPolicy

  • s3:DeleteBucketPolicy

Se o Amazon FSx não puder modificar a política de bucket, ele verificará se a política existente concede a ele acesso ao bucket.

Se todas essas opções falharem, a solicitação para criar o sistema de arquivos falhará. O diagrama a seguir ilustra as verificações que o Amazon FSx segue ao determinar se um sistema de arquivos pode acessar o bucket do S3 ao qual ele será vinculado.

Progressão das verificações que o Amazon FSx usa para determinar se ele terá permissão para importar ou exportar dados para o bucket do S3 ao qual ele será vinculado.

Próxima etapa

Para começar a usar o FSx para ONTAP, consulte Começando a usar o Amazon FSx for Lustre para obter instruções de como criar seus recursos do Amazon FSx para Lustre.