Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans Amazon FSx pour NetApp ONTAP
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de centres de données et d'architectures réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon FSx pour NetApp ONTAP, consultez la section [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon FSx. Les rubriques suivantes expliquent comment configurer Amazon pour répondre FSx à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos FSx ressources Amazon.
**Topics**
+ [Protection des données dans Amazon FSx pour NetApp ONTAP](data-protection.md)
+ [Gestion des identités et des accès pour Amazon FSx pour NetApp ONTAP](security-iam.md)
+ [AWS politiques gérées pour Amazon FSx for NetApp ONTAP](security-iam-awsmanpol.md)
+ [Contrôle d'accès au système de fichiers avec Amazon VPC](limit-access-security-groups.md)
+ [Validation de conformité pour Amazon FSx pour NetApp ONTAP](fsx-ontap-compliance.md)
+ [Amazon FSx pour NetApp ONTAP et points de terminaison VPC d'interface ()AWS PrivateLink](fsx-vpc-endpoints.md)
+ [Résilience dans Amazon FSx pour NetApp ONTAP](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans Amazon FSx pour NetApp ONTAP](infrastructure-security.md)
+ [Utiliser NetApp ONTAP Vscan avec FSx for ONTAP](using-vscan.md)
+ [ONTAPrôles et utilisateurs](roles-and-users.md)
# Protection des données dans Amazon FSx pour NetApp ONTAP
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Amazon FSx pour NetApp ONTAP. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon FSx ou une autre entreprise Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
## Chiffrement des données dans FSx ONTAP
Amazon FSx for NetApp ONTAP prend en charge le chiffrement des données au repos et le chiffrement des données en transit. Le chiffrement des données au repos est automatiquement activé lors de la création d'un système de FSx fichiers Amazon. Amazon FSx for NetApp ONTAP prend en charge le chiffrement basé sur Kerberos en transit via les protocoles NFS et SMB si vous accédez aux données d'une machine virtuelle de stockage (SVM) connectée à un Active Directory ou à un domaine à l'aide du protocole LDAP (Lightweight Directory Access Protocol).
### Quand utiliser le chiffrement ?
Si votre entreprise est soumise à des politiques d'entreprise ou réglementaires qui exigent le chiffrement des données et des métadonnées au repos, vos données sont automatiquement chiffrées au repos. Nous vous recommandons également d'activer le chiffrement des données en transit en installant votre système de fichiers à l'aide du chiffrement des données en transit.
Pour plus d'informations sur le chiffrement des données avec Amazon FSx pour NetApp ONTAP, consultez [Chiffrement de données au repos](encryption-at-rest.md) et[chiffrement des données en transit](encryption-in-transit.md).
# Chiffrement de données au repos
Tous les systèmes de fichiers et sauvegardes Amazon FSx for NetApp ONTAP sont chiffrés au repos à l'aide de clés gérées à l'aide de AWS Key Management Service (AWS KMS). Les données sont automatiquement cryptées avant d'être écrites dans le système de fichiers et déchiffrées automatiquement au fur et à mesure de leur lecture. Toutes les sauvegardes sont automatiquement chiffrées lors de leur création et automatiquement déchiffrées lorsque la sauvegarde est restaurée sur un nouveau volume. Ces processus sont gérés de manière transparente par Amazon FSx, vous n'avez donc pas à modifier vos applications.
Amazon FSx utilise un algorithme de chiffrement AES-256 conforme aux normes du secteur pour chiffrer les FSx données et métadonnées Amazon au repos. Pour de plus amples informations, consultez [Principes de base du chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) dans le *Guide du développeur AWS Key Management Service *.
**Note**
L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-2. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.
## Comment Amazon FSx utilise AWS KMS
Amazon FSx s'intègre à AWS KMS la gestion des clés. Amazon FSx utilise des clés KMS pour chiffrer votre système de fichiers et toutes les sauvegardes de volumes. Vous choisissez la clé KMS utilisée pour chiffrer et déchiffrer les systèmes de fichiers et les sauvegardes de volumes (données et métadonnées). Vous pouvez activer, désactiver ou révoquer les autorisations sur cette clé KMS. Cette clé KMS peut être de l'un des deux types suivants :
+ **AWS-clé KMS gérée** : il s'agit de la clé KMS par défaut, dont l'utilisation est gratuite.
+ **Clé KMS gérée par le client** : il s'agit de la clé KMS la plus flexible à utiliser, car vous pouvez configurer ses politiques clés et ses autorisations pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés KMS, consultez la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *guide du AWS Key Management Service développeur*.
**Important**
Amazon FSx accepte uniquement les clés KMS de chiffrement symétriques. Vous ne pouvez pas utiliser de clés KMS asymétriques avec Amazon FSx.
Si vous utilisez une clé KMS gérée par le client comme clé KMS pour le chiffrement et le déchiffrement des données de fichiers, vous pouvez activer la rotation des clés. Lorsque vous activez la rotation des clés, AWS KMS effectue automatiquement une rotation de votre clé une fois par an. En outre, avec une clé KMS gérée par le client, vous pouvez choisir à tout moment quand désactiver, réactiver, supprimer ou révoquer l'accès à votre clé KMS. Pour plus d'informations, voir [Rotation](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html), [activation AWS KMS keys et désactivation des clés](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) dans le *manuel du AWS Key Management Service développeur*.
## Politiques FSx clés d'Amazon pour AWS KMS
Les politiques de clé constituent le principal moyen de contrôler l'accès aux clés KMS. Pour plus d'informations sur les politiques clés, consultez la section [Utilisation des politiques clés AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) le *Guide du AWS Key Management Service développeur.*La liste suivante décrit toutes les autorisations AWS KMS associées prises en charge par Amazon FSx pour les systèmes de fichiers chiffrés au repos et les sauvegardes :
+ **kms:Encrypt** - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms:Decrypt** - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a déjà été chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : ReEncrypt** — (Facultatif) Chiffre les données côté serveur avec une nouvelle AWS KMS key, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : GenerateDataKeyWithoutPlaintext** — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé KMS. Cette autorisation est incluse dans la politique clé par défaut sous **kms : GenerateDataKey \$1**.
+ **kms : CreateGrant** — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d’informations sur les octrois, consultez [Utilisation d’octrois ](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dans le *AWS Key Management Service Guide du développeur*. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : DescribeKey** — (Obligatoire) Fournit des informations détaillées sur la clé KMS spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : ListAliases** — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation alimente la liste des clés KMS. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.
# chiffrement des données en transit
Cette rubrique décrit les différentes options disponibles pour chiffrer les données de vos fichiers lorsqu'elles sont en transit entre un FSx système de fichiers ONTAP et des clients connectés. Il fournit également des conseils pour vous aider à choisir la méthode de chiffrement la mieux adaptée à votre flux de travail.
Toutes les données circulant Régions AWS sur le réseau AWS mondial sont automatiquement cryptées au niveau de la couche physique avant de quitter les installations AWS sécurisées. L'ensemble du trafic entre les zones de disponibilité est chiffré. Des couches de chiffrement supplémentaires, notamment celles répertoriées dans cette section, fournissent des protections supplémentaires. Pour plus d'informations sur la manière AWS dont les données circulent entre elles Régions AWS, les zones disponibles et les instances, consultez la section [Chiffrement en transit](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) dans le guide de l'utilisateur Amazon Elastic Compute Cloud pour les instances Linux.
Amazon FSx for NetApp ONTAP prend en charge les méthodes suivantes pour chiffrer les données en transit entre les FSx systèmes de fichiers ONTAP et les clients connectés :
+ Chiffrement automatique basé sur Nitro sur tous les protocoles et clients pris en charge exécutés sur des types d'instances Amazon [EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Linux [et](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows compatibles.
+ Chiffrement basé sur Kerberos via les protocoles NFS et SMB.
+ IPsecchiffrement basé sur les protocoles NFS, iSCSI et SMB
Toutes les méthodes prises en charge pour chiffrer les données en transit utilisent des algorithmes cryptographiques conformes à la norme industrielle AES-256 qui fournissent un chiffrement à la pointe de l'entreprise.
**Topics**
+ [Choix d'une méthode de chiffrement des données en transit](#choosing-encryption-in-transit)
+ [Chiffrer les données en transit avec AWS Nitro System](#nitro-encryption)
+ [Chiffrement des données en transit grâce au chiffrement basé sur Kerberos](#kerberos-encryption)
+ [Chiffrement des données en transit grâce IPsec au chiffrement](#ipsec-encryption)
+ [Activation du chiffrement des données en transit par les PME](enable-smb-encryption.md)
+ [Configuration à IPsec l'aide de l'authentification PSK](config-ipsec-psk-auth.md)
+ [Configuration à IPsec l'aide de l'authentification par certificat](config-ipsec-ca-auth.md)
## Choix d'une méthode de chiffrement des données en transit
Cette section fournit des informations qui peuvent vous aider à choisir le cryptage pris en charge dans les méthodes de transit qui convient le mieux à votre flux de travail. Reportez-vous à cette section pour découvrir les options prises en charge décrites en détail dans les sections suivantes.
Plusieurs facteurs doivent être pris en compte lorsque vous choisissez le mode de chiffrement des données en transit entre votre système de fichiers FSx for ONTAP et les clients connectés. Ces facteurs incluent :
+ Celui dans Région AWS lequel s'exécute votre système de fichiers FSx for ONTAP.
+ Type d'instance sur lequel le client s'exécute.
+ Emplacement du client accédant à votre système de fichiers.
+ Exigences en matière de performances du réseau.
+ Le protocole de données que vous souhaitez chiffrer.
+ Si vous utilisez Microsoft Active Directory.
**Région AWS**
Le système de fichiers dans Région AWS lequel s'exécute votre système de fichiers détermine si vous pouvez ou non utiliser le chiffrement basé sur Amazon Nitro. Pour de plus amples informations, veuillez consulter [Chiffrer les données en transit avec AWS Nitro System](#nitro-encryption).
**Type d'instance client**
Vous pouvez utiliser le chiffrement basé sur Amazon Nitro si le client accédant à votre système de fichiers s'exécute sur l'un des types d'instance Amazon EC2 Mac[, Linux [ou](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows pris en charge,](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) et si votre flux de travail répond à toutes les autres exigences relatives à [l'utilisation](#nitro-encryption) du chiffrement basé sur Nitro. Aucun type d'instance client n'est requis pour utiliser Kerberos ou IPsec le chiffrement.
**Emplacement du client**
L'emplacement du client accédant aux données par rapport à l'emplacement de votre système de fichiers a une incidence sur les méthodes de chiffrement en transit disponibles. Vous pouvez utiliser l'une des méthodes de chiffrement prises en charge si le client et le système de fichiers se trouvent dans le même VPC. Il en va de même si le client et le système de fichiers sont situés dans un environnement pair VPCs, à condition que le trafic ne transite pas par un périphérique ou un service réseau virtuel, tel qu'une passerelle de transit. Le chiffrement basé sur Nitro n'est pas une option disponible si le client n'est pas dans le même VPC ou dans un VPC homologue, ou si le trafic passe par un périphérique ou un service réseau virtuel.
**Performances réseau**
L'utilisation du chiffrement basé sur Amazon Nitro n'a aucun impact sur les performances du réseau. Cela est dû au fait que les instances Amazon EC2 prises en charge utilisent les capacités de déchargement du matériel Nitro System sous-jacent pour chiffrer automatiquement le trafic en transit entre les instances.
L'utilisation de Kerberos ou du IPsec chiffrement a un impact sur les performances du réseau. En effet, ces deux méthodes de chiffrement sont basées sur des logiciels, ce qui oblige le client et le serveur à utiliser des ressources informatiques pour chiffrer et déchiffrer le trafic en transit.
**Protocole de données**
Vous pouvez utiliser le chiffrement et IPsec le chiffrement basés sur Amazon Nitro avec tous les protocoles pris en charge : NFS, SMB et iSCSI. Vous pouvez utiliser le chiffrement Kerberos avec les protocoles NFS et SMB (avec un Active Directory).
**Active Directory**
Si vous utilisez Microsoft Active Directory, vous pouvez utiliser le [chiffrement Kerberos](#kerberos-encryption) sur les protocoles NFS et SMB.
Utilisez le schéma suivant pour vous aider à choisir la méthode de chiffrement en transit à utiliser.
![\[Organigramme indiquant la méthode de chiffrement en transit à utiliser en fonction de cinq points de décision.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png)
IPsec le chiffrement est la seule option disponible lorsque toutes les conditions suivantes s'appliquent à votre flux de travail :
+ Vous utilisez le protocole NFS, SMB ou iSCSI.
+ Votre flux de travail ne prend pas en charge l'utilisation du chiffrement basé sur Amazon Nitro.
+ Vous n'utilisez pas de domaine Microsoft Active Directory.
## Chiffrer les données en transit avec AWS Nitro System
Avec le chiffrement basé sur Nitro, les données en transit sont chiffrées automatiquement lorsque les clients accédant à vos systèmes de fichiers s'exécutent sur des types Régions AWS d'instances Amazon [EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Linux [ou](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows compatibles, là où elles sont disponibles FSx sur ONTAP.
L'utilisation du chiffrement basé sur Amazon Nitro n'a aucun impact sur les performances du réseau. Cela est dû au fait que les instances Amazon EC2 prises en charge utilisent les capacités de déchargement du matériel Nitro System sous-jacent pour chiffrer automatiquement le trafic en transit entre les instances.
Le chiffrement basé sur Nitro est activé automatiquement lorsque les types d'instances clientes pris en charge se trouvent dans le même VPC ou dans un VPC apparenté au VPC du système de fichiers. Région AWS De plus, si le client se trouve dans un VPC apparenté, les données ne peuvent pas traverser un périphérique ou un service réseau virtuel (tel qu'une passerelle de transit) afin que le chiffrement basé sur Nitro soit automatiquement activé. Pour plus d'informations sur le chiffrement basé sur Nitro, consultez la section Chiffrement en transit du Guide de l'utilisateur Amazon EC2 [pour les types d'instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Linux [ou](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows.
Le tableau suivant indique dans quel format Régions AWS le chiffrement basé sur Nitro est disponible.
**Support du chiffrement basé sur Nitro**
| Génération | Types de déploiement | Région AWS |
| --- | --- | --- |
| Systèmes de fichiers de première génération 1 | Mono-AZ 1 Multi-AZ 1 | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), Europe (Irlande) |
| Systèmes de fichiers de deuxième génération | Mono-AZ 2 Multi-AZ 2 | USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Californie du Nord), USA Ouest (Oregon), Europe (Francfort), Europe (Irlande), Asie-Pacifique (Sydney) |
1 Les systèmes de fichiers de première génération créés le 28 novembre 2022 ou après cette date prennent en charge le chiffrement en transit basé sur Nitro dans la liste. Régions AWS
Pour plus d'informations sur la disponibilité de Régions AWS Where FSx for ONTAP, consultez les tarifs [Amazon FSx for NetApp ONTAP](https://aws.amazon.com/fsx/netapp-ontap/pricing/).
Pour plus d'informations sur les spécifications de performance des systèmes FSx de fichiers ONTAP, consultez[Impact de la capacité de débit sur les performances](performance.md#impact-throughput-cap-performance).
## Chiffrement des données en transit grâce au chiffrement basé sur Kerberos
Si vous utilisez Microsoft Active Directory, vous pouvez utiliser le chiffrement basé sur Kerberos sur les protocoles NFS et SMB pour chiffrer les données en transit pour les volumes enfants qui [SVMs sont joints](ad-integration-ontap.md) à un Microsoft Active Directory.
### Chiffrement des données en transit via NFS à l'aide de Kerberos
Le chiffrement des données en transit à l'aide de Kerberos est pris en charge pour les NFSv3 protocoles. NFSv4 Pour activer le chiffrement en transit à l'aide de Kerberos pour le protocole NFS, consultez la section [Utilisation de Kerberos avec NFS pour une sécurité renforcée](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf) dans le Centre de documentation. NetApp ONTAP
### Chiffrement des données en transit sur SMB à l'aide de Kerberos
Le chiffrement des données en transit via le protocole SMB est pris en charge sur les partages de fichiers mappés sur une instance de calcul compatible avec le protocole SMB 3.0 ou version ultérieure. Cela inclut toutes les Microsoft Windows versions de Microsoft Windows Server 2012 et versions ultérieures, ainsi que Microsoft Windows 8 et versions ultérieures. Lorsque cette option est activée, FSx for ONTAP chiffre automatiquement les données en transit à l'aide du chiffrement SMB lorsque vous accédez à votre système de fichiers sans avoir à modifier vos applications.
FSx car ONTAP SMB prend en charge le chiffrement à 128 et 256 bits, déterminé par la demande de session du client. Pour une description des différents niveaux de chiffrement, consultez la section *Définir le niveau de sécurité d'authentification minimal du serveur SMB* de la section [Gérer les PME avec la CLI](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf) dans le Centre de NetApp ONTAP documentation.
**Note**
Le client détermine l'algorithme de chiffrement. Les authentifications NTLM et Kerberos fonctionnent avec un cryptage à 128 et 256 bits. Le serveur SMB FSx for ONTAP accepte toutes les demandes standard des clients Windows, et les contrôles granulaires sont gérés par la politique de groupe Microsoft ou les paramètres du registre.
Vous utilisez la ONTAP CLI pour gérer le chiffrement dans les paramètres de transit FSx pour ONTAP SVMs et les volumes. Pour accéder à la NetApp ONTAP CLI, établissez une session SSH sur la SVM sur laquelle vous effectuez le chiffrement dans les paramètres de transit, comme décrit dans. [Gestion à SVMs l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#vsadmin-ontap-cli)
Pour savoir comment activer le chiffrement SMB sur une SVM ou un volume, reportez-vous à la section. [Activation du chiffrement des données en transit par les PME](enable-smb-encryption.md)
## Chiffrement des données en transit grâce IPsec au chiffrement
FSx for ONTAP prend en charge l'utilisation IPsec du protocole en mode transport afin de garantir la sécurité et le chiffrement continus des données pendant leur transit. IPsec permet end-to-end le chiffrement des données en transit entre les clients et FSx pour les systèmes de fichiers ONTAP pour tout le trafic IP pris en charge (protocoles NFS, iSCSI et SMB). Avec IPsec le chiffrement, vous établissez un IPsec tunnel entre une SVM FSx pour ONTAP configurée avec IPsec Activé et un IPsec client exécuté sur le client connecté accédant aux données.
Nous vous recommandons de chiffrer les données en transit via les protocoles NFS, SMB et iSCSI lorsque vous accédez à vos données depuis des clients qui ne prennent pas en charge le [chiffrement basé sur Nitro](#nitro-encryption), et si votre client n'est pas connecté à un Active Directory, ce qui est requis pour le chiffrement basé sur Kerberos. IPsec SVMs IPsec le chiffrement est la seule option disponible pour chiffrer les données en transit pour le trafic iSCSI lorsque votre client iSCSI ne prend pas en charge le chiffrement basé sur Nitro.
Pour IPsec l'authentification, vous pouvez utiliser des clés pré-partagées (PSKs) ou des certificats. Si vous utilisez un PSK, le IPsec client que vous utilisez doit prendre en charge Internet Key Exchange version 2 (IKEv2) avec un PSK. Les étapes de haut niveau pour configurer le IPsec chiffrement à la fois FSx pour ONTAP et pour le client sont les suivantes :
1. Activez et configurez IPsec sur votre système de fichiers.
1. Installation et configuration IPsec sur votre client
1. Configuration IPsec pour un accès client multiple
Pour plus d'informations sur la configuration à IPsec l'aide de PSK, voir [Configurer le chiffrement par fil de la sécurité IP (IPsec)](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) dans le centre de NetApp ONTAP documentation.
Pour plus d'informations sur la configuration à IPsec l'aide de certificats, consultez[Configuration à IPsec l'aide de l'authentification par certificat](config-ipsec-ca-auth.md).
# Activation du chiffrement des données en transit par les PME
Par défaut, lorsque vous créez une SVM, le chiffrement SMB est désactivé. Vous pouvez activer le chiffrement SMB requis sur les partages individuels ou sur une SVM, qui l'active pour tous les partages de cette SVM.
**Note**
Lorsque le chiffrement SMB requis est activé sur une SVM ou un partage, les clients PME qui ne prennent pas en charge le chiffrement ne peuvent pas se connecter à cette SVM ou à ce partage.
**Pour exiger le chiffrement du trafic SMB entrant sur une SVM**
Pour exiger le chiffrement SMB d'une SVM à l'aide de la CLINetApp ONTAP, procédez comme suit.
1. Pour vous connecter au point de gestion de la SVM via SSH, utilisez le nom d'utilisateur `vsadmin` et le mot de passe vsadmin que vous avez définis lors de la création de la SVM. Si vous n'avez pas défini de mot de passe vsadmin, utilisez le nom d'utilisateur `fsxadmin` et le mot de passe fsxadmin. Vous pouvez accéder à la SVM par SSH depuis un client qui se trouve dans le même VPC que le système de fichiers, en utilisant l'adresse IP ou le nom DNS du point de terminaison de gestion.
```
ssh vsadmin@svm-management-endpoint-ip-address
```
La commande avec des exemples de valeurs :
```
ssh vsadmin@198.51.100.10
```
La commande SSH utilisant le nom DNS du point de terminaison de gestion :
```
ssh vsadmin@svm-management-endpoint-dns-name
```
La commande SSH utilisant un exemple de nom DNS :
```
ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
```
```
Password: vsadmin-password
This is your first recorded login.
FsxIdabcdef01234567892::>
```
1. Utilisez la commande [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html)NetApp ONTAPCLI pour exiger le chiffrement SMB du trafic SMB entrant dans la SVM.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true
```
1. Pour ne plus exiger le chiffrement SMB pour le trafic SMB entrant, utilisez la commande suivante.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false
```
1. Pour voir les `is-smb-encryption-required` paramètres actuels d'une SVM, utilisez la commande [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html)NetApp ONTAPCLI :
```
vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver is-smb-encryption-required
-------- -------------------------
vs1 true
```
Pour plus d'informations sur la gestion du chiffrement SMB sur une SVM, consultez la [section Configuration du chiffrement SMB requis sur les serveurs SMB pour les transferts de données via SMB dans le Centre de documentation](https://docs.netapp.com/us-en/ontap/smb-admin/configure-required-encryption-concept.html). NetApp ONTAP
**Pour activer le chiffrement SMB sur un volume**
Utilisez la procédure suivante pour activer le chiffrement SMB sur un partage à l'aide de la NetApp ONTAP CLI.
1. Établissez une connexion Secure Shell (SSH) avec le point de terminaison de gestion de la SVM, comme décrit dans. [Gestion à SVMs l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#vsadmin-ontap-cli)
1. Utilisez la commande NetApp ONTAP CLI suivante pour créer un nouveau partage SMB et exiger le chiffrement SMB lors de l'accès à ce partage.
```
vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data
```
Pour plus d'informations, consultez [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html)les pages de manuel des commandes NetApp ONTAP CLI.
1. Pour exiger le chiffrement SMB sur un partage SMB existant, utilisez la commande suivante.
```
vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Pour plus d'informations, consultez [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html)les pages de manuel des commandes NetApp ONTAP CLI.
1. Pour désactiver le chiffrement SMB sur un partage SMB existant, utilisez la commande suivante.
```
vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Pour plus d'informations, consultez [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html)les pages de manuel des commandes NetApp ONTAP CLI.
1. Pour voir le `is-smb-encryption-required` paramètre actuel sur un partage SMB, utilisez la commande NetApp ONTAP CLI suivante :
```
vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties
```
Si l'une des propriétés renvoyées par la commande est la `encrypt-data` propriété, cette propriété indique que le chiffrement SMB doit être utilisé lors de l'accès à ce partage.
Pour plus d'informations, consultez [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html)les pages de manuel des commandes NetApp ONTAP CLI.
# Configuration à IPsec l'aide de l'authentification PSK
Si vous utilisez PSK pour l'authentification, les étapes de configuration du IPsec chiffrement à la fois FSx pour ONTAP et pour le client sont les suivantes :
1. Activez et configurez IPsec sur votre système de fichiers.
1. Installation et configuration IPsec sur votre client
1. Configuration IPsec pour un accès client multiple
Pour plus de détails sur la configuration IPsec à l'aide de PSK, voir [Configurer la sécurité IP (IPsec) over wire encryption](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) dans le centre de NetApp ONTAP documentation.
# Configuration à IPsec l'aide de l'authentification par certificat
Les rubriques suivantes fournissent des instructions pour configurer le IPsec chiffrement à l'aide de l'authentification par certificat sur un système FSx de fichiers ONTAP et un client exécutant IPsec Libreswan. Cette solution utilise AWS Certificate Manager et AWS Autorité de certification privée pour créer une autorité de certification privée et pour générer les certificats.
Les étapes de haut niveau pour configurer le IPsec chiffrement à l'aide de l'authentification par certificat activée FSx pour les systèmes de fichiers ONTAP et les clients connectés sont les suivantes :
1. Mettez en place une autorité de certification chargée de délivrer les certificats.
1. Générez et exportez des certificats CA pour le système de fichiers et le client.
1. Installez le certificat et configurez-le IPsec sur l'instance cliente.
1. Installez le certificat et configurez-le IPsec sur votre système de fichiers.
1. Définissez la base de données des politiques de sécurité (SPD).
1. Configurez IPsec pour un accès client multiple.
## Création et installation de certificats CA
Pour l'authentification par certificat, vous devez générer et installer des certificats à partir d'une autorité de certification sur votre système de fichiers FSx for ONTAP et des clients qui accèderont aux données de votre système de fichiers. L'exemple suivant permet AWS Autorité de certification privée de configurer une autorité de certification privée et de générer les certificats à installer sur le système de fichiers et le client. À l'aide de AWS Autorité de certification privée, vous pouvez créer une hiérarchie entièrement AWS hébergée d'autorités de certification racines et subordonnées (CAs) à usage interne par votre organisation. Ce processus comporte cinq étapes :
1. Créez une autorité de certification (CA) privée à l'aide de AWS CA privée
1. Émettre et installer le certificat racine sur l'autorité de certification privée
1. Demandez un certificat privé AWS Certificate Manager pour votre système de fichiers et vos clients
1. Exportez le certificat pour le système de fichiers et les clients.
Pour plus d'informations, consultez la section [Administration de Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) dans le Guide de AWS Autorité de certification privée l'utilisateur.
**Pour créer l'autorité de certification privée racine**
1. Lorsque vous créez une autorité de certification, vous devez spécifier la configuration de l'autorité de certification dans un fichier que vous fournissez. La commande suivante utilise l'éditeur de texte Nano pour créer le `ca_config.txt` fichier, qui spécifie les informations suivantes :
+ Le nom de l'algorithme
+ L'algorithme de signature utilisé par l'autorité de certification pour signer
+ Les informations sur l'objet X.500
```
$ > nano ca_config.txt
```
L'éditeur de texte apparaît.
1. Modifiez le fichier contenant les spécifications de votre autorité de certification.
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. Enregistrez et fermez le fichier en quittant l'éditeur de texte. Pour plus d'informations, consultez [la section Procédure de création d'une autorité de certification](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html) dans le guide de AWS Autorité de certification privée l'utilisateur.
1. Utilisez la commande [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) AWS CA privée CLI pour créer une autorité de certification privée.
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region aws-region
```
En cas de succès, cette commande affiche l'Amazon Resource Name (ARN) de l'autorité de certification.
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
```
**Pour créer et installer un certificat pour votre autorité de certification racine privée (AWS CLI)**
1. Générez une demande de signature de certificat (CSR) à l'aide de la commande [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI.
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.aws-region.amazonaws.com \
--region eu-west-1 > ca.csr
```
Le fichier obtenu`ca.csr`, un fichier PEM codé au format base64, présente l'aspect suivant.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Pour plus d'informations, consultez la section [Installation d'un certificat CA racine](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot) dans le guide de AWS Autorité de certification privée l'utilisateur.
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI commande pour émettre et installer le certificat racine sur votre autorité de certification privée.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region aws-region
```
1. Téléchargez le certificat racine à l'aide de la [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI commande.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region aws-region > rootCA.pem
```
1. Installez le certificat racine sur votre autorité de certification privée à l'aide de la [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI commande.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region aws-region
```
**Génération et exportation du système de fichiers et du certificat client**
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI commande pour demander un AWS Certificate Manager certificat à utiliser sur votre système de fichiers et vos clients.
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region aws-region \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
Si la demande aboutit, l'ARN du certificat émis est renvoyé.
1. Pour des raisons de sécurité, vous devez attribuer un mot de passe à la clé privée lors de son exportation. Créez un mot de passe et stockez-le dans un fichier nommé `passphrase.txt`
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI commande pour exporter le certificat privé émis précédemment. Le fichier exporté contient le certificat, la chaîne de certificats et la clé RSA privée chiffrée de 2048 bits associée à la clé publique intégrée au certificat. Pour des raisons de sécurité, vous devez attribuer un mot de passe à la clé privée lors de son exportation. L'exemple suivant concerne une instance Linux EC2.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json
```
1. Utilisez les `jq` commandes suivantes pour extraire la clé privée et le certificat de la réponse JSON.
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. Utilisez la `openssl` commande suivante pour déchiffrer la clé privée à partir de la réponse JSON. Après avoir saisi la commande, vous êtes invité à saisir le mot de passe.
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Installation et configuration de Libreswan IPsec sur un client Amazon Linux 2
Les sections suivantes fournissent des instructions pour installer et configurer Libreswan IPsec sur une instance Amazon EC2 exécutant Amazon Linux 2.
**Pour installer et configurer Libreswan**
1. Connectez-vous à votre instance EC2 via SSH. Pour obtenir des instructions spécifiques sur la manière de procéder, consultez [Connect to your Linux instance using a SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient) in the Amazon Elastic Compute Cloud User Guide for Linux Instances.
1. Exécutez la commande suivante pour installer `libreswan` :
```
$ sudo yum install libreswan
```
1. (Facultatif) IPsec Lors d'une vérification ultérieure, ces propriétés peuvent être signalées sans ces paramètres. Nous vous suggérons de tester d'abord votre configuration sans ces paramètres. En cas de problème de connexion, revenez à cette étape et apportez les modifications suivantes.
Une fois l'installation terminée, utilisez votre éditeur de texte préféré pour ajouter les entrées suivantes au `/etc/sysctl.conf` fichier.
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
Enregistrez les modifications et quittez l'éditeur de texte.
1. Appliquez les modifications.
```
$ sudo sysctl -p
```
1. Vérifiez la IPsec configuration.
```
$ sudo ipsec verify
```
Vérifiez que la version que `Libreswan` vous avez installée est en cours d'exécution.
1. Initialisez la base de données IPsec NSS.
```
$ sudo ipsec checknss
```
**Pour installer le certificat sur le client**
1. Copiez le [certificat que vous avez généré](#generate-certificate) pour le client dans le répertoire de travail de l'instance EC2. Vous
1. Exportez le certificat généré précédemment dans un format compatible avec`libreswan`.
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. Importez la clé reformatée en fournissant le mot de passe lorsque vous y êtes invité.
```
$ sudo ipsec import certkey.p12
```
1. Créez un fichier IPsec de configuration à l'aide de l'éditeur de texte préféré.
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
Ajoutez les entrées suivantes au fichier de configuration :
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
Vous démarrerez IPsec sur le client après l'avoir configuré IPsec sur votre système de fichiers.
## Configuration IPsec sur votre système de fichiers
Cette section fournit des instructions sur l'installation du certificat sur votre système de fichiers FSx for ONTAP et sur sa configuration IPsec.
**Pour installer le certificat sur votre système de fichiers**
1. Copiez les fichiers du certificat racine ()`rootCA.pem)`, du certificat client (`cert.pem`) et de la clé déchiffrée (`decrypted.key`) dans votre système de fichiers. Vous devez connaître le mot de passe du certificat.
1. Pour accéder à la ONTAP CLI, établissez une session SSH sur le port de gestion du système de fichiers Amazon FSx for NetApp ONTAP ou de la SVM en exécutant la commande suivante. Remplacez `management_endpoint_ip` par l'adresse IP du port de gestion du système de fichiers.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Pour de plus amples informations, veuillez consulter [Gestion des systèmes de fichiers à l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. **cat**Utilisez-le sur un client (et non sur votre système de fichiers) pour répertorier le `rootCA.pem` contenu des `decrypted.key` fichiers `cert.pem` et ainsi copier le résultat de chaque fichier et le coller lorsque vous y êtes invité dans les étapes suivantes.
```
$ > cat cert.pem
```
Copiez le contenu du certificat.
1. Vous devez installer tous les certificats CA utilisés lors de l'authentification mutuelle, y compris côté TAP et côté client, dans la gestion des certificats CAs, sauf s'ils sont déjà installés (comme c'est le cas d'une autorité de ONTAP certification racine autosignée ONTAP).
Utilisez la commande `security certificate install` NetApp CLI comme suit pour installer le certificat client :
```
FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
Collez le contenu du `cert.pem` fichier que vous avez copié précédemment et appuyez sur Entrée.
```
Please enter Private Key: Press when done
```
Collez le contenu du `decrypted.key` fichier, puis appuyez sur Entrée.
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
Entrez `n` pour terminer la saisie du certificat client.
1. Créez et installez un certificat destiné à être utilisé par la SVM. L'autorité de certification émettrice de ce certificat doit déjà être installée ONTAP et ajoutée. IPsec
Utilisez la commande suivante pour installer le certificat racine.
```
FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
Collez le contenu du `rootCA.pem` fichier, puis appuyez sur Entrée.
1. Pour vous assurer que l'autorité de certification installée se trouve dans le chemin de recherche de l' IPsec autorité de certification lors de l'authentification, ajoutez la gestion des ONTAP certificats au IPsec module CAs à l'aide de la commande « security ipsec ca-certificate add ».
Entrez la commande suivante pour ajouter le certificat racine.
```
FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert
```
1. Entrez la commande suivante pour créer la IPsec politique requise dans la base de données des politiques de sécurité (SPD).
```
security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. Utilisez la commande suivante pour afficher la IPsec politique du système de fichiers à confirmer.
```
FSxID123:: > security ipsec policy show -vserver dr -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## Commencez par IPsec le client
Maintenant IPsec configuré à la fois sur le système FSx de fichiers ONTAP et sur le client, vous pouvez commencer par IPsec le client.
1. Connectez-vous à votre système client à l'aide de SSH.
1. Démarrez IPsec.
```
$ sudo ipsec start
```
1. Vérifiez le statut de IPsec.
```
$ sudo ipsec status
```
1. Montez un volume sur votre système de fichiers.
```
$ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr
```
1. Vérifiez la IPsec configuration en affichant la connexion cryptée sur votre système de fichiers FSx for ONTAP.
```
FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx policy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## Configuration IPsec pour plusieurs clients
Lorsqu'un petit nombre de clients ont besoin d'un effet de levier IPsec, il suffit d'utiliser une seule entrée SPD pour chaque client. Toutefois, lorsque des centaines, voire des milliers de clients ont besoin d'en tirer parti IPsec, nous vous recommandons d'utiliser une configuration client IPsec multiple.
FSx for ONTAP permet de connecter plusieurs clients sur de nombreux réseaux à une seule adresse IP SVM lorsque cette option est activée. IPsec Pour ce faire, vous pouvez utiliser la `subnet` configuration ou la `Allow all clients` configuration, qui sont expliquées dans les procédures suivantes :
**Pour effectuer une configuration IPsec pour plusieurs clients à l'aide d'une configuration de sous-réseau**
Pour permettre à tous les clients d'un sous-réseau donné (192.168.134.0/24 par exemple) de se connecter à une seule adresse IP de SVM en utilisant une seule entrée de politique SPD, vous devez la spécifier sous forme de sous-réseau. `remote-ip-subnets` En outre, vous devez spécifier le `remote-identity` champ avec l'identité correcte côté client.
**Important**
Lors de l'authentification par certificat, chaque client peut utiliser son propre certificat unique ou un certificat partagé pour s'authentifier. FSx for ONTAP IPsec vérifie la validité du certificat en fonction du certificat CAs installé sur son trust store local. FSx for ONTAP prend également en charge la vérification des listes de révocation de certificats (CRL).
1. Pour accéder à la ONTAP CLI, établissez une session SSH sur le port de gestion du système de fichiers Amazon FSx for NetApp ONTAP ou de la SVM en exécutant la commande suivante. Remplacez `management_endpoint_ip` par l'adresse IP du port de gestion du système de fichiers.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Pour de plus amples informations, veuillez consulter [Gestion des systèmes de fichiers à l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilisez la commande `security ipsec policy create` NetApp ONTAP CLI comme suit, en remplaçant les *sample* valeurs par vos valeurs spécifiques.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-remote-identity client_side_identity
```
**Pour configurer IPsec pour plusieurs clients à l'aide d'une configuration Autoriser tous les clients**
Pour permettre à n'importe quel client, quelle que soit son adresse IP source, de se connecter à l'adresse IP IPsec activée par la SVM, utilisez le caractère générique `0.0.0.0/0` lorsque vous spécifiez le `remote-ip-subnets` champ.
En outre, vous devez spécifier le `remote-identity` champ avec l'identité correcte côté client. Pour l'authentification par certificat, vous pouvez entrer`ANYTHING`.
En outre, lorsque le joker 0.0.0.0/0 est utilisé, vous devez configurer un numéro de port local ou distant spécifique à utiliser. Par exemple, le port NFS 2049.
1. Pour accéder à la ONTAP CLI, établissez une session SSH sur le port de gestion du système de fichiers Amazon FSx for NetApp ONTAP ou de la SVM en exécutant la commande suivante. Remplacez `management_endpoint_ip` par l'adresse IP du port de gestion du système de fichiers.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Pour de plus amples informations, veuillez consulter [Gestion des systèmes de fichiers à l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilisez la commande `security ipsec policy create` NetApp ONTAP CLI comme suit, en remplaçant les *sample* valeurs par vos valeurs spécifiques.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-local-ports 2049 -remote-identity client_side_identity
```
# Gestion des identités et des accès pour Amazon FSx pour NetApp ONTAP
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon FSx . IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Amazon FSx pour NetApp ONTAP fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité pour Amazon FSx pour ONTAP NetApp](security_iam_id-based-policy-examples.md)
+ [Résolution des problèmes d'identité et d'accès à Amazon FSx for NetApp ONTAP](security_iam_troubleshoot.md)
+ [Utilisation de rôles liés à un service pour Amazon FSx](using-service-linked-roles.md)
+ [Utiliser des tags avec Amazon FSx](using-tags-fsx.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d'identité et d'accès à Amazon FSx for NetApp ONTAP](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon FSx pour NetApp ONTAP fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour Amazon FSx pour ONTAP NetApp](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération AWS CLI ou AWS API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Amazon FSx pour NetApp ONTAP fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à Amazon FSx, découvrez quelles fonctionnalités IAM peuvent être utilisées avec Amazon. FSx
**Fonctionnalités IAM que vous pouvez utiliser avec Amazon FSx pour ONTAP NetApp**
| Fonctionnalité IAM | FSx Assistance Amazon |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags) | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Transmission des sessions d’accès (FAS)](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles du service](#security_iam_service-with-iam-roles-service) | Non |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont Amazon FSx et les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez les [AWS services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur *IAM*.
## Politiques basées sur l'identité pour Amazon FSx
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour Amazon FSx
Pour consulter des exemples de politiques FSx basées sur l'identité d'Amazon, consultez. [Exemples de politiques basées sur l'identité pour Amazon FSx pour ONTAP NetApp](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources au sein d'Amazon FSx
**Prend en charge les politiques basées sur les ressources :** non
## Actions politiques pour Amazon FSx
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter la liste des FSx actions Amazon, consultez la section [Actions définies par Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) dans le *Service Authorization Reference*.
Les actions politiques sur Amazon FSx utilisent le préfixe suivant avant l'action :
```
fsx
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Pour consulter des exemples de politiques FSx basées sur l'identité d'Amazon, consultez. [Exemples de politiques basées sur l'identité pour Amazon FSx pour ONTAP NetApp](security_iam_id-based-policy-examples.md)
## Ressources relatives aux politiques pour Amazon FSx
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de FSx ressources Amazon et leurs caractéristiques ARNs, consultez la section [Ressources définies par Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies) dans le *Service Authorization Reference*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Pour consulter des exemples de politiques FSx basées sur l'identité d'Amazon, consultez. [Exemples de politiques basées sur l'identité pour Amazon FSx pour ONTAP NetApp](security_iam_id-based-policy-examples.md)
## Clés relatives aux conditions de politique pour Amazon FSx
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour consulter la liste des clés de FSx condition Amazon, consultez la section [Clés de condition pour Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys) dans la *référence d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Pour consulter des exemples de politiques FSx basées sur l'identité d'Amazon, consultez. [Exemples de politiques basées sur l'identité pour Amazon FSx pour ONTAP NetApp](security_iam_id-based-policy-examples.md)
## Listes de contrôle d'accès (ACLs) sur Amazon FSx
**Supports ACLs :** Non
## Contrôle d'accès basé sur les attributs (ABAC) avec Amazon FSx
**Prise en charge d’ABAC (balises dans les politiques) :** Oui
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d'informations sur le balisage des FSx ressources Amazon, consultez[Marquer les ressources Amazon FSx](tag-resources.md).
Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez [Utilisation de balises pour contrôler l'accès à vos FSx ressources Amazon](using-tags-fsx.md#restrict-fsx-access-tags).
## Utilisation d'informations d'identification temporaires avec Amazon FSx
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Transférer les sessions d'accès pour Amazon FSx
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour Amazon FSx
**Prend en charge les rôles de service :** Non
## Rôles liés à un service pour Amazon FSx
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour en savoir plus sur la création ou la gestion des rôles FSx liés aux services Amazon, consultez. [Utilisation de rôles liés à un service pour Amazon FSx](using-service-linked-roles.md)
# Exemples de politiques basées sur l'identité pour Amazon FSx pour ONTAP NetApp
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier FSx des ressources Amazon. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par Amazon FSx, y compris le format ARNs de chaque type de ressource, consultez la section [Actions, ressources et clés de condition pour Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html) dans le *Service Authorization Reference*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la FSx console Amazon](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer FSx des ressources Amazon dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la FSx console Amazon
Pour accéder à la console Amazon FSx for NetApp ONTAP, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les informations relatives aux FSx ressources Amazon présentes dans votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la FSx console Amazon, associez également la politique `AmazonFSxConsoleReadOnlyAccess` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Vous pouvez consulter les politiques relatives `AmazonFSxConsoleReadOnlyAccess` aux services FSx gérés d'Amazon et les autres dans[AWS politiques gérées pour Amazon FSx for NetApp ONTAP](security-iam-awsmanpol.md).
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Résolution des problèmes d'identité et d'accès à Amazon FSx for NetApp ONTAP
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon FSx et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action sur Amazon FSx](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures Compte AWS à moi à accéder à mes FSx ressources Amazon](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action sur Amazon FSx
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `fsx:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `fsx:GetWidget`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Amazon FSx.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action sur Amazon FSx. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures Compte AWS à moi à accéder à mes FSx ressources Amazon
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon FSx prend en charge ces fonctionnalités, consultez[Comment Amazon FSx pour NetApp ONTAP fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation de rôles liés à un service pour Amazon FSx
Amazon FSx utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon. FSx Les rôles liés au service sont prédéfinis par Amazon FSx et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon FSx , car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon FSx définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon FSx peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos FSx ressources Amazon, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées à un service pour Amazon FSx
Amazon FSx utilise le rôle lié à un service nommé **AWSServiceRoleForAmazonFSx**— qui exécute certaines actions dans votre compte, comme la création d'interfaces réseau élastiques pour vos systèmes de fichiers dans votre VPC et la publication de statistiques de système de fichiers et de volume dans. CloudWatch
Pour connaître les mises à jour de cette politique, consultez [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
**Détails de l’autorisation**
Les autorisations de AWSService RoleForAmazon FSx rôle sont définies par la politique FSx ServiceRolePolicy AWS gérée par Amazon. AWSServiceRoleForAmazonFSx Il dispose des autorisations suivantes :
**Note**
AWSServiceRoleForAmazonFSx Il est utilisé par tous les types de systèmes de FSx fichiers Amazon ; certaines des autorisations répertoriées ne s'appliquent pas FSx à ONTAP.
+ `ds`— Permet FSx à Amazon de consulter, d'autoriser et d'annuler les applications de votre Directory Service annuaire.
+ `ec2`— Permet FSx à Amazon d'effectuer les opérations suivantes :
+ Affichez, créez et dissociez les interfaces réseau associées à un système de FSx fichiers Amazon.
+ Affichez une ou plusieurs adresses IP élastiques associées à un système de FSx fichiers Amazon.
+ Affichez Amazon VPCs, les groupes de sécurité et les sous-réseaux associés à un système de FSx fichiers Amazon.
+ Attribuez des IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise.
+ Annulez l'attribution d' IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise.
+ Fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ Créez une autorisation permettant à un utilisateur AWS autorisé d'effectuer certaines opérations sur une interface réseau.
+ `cloudwatch`— Permet FSx à Amazon de publier des points de données métriques CloudWatch sous l'espace de FSx noms AWS/.
+ `route53`— Permet FSx à Amazon d'associer un Amazon VPC à une zone hébergée privée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
}
]
}
```
------
Toute mise à jour de cette politique est décrite dans[Amazon FSx met à jour AWS ses politiques gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations du rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le Guide de l’utilisateur IAM.
## Création d'un rôle lié à un service pour Amazon FSx
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un système de fichiers dans l' AWS Management Console IAM CLI ou l'API IAM, Amazon FSx crée le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un système de fichiers, Amazon FSx crée à nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour Amazon FSx
Amazon FSx ne vous autorise pas à modifier le rôle AWSService RoleForAmazon FSx lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour Amazon FSx
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Toutefois, vous devez supprimer tous vos systèmes de fichiers et toutes vos sauvegardes avant de pouvoir supprimer manuellement le rôle lié à un service.
**Note**
Si le FSx service Amazon utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, l’interface de ligne de commande IAM ou l’API IAM pour supprimer le rôle lié à un service AWSServiceRoleForAmazonFSx. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles FSx liés aux services Amazon
Amazon FSx prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Utiliser des tags avec Amazon FSx
Vous pouvez utiliser des balises pour contrôler l'accès aux FSx ressources Amazon et pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour appliquer des balises aux FSx ressources Amazon lors de la création, les utilisateurs doivent disposer de certaines autorisations Gestion des identités et des accès AWS (IAM).
## Accorder l’autorisation de baliser les ressources lors de la création
Avec certaines actions d' FSx API Amazon qui créent des ressources, vous pouvez spécifier des balises lors de la création de la ressource. Vous pouvez utiliser ces balises de ressources pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
Pour que les utilisateurs puissent étiqueter les ressources lors de leur création, ils doivent être autorisés à utiliser l'action qui crée la ressource`fsx:CreateFileSystem`, telle que`fsx:CreateStorageVirtualMachine`, ou`fsx:CreateVolume`. Si des balises sont spécifiées dans l'action de création de ressources, IAM octroie une autorisation supplémentaire à l'`fsx:TagResource`action afin de vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d’utiliser l’action `fsx:TagResource`.
L'exemple de politique suivant permet aux utilisateurs de créer des systèmes de fichiers et des machines virtuelles de stockage (SVMs) et de leur appliquer des balises lors de leur création dans un environnement spécifique Compte AWS.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*",
"arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*"
]
}
]
}
```
De même, la politique suivante permet aux utilisateurs de créer des sauvegardes sur un système de fichiers spécifique et d'appliquer des balises à la sauvegarde lors de la création de la sauvegarde.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
L'`fsx:TagResource`action est évaluée uniquement si des balises sont appliquées lors de l'action de création de ressources. Par conséquent, un utilisateur autorisé à créer une ressource (en supposant qu'il n'existe aucune condition de balisage) n'a pas besoin d'autorisation pour utiliser l'`fsx:TagResource`action si aucune balise n'est spécifiée dans la demande. Toutefois, si l’utilisateur essaie de créer une ressource avec des balises, la demande échoue s’il n’a pas les autorisations d’utiliser l’action `fsx:TagResource`.
Pour plus d'informations sur le balisage des FSx ressources Amazon, consultez[Marquer les ressources Amazon FSx](tag-resources.md). Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès aux FSx ressources Amazon, consultez[Utilisation de balises pour contrôler l'accès à vos FSx ressources Amazon](#restrict-fsx-access-tags).
## Utilisation de balises pour contrôler l'accès à vos FSx ressources Amazon
Pour contrôler l'accès aux FSx ressources et aux actions Amazon, vous pouvez utiliser des politiques IAM basées sur des balises. Vous pouvez fournir le contrôle de deux manières :
+ Vous pouvez contrôler l'accès aux FSx ressources Amazon en fonction des balises associées à ces ressources.
+ Vous pouvez contrôler les balises qui peuvent être transmises dans une condition de demande IAM.
Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès aux AWS ressources, consultez la section [Contrôle de l'accès à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*. Pour plus d'informations sur le balisage des FSx ressources Amazon lors de leur création, consultez[Accorder l’autorisation de baliser les ressources lors de la création](#supported-iam-actions-tagging). Pour plus d’informations sur le balisage des ressources, consultez [Marquer les ressources Amazon FSx](tag-resources.md).
### Contrôle de l’accès en fonction des balises sur une ressource
Pour contrôler les actions qu'un utilisateur ou un rôle peut effectuer sur une FSx ressource Amazon, vous pouvez utiliser des balises sur la ressource. Par exemple, vous pouvez autoriser ou refuser des opérations d’API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.
**Example Exemple de politique — Création d'un système de fichiers uniquement lorsqu'une balise spécifique est utilisée**
Cette politique permet à l'utilisateur de créer un système de fichiers uniquement lorsqu'il le balise avec une paire clé-valeur spécifique, dans cet exemple,,`key=Department`. `value=Finance`
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Exemple de politique — Création de sauvegardes uniquement d'Amazon FSx pour les volumes NetApp ONTAP dotés d'une balise spécifique**
Cette politique permet aux utilisateurs de créer des sauvegardes uniquement FSx pour les volumes ONTAP marqués avec la paire clé-valeur,. `key=Department` `value=Finance` La sauvegarde est créée avec le tag`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemple de politique — Création d'un volume avec une balise spécifique à partir de sauvegardes dotées d'une balise spécifique**
Cette politique permet aux utilisateurs de créer des volumes étiquetés avec `Department=Finance` uniquement à partir de sauvegardes étiquetées avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemple de politique — Supprimer des systèmes de fichiers dotés de balises spécifiques**
Cette politique permet à un utilisateur de supprimer uniquement les systèmes de fichiers marqués avec`Department=Finance`. S'ils créent une sauvegarde finale, elle doit être étiquetée avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemple de politique — Supprimer un volume avec des balises spécifiques**
Cette politique permet à un utilisateur de supprimer uniquement les volumes marqués avec`Department=Finance`. S'ils créent une sauvegarde finale, elle doit être étiquetée avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteVolume"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# AWS politiques gérées pour Amazon FSx for NetApp ONTAP
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## Amazon FSx ServiceRolePolicy
Permet FSx à Amazon de gérer les AWS ressources en votre nom. Pour en savoir plus, consultez [Utilisation de rôles liés à un service pour Amazon FSx](using-service-linked-roles.md).
## AWS politique gérée : Amazon FSx DeleteServiceLinkedRoleAccess
Vous ne pouvez pas joindre de `AmazonFSxDeleteServiceLinkedRoleAccess` à vos entités IAM. Cette politique est liée à un service et utilisée uniquement avec le rôle lié au service pour ce service. Vous ne pouvez pas joindre, détacher, modifier ou supprimer cette politique. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Amazon FSx](using-service-linked-roles.md).
Cette politique accorde des autorisations administratives qui permettent FSx à Amazon de supprimer son rôle lié au service pour l'accès à Amazon S3, utilisé uniquement par Amazon FSx pour Lustre.
**Détails de l’autorisation**
Cette politique inclut des autorisations permettant `iam` FSx à Amazon de consulter, de supprimer et de consulter le statut de suppression des rôles liés au FSx service pour l'accès à Amazon S3.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx FullAccess
Vous pouvez associer Amazon FSx FullAccess à vos entités IAM. Amazon associe FSx également cette politique à un rôle de service qui permet FSx à Amazon d'effectuer des actions en votre nom.
Fournit un accès complet à Amazon FSx et aux AWS services associés.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `fsx`— Permet aux principaux un accès complet pour effectuer toutes les FSx actions Amazon, à l'exception `BypassSnaplockEnterpriseRetention` de.
+ `ds`— Permet aux directeurs d'accéder aux informations relatives aux Directory Service annuaires.
+ `ec2`
+ Permet aux principaux de créer des balises dans les conditions spécifiées.
+ Fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ `iam`— Permet aux principes de créer un rôle lié à un FSx service Amazon au nom de l'utilisateur. Cela est nécessaire pour qu'Amazon FSx puisse gérer les AWS ressources au nom de l'utilisateur.
+ `firehose`— Permet aux directeurs d'écrire des enregistrements sur un Amazon Data Firehose. Cela est nécessaire FSx pour que les utilisateurs puissent surveiller l'accès au système de fichiers Windows File Server en envoyant des journaux d'accès d'audit à Firehose.
+ `logs`— Permet aux principaux de créer des groupes de journaux, des flux de journaux et d'écrire des événements dans des flux de journaux. Cela est nécessaire FSx pour que les utilisateurs puissent surveiller l'accès au système de fichiers Windows File Server en envoyant les journaux d'accès aux audits à CloudWatch Logs.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx ConsoleFullAccess
Vous pouvez associer la politique `AmazonFSxConsoleFullAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent un accès complet à Amazon FSx et l'accès aux AWS services associés via le AWS Management Console.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `fsx`— Permet aux principaux d'effectuer toutes les actions dans la console de FSx gestion Amazon, à l'exception `BypassSnaplockEnterpriseRetention` de.
+ `cloudwatch`— Permet aux principaux de consulter les CloudWatch alarmes et les statistiques dans la console FSx de gestion Amazon.
+ `ds`— Permet aux principaux de répertorier les informations relatives à un Directory Service répertoire.
+ `ec2`
+ Permet aux principaux de créer des balises sur les tables de routage, de répertorier les interfaces réseau, les tables de routage, les groupes de sécurité, les sous-réseaux et le VPC associé à un système de fichiers Amazon. FSx
+ Permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ Permet aux principaux de visualiser les interfaces réseau élastiques associées à un système de FSx fichiers Amazon.
+ `kms`— Permet aux principaux de répertorier les alias des AWS Key Management Service clés.
+ `s3`— Permet aux principaux de répertorier certains ou tous les objets d'un compartiment Amazon S3 (jusqu'à 1 000).
+ `secretsmanager`— Permet aux principaux de répertorier les secrets AWS Secrets Manager pour sélectionner les informations d'identification du compte de service de connexion à un domaine.
+ `iam`— Accorde l'autorisation de créer un rôle lié à un service qui permet FSx à Amazon d'effectuer des actions au nom de l'utilisateur.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx ConsoleReadOnlyAccess
Vous pouvez associer la politique `AmazonFSxConsoleReadOnlyAccess` à vos identités IAM.
Cette politique accorde des autorisations en lecture seule à Amazon FSx et aux AWS services associés afin que les utilisateurs puissent consulter les informations relatives à ces services dans le. AWS Management Console
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `fsx`— Permet aux principaux de consulter les informations relatives aux systèmes de FSx fichiers Amazon, y compris toutes les balises, dans l'Amazon FSx Management Console.
+ `cloudwatch`— Permet aux principaux de consulter les CloudWatch alarmes et les statistiques dans l'Amazon FSx Management Console.
+ `ds`— Permet aux principaux de consulter les informations relatives à un Directory Service annuaire dans Amazon FSx Management Console.
+ `ec2`
+ Permet aux principaux de visualiser les interfaces réseau, les groupes de sécurité, les sous-réseaux et le VPC associé à un système de FSx fichiers Amazon dans l'Amazon Management Console. FSx
+ Permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ Permet aux principaux de visualiser les interfaces réseau élastiques associées à un système de FSx fichiers Amazon.
+ `kms`— Permet aux principaux de consulter les alias des AWS Key Management Service clés dans l'Amazon FSx Management Console.
+ `log`— Permet aux principaux de décrire les groupes de CloudWatch journaux Amazon Logs associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server.
+ `secretsmanager`— Permet aux principaux de répertorier les secrets AWS Secrets Manager pour sélectionner les informations d'identification du compte de service de connexion à un domaine.
+ `firehose`— Permet aux principaux de décrire les flux de diffusion Amazon Data Firehose associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx ReadOnlyAccess
Vous pouvez associer la politique `AmazonFSxReadOnlyAccess` à vos identités IAM.
+ `fsx`— Permet aux principaux de consulter les informations relatives aux systèmes de FSx fichiers Amazon, y compris toutes les balises, dans l'Amazon FSx Management Console.
+ `ec2`— Fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) dans le AWS Managed Policy Reference Guide.
## Amazon FSx met à jour AWS ses politiques gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon FSx depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la FSx [Historique du document pour Amazon FSx pour NetApp ONTAP](document-history.md) page Amazon.
| Modifier | Description | Date |
| --- | --- | --- |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `secretsmanager:ListSecrets` qui permet aux principaux de répertorier les secrets AWS Secrets Manager pour sélectionner les informations d'identification du compte du service de connexion à un domaine. | 5 novembre 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `secretsmanager:ListSecrets` qui permet aux principaux de répertorier les secrets AWS Secrets Manager pour sélectionner les informations d'identification du compte du service de connexion à un domaine. | 3 novembre 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:AssignIpv6Addresses` qui permet aux principaux d'attribuer des IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise. | 22 juillet 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:UnassignIpv6Addresses` qui permet aux principaux d'annuler l'attribution d' IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise. | 22 juillet 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:CreateAndAttachS3AccessPoint` qui permet aux principaux de créer un point d'accès S3 et de l'associer à un FSx volume. | 25 juin 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DescribeS3AccessPointAttachments` qui permet aux principaux de répertorier tous les points d'accès S3 Compte AWS dans un Région AWS. | 25 juin 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DetachAndDeleteS3AccessPoint` qui permet aux principaux de supprimer un point d'accès S3. | 25 juin 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:CreateAndAttachS3AccessPoint` qui permet aux principaux de créer un point d'accès S3 et de l'associer à un FSx volume. | 25 juin 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DescribeS3AccessPointAttachments` qui permet aux principaux de répertorier tous les points d'accès S3 Compte AWS dans un Région AWS. | 25 juin 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DetachAndDeleteS3AccessPoint` qui permet aux principaux de supprimer un point d'accès S3. | 25 juin 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:DescribeNetworkInterfaces` qui permet aux principaux de consulter les interfaces réseau élastiques associées à leur système de fichiers. | 25 février 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:DescribeNetworkInterfaces` qui permet aux principaux de consulter les interfaces réseau élastiques associées à leur système de fichiers. | 07 février 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation pour permettre aux utilisateurs d'effectuer une réplication de données entre régions et entre comptes FSx pour les systèmes de fichiers OpenZFS. | 20 décembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation pour permettre aux utilisateurs d'effectuer une réplication de données entre régions et entre comptes FSx pour les systèmes de fichiers OpenZFS. | 20 décembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation permettant aux utilisateurs d'effectuer une réplication à la demande de volumes FSx pour les systèmes de fichiers OpenZFS. | 26 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation permettant aux utilisateurs d'effectuer une réplication à la demande de volumes FSx pour les systèmes de fichiers OpenZFS. | 26 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs d'afficher, d'activer et de désactiver le support VPC partagé FSx pour les systèmes de fichiers ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs d'afficher, d'activer et de désactiver le support VPC partagé FSx pour les systèmes de fichiers ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de gérer les configurations réseau FSx pour les systèmes de fichiers OpenZFS Multi-AZ. | 9 août 2023 |
| [AWS politique gérée : Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon a FSx modifié l'`cloudwatch:PutMetricData`autorisation existante afin qu'Amazon FSx publie CloudWatch les métriques dans l'espace de `AWS/FSx` noms. | 24 juillet 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon a FSx mis à jour la politique afin de supprimer l'`fsx:*`autorisation et d'ajouter des `fsx` actions spécifiques. | 13 juillet 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon a FSx mis à jour la politique afin de supprimer l'`fsx:*`autorisation et d'ajouter des `fsx` actions spécifiques. | 13 juillet 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter les indicateurs de performance améliorés et les actions recommandées FSx pour les systèmes de fichiers Windows File Server dans la FSx console Amazon. | 21 septembre 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter les indicateurs de performance améliorés et les actions recommandées FSx pour les systèmes de fichiers Windows File Server dans la FSx console Amazon. | 21 septembre 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Politique de suivi mise en place | Cette politique accorde un accès en lecture seule à toutes les FSx ressources Amazon et à tous les tags qui leur sont associés. | 4 février 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) — Politique de suivi mise en place | Cette politique accorde des autorisations administratives qui permettent FSx à Amazon de supprimer son rôle lié au service pour accéder à Amazon S3. | 7 janvier 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de gérer les configurations réseau pour les systèmes de fichiers Amazon FSx for NetApp ONTAP. | 2 septembre 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre à Amazon FSx de créer des balises sur les tables de routage EC2 pour les appels délimités. | 2 septembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre à Amazon FSx de créer des systèmes de fichiers multi-AZ Amazon FSx pour NetApp ONTAP. | 2 septembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre à Amazon FSx de créer des balises sur les tables de routage EC2 pour les appels délimités. | 2 septembre 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de décrire et d'écrire dans les flux de CloudWatch journaux Logs. Cela est nécessaire pour que les utilisateurs puissent consulter les journaux d'audit d'accès aux fichiers FSx pour les systèmes de fichiers Windows File Server à l'aide CloudWatch des journaux. | 8 juin 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de décrire et d'écrire dans les flux de diffusion Amazon Data Firehose. Cela est nécessaire pour que les utilisateurs puissent consulter les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server à l'aide d'Amazon Data Firehose. | 8 juin 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire et de créer des journaux, des groupes de CloudWatch journaux, des flux de journaux et d'écrire des événements dans des flux de journaux. Cela est nécessaire pour que les principaux puissent consulter les journaux d'audit d'accès aux fichiers FSx pour les systèmes de fichiers Windows File Server à l'aide des CloudWatch journaux. | 8 juin 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire et d'écrire des enregistrements sur un Amazon Data Firehose. Cela est nécessaire pour que les utilisateurs puissent consulter les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server à l'aide d'Amazon Data Firehose. | 8 juin 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les groupes de CloudWatch journaux Amazon Logs associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent choisir un groupe de CloudWatch journaux Logs existant lors de la configuration de l'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server. | 8 juin 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les flux de diffusion Amazon Data Firehose associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent choisir un flux de diffusion Firehose existant lors de la configuration de l'audit d'accès aux fichiers pour FSx un système de fichiers Windows File Server. | 8 juin 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les groupes de CloudWatch journaux Amazon Logs associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server. | 8 juin 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les flux de diffusion Amazon Data Firehose associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server. | 8 juin 2021 |
| Amazon FSx a commencé à suivre les modifications | Amazon FSx a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 8 juin 2021 |
# Contrôle d'accès au système de fichiers avec Amazon VPC
Vous accédez à vos systèmes de fichiers Amazon FSx for NetApp ONTAP SVMs en utilisant le nom DNS ou l'adresse IP de l'un de leurs points de terminaison, selon le type d'accès dont il s'agit. Le nom DNS correspond à l'adresse IP privée de l'interface Elastic network du système de fichiers ou de la SVM dans votre VPC. Seules les ressources du VPC associé, ou les ressources connectées au VPC associé par un VPN, peuvent accéder aux données de votre système de fichiers via les protocoles NFS, SMB Direct Connect ou iSCSI. Pour plus d'informations, consultez [Qu'est-ce qu'Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) dans le guide de l'*utilisateur Amazon VPC*.
**Avertissement**
Vous ne devez ni modifier ni supprimer les interfaces elastic network associées à votre système de fichiers. La modification ou la suppression de l'interface réseau peut entraîner une perte permanente de connexion entre votre VPC et votre système de fichiers.
## Groupes de sécurité Amazon VPC
Un groupe de sécurité agit comme un pare-feu virtuel pour vos systèmes de fichiers FSx for ONTAP afin de contrôler le trafic entrant et sortant. Les règles entrantes contrôlent le trafic entrant vers votre système de fichiers, tandis que les règles sortantes contrôlent le trafic sortant de votre système de fichiers. Lorsque vous créez un système de fichiers, vous spécifiez le VPC dans lequel il est créé et le groupe de sécurité par défaut pour ce VPC est appliqué. Vous pouvez ajouter des règles à chaque groupe de sécurité qui autorisent le trafic à destination ou en provenance de ses systèmes de fichiers associés et SVMs. Vous pouvez modifier les règles d'un groupe de sécurité à tout moment. Les règles nouvelles et modifiées sont automatiquement appliquées à toutes les ressources associées au groupe de sécurité. Lorsqu'Amazon FSx décide d'autoriser ou non le trafic à atteindre une ressource, il évalue toutes les règles de tous les groupes de sécurité associés à la ressource.
Pour utiliser un groupe de sécurité afin de contrôler l'accès à votre système de FSx fichiers Amazon, ajoutez des règles d'entrée et de sortie. Les règles entrantes contrôlent le trafic entrant, tandis que les règles sortantes contrôlent le trafic sortant de votre système de fichiers. Assurez-vous que vous disposez des bonnes règles de trafic réseau dans votre groupe de sécurité pour mapper le partage de FSx fichiers de votre système de fichiers Amazon à un dossier de votre instance de calcul prise en charge.
Pour plus d'informations sur les règles des groupes de sécurité, consultez [la section Règles des groupes de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules) dans le *guide de l'utilisateur Amazon EC2*.
### Création d’un groupe de sécurité VPC
**Pour créer un groupe de sécurité pour Amazon FSx**
1. [Ouvrez la console Amazon EC2 à l'adresse /ec2. https://console.aws.amazon.com](https://console.aws.amazon.com/ec2)
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Sélectionnez **Créer un groupe de sécurité**.
1. Attribuez un nom et une description au groupe de sécurité.
1. Pour le **VPC**, choisissez l'Amazon VPC associé à votre système de fichiers pour créer le groupe de sécurité au sein de ce VPC.
1. Pour les règles de sortie, autorisez tout le trafic sur tous les ports.
1. Ajoutez les règles suivantes aux ports entrants de votre groupe de sécurité. Pour le champ **source**, vous devez choisir **Personnalisé** et saisir les groupes de sécurité ou les plages d'adresses IP associés aux instances qui doivent accéder à votre système de fichiers FSx for ONTAP, notamment :
+ Clients Linux, Windows ou and/or macOS qui accèdent aux données de votre système de fichiers via NFS, SMB ou iSCSI.
+ Tout fichier ONTAP systems/clusters que vous allez associer à votre système de fichiers (par exemple, pour utiliser SnapMirror SnapVault, ou FlexCache).
+ Tous les clients que vous utiliserez pour accéder à l'API ONTAP REST, à la CLI ou ZAPIs (par exemple, une Harvest/Grafana instance, un NetApp connecteur ou une NetApp console).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/limit-access-security-groups.html)
1. Ajoutez le groupe de sécurité à l'interface elastic network du système de fichiers.
#### Interdire l'accès à un système de fichiers
Pour interdire temporairement à tous les clients l'accès réseau à votre système de fichiers, vous pouvez supprimer tous les groupes de sécurité associés aux interfaces Elastic Network de votre système de fichiers et les remplacer par un groupe dépourvu de inbound/outbound règles.
# Validation de conformité pour Amazon FSx pour NetApp ONTAP
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Amazon FSx pour NetApp ONTAP et points de terminaison VPC d'interface ()AWS PrivateLink
Vous pouvez améliorer le niveau de sécurité de votre VPC en configurant Amazon FSx pour qu'il utilise un point de terminaison VPC d'interface. Les points de terminaison VPC d'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink)une technologie qui vous permet d'accéder à Amazon en privé FSx APIs sans passerelle Internet, appareil NAT, connexion VPN ou connexion. Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec Amazon. FSx APIs Le trafic entre votre VPC et Amazon FSx ne quitte pas le AWS réseau.
Chaque point de terminaison VPC d'interface est représenté par une ou plusieurs interfaces réseau élastiques dans vos sous-réseaux. Une interface réseau fournit une adresse IP privée qui sert de point d'entrée pour le trafic vers l' FSx API Amazon. Amazon FSx prend en charge les points de terminaison VPC configurés avec des types d' IPv4 adresses IP Dualstack (IPv4 et IPv6). Pour plus d'informations, consultez la section [Création d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) dans le guide de l'utilisateur Amazon *VPC*.
## Considérations relatives aux points de terminaison FSx VPC de l'interface Amazon
Avant de configurer un point de terminaison VPC d'interface pour Amazon FSx, assurez-vous de consulter les [propriétés et les limites du point de terminaison d'interface VPC dans](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) le guide de l'utilisateur Amazon *VPC*.
Vous pouvez appeler n'importe quelle opération d' FSx API Amazon depuis votre VPC. Par exemple, vous pouvez créer un système de fichiers FSx pour ONTAP en appelant l' CreateFileSystem API depuis votre VPC. Pour obtenir la liste complète d'Amazon FSx APIs, consultez la section [Actions](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) du manuel Amazon FSx API Reference.
### Considérations relatives au peering VPC
Vous pouvez en connecter d'autres VPCs au VPC à l'aide de points de terminaison VPC d'interface à l'aide du peering VPC. Le peering VPC est une connexion réseau entre deux. VPCs Vous pouvez établir une connexion d'appairage VPC entre les vôtres ou avec un VPC dans un autre. VPCs Compte AWS Ils VPCs peuvent également être en deux versions différentes Régions AWS.
Le trafic entre pairs VPCs reste sur le AWS réseau et ne traverse pas l'Internet public. Une fois que les VPC sont pairs, les ressources telles que les instances Amazon Elastic Compute Cloud (Amazon EC2) présentes dans les deux instances VPCs peuvent accéder à l' FSx API Amazon via les points de terminaison VPC d'interface créés dans l'un des. VPCs
## Création d'un point de terminaison VPC d'interface pour Amazon API FSx
Vous pouvez créer un point de terminaison VPC pour l' FSx API Amazon à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d'informations, consultez la section [Création d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) dans le guide de l'utilisateur Amazon *VPC*.
Pour créer un point de terminaison VPC d'interface pour Amazon FSx, utilisez l'une des méthodes suivantes :
+ `com.amazonaws.region.fsx`— Crée un point de terminaison pour les opérations FSx d'API Amazon.
+ **`com.amazonaws.region.fsx-fips`**— Crée un point de terminaison pour l' FSx API Amazon conforme à la [norme fédérale de traitement de l'information (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Pour utiliser l'option DNS privé, vous devez définir les `enableDnsSupport` attributs `enableDnsHostnames` et de votre VPC. Pour plus d'informations, consultez la section [Affichage et mise à jour du support DNS pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) dans le guide de l'utilisateur Amazon *VPC*.
Sauf Régions AWS en Chine, si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à Amazon FSx avec le point de terminaison VPC en utilisant son nom DNS par défaut pour le Région AWS, par exemple. `fsx.us-east-1.amazonaws.com` Pour la Chine (Pékin) et la Chine (Ningxia) Régions AWS, vous pouvez effectuer des demandes d'API avec le point de terminaison VPC `fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn` en utilisant `fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn` et, respectivement.
Pour plus d'informations, consultez la section [Accès à un service via un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) dans le guide de l'utilisateur Amazon *VPC*.
## Création d'une politique de point de terminaison VPC pour Amazon FSx
Pour contrôler l'accès à l' FSx API Amazon, vous pouvez associer une politique Gestion des identités et des accès AWS (IAM) à votre point de terminaison VPC. La stratégie spécifie les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services avec points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.
# Résilience dans Amazon FSx pour NetApp ONTAP
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
Outre l'infrastructure AWS mondiale, Amazon FSx propose plusieurs fonctionnalités pour répondre à vos besoins en matière de résilience et de sauvegarde des données.
## Sauvegarde et restauration
Amazon FSx crée et enregistre des sauvegardes automatisées des volumes de votre système de fichiers Amazon FSx for NetApp ONTAP. Amazon FSx crée des sauvegardes automatiques de vos volumes pendant la fenêtre de sauvegarde de votre système de fichiers Amazon FSx for NetApp ONTAP. Amazon FSx enregistre les sauvegardes automatisées de vos volumes conformément à la période de conservation des sauvegardes que vous spécifiez. Vous pouvez également sauvegarder vos volumes manuellement, en créant une sauvegarde initiée par l'utilisateur. Vous pouvez restaurer une sauvegarde de volume à tout moment en créant un nouveau volume avec la sauvegarde spécifiée comme source.
Pour de plus amples informations, veuillez consulter [Protection de vos données grâce à des sauvegardes en volume](using-backups.md).
## Instantanés
Amazon FSx crée des copies instantanées des volumes Amazon FSx for NetApp ONTAP. Les copies instantanées offrent une protection contre la suppression ou la modification accidentelle de fichiers de vos volumes par les utilisateurs finaux. Pour de plus amples informations, veuillez consulter [Protection de vos données grâce à des instantanés](snapshots-ontap.md).
## Zones de disponibilité
Les systèmes de fichiers Amazon FSx for NetApp ONTAP sont conçus pour garantir la disponibilité continue des données, même en cas de panne du serveur. Chaque système de fichiers est alimenté par deux serveurs de fichiers situés dans au moins une zone de disponibilité, chacun disposant de son propre espace de stockage. Amazon réplique FSx automatiquement vos données pour les protéger contre les défaillances des composants, surveille en permanence les défaillances matérielles et remplace automatiquement les composants de l'infrastructure en cas de panne. Les systèmes de fichiers basculent automatiquement selon les besoins (généralement dans les 60 secondes), et les clients basculent automatiquement à plusieurs reprises avec le système de fichiers.
### Systèmes de fichiers multi-AZ
Les systèmes de fichiers Amazon FSx pour NetApp ONTAP sont hautement disponibles et durables dans toutes les zones de AWS disponibilité, et sont conçus pour garantir une disponibilité continue des données, même en cas d'indisponibilité d'une zone de disponibilité.
Pour de plus amples informations, veuillez consulter [Disponibilité, durabilité et options de déploiement](high-availability-AZ.md).
### Systèmes de fichiers mono-AZ
Les systèmes de fichiers Amazon FSx for NetApp ONTAP sont hautement disponibles et durables au sein d'une seule zone de AWS disponibilité, et sont conçus pour assurer une disponibilité continue au sein de cette zone de disponibilité en cas de défaillance d'un serveur de fichiers ou d'un disque individuel.
Pour de plus amples informations, veuillez consulter [Disponibilité, durabilité et options de déploiement](high-availability-AZ.md).
# Sécurité de l'infrastructure dans Amazon FSx pour NetApp ONTAP
En tant que service géré, Amazon FSx for NetApp ONTAP est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon FSx via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# Utiliser NetApp ONTAP Vscan avec FSx for ONTAP
Vous pouvez utiliser la fonction NetApp ONTAP's Vscan pour exécuter un logiciel antivirus tiers compatible. Pour plus d'informations, consultez les ressources suivantes pour chacune des solutions prises en charge.
+ Deep Instinct — [Solutions partenaires Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) et [documentation Deep Instinct 1](https://portal.deepinstinct.com/pages/dikb)
+ SentinelOne — [Solutions partenaires Vscan et sécurité des](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) données [SentinelOne Singularity Cloud](https://www.sentinelone.com/platform/singularity-cloud-data-security)
+ [Solutions partenaires Symantec — Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) et [Symantec](https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/symantec-protection-engine/9-1-0.html) Protection Engine
+ [Trellix (anciennement McAfee) — [Solutions partenaires Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) et documentation sur les produits Trellix](https://docs.trellix.com/)
+ Trend Micro — [Solutions partenaires Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)
**Note**
1 Vous devez vous connecter au portail de Deep Instinct pour consulter leur documentation.
# ONTAPrôles et utilisateurs
NetApp ONTAPinclut une fonctionnalité de contrôle d'accès basé sur les rôles (RBAC) robuste et extensible. ONTAPles rôles définissent les capacités et les privilèges des utilisateurs lors de l'utilisation de la ONTAP CLI et de l'API REST. Chaque rôle définit un niveau différent de capacités et de privilèges administratifs. Vous attribuez des rôles aux utilisateurs dans le but de contrôler leur accès aux ressources ONTAP lors FSx de l'utilisation de l'ONTAPAPI REST et de la CLI. Des ONTAP rôles sont disponibles séparément FSx pour les utilisateurs du système de fichiers ONTAP et pour les utilisateurs de machines virtuelles de stockage (SVM).
Lorsque vous créez un système de fichiers FSx pour ONTAP, un ONTAP utilisateur par défaut est créé au niveau du système de fichiers et au niveau de la SVM. Vous pouvez créer des utilisateurs de systèmes de fichiers et de SVM supplémentaires, ainsi que des rôles de SVM supplémentaires pour répondre aux besoins de votre organisation. Ce chapitre explique ONTAP les utilisateurs et les rôles, et fournit des procédures détaillées pour créer des utilisateurs et des rôles de SVM supplémentaires.
## Rôles et utilisateurs de l'administrateur du système de fichiers
L'utilisateur du système de ONTAP fichiers par défaut est`fsxadmin`, à qui le `fsxadmin` rôle est assigné. Vous pouvez attribuer deux rôles prédéfinis aux utilisateurs du système de fichiers, répertoriés comme suit :
+ **`fsxadmin`**—Les administrateurs dotés de ce rôle disposent de droits illimités dans le ONTAP système. Ils peuvent configurer toutes les ressources du système de fichiers et de la SVM disponibles sur les systèmes FSx de fichiers ONTAP.
+ **`fsxadmin-readonly`**—Les administrateurs dotés de ce rôle peuvent tout afficher au niveau du système de fichiers, mais ne peuvent apporter aucune modification.
Ce rôle convient parfaitement aux applications de surveillance, notamment NetApp Harvest parce qu'il dispose d'un accès en lecture seule à toutes les ressources disponibles et à leurs propriétés, mais qu'il ne peut pas y apporter de modifications.
Vous pouvez créer des utilisateurs supplémentaires du système de fichiers et leur attribuer le `fsxadmin-readonly` rôle `fsxadmin` ou. Vous ne pouvez pas créer de nouveaux rôles ni modifier les rôles existants. Pour de plus amples informations, veuillez consulter [Création de nouveaux ONTAP utilisateurs pour l'administration du système de fichiers et des SVM](#file-system-roles-and-users).
Le tableau suivant décrit le niveau d'accès dont disposent les rôles d'administrateur de système de fichiers pour les commandes et les répertoires de commandes de la ONTAP CLI et de l'API REST.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html)
## Rôles et utilisateurs de l'administrateur de la SVM
Chaque SVM possède un domaine d'authentification distinct et peut être gérée indépendamment par ses propres administrateurs. Pour chaque SVM de votre système de fichiers, l'utilisateur par défaut est *vsadmin*, auquel le `vsadmin` rôle est attribué par défaut. Outre le `vsadmin` rôle, il existe d'autres rôles de SVM prédéfinis qui fournissent des autorisations limitées que vous pouvez attribuer aux utilisateurs de SVM. Vous pouvez également créer des rôles personnalisés qui fournissent le niveau de contrôle d'accès adapté aux besoins de votre organisation.
Les rôles prédéfinis pour les administrateurs de SVM et leurs capacités sont les suivants :
| Nom du rôle | Fonctionnalités |
| --- | --- |
| `vsadmin` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-volume` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-protocol` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-backup` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-snaplock` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-readonly` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/roles-and-users.html) |
Pour plus d'informations sur la création d'un nouveau rôle de SVM, consultez[Création de rôles de SVM](creating-new-svm-roles.md).
## Utilisation d'Active Directory pour authentifier les utilisateurs ONTAP
Vous pouvez authentifier l'accès des utilisateurs du domaine Windows Active Directory à un système de fichiers et à une SVM FSx for ONTAP. Vous devez effectuer les tâches suivantes avant que les comptes Active Directory puissent accéder à votre système de fichiers :
+ Vous devez configurer l'accès du contrôleur de domaine Active Directory à la SVM.
La SVM que vous utilisez pour configurer en tant que passerelle ou tunnel pour l'accès au contrôleur de domaine Active Directory doit soit avoir le protocole CIFS activé, soit être jointe à un Active Directory, soit les deux. Si vous n'activez pas le CIFS et que vous joignez uniquement la SVM du tunnel à une instance Active Directory, assurez-vous que la SVM est jointe à votre Active Directory. Pour de plus amples informations, veuillez consulter [Comment fonctionne SVMs l'adhésion à Microsoft Active Directory](self-managed-AD-join.md).
+ Vous devez activer un compte utilisateur de domaine Active Directory pour accéder au système de fichiers.
Vous pouvez utiliser l'authentification par mot de passe ou l'authentification par clé publique SSH pour les utilisateurs du domaine Windows accédant à la ONTAP CLI ou à l'API REST.
Pour les procédures décrivant comment configurer l'authentification Active Directory pour les administrateurs de systèmes de fichiers et de SVM, voir[Configuration de l'authentification Active Directory pour ONTAP les utilisateurs](set-up-ad-auth.md).
## Création de nouveaux ONTAP utilisateurs pour l'administration du système de fichiers et des SVM
Chaque ONTAP utilisateur est associé à une SVM ou au système de fichiers. Les utilisateurs du système de fichiers dotés de `fsxadmin` ce rôle peuvent créer de nouveaux rôles et utilisateurs de SVM à l'aide de la commande [https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html)ONTAPCLI.
La `security login create` commande crée une méthode de connexion pour l'utilitaire de gestion. Une méthode de connexion comprend un nom d'utilisateur, une application (méthode d'accès) et une méthode d'authentification. Un nom d'utilisateur peut être associé à plusieurs applications. Il peut éventuellement inclure un nom de rôle de contrôle d'accès. Si un nom de groupe Active Directory, LDAP ou NIS est utilisé, la méthode de connexion donne accès aux utilisateurs appartenant au groupe spécifié. Si l'utilisateur est membre de plusieurs groupes fournis dans la table de connexion de sécurité, il aura accès à une liste combinée des commandes autorisées pour les groupes individuels.
Pour plus d'informations sur la procédure de création d'un nouvel ONTAP utilisateur, consultez[Création d'utilisateurs ONTAP](create-new-ontap-users.md).
**Topics**
+ [Rôles et utilisateurs de l'administrateur du système de fichiers](#file-system-admin-roles)
+ [Rôles et utilisateurs de l'administrateur de la SVM](#svm-admin-roles)
+ [Utilisation d'Active Directory pour authentifier les utilisateurs ONTAP](#ad-tunneling)
+ [Création de nouveaux ONTAP utilisateurs pour l'administration du système de fichiers et des SVM](#file-system-roles-and-users)
+ [Création d'utilisateurs ONTAP](create-new-ontap-users.md)
+ [Création de rôles de SVM](creating-new-svm-roles.md)
+ [Configuration de l'authentification Active Directory pour ONTAP les utilisateurs](set-up-ad-auth.md)
+ [Configuration de l'authentification par clé publique](public-key-auth.md)
+ [Mise à jour des exigences relatives aux mots de passe pour les rôles de système de fichiers et de SVM](update-password-requirements.md)
+ [La mise à jour du mot de passe du `fsxadmin` compte échoue](updating-admin-password.md)
# Création d'utilisateurs ONTAP
**Pour créer un nouvel utilisateur de SVM ou de système de fichiers (ONTAPCLI)**
Seuls les utilisateurs du système de fichiers dotés de ce `fsxadmin` rôle peuvent créer de nouveaux utilisateurs de SVM et de systèmes de fichiers.
1. Pour accéder à la ONTAP CLI, établissez une session SSH sur le port de gestion du système de fichiers Amazon FSx for NetApp ONTAP ou de la SVM en exécutant la commande suivante. Remplacez `management_endpoint_ip` par l'adresse IP du port de gestion du système de fichiers.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Pour de plus amples informations, veuillez consulter [Gestion des systèmes de fichiers à l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilisez la commande `security login create` ONTAP CLI pour créer un nouveau compte utilisateur sur votre système de fichiers ou SVM FSx for ONTAP.
Insérez vos données pour les espaces réservés dans l'exemple afin de définir les propriétés obligatoires suivantes :
+ `-vserver`— Spécifie le nom de la SVM dans laquelle vous souhaitez créer le nouveau rôle ou utilisateur de SVM. Si vous créez un rôle ou un utilisateur dans le système de fichiers, ne spécifiez pas de SVM.
+ `-user-or-group-name`— Spécifie le nom d'utilisateur ou le nom de groupe Active Directory de la méthode de connexion. Le nom du groupe Active Directory ne peut être spécifié qu'avec la méthode `domain` d'authentification et les `ssh` applications `ontapi` et.
+ `-application`— Spécifie l'application de la méthode de connexion. Les valeurs possibles incluent http, ontapi et ssh.
+ `-authentication-method`— Spécifie la méthode d'authentification pour la connexion. Les valeurs possibles sont notamment les suivantes :
+ domaine — À utiliser pour l'authentification Active Directory
+ mot de passe — À utiliser pour l'authentification par mot de passe
+ publickey — Utilisateur pour l'authentification par clé publique
+ `-role`— Spécifie le nom du rôle de contrôle d'accès pour la méthode de connexion. Au niveau du système de fichiers, le seul rôle pouvant être spécifié est. `fsxadmin`
(Facultatif) Vous pouvez également utiliser un ou plusieurs des paramètres suivants avec la commande :
+ `[-comment]`— À utiliser pour inclure une notation ou un commentaire pour le compte utilisateur. Par exemple, **Guest account**. La longueur maximale est de 128 caractères.
+ `[-second-authentication-method {none|publickey|password|nsswitch}]`— Spécifie la méthode d'authentification à second facteur. Vous pouvez définir les méthodes suivantes :
+ mot de passe — À utiliser pour l'authentification par mot de passe
+ publickey — À utiliser pour l'authentification par clé publique
+ nsswitch — À utiliser pour l'authentification NIS ou LDAP
+ none — La valeur par défaut si vous n'en spécifiez aucune
```
Fsx0123456::> security login create -vserver vserver_name -user-or-group-name user_or_group_name -application login_application -authentication-method auth_method -role role_or_account_name
```
La commande suivante crée un nouvel utilisateur du système de fichiers `new_fsxadmin` avec le `fsxadmin-readonly` rôle assigné, en utilisant SSH avec un mot de passe pour se connecter. Lorsque vous y êtes invité, entrez un mot de passe pour l'utilisateur.
```
Fsx0123456::> security login create -user-or-group-name new_fsxadmin -application ssh -authentication-method password -role fsxadmin-readonly
Please enter a password for user 'new_fsxadmin':
Please enter it again:
Fsx0123456::>
```
1. La commande suivante crée `new_vsadmin` sur la SVM un nouvel utilisateur doté du `fsx` `vsadmin_readonly` rôle, configuré pour utiliser SSH avec un mot de passe pour se connecter. Lorsque vous y êtes invité, entrez un mot de passe pour l'utilisateur.
```
Fsx0123456::> security login create -vserver fsx -user-or-group-name new_vsadmin -application ssh -authentication-method password -role vsadmin-readonly
Please enter a password for user 'new_vsadmin':
Please enter it again:
Fsx0123456::>
```
1. La commande suivante crée un nouvel utilisateur du système de fichiers en lecture seule `harvest2-user` qui sera utilisé par l'application NetApp Harvest pour collecter des métriques de performance et de capacité. Pour de plus amples informations, veuillez consulter [Surveillance des systèmes FSx de fichiers ONTAP à l'aide de Harvest et Grafana](monitoring-harvest-grafana.md).
```
Fsx0123456::> security login create -user-or-group-name harvest2-user -application ssh -role fsxadmin-readonly -authentication-method password
```
**Pour consulter les informations relatives à tous les utilisateurs de systèmes de fichiers et de SVM**
+ Utilisez la commande suivante pour afficher toutes les informations de connexion à votre système de fichiers et SVMs.
```
Fsx0123456::> security login show
Vserver: Fsx0123456
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
autosupport console password autosupport no none
fsxadmin http password fsxadmin no none
fsxadmin ontapi password fsxadmin no none
fsxadmin ssh password fsxadmin no none
fsxadmin ssh publickey fsxadmin - none
new_fsxadmin ssh password fsxadmin-readonly
no none
Vserver: fsx
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
new_vsadmin ssh password vsadmin-readonly no none
vsadmin http password vsadmin yes none
vsadmin ontapi password vsadmin yes none
vsadmin ssh password vsadmin yes none
10 entries were displayed.
Fsx0123456::>
```
# Création de rôles de SVM
Chaque SVM que vous créez possède un administrateur de SVM par défaut auquel est attribué le rôle prédéfini`vsadmin`. Outre l'ensemble de rôles de [SVM prédéfinis, vous pouvez créer de nouveaux rôles](roles-and-users.md#svm-admin-roles) de SVM. Si vous devez créer de nouveaux rôles pour votre SVM, utilisez la commande `security login role create` ONTAP CLI. Cette commande est disponible pour les administrateurs de systèmes de fichiers dotés du `fsxadmin` rôle.
**Pour créer un nouveau rôle de SVM (CLI ONTAP)**
1. Vous pouvez créer un nouveau rôle de SVM à l'aide de la [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html)ONTAP CLIcommande suivante :
```
Fsx0123456::> security login role create -vserver vs1.example.com -role vol_role -cmddirname volume
```
1. Spécifiez les paramètres obligatoires suivants dans la commande :
+ `-vserver`le nom de la SVM
+ `-role`— Le nom du rôle.
+ `-cmddirname`— La commande ou le répertoire de commandes auquel le rôle donne accès. Placez les noms des sous-répertoires de commandes entre guillemets doubles. Par exemple, `"volume snapshot"`. Entrez `DEFAULT` pour spécifier tous les répertoires de commandes.
1. (Facultatif) Vous pouvez également ajouter l'un des paramètres suivants à la commande :
+ `-vserver`— Le nom de la SVM associée au rôle.
+ `-access`— Le niveau d'accès pour le rôle. Pour les répertoires de commandes, cela inclut :
+ `none`— Refuse l'accès aux commandes du répertoire des commandes. Il s'agit de la valeur par défaut pour les rôles personnalisés.
+ `readonly`— Accorde l'accès aux commandes show dans le répertoire des commandes et ses sous-répertoires.
+ `all`— Accorde l'accès à toutes les commandes du répertoire de commandes et de ses sous-répertoires. Pour accorder ou refuser l'accès aux commandes intrinsèques, vous devez spécifier le répertoire des commandes.
Pour les commandes non intrinsèques (commandes qui ne se terminent pas par `create``modify`,`delete`, ou`show`) :
+ `none`— Refuse l'accès aux commandes du répertoire des commandes. Il s'agit de la valeur par défaut pour les rôles personnalisés.
+ `readonly`— Non applicable N'utilisez pas.
+ `all`— Accorde l'accès à la commande.
+ `-query`— L'objet de requête utilisé pour filtrer le niveau d'accès, qui est spécifié sous la forme d'une option valide pour la commande ou pour une commande dans le répertoire des commandes. Placez l'objet de la requête entre guillemets doubles.
1. Exécutez la commande `security login role create`.
La commande suivante crée un rôle de contrôle d'accès nommé « admin » pour le vserver vs1.example.com. Le rôle a tous accès à la commande « volume », mais uniquement au sein de l'agrégat « aggr0 ».
```
Fsx0123456::>security login role create -role admin -cmddirname volume -query "-aggr aggr0" -access all -vserver vs1.example.com
```
# Configuration de l'authentification Active Directory pour ONTAP les utilisateurs
Utilisez la ONTAP CLI pour configurer l'utilisation de l'authentification Active Directory pour les utilisateurs ONTAP du système de fichiers et des SVM.
Vous devez être un administrateur de système de fichiers `fsxadmin` habilité à utiliser les commandes de cette procédure.
**Pour configurer l'authentification Active Directory pour les ONTAP utilisateurs (ONTAPCLI)**
Les commandes de cette procédure sont accessibles aux utilisateurs du système de fichiers dotés du `fsxadmin` rôle.
1. Pour accéder à la ONTAP CLI, établissez une session SSH sur le port de gestion du système de fichiers Amazon FSx for NetApp ONTAP ou de la SVM en exécutant la commande suivante. Remplacez `management_endpoint_ip` par l'adresse IP du port de gestion du système de fichiers.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Pour de plus amples informations, veuillez consulter [Gestion des systèmes de fichiers à l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilisez la [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html)commande comme indiqué pour établir un tunnel de domaine afin d'authentifier les utilisateurs de Windows Active Directory. *svm\$1name*Remplacez-le par le nom de la SVM que vous utilisez pour le tunnel de domaine.
```
FsxId0123456::> security login domain-tunnel create -vserver svm_name
```
1. Utilisez la [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html)commande pour créer des comptes d'utilisateurs de domaine Active Directory qui accèderont au système de fichiers.
Spécifiez les paramètres obligatoires suivants dans la commande :
+ `-vserver`— Le nom de la SVM configurée avec CIFS et jointe à votre Active Directory. Il sera utilisé comme tunnel pour authentifier les utilisateurs du domaine Active Directory auprès du système de fichiers dans lequel le nouveau rôle ou utilisateur sera créé.
+ `-user-or-group-name`— Le nom d'utilisateur ou le nom de groupe Active Directory de la méthode de connexion. Le nom du groupe Active Directory ne peut être spécifié qu'avec la méthode `domain` d'authentification `ontapi` et `ssh` l'application.
+ `-application`— L'application de la méthode de connexion. Les valeurs possibles incluent http, ontapi et ssh.
+ `-authentication-method`— Méthode d'authentification utilisée pour la connexion. Les valeurs possibles sont notamment les suivantes :
+ domaine — pour l'authentification Active Directory
+ mot de passe — pour l'authentification par mot de passe
+ publickey — pour l'authentification par clé publique
+ `-role`— Le nom du rôle de contrôle d'accès pour la méthode de connexion. Au niveau du système de fichiers, le seul rôle pouvant être spécifié est. `-role fsxadmin`
L'exemple suivant crée un compte utilisateur de domaine Active Directory `CORP\Admin` pour le système de `filesystem1` fichiers.
```
FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin
```
L'exemple suivant crée le compte `CORP\Admin` utilisateur avec une authentification par clé publique.
```
FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".
```
Créez une clé publique pour l'`CORP\Admin`utilisateur à l'aide de la commande suivante :
```
FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"
```
**Pour vous connecter au système de fichiers à l'aide de SSH avec des informations d'identification Active Directory**
+ L'exemple suivant montre comment accéder par SSH à votre système de fichiers avec vos informations d'identification Active Directory si vous choisissez `ssh` le `-application` type. Le format `username` `"domain-name\user-name"` est le nom de domaine et le nom d'utilisateur que vous avez fournis lors de la création du compte, séparés par une barre oblique inverse et entre guillemets.
```
Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com
```
Lorsque vous êtes invité à saisir un mot de passe, utilisez le mot de passe de l'utilisateur Active Directory.
# Configuration de l'authentification par clé publique
Pour activer l'authentification par clé publique SSH, vous devez d'abord générer une clé SSH et l'associer à un compte administrateur à l'aide de la `security login publickey create` commande. Cela permet au compte d'accéder à la SVM. La `security login publickey create` commande accepte les paramètres suivants.
| Paramètre | Description |
| --- | --- |
| `-vserver` (facultatif) | Nom de la SVM à laquelle le compte accède. Si vous configurez l'authentification par clé publique SSH pour les utilisateurs du système de fichiers, ne l'incluez `-versver` pas. |
| `-username` | Le nom d'utilisateur du compte. La valeur par défaut`admin`, est le nom par défaut de l'administrateur du cluster. |
| `-index` | Numéro d'index de la clé publique. La valeur par défaut est 0 si la clé est la première clé créée pour le compte. Dans le cas contraire, la valeur par défaut est supérieure d'un au numéro d'index le plus élevé existant pour le compte. |
| `-publickey` | La clé publique OpenSSH. Placez la clé entre guillemets doubles. |
| `-role` | Rôle de contrôle d'accès attribué au compte. |
| `-comment` (facultatif) | Texte descriptif de la clé publique. Placez le texte entre guillemets doubles. |
L'exemple suivant associe une clé publique au compte administrateur de `svmadmin` la `svm01` SVM. Un numéro d'index est attribué à la clé publique`5`.
```
Fsx0123456::> security login publickey create -vserver svm01 -username svmadmin -index 5 -publickey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAspH64CYbUsDQCdW22JnK6J/vU9upnKzd2zAk9C1f7YaWRUAFNs2Qe5lUmQ3ldi8AD0Vfbr5T6HZPCixNAIzaFciDy7hgnmdj9eNGedGr/JNrftQbLD1hZybX+72DpQB0tYWBhe6eDJ1oPLobZBGfMlPXh8VjeU44i7W4+s0hG0E=tsmith@publickey.example.com"
```
**Important**
Vous devez être administrateur de SVM ou de système de fichiers pour effectuer cette tâche.
# Mise à jour des exigences relatives aux mots de passe pour les rôles de système de fichiers et de SVM
Vous pouvez mettre à jour les exigences en matière de mot de passe pour un système de fichiers ou un rôle de SVM à l'aide de la commande [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description)ONTAPCLI. Cette commande n'est disponible que pour les comptes d'administrateur de système de fichiers dotés du `fsxadmin` rôle. Lors de la modification des exigences relatives au mot de passe, le système avertit si des utilisateurs existants ayant ce rôle seront affectés par la modification.
L'exemple suivant modifie la longueur minimale du mot de passe à 12 caractères pour les utilisateurs ayant le `vsadmin-readonly` rôle sur la `fsx` SVM. Dans cet exemple, certains utilisateurs possèdent déjà ce rôle.
```
FsxId0123456::> security login role config modify -role vsadmin-readonly -vserver fsx -passwd-minlength 12
```
Le système affiche l'avertissement suivant en raison des utilisateurs existants :
```
Warning: User accounts with this role exist. Modifications to the username/password restrictions on this role could result in non-compliant user
accounts.
Do you want to continue? {y|n}:
FsxId0123456::>
```
# La mise à jour du mot de passe du `fsxadmin` compte échoue
Lorsque vous mettez à jour le mot de passe de l'`fsxadmin`utilisateur, vous pouvez recevoir un message d'erreur s'il ne répond pas aux exigences de mot de passe définies dans le système de fichiers. Vous pouvez consulter les exigences relatives au mot de passe à l'aide de la `security login role config show` ONTAP commande CLI ou de l'API REST.
**Pour consulter les exigences en matière de mot de passe pour un système de fichiers ou un rôle de SVM**
1. Pour accéder à la ONTAP CLI, établissez une session SSH sur le port de gestion du système de fichiers Amazon FSx for NetApp ONTAP ou de la SVM en exécutant la commande suivante. Remplacez `management_endpoint_ip` par l'adresse IP du port de gestion du système de fichiers.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Pour de plus amples informations, veuillez consulter [Gestion des systèmes de fichiers à l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. La `security login role config show` commande renvoie les exigences en matière de mot de passe pour un rôle de système de fichiers ou de SVM.
```
FsxId0123456::> security login role config show -role fsxadmin -fields password_requirement_fields
```
Pour le `-fields` paramètre, spécifiez l'une ou l'ensemble des options suivantes :
+ `passwd-minlength`— La longueur minimale du mot de passe.
+ `passwd-min-special-chars`— Le nombre minimum de caractères spéciaux dans le mot de passe.
+ `passwd-min-lowercase-chars`— Le nombre minimal de caractères minuscules dans le mot de passe.
+ `passwd-min-uppercase-chars`— Le nombre minimal de caractères majuscules dans le mot de passe.
+ `passwd-min-digits`— Le nombre minimum de chiffres dans le mot de passe.
+ `passwd-alphanum`— Informations relatives à l'inclusion ou à l'exclusion de caractères alphanumériques.
+ `passwd-expiry-time`— Le délai d'expiration du mot de passe.
+ `passwd-expiry-warn-time`— L'heure d'avertissement d'expiration du mot de passe.
1. Exécutez la commande suivante pour voir toutes les exigences en matière de mot de passe :
```
FsxId0123456::> security login role config show -role fsxadmin -fields passwd-minlength, passwd-min-special-chars, passwd-min-lowercase-chars, passwd-min-digits, passwd-alphanum, passwd-expiry-time, passwd-expiry-warn-time, passwd-min-uppercase-chars
vserver role passwd-minlength passwd-alphanum passwd-min-special-chars passwd-expiry-time passwd-min-lowercase-chars passwd-min-uppercase-chars passwd-min-digits passwd-expiry-warn-time
---------------------- -------- ---------------- --------------- ------------------------ ------------------ -------------------------- -------------------------- ----------------- -----------------------
FsxId0123456 fsxadmin 3 enabled 0 unlimited 0 0 0 unlimited
```