As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança na Amazon FSx para NetApp ONTAP
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de data centers e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam à Amazon FSx para o NetApp ONTAP, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Essa documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar a Amazon FSx. Os tópicos a seguir mostram como configurar a Amazon FSx para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros AWS serviços que ajudam você a monitorar e proteger seus FSx recursos da Amazon.
**Topics**
+ [Proteção de dados na Amazon FSx para NetApp ONTAP](data-protection.md)
+ [Gerenciamento de identidade e acesso da Amazon FSx para NetApp ONTAP](security-iam.md)
+ [AWS políticas gerenciadas da Amazon FSx para NetApp ONTAP](security-iam-awsmanpol.md)
+ [Controle de acesso ao sistema de arquivos com a Amazon VPC](limit-access-security-groups.md)
+ [Validação de conformidade da Amazon FSx para NetApp ONTAP](fsx-ontap-compliance.md)
+ [Amazon FSx para NetApp ONTAP e endpoints VPC de interface ()AWS PrivateLink](fsx-vpc-endpoints.md)
+ [Resiliência na Amazon FSx para ONTAP NetApp](disaster-recovery-resiliency.md)
+ [Segurança de infraestrutura na Amazon FSx para NetApp ONTAP](infrastructure-security.md)
+ [Use o NetApp ONTAP Vscan com FSx o ONTAP](using-vscan.md)
+ [Usuários e perfis do ONTAP](roles-and-users.md)
# Proteção de dados na Amazon FSx para NetApp ONTAP
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados na Amazon FSx para NetApp ONTAP. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com a Amazon FSx ou outra Serviços da AWS pessoa usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia de dados FSx para ONTAP
O Amazon FSx for NetApp ONTAP oferece suporte à criptografia de dados em repouso e à criptografia de dados em trânsito. A criptografia de dados em repouso é ativada automaticamente ao criar um sistema de FSx arquivos da Amazon. O Amazon FSx for NetApp ONTAP oferece suporte à criptografia baseada em Kerberos em trânsito pelos protocolos NFS e SMB se você estiver acessando dados em uma Máquina Virtual de Armazenamento (SVM) associada a um Active Directory ou a um domínio usando o Lightweight Directory Access Protocol (LDAP).
### Quando usar a criptografia
Se sua organização estiver sujeita a políticas corporativas ou regulatórias que exigem criptografia de dados e metadados em repouso, seus dados serão automaticamente criptografados em repouso. É recomendável também que você habilite a criptografia de dados em trânsito montando seu sistema de arquivos com o uso da criptografia de dados em trânsito.
Para obter mais informações sobre criptografia de dados com a Amazon FSx for NetApp ONTAP, consulte [Criptografia de dados em repouso](encryption-at-rest.md) e. [Criptografia de dados em trânsito](encryption-in-transit.md)
# Criptografia de dados em repouso
Todos os sistemas de arquivos e backups do Amazon FSx for NetApp ONTAP são criptografados em repouso com chaves gerenciadas usando AWS Key Management Service (AWS KMS). Os dados são criptografados automaticamente antes de serem gravados no sistema de arquivos e automaticamente decriptografados à medida que são lidos. Todos os backups são criptografados automaticamente na criação e descriptografados automaticamente quando o backup é restaurado em um novo volume. Esses processos são gerenciados de forma transparente pela Amazon FSx, para que você não precise modificar seus aplicativos.
A Amazon FSx usa um algoritmo de criptografia AES-256 padrão do setor para criptografar dados e metadados da Amazon FSx em repouso. Para obter mais informações, consulte [Conceitos básicos de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) no *Guia do desenvolvedor do AWS Key Management Service *.
**nota**
A infraestrutura de gerenciamento de AWS chaves usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).
## Como a Amazon FSx usa AWS KMS
A Amazon FSx se integra ao gerenciamento AWS KMS de chaves. A Amazon FSx usa chaves KMS para criptografar seu sistema de arquivos e qualquer backup de volume. Você escolhe a chave do KMS usada para criptografar e decriptografar sistemas de arquivos (dados e metadados). É possível habilitar, desabilitar ou revogar as concessões nessa chave do KMS. Essa chave do KMS pode ser de um dos seguintes dois tipos:
+ **chave do KMS gerenciada pela AWS**: essa é a chave do KMS padrão e de uso gratuito.
+ **chave do KMS gerenciada pelo cliente**: essa é a chave do KMS mais flexível em termos de uso, pois é possível configurar suas políticas de chaves e concessões para vários usuários ou serviços. Para obter mais informações sobre a criação de chaves KMS, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS Key Management Service desenvolvedor*.
**Importante**
A Amazon FSx aceita somente chaves KMS de criptografia simétrica. Você não pode usar chaves KMS assimétricas com a Amazon. FSx
Se você usa uma chave do KMS gerenciada pelo cliente como sua chave do KMS de criptografia e decriptografia de dados de arquivos, pode habilitar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave do KMS gerenciada pelo cliente, você pode escolher quando desabilitar, reabilitar, excluir ou revogar o acesso à sua KMS a qualquer momento. Para obter mais informações, consulte [Rotação de AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) e [Como ativar e desativar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.
## FSx Políticas-chave da Amazon para AWS KMS
Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre as políticas de chaves, consulte [Using key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.A lista a seguir descreve todas as permissões AWS KMS relacionadas suportadas pela Amazon FSx para sistemas de arquivos e backups criptografados em repouso:
+ **kms:Encrypt**: (opcional) criptografa texto não criptografado em texto cifrado. Essa permissão está incluída na política de chaves padrão.
+ **kms:Decrypt**: (obrigatório) descriptografa texto cifrado. O texto cifrado é o texto simples que já foi criptografado. Essa permissão está incluída na política de chaves padrão.
+ **kms: ReEncrypt** — (Opcional) Criptografa os dados no lado do servidor com um novo AWS KMS key, sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obrigatório) Retorna uma chave de criptografia de dados criptografada sob uma chave KMS. Essa permissão está incluída na política de chaves padrão em **kms: GenerateDataKey \$1**.
+ **kms: CreateGrant** — (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e sob quais condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte [Usar concessões ](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS Key Management Service *. Essa permissão está incluída na política de chaves padrão.
+ **kms: DescribeKey** — (Obrigatório) Fornece informações detalhadas sobre a chave KMS especificada. Essa permissão está incluída na política de chaves padrão.
+ **kms: ListAliases** — (Opcional) Lista todos os aliases de chave na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista de chaves do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.
# Criptografia de dados em trânsito
Este tópico explica as diferentes opções disponíveis para criptografar os dados do arquivo enquanto eles estão em trânsito entre um sistema de arquivos FSx for ONTAP e clientes conectados. Ele também oferece orientação para ajudar você a escolher qual o método de criptografia mais adequado para seu fluxo de trabalho.
Todos os dados que fluem Regiões da AWS pela rede AWS global são criptografados automaticamente na camada física antes de saírem das instalações AWS protegidas. Todo o tráfego entre as zonas de disponibilidade é criptografado. Camadas adicionais de criptografia, inclusive as listadas nesta seção, fornecem mais proteções. Para obter mais informações sobre como AWS fornece proteção para o fluxo de dados Regiões da AWS, zonas disponíveis e instâncias, consulte [Criptografia em trânsito no](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Guia do usuário do Amazon Elastic Compute Cloud para instâncias Linux.
O Amazon FSx for NetApp ONTAP oferece suporte aos seguintes métodos para criptografar dados em trânsito entre FSx os sistemas de arquivos ONTAP e os clientes conectados:
+ Criptografia automática baseada em Nitro em todos os protocolos e clientes com suporte em execução nos tipos de instância do Amazon EC2 para [ Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) e [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit).
+ Criptografia baseada em Kerberos com os protocolos NFS e SMB.
+ IPseccriptografia baseada em protocolos NFS, iSCSI e SMB
Todos os métodos suportados para criptografar dados em trânsito usam algoritmos criptográficos AES-256 padrão do setor que fornecem criptografia de força corporativa.
**Topics**
+ [Como escolher um método para criptografar dados em trânsito](#choosing-encryption-in-transit)
+ [Criptografando dados em trânsito com o AWS Nitro System](#nitro-encryption)
+ [Criptografia de dados em trânsito com criptografia baseada em Kerberos](#kerberos-encryption)
+ [Criptografando dados em trânsito com IPsec criptografia](#ipsec-encryption)
+ [Habilitar a criptografia de SMB para dados em trânsito](enable-smb-encryption.md)
+ [Configurando IPsec usando a autenticação PSK](config-ipsec-psk-auth.md)
+ [Configurando IPsec usando a autenticação de certificado](config-ipsec-ca-auth.md)
## Como escolher um método para criptografar dados em trânsito
Esta seção fornece informações que podem ajudar você a decidir qual dos métodos de criptografia em trânsito com suporte é melhor para seu fluxo de trabalho. Consulte esta seção novamente ao explorar as opções com suporte descritas detalhadamente nas seções a seguir.
Há vários fatores a serem considerados ao escolher como você criptografará os dados em trânsito entre o sistema de arquivos FSx for ONTAP e os clientes conectados. Esses fatores incluem:
+ O em Região da AWS que seu sistema de arquivos FSx for ONTAP está sendo executado.
+ O tipo de instância no qual o cliente está sendo executado.
+ A localização do cliente que está acessando o sistema de arquivos.
+ Requisitos de performance da rede.
+ O protocolo de dados que você deseja criptografar.
+ Se estiver usando o Microsoft Active Directory.
**Região da AWS**
A configuração em Região da AWS que seu sistema de arquivos está sendo executado determina se você pode ou não usar a criptografia baseada no Amazon Nitro. Para obter mais informações, consulte [Criptografando dados em trânsito com o AWS Nitro System](#nitro-encryption).
**Tipo de instância do cliente**
Você poderá usar a criptografia baseada no Amazon Nitro se o cliente que está acessando o sistema de arquivos estiver sendo executado em qualquer um dos tipos de instância Mac, [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) ou [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) com suporte do Amazon EC2 e o fluxo de trabalho atender a todos os outros requisitos de uso da [criptografia baseada em Nitro](#nitro-encryption). Não há requisitos de tipo de instância de cliente para usar o Kerberos ou IPsec a criptografia.
**Localização do cliente**
A localização do cliente que acessa dados em relação à localização do sistema de arquivos afeta quais métodos de criptografia em trânsito estão disponíveis para uso. Você poderá usar qualquer um dos métodos de criptografia com suporte se o cliente e o sistema de arquivos estiverem localizados na mesma VPC. O mesmo acontece se o cliente e o sistema de arquivos estiverem localizados em peering VPCs, desde que o tráfego não passe por um dispositivo ou serviço de rede virtual, como um gateway de trânsito. A criptografia baseada em Nitro não será uma opção disponível se o cliente não estiver na mesma VPC ou na VPC emparelhada, ou se o tráfego passar por um dispositivo ou serviço de rede virtual.
**desempenho de rede**
O uso da criptografia baseada no Amazon Nitro não tem impacto na performance da rede. Isso ocorre porque as instâncias com suporte do Amazon EC2 utilizam os recursos de descarregamento do hardware Nitro System subjacente para criptografar automaticamente o tráfego em trânsito entre instâncias.
O uso do Kerberos ou da IPsec criptografia tem um impacto no desempenho da rede. Isso ocorre porque esses dois métodos de criptografia são baseados em software, o que exige que o cliente e o servidor usem recursos de computação para criptografar e decriptografar o tráfego em trânsito.
**Protocolo de dados**
Você pode usar criptografia e IPsec criptografia baseadas no Amazon Nitro com todos os protocolos compatíveis — NFS, SMB e iSCSI. Você pode usar a criptografia Kerberos com os protocolos NFS e SMB (com um Active Directory).
** Active Directory**
Se você estiver usando o Microsoft Active Directory, poderá usar a [criptografia Kerberos](#kerberos-encryption) nos protocolos NFS e SMB.
Use o diagrama a seguir como ajuda para decidir qual método de criptografia em trânsito usar.
![\[Fluxograma mostrando qual método de criptografia em trânsito usar com base em cinco pontos de decisão.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png)
IPsec a criptografia é a única opção disponível quando todas as condições a seguir se aplicam ao seu fluxo de trabalho:
+ Você está usando o protocolo NFS, SMB ou iSCSI.
+ Seu fluxo de trabalho não dá suporte ao uso da criptografia baseada no Amazon Nitro.
+ Você não está usando um domínio do Microsoft Active Directory.
## Criptografando dados em trânsito com o AWS Nitro System
Com a criptografia baseada em Nitro, os dados em trânsito são criptografados automaticamente quando os clientes que acessam seus sistemas de arquivos estão executando em tipos de instância Linux [ou](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows compatíveis do Amazon [EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit), onde estão disponíveis Regiões da AWS FSx no ONTAP.
O uso da criptografia baseada no Amazon Nitro não tem impacto na desempenho da rede. Isso ocorre porque as instâncias com suporte do Amazon EC2 utilizam os recursos de descarregamento do hardware Nitro System subjacente para criptografar automaticamente o tráfego em trânsito entre instâncias.
A criptografia baseada em Nitro é habilitada automaticamente quando os tipos de instância de cliente com suporte estão localizados na mesma Região da AWS e na mesma VPC ou em uma VPC emparelhada com a VPC do sistema de arquivos. Além disso, se o cliente estiver em uma VPC emparelhada, os dados não poderão passar por um dispositivo ou serviço de rede virtual (como um gateway de trânsito) para que a criptografia baseada em Nitro seja habilitada automaticamente. Para obter mais informações sobre criptografia baseada em Nitro, consulte a seção Criptografia em trânsito do Guia do usuário do Amazon EC2 para os tipos de instância do [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) ou [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit).
A tabela a seguir detalha em Regiões da AWS que a criptografia baseada em Nitro está disponível.
**Compatibilidade com criptografia baseada em Nitro**
| Geração | Tipos de implantação | Região da AWS |
| --- | --- | --- |
| Sistemas de arquivos de primeira geração1 | single-AZ 1 multi-AZ 1 | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Europa (Irlanda) |
| Sistemas de arquivos de segunda geração | single-AZ 2 multi-AZ 2 | Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Norte da Califórnia), Oeste dos EUA (Oregon), Europa (Frankfurt), Europa (Irlanda), Ásia-Pacífico (Sydney) |
1 Os sistemas de arquivos de primeira geração criados a partir de 28 de novembro de 2022 são compatíveis com criptografia em trânsito baseada em Nitro nas Regiões da AWS listadas.
Para obter mais informações sobre Regiões da AWS onde FSx o ONTAP está disponível, consulte [Amazon FSx for NetApp ONTAP Pricing.](https://aws.amazon.com/fsx/netapp-ontap/pricing/)
Para obter mais informações sobre as especificações de desempenho dos sistemas de FSx arquivos ONTAP, consulte[Impacto da capacidade de throughput na desempenho](performance.md#impact-throughput-cap-performance).
## Criptografia de dados em trânsito com criptografia baseada em Kerberos
Se você estiver usando o Microsoft Active Directory, poderá usar a criptografia baseada em Kerberos nos protocolos NFS e SMB para criptografar dados em trânsito para volumes secundários [associados](ad-integration-ontap.md) a um Microsoft Active Directory. SVMs
### Criptografia de dados em trânsito pelo NFS usando Kerberos
A criptografia de dados em trânsito usando Kerberos tem suporte e protocolos NFSv3 . NFSv4 Para habilitar a criptografia em trânsito usando o Kerberos com o protocolo NFS, consulte [Uso do Kerberos com NFS para segurança forte](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf) no Centro de documentação do NetApp ONTAP
### Criptografia de dados em trânsito pelo SMB usando Kerberos
Há suporte para criptografia de dados em trânsito pelo protocolo SMB nos compartilhamentos de arquivos mapeados em uma instância de computação compatível com o protocolo SMB 3.0 ou mais recente. Isso inclui todas as versões do Microsoft Windows do Microsoft Windows Server 2012 e posterior e do Microsoft Windows 8 e posterior. Quando ativado, o FSx for ONTAP criptografa automaticamente os dados em trânsito usando a criptografia SMB à medida que você acessa seu sistema de arquivos sem a necessidade de modificar seus aplicativos.
FSx para ONTAP, o SMB suporta criptografia de 128 e 256 bits, que é determinada pela solicitação da sessão do cliente. Para obter descrições dos diferentes níveis de criptografia, consulte a seção *Definir o nível mínimo de segurança de autenticação do servidor SMB* em [Gerenciar SMB com a CLI](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf) no Centro de documentação do NetApp ONTAP.
**nota**
O cliente determina o algoritmo de criptografia. As autenticações NTLM e Kerberos funcionam com criptografia de 128 e 256 bits. O FSx for ONTAP SMB Server aceita todas as solicitações padrão do cliente Windows, e os controles granulares são gerenciados pelas configurações da Política de Grupo ou do Registro da Microsoft.
Você usa a ONTAP CLI para gerenciar as configurações de criptografia em trânsito FSx para ONTAP SVMs e volumes. Para acessar a CLI do NetApp ONTAP, estabeleça uma sessão SSH na SVM na qual você está definindo as configurações de criptografia em trânsito, conforme descrito em [Gerenciamento de SVMs com a CLI do ONTAP](managing-resources-ontap-apps.md#vsadmin-ontap-cli).
Para obter informações sobre como habilitar a criptografia de SMB em uma SVM ou volume, consulte [Habilitar a criptografia de SMB para dados em trânsito](enable-smb-encryption.md).
## Criptografando dados em trânsito com IPsec criptografia
FSx for ONTAP suporta o uso do IPsec protocolo no modo de transporte para garantir que os dados estejam continuamente seguros e criptografados enquanto estão em trânsito. IPsec oferece end-to-end criptografia de dados em trânsito entre clientes e FSx para sistemas de arquivos ONTAP para todo o tráfego IP compatível — protocolos NFS, iSCSI e SMB. Com a IPsec criptografia, você estabelece um IPsec túnel entre um FSx para ONTAP SVM configurado com IPsec ativado e um IPsec cliente em execução no cliente conectado acessando os dados.
Recomendamos que você use IPsec para criptografar dados em trânsito pelos protocolos NFS, SMB e iSCSI ao acessar seus dados de clientes que não oferecem suporte [à criptografia baseada em Nitro](#nitro-encryption) e se seu cliente não SVMs estiverem associados a um Active Directory, o que é necessário para criptografia baseada em Kerberos. IPsec a criptografia é a única opção disponível para criptografar dados em trânsito para tráfego iSCSI quando seu cliente iSCSI não oferece suporte à criptografia baseada em Nitro.
Para IPsec autenticação, você pode usar chaves pré-compartilhadas (PSKs) ou certificados. Se você estiver usando uma PSK, o IPsec cliente que você usa deve oferecer suporte ao Internet Key Exchange versão 2 (IKEv2) com uma PSK. As etapas de alto nível para configurar a IPsec criptografia no ONTAP e no cliente são as seguintes: FSx
1. Ative e configure IPsec em seu sistema de arquivos.
1. Instale e configure IPsec em seu cliente
1. Configurar IPsec para acesso a vários clientes
Para obter mais informações sobre como configurar IPsec usando PSK, consulte [Configurar a segurança IP (IPsec) por meio de criptografia com fio](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) no centro de NetApp ONTAP documentação.
Para obter mais informações sobre como configurar IPsec usando certificados, consulte[Configurando IPsec usando a autenticação de certificado](config-ipsec-ca-auth.md).
# Habilitar a criptografia de SMB para dados em trânsito
Por padrão, quando você cria uma SVM, a criptografia SMB é desativada. Você pode habilitar a criptografia SMB necessária em compartilhamentos individuais ou em uma SVM, o que a ativa para todos os compartilhamentos nessa SVM.
**nota**
Quando a criptografia SMB necessária está habilitada em uma SVM ou em um compartilhamento, os clientes SMB que não oferecem suporte à criptografia não podem se conectar à SVM ou ao compartilhamento.
**Para exigir criptografia SMB no tráfego SMB de entrada em uma SVM**
Use o procedimento a seguir para exigir criptografia SMB em uma SVM usando a CLI do NetApp ONTAP.
1. Para se conectar ao endpoint de gerenciamento da SVM com SSH, use o nome de usuário `vsadmin` e a senha vsadmin definidos ao criar a SVM. Se você não tiver definido uma senha vsadmin, utilize o nome de usuário `fsxadmin` e a senha fsxadmin. Você pode efetuar SSH na SVM por meio de um cliente que esteja na mesma VPC do sistema de arquivos, usando o endereço IP ou o nome DNS do endpoint de gerenciamento.
```
ssh vsadmin@svm-management-endpoint-ip-address
```
O comando com exemplo de valores:
```
ssh vsadmin@198.51.100.10
```
O comando SSH usando o nome DNS do endpoint de gerenciamento:
```
ssh vsadmin@svm-management-endpoint-dns-name
```
O comando de SSH usando um nome de DNS de exemplo:
```
ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
```
```
Password: vsadmin-password
This is your first recorded login.
FsxIdabcdef01234567892::>
```
1. Use o comando [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html) da CLI do NetApp ONTAP para exigir criptografia de SMB para o tráfego SMB recebido na SVM.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true
```
1. Para deixar de exigir a criptografia SMB no tráfego SMB de entrada, use o comando a seguir.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false
```
1. Para ver a configuração `is-smb-encryption-required` atual em uma SVM, use o seguinte comando [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html) da CLI do NetApp ONTAP:
```
vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver is-smb-encryption-required
-------- -------------------------
vs1 true
```
Para obter mais informações sobre como gerenciar a criptografia SMB em uma SVM, consulte [ Configuração da criptografia SMB necessária em servidores SMB para transferências de dados por SMB](https://docs.netapp.com/us-en/ontap/smb-admin/configure-required-encryption-concept.html) no Centro de documentação do NetApp ONTAP,
**Habilitar a criptografia SMB em um volume**
Use o procedimento a seguir para exigir criptografia SMB em um compartilhamento usando a CLI do NetApp ONTAP.
1. Estabeleça uma conexão Secure Shell (SSH) com o endpoint de gerenciamento da SVM, conforme descrito em [Gerenciamento de SVMs com a CLI do ONTAP](managing-resources-ontap-apps.md#vsadmin-ontap-cli).
1. Use o comando da CLI do NetApp ONTAP a seguir para criar um novo compartilhamento de SMB e exigir criptografia SMB ao acessar esse compartilhamento.
```
vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data
```
Para obter mais informações, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html) nas páginas de manual de comandos da CLI do NetApp ONTAP.
1. Para exigir a criptografia SMB em um compartilhamento de SMB existente, use o comando a seguir.
```
vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Para obter mais informações, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html) nas páginas de manual de comandos da CLI do NetApp ONTAP.
1. Para desativar a criptografia SMB em um compartilhamento de SMB existente, use o comando a seguir.
```
vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Para obter mais informações, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html) nas páginas de manual de comandos da CLI do NetApp ONTAP.
1. Para ver a configuração atual `is-smb-encryption-required` em um compartilhamento de SMB, use o seguinte comando da CLI do NetApp ONTAP:
```
vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties
```
Se uma das propriedades retornadas pelo comando for `encrypt-data`, essa propriedade especificará que a criptografia SMB deve ser usada ao acessar esse compartilhamento.
Para obter mais informações, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html) nas páginas de manual de comandos da CLI do NetApp ONTAP.
# Configurando IPsec usando a autenticação PSK
Se você estiver usando o PSK para autenticação, as etapas para configurar a IPsec criptografia no ONTAP e no cliente são as seguintes: FSx
1. Ative e configure IPsec em seu sistema de arquivos.
1. Instale e configure IPsec em seu cliente
1. Configurar IPsec para acesso a vários clientes
Para obter detalhes sobre a configuração IPsec usando o PSK, consulte [Configurar a segurança IP (IPsec) por criptografia eletrônica](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) no centro de NetApp ONTAP documentação.
# Configurando IPsec usando a autenticação de certificado
Os tópicos a seguir fornecem instruções para configurar a IPsec criptografia usando a autenticação de certificado em um sistema de arquivos FSx for ONTAP e em um cliente executando o Libreswan. IPsec Essa solução usa AWS Certificate Manager e Autoridade de Certificação Privada da AWS para criar uma autoridade de certificação privada e para gerar os certificados.
As etapas de alto nível para configurar a IPsec criptografia usando a autenticação de certificado em sistemas FSx de arquivos ONTAP e clientes conectados são as seguintes:
1. Ter uma autoridade de certificação implantada para emitir certificados.
1. Gerar e exportar certificados de CA para o sistema de arquivos e o cliente.
1. Instale o certificado e configure IPsec na instância do cliente.
1. Instale o certificado e configure IPsec em seu sistema de arquivos.
1. Definir o banco de dados de políticas de segurança (SPD).
1. Configure IPsec para acesso a vários clientes.
## Como criar e instalar certificados CA
Para autenticação de certificados, você precisa gerar e instalar certificados de uma autoridade de certificação em seu sistema FSx de arquivos do ONTAP e dos clientes que acessarão os dados em seu sistema de arquivos. O exemplo a seguir é usado Autoridade de Certificação Privada da AWS para configurar uma autoridade de certificação privada e gerar os certificados para instalação no sistema de arquivos e no cliente. Usando Autoridade de Certificação Privada da AWS, você pode criar uma hierarquia totalmente AWS hospedada de autoridades de certificação raiz e subordinadas (CAs) para uso interno de sua organização. Esse processo tem cinco etapas:
1. Crie uma autoridade de certificação (CA) privada usando CA Privada da AWS
1. Emitir e instalar o certificado raiz na CA privada
1. Solicite um certificado privado AWS Certificate Manager para seu sistema de arquivos e clientes
1. Exportar o certificado para o sistema de arquivos e os clientes
Para obter mais informações, consulte [Administração de CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) no Guia Autoridade de Certificação Privada da AWS do usuário.
**Criar a CA privada raiz**
1. Ao criar uma CA, especifique a configuração da CA em um arquivo fornecido por você. O comando a seguir usa o editor de texto Nano para criar o arquivo `ca_config.txt`, que especifica as seguintes informações:
+ O nome do algoritmo
+ O algoritmo de assinatura que a CA usa para assinar
+ Informações do assunto X.500
```
$ > nano ca_config.txt
```
O editor de texto é exibido.
1. Edite o arquivo com as especificações da sua CA.
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. Salve e feche o arquivo, saindo do editor de texto. Para obter mais informações, consulte [Procedimento para criar uma CA](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html) no Guia Autoridade de Certificação Privada da AWS do Usuário.
1. Use o comando [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) CA Privada da AWS CLI para criar uma CA privada.
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region aws-region
```
Se obtiver êxito, esse comando produz o nome de recurso da Amazon (ARN) da CA.
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
```
**Para criar e instalar um certificado para a CA raiz privada (AWS CLI)**
1. Gere uma solicitação de assinatura de certificado (CSR) usando o comando [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI.
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.aws-region.amazonaws.com \
--region eu-west-1 > ca.csr
```
O arquivo resultante `ca.csr`, um arquivo PEM codificado no formato base64, tem a seguinte aparência.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Para obter mais informações, consulte [Instalando um certificado CA raiz](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot) no Guia Autoridade de Certificação Privada da AWS do usuário.
1. Use o [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI comando para emitir e instalar o certificado raiz em sua CA privada.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region aws-region
```
1. Baixe o certificado raiz usando o [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI comando.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region aws-region > rootCA.pem
```
1. Instale o certificado raiz em sua CA privada usando o [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI comando.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region aws-region
```
**Gerar e exportar o certificado do sistema de arquivos e do cliente**
1. Use o [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI comando para solicitar um AWS Certificate Manager certificado para usar em seu sistema de arquivos e clientes.
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region aws-region \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
Se a solicitação for bem-sucedida, o ARN do certificado emitido será retornado.
1. Por segurança, você deve atribuir uma frase-senha para a chave privada ao exportá-la. Crie uma frase-senha e armazene-a em um arquivo chamado `passphrase.txt`
1. Use o [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI comando para exportar o certificado privado emitido anteriormente. O arquivo exportado contém o certificado, a cadeia de certificados e a chave RSA privada criptografada de 2048 bits associada à chave pública incorporada ao certificado. Por segurança, você deve atribuir uma frase-senha para a chave privada ao exportá-la. O exemplo a seguinte é de uma instância do LInux EC2.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json
```
1. Use os comandos `jq` a seguir para extrair a chave privada e o certificado da resposta JSON.
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. Use os comandos `openssl` a seguir para decriptografar a chave privada da resposta JSON. Depois de inserir o comando, você será solicitado a digitar a frase-senha.
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Instalando e configurando o Libreswan em IPsec um cliente Amazon Linux 2
As seções a seguir fornecem instruções para instalar e configurar o Libreswan IPsec em uma instância do Amazon EC2 que executa o Amazon Linux 2.
**Instalar e configurar o Libreswan**
1. Conecte-se à sua instância do EC2 usando SSH. Para obter instruções específicas sobre como fazer isso, consulte [Conectar-se à instância do Linux usando um cliente SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient) no Guia do usuário do Amazon Elastic Compute Cloud para instâncias do Linux..
1. Execute o comando a seguir para instalar o `libreswan`:
```
$ sudo yum install libreswan
```
1. (Opcional) Ao verificar IPsec em uma etapa posterior, essas propriedades podem ser sinalizadas sem essas configurações. Sugerimos testar sua instalação primeiro sem essas configurações. Se sua conexão tiver problemas, retorne a esta etapa e faça as alterações a seguir.
Após a conclusão da instalação, use seu editor de texto preferencial para adicionar as entradas a seguir ao arquivo `/etc/sysctl.conf`.
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
Salve as alterações e saia do editor de texto.
1. Aplique as alterações:
```
$ sudo sysctl -p
```
1. Verifique a IPsec configuração.
```
$ sudo ipsec verify
```
Verifique se a versão do `Libreswan` que você instalou está em execução.
1. Inicialize o banco de dados IPsec NSS.
```
$ sudo ipsec checknss
```
**Instalar o certificado no cliente**
1. Copie o [certificado que você gerou](#generate-certificate) para o cliente no diretório de trabalho da instância do EC2. You
1. Exporte o certificado gerado anteriormente em um formato compatível com o `libreswan`.
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. Importe a chave reformatada, fornecendo a frase-senha quando solicitado.
```
$ sudo ipsec import certkey.p12
```
1. Crie um arquivo IPsec de configuração usando o editor de texto preferido.
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
Adicione as seguintes entradas ao arquivo de configuração:
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
Você iniciará IPsec no cliente após a configuração IPsec em seu sistema de arquivos.
## Configurando IPsec em seu sistema de arquivos
Esta seção fornece instruções sobre como instalar o certificado em seu sistema de arquivos FSx para ONTAP e IPsec configurá-lo.
**Instalar o certificado no sistema de arquivos**
1. Copie os arquivos do certificado raiz (`rootCA.pem)`), do certificado do cliente (`cert.pem`) e da chave decriptografada (`decrypted.key`) para o sistema de arquivos. Você precisará saber a senha do certificado.
1. Para acessar a ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP ou SVM executando o comando a seguir. Substitua `management_endpoint_ip` pelo endereço IP da porta de gerenciamento do sistema de arquivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obter mais informações, consulte [Como gerenciar sistemas de arquivos com a CLI do ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Use **cat** em um cliente (não no sistema de arquivos) para listar o conteúdo dos arquivos `rootCA.pem`, `cert.pem` e `decrypted.key` para que você possa copiar a saída de cada arquivo e colá-la quando solicitado nas etapas a seguir.
```
$ > cat cert.pem
```
Copie o conteúdo do certificado.
1. Você deve instalar todos os certificados de CA usados durante a autenticação mútua, incluindo tanto do lado do ONTAP quanto do lado do cliente, no gerenciamento de ONTAP certificados CAs, a menos que ele já esteja instalado (como é o caso de uma CA raiz autoassinada do ONTAP).
Use o comando `security certificate install` NetApp CLI da seguinte forma para instalar o certificado do cliente:
```
FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
Cole o conteúdo do arquivo `cert.pem` que você copiou anteriormente e pressione Enter.
```
Please enter Private Key: Press when done
```
Cole o conteúdo do arquivo `decrypted.key` e pressione Enter.
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
Insira `n` para concluir a inserção do certificado do cliente.
1. Crie e instale um certificado para uso da SVM. A CA emissora desse certificado já deve estar instalada ONTAP e adicionada. IPsec
Use o seguinte comando para instalar o certificado raiz:
```
FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
Cole o conteúdo do arquivo `rootCA.pem` e pressione Enter.
1. Para garantir que a CA instalada esteja dentro do caminho de busca da IPsec CA durante a autenticação, adicione o gerenciamento de ONTAP certificados CAs ao IPsec módulo usando o comando “security ipsec ca-certificate add”.
Digite o seguinte comando para adicionar o certificado raiz:
```
FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert
```
1. Digite o comando a seguir para criar a IPsec política necessária no banco de dados de políticas de segurança (SPD).
```
security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. Use o comando a seguir para mostrar a IPsec política para confirmação do sistema de arquivos.
```
FSxID123:: > security ipsec policy show -vserver dr -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## Comece IPsec com o cliente
Agora IPsec está configurado no sistema FSx de arquivos ONTAP e no cliente, você pode começar IPsec no cliente.
1. Conecte-se ao sistema do cliente usando SSH.
1. Começar IPsec.
```
$ sudo ipsec start
```
1. Verifique o status do IPsec.
```
$ sudo ipsec status
```
1. Monte um volume no sistema de arquivos.
```
$ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr
```
1. Verifique a IPsec configuração mostrando a conexão criptografada em seu sistema de arquivos FSx para ONTAP.
```
FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx policy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## Configuração IPsec para vários clientes
Quando um pequeno número de clientes precisa aproveitar IPsec, usar uma única entrada SPD para cada cliente é suficiente. No entanto, quando centenas ou até milhares de clientes precisarem aproveitar IPsec, recomendamos que você use a configuração de IPsec vários clientes.
FSx for ONTAP suporta a conexão de vários clientes em várias redes a um único endereço IP SVM com IPsec habilitado. Você pode fazer isso usando a configuração `subnet` ou `Allow all clients`, que são explicadas nos seguintes procedimentos:
**Para configurar IPsec para vários clientes usando uma configuração de sub-rede**
Para permitir que todos os clientes de uma sub-rede específica (192.168.134.0/24, por exemplo) se conectem a um único endereço IP da SVM usando uma única entrada de política SPD, especifique `remote-ip-subnets` no formulário da sub-rede. Além disso, especifique o campo `remote-identity` com a identidade correta no lado do cliente.
**Importante**
Ao usar a autenticação de certificado, cada cliente pode usar seu próprio certificado exclusivo ou um certificado compartilhado para se autenticar. FSx for ONTAP IPsec verifica a validade do certificado com base no CAs instalado em seu armazenamento confiável local. FSx para ONTAP também suporta a verificação da lista de revogação de certificados (CRL).
1. Para acessar a ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP ou SVM executando o comando a seguir. Substitua `management_endpoint_ip` pelo endereço IP da porta de gerenciamento do sistema de arquivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obter mais informações, consulte [Como gerenciar sistemas de arquivos com a CLI do ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Use o comando `security ipsec policy create` NetApp ONTAP CLI da seguinte forma, substituindo os *sample* valores pelos seus valores específicos.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-remote-identity client_side_identity
```
**Para configurar IPsec para vários clientes usando uma configuração de permitir todos os clientes**
Para permitir que qualquer cliente, independentemente do endereço IP de origem, se conecte ao endereço IP IPsec habilitado para SVM, use o `0.0.0.0/0` curinga ao especificar o campo. `remote-ip-subnets`
Além disso, especifique o campo `remote-identity` com a identidade correta no lado do cliente. No caso da autenticação de certificado, você pode digitar `ANYTHING`.
Além disso, quando o curinga 0.0.0.0/0 é usado, você deve configurar um número de porta local ou remota específico para uso. Por exemplo, porta NFS 2049.
1. Para acessar a ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP ou SVM executando o comando a seguir. Substitua `management_endpoint_ip` pelo endereço IP da porta de gerenciamento do sistema de arquivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obter mais informações, consulte [Como gerenciar sistemas de arquivos com a CLI do ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Use o comando `security ipsec policy create` NetApp ONTAP CLI da seguinte forma, substituindo os *sample* valores pelos seus valores específicos.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-local-ports 2049 -remote-identity client_side_identity
```
# Gerenciamento de identidade e acesso da Amazon FSx para NetApp ONTAP
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos da Amazon FSx . O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon FSx for NetApp ONTAP funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
+ [Solução de problemas de identidade e acesso ao Amazon FSx for NetApp ONTAP](security_iam_troubleshoot.md)
+ [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md)
+ [Usando tags com a Amazon FSx](using-tags-fsx.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso ao Amazon FSx for NetApp ONTAP](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon FSx for NetApp ONTAP funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon FSx for NetApp ONTAP funciona com o IAM
Antes de usar o IAM para gerenciar o acesso à Amazon FSx, saiba quais recursos do IAM estão disponíveis para uso com a Amazon FSx.
**Recursos do IAM que você pode usar com a Amazon FSx para NetApp ONTAP**
| Recurso do IAM | FSx Suporte da Amazon |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Não |
| [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como a Amazon FSx e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para a Amazon FSx
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para a Amazon FSx
Para ver exemplos de políticas FSx baseadas em identidade da Amazon, consulte. [Exemplos de políticas baseadas em identidade para Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos na Amazon FSx
**Compatibilidade com políticas baseadas em recursos:** não
## Ações políticas para a Amazon FSx
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de FSx ações da Amazon, consulte [Ações definidas pela Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) na *Referência de autorização de serviço*.
As ações políticas na Amazon FSx usam o seguinte prefixo antes da ação:
```
fsx
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Para ver exemplos de políticas FSx baseadas em identidade da Amazon, consulte. [Exemplos de políticas baseadas em identidade para Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
## Recursos de políticas para a Amazon FSx
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de FSx recursos da Amazon e seus ARNs, consulte [Recursos definidos pela Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies) na *Referência de autorização de serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pela Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions). FSx
Para ver exemplos de políticas FSx baseadas em identidade da Amazon, consulte. [Exemplos de políticas baseadas em identidade para Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
## Chaves de condição de política para a Amazon FSx
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista das chaves de FSx condição da Amazon, consulte [Chaves de condição da Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pela Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Para ver exemplos de políticas FSx baseadas em identidade da Amazon, consulte. [Exemplos de políticas baseadas em identidade para Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
## Listas de controle de acesso (ACLs) na Amazon FSx
**Suportes ACLs:** Não
## Controle de acesso baseado em atributos (ABAC) com a Amazon FSx
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
Para obter mais informações sobre a marcação de FSx recursos da Amazon, consulte[Marcação de recursos do Amazon FSx](tag-resources.md).
Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Usando tags para controlar o acesso aos seus FSx recursos da Amazon](using-tags-fsx.md#restrict-fsx-access-tags).
## Usando credenciais temporárias com a Amazon FSx
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para a Amazon FSx
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para a Amazon FSx
**Compatível com perfis de serviço:** não
## Funções vinculadas a serviços para a Amazon FSx
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar funções FSx vinculadas a serviços da Amazon, consulte. [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md)
# Exemplos de políticas baseadas em identidade para Amazon for ONTAP FSx NetApp
Por padrão, usuários e funções não têm permissão para criar ou modificar FSx recursos da Amazon. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos pela Amazon FSx, incluindo o formato de cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição para a Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html) na *Referência de Autorização de Serviço*. ARNs
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o FSx console da Amazon](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir FSx recursos da Amazon em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o FSx console da Amazon
Para acessar o console Amazon FSx for NetApp ONTAP, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os FSx recursos da Amazon em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o FSx console da Amazon, anexe também a política `AmazonFSxConsoleReadOnlyAccess` AWS gerenciada às entidades. Para saber mais, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Você pode ver as `AmazonFSxConsoleReadOnlyAccess` e outras políticas de serviços FSx gerenciados da Amazon em[AWS políticas gerenciadas da Amazon FSx para NetApp ONTAP](security-iam-awsmanpol.md).
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Solução de problemas de identidade e acesso ao Amazon FSx for NetApp ONTAP
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com a Amazon FSx e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação na Amazon FSx](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas de fora da minha Conta da AWS acessem meus FSx recursos da Amazon](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação na Amazon FSx
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `fsx:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `fsx:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para a Amazon FSx.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação na Amazon FSx. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas de fora da minha Conta da AWS acessem meus FSx recursos da Amazon
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se a Amazon FSx oferece suporte a esses recursos, consulte[Como o Amazon FSx for NetApp ONTAP funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Usando funções vinculadas a serviços para a Amazon FSx
A Amazon FSx usa AWS Identity and Access Management funções [vinculadas a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada a serviços é um tipo exclusivo de função do IAM vinculada diretamente à Amazon. FSx As funções vinculadas ao serviço são predefinidas pela Amazon FSx e incluem todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração da Amazon FSx porque você não precisa adicionar manualmente as permissões necessárias. A Amazon FSx define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente a Amazon FSx pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus FSx recursos da Amazon porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas ao serviço para a Amazon FSx
A Amazon FSx usa a função vinculada ao serviço chamada **AWSServiceRoleForAmazonFSx**— Que executa determinadas ações em sua conta, como criar interfaces de rede elástica para seus sistemas de arquivos em sua VPC e publicar métricas de volume e sistema de arquivos em. CloudWatch
Para obter atualizações dessa política, consulte [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
**Detalhes das permissões**
As permissões de AWSService RoleForAmazon FSx função são definidas pela política FSx ServiceRolePolicy AWS gerenciada da Amazon. O AWSService RoleForAmazon FSx tem as seguintes permissões:
**nota**
O AWSService RoleForAmazon FSx é usado por todos os tipos de sistema de FSx arquivos da Amazon; algumas das permissões listadas não se aplicam ao FSx ONTAP.
+ `ds`— Permite que FSx a Amazon visualize, autorize e não autorize aplicativos em seu diretório. Directory Service
+ `ec2`— Permite que FSx a Amazon faça o seguinte:
+ Visualize, crie e desassocie interfaces de rede associadas a um sistema de FSx arquivos da Amazon.
+ Visualize um ou mais endereços IP elásticos associados a um sistema de FSx arquivos da Amazon.
+ Veja a Amazon VPCs, os grupos de segurança e as sub-redes associadas a um sistema de FSx arquivos da Amazon.
+ Atribua IPv6 endereços às interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag.
+ Cancele a atribuição de IPv6 endereços das interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag.
+ Fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ Crie uma permissão para que um usuário AWS autorizado realize determinadas operações em uma interface de rede.
+ `cloudwatch`— Permite que FSx a Amazon publique pontos de dados métricos CloudWatch sob o FSx namespace AWS//.
+ `route53`— Permite que FSx a Amazon associe uma Amazon VPC a uma zona hospedada privada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
}
]
}
```
------
Todas as atualizações dessa política estão descritas em [Amazon FSx atualiza as políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no Guia do usuário do IAM.
## Criação de uma função vinculada a serviços para a Amazon FSx
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um sistema de arquivos na CLI do IAM ou na API do IAM, a Amazon FSx cria a função vinculada ao serviço para você. Console de gerenciamento da AWS
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria um sistema de arquivos, a Amazon FSx cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para a Amazon FSx
FSx A Amazon não permite que você edite a função AWSService RoleForAmazon FSx vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para a Amazon FSx
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve excluir todos os seus sistemas de arquivos e backups para poder excluir manualmente o perfil vinculado ao serviço.
**nota**
Se o FSx serviço da Amazon estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForAmazonFSx. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a FSx serviços da Amazon
A Amazon FSx oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Usando tags com a Amazon FSx
Você pode usar tags para controlar o acesso aos FSx recursos da Amazon e implementar o controle de acesso baseado em atributos (ABAC). Para aplicar tags aos FSx recursos da Amazon durante a criação, os usuários devem ter determinadas permissões AWS Identity and Access Management (IAM).
## Conceder permissão para marcar recursos durante a criação
Com algumas ações de API da FSx Amazon que criam recursos, você pode especificar tags ao criar o recurso. É possível usar essas tags de recurso para implementar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
Para permitir que os usuários marquem recursos na criação, eles devem ter permissão para usar a ação que cria o recurso, como `fsx:CreateFileSystem`, `fsx:CreateStorageVirtualMachine` ou `fsx:CreateVolume`. Se tags forem especificadas na ação de criação do recurso, o IAM executará autorização adicional na ação `fsx:TagResource` para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação `fsx:TagResource`.
O exemplo de política a seguir permite que os usuários criem sistemas de arquivos e máquinas virtuais de armazenamento (SVMs) e apliquem tags a eles durante a criação em um local específico Conta da AWS.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*",
"arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*"
]
}
]
}
```
Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
A ação `fsx:TagResource` só será avaliada se as tags forem aplicadas durante a ação de criação do recurso. Portanto, um usuário que tiver permissões para criar um recurso (supondo que não existam condições de tag) não precisará de permissão para usar a ação `fsx:TagResource` se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação `fsx:TagResource`.
Para obter mais informações sobre a marcação de FSx recursos da Amazon, consulte[Marcação de recursos do Amazon FSx](tag-resources.md). Para obter mais informações sobre o uso de tags para controlar o acesso aos FSx recursos da Amazon, consulte[Usando tags para controlar o acesso aos seus FSx recursos da Amazon](#restrict-fsx-access-tags).
## Usando tags para controlar o acesso aos seus FSx recursos da Amazon
Para controlar o acesso aos FSx recursos e ações da Amazon, você pode usar políticas do IAM com base em tags. É possível conceder o controle de duas formas:
+ Você pode controlar o acesso aos FSx recursos da Amazon com base nas tags desses recursos.
+ Controlar quais tags podem ser transmitidas em uma condição de solicitação do IAM.
Para obter informações sobre como usar tags para controlar o acesso aos AWS recursos, consulte Como [controlar o acesso usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a marcação de FSx recursos da Amazon no momento da criação, consulte[Conceder permissão para marcar recursos durante a criação](#supported-iam-actions-tagging). Para obter mais informações sobre como marcar recursos, consulte [Marcação de recursos do Amazon FSx](tag-resources.md).
### Como controlar o acesso com base em tags em um recurso
Para controlar quais ações um usuário ou função pode realizar em um FSx recurso da Amazon, você pode usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par chave-valor da tag no recurso.
**Example Exemplo de política: criar um sistema de arquivos somente quando uma tag específica for usada**
Essa política permite que o usuário só crie um sistema de arquivos quando o marcar com um par de chave/valor de tag específico, neste exemplo, `key=Department`, `value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Exemplo de política — Crie backups somente dos volumes Amazon FSx for NetApp ONTAP com uma tag específica**
Essa política permite que os usuários criem backups somente FSx para volumes ONTAP marcados com o par de valores-chave,. `key=Department` `value=Finance` O backup é criado com a tag `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemplo de política: criar um volume com uma tag específica usando backups com uma tag específica**
Essa política só permite que os usuários criem volumes marcados com `Department=Finance` usando backups marcados com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemplo de política: excluir sistemas de arquivos com tags específicas**
Essa política só permite que o usuário exclua sistemas de arquivos marcados com `Department=Finance`. Se um backup final for criado, ele deverá ser marcado com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemplo de política: excluir um volume com tags específicas**
Essa política só permite que o usuário exclua volumes marcados com `Department=Finance`. Se um backup final for criado, ele deverá ser marcado com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteVolume"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# AWS políticas gerenciadas da Amazon FSx para NetApp ONTAP
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## Amazon FSx ServiceRolePolicy
Permite que FSx a Amazon gerencie AWS recursos em seu nome. Para saber mais, consulte [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md).
## AWS política gerenciada: Amazon FSx DeleteServiceLinkedRoleAccess
Não é possível anexar a `AmazonFSxDeleteServiceLinkedRoleAccess` às entidades do IAM. Essa política está vinculada a um serviço e só é usada com o perfil vinculado a esse serviço. Você não pode anexar, desanexar, modificar ou excluir essa política. Para obter mais informações, consulte [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md).
Essa política concede permissões administrativas que permitem FSx à Amazon excluir sua função vinculada ao serviço para acesso ao Amazon S3, usada somente FSx pelo Amazon for Lustre.
**Detalhes das permissões**
Essa política inclui permissões `iam` para permitir que FSx a Amazon visualize, exclua e visualize o status de exclusão das funções vinculadas ao FSx serviço para acesso ao Amazon S3.
Para ver as permissões dessa política, consulte a [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx FullAccess
Você pode anexar FSx FullAccess a Amazon às suas entidades do IAM. A Amazon FSx também atribui essa política a uma função de serviço que permite FSx à Amazon realizar ações em seu nome.
Fornece acesso total à Amazon FSx e acesso aos AWS serviços relacionados.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `fsx`— Permite que os diretores tenham acesso total para realizar todas as FSx ações da Amazon, exceto a. `BypassSnaplockEnterpriseRetention`
+ `ds`— Permite que os diretores visualizem informações sobre os Directory Service diretórios.
+ `ec2`
+ Permite que as entidades principais criem tags sob as condições especificadas.
+ Fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ `iam`— Permite que os princípios criem uma função vinculada ao FSx serviço da Amazon em nome do usuário. Isso é necessário para que a Amazon FSx possa gerenciar AWS recursos em nome do usuário.
+ `firehose`: permite que as entidades principais gravem registros em um Amazon Data Firehose. Isso é necessário FSx para que os usuários possam monitorar o acesso ao sistema de arquivos do Windows File Server enviando registros de acesso de auditoria para o Firehose.
+ `logs`: permite que as entidades principais criem grupos de logs, fluxos de logs e gravem eventos nos fluxos de logs. Isso é necessário FSx para que os usuários possam monitorar o acesso ao sistema de arquivos do Windows File Server enviando registros de acesso de auditoria para o CloudWatch Logs.
Para ver as permissões dessa política, consulte a [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx ConsoleFullAccess
É possível anexar a política `AmazonFSxConsoleFullAccess` às suas identidades do IAM.
Esta política concede permissões administrativas que permitem acesso total à Amazon FSx e acesso a AWS serviços relacionados por meio do Console de gerenciamento da AWS.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `fsx`— Permite que os diretores realizem todas as ações no console FSx de gerenciamento da Amazon, exceto`BypassSnaplockEnterpriseRetention`.
+ `cloudwatch`— Permite que os diretores visualizem CloudWatch alarmes e métricas no console de FSx gerenciamento da Amazon.
+ `ds`— Permite que os diretores listem informações sobre um Directory Service diretório.
+ `ec2`
+ Permite que os diretores criem tags em tabelas de rotas, listem interfaces de rede, tabelas de rotas, grupos de segurança, sub-redes e a VPC associada a um sistema de arquivos da Amazon. FSx
+ Permite que entidades principais forneçam validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ Permite que os diretores visualizem as interfaces de rede elásticas associadas a um sistema de FSx arquivos da Amazon.
+ `kms`— Permite que os diretores listem aliases para AWS Key Management Service chaves.
+ `s3`: permite que as entidades principais listem alguns ou todos os objetos em um bucket do Amazon S3 (até mil).
+ `secretsmanager`— Permite que os diretores listem segredos AWS Secrets Manager para selecionar as credenciais da conta de serviço de ingresso no domínio.
+ `iam`— Concede permissão para criar uma função vinculada ao serviço que permite FSx à Amazon realizar ações em nome do usuário.
Para ver as permissões dessa política, consulte a [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx ConsoleReadOnlyAccess
É possível anexar a política `AmazonFSxConsoleReadOnlyAccess` às suas identidades do IAM.
Esta política concede permissões somente de leitura à Amazon FSx e aos AWS serviços relacionados para que os usuários possam visualizar informações sobre esses serviços no. Console de gerenciamento da AWS
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `fsx`— Permite que os diretores visualizem informações sobre os sistemas de FSx arquivos da Amazon, incluindo todas as tags, no Amazon FSx Management Console.
+ `cloudwatch`— Permite que os diretores visualizem CloudWatch alarmes e métricas no Amazon FSx Management Console.
+ `ds`— Permite que os diretores visualizem informações sobre um Directory Service diretório no Amazon FSx Management Console.
+ `ec2`
+ Permite que os diretores visualizem interfaces de rede, grupos de segurança, sub-redes e a VPC associada a um FSx sistema de arquivos da Amazon no Amazon Management Console. FSx
+ Permite que entidades principais forneçam validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
+ Permite que os diretores visualizem as interfaces de rede elásticas associadas a um sistema de FSx arquivos da Amazon.
+ `kms`— Permite que os diretores visualizem aliases para AWS Key Management Service chaves no Amazon FSx Management Console.
+ `log`— Permite que os diretores descrevam os grupos de log do Amazon CloudWatch Logs associados à conta que fez a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server.
+ `secretsmanager`— Permite que os diretores listem segredos AWS Secrets Manager para selecionar as credenciais da conta de serviço de ingresso no domínio.
+ `firehose`: permite que as entidades principais descrevam os fluxos de entrega do Amazon Data Firehose associados à conta que está fazendo a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server.
Para ver as permissões dessa política, consulte a [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) no Guia de referência de políticas AWS gerenciadas.
## AWS política gerenciada: Amazon FSx ReadOnlyAccess
É possível anexar a política `AmazonFSxReadOnlyAccess` às suas identidades do IAM.
+ `fsx`— Permite que os diretores visualizem informações sobre os sistemas de FSx arquivos da Amazon, incluindo todas as tags, no Amazon FSx Management Console.
+ `ec2`: fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.
Para ver as permissões dessa política, consulte a [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) no Guia de referência de políticas AWS gerenciadas.
## Amazon FSx atualiza as políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon FSx desde que esse serviço começou a monitorar essas mudanças. Para receber alertas automáticos sobre alterações nesta página, assine o feed RSS na FSx [Histórico de documentos da Amazon FSx para NetApp ONTAP](document-history.md) página da Amazon.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `secretsmanager:ListSecrets` que permite que os diretores listem segredos AWS Secrets Manager para selecionar as credenciais da conta de serviço de ingresso no domínio. | 5 de novembro de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `secretsmanager:ListSecrets` que permite que os diretores listem segredos AWS Secrets Manager para selecionar as credenciais da conta de serviço de ingresso no domínio. | 3 de novembro de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:AssignIpv6Addresses` que permite que os diretores atribuam IPv6 endereços às interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag. | 22 de julho de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:UnassignIpv6Addresses` que permite que os diretores cancelem a atribuição de IPv6 endereços das interfaces de rede do cliente que tenham uma `AmazonFSx.FileSystemId` tag. | 22 de julho de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:CreateAndAttachS3AccessPoint` que permite que os diretores criem um ponto de acesso S3 e o conectem a um FSx volume. | 25 de junho de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DescribeS3AccessPointAttachments` que permite aos diretores listar todos os pontos de acesso do S3 Conta da AWS em um. Região da AWS | 25 de junho de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DetachAndDeleteS3AccessPoint` que permite que os diretores excluam um ponto de acesso S3. | 25 de junho de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:CreateAndAttachS3AccessPoint` que permite que os diretores criem um ponto de acesso S3 e o conectem a um FSx volume. | 25 de junho de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DescribeS3AccessPointAttachments` que permite aos diretores listar todos os pontos de acesso do S3 Conta da AWS em um. Região da AWS | 25 de junho de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `fsx:DetachAndDeleteS3AccessPoint` que permite que os diretores excluam um ponto de acesso S3. | 25 de junho de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:DescribeNetworkInterfaces` que permite que os diretores visualizem as interfaces de rede elásticas associadas ao sistema de arquivos. | 25 de fevereiro de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:DescribeNetworkInterfaces` que permite que os diretores visualizem as interfaces de rede elásticas associadas ao sistema de arquivos. | 07 de fevereiro de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão, `ec2:GetSecurityGroupsForVpc` que permite que os diretores forneçam validação aprimorada de grupos de segurança de todos os grupos de segurança que podem ser usados com uma VPC. | 9 de janeiro de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação de dados entre regiões e entre contas FSx para sistemas de arquivos OpenZFS. | 20 de dezembro de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação de dados entre regiões e entre contas FSx para sistemas de arquivos OpenZFS. | 20 de dezembro de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação sob demanda de volumes FSx para sistemas de arquivos OpenZFS. | 26 de novembro de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou uma nova permissão para permitir que os usuários realizem a replicação sob demanda de volumes FSx para sistemas de arquivos OpenZFS. | 26 de novembro de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem, habilitem e desabilitem o suporte compartilhado de VPC FSx para sistemas de arquivos ONTAP Multi-AZ. | 14 de novembro de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem, habilitem e desabilitem o suporte compartilhado de VPC FSx para sistemas de arquivos ONTAP Multi-AZ. | 14 de novembro de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon gerencie configurações de rede FSx para sistemas de arquivos OpenZFS Multi-AZ. | 9 de agosto de 2023 |
| [AWS política gerenciada: Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx modificou a `cloudwatch:PutMetricData` permissão existente para que a Amazon FSx publique CloudWatch métricas no `AWS/FSx` namespace. | 24 de julho de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx atualizou a política para remover a `fsx:*` permissão e adicionar `fsx` ações específicas. | 13 de julho de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx atualizou a política para remover a `fsx:*` permissão e adicionar `fsx` ações específicas. | 13 de julho de 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem métricas de desempenho aprimoradas e ações recomendadas FSx para sistemas de arquivos do Windows File Server no FSx console da Amazon. | 21 de setembro de 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os usuários visualizem métricas de desempenho aprimoradas e ações recomendadas FSx para sistemas de arquivos do Windows File Server no FSx console da Amazon. | 21 de setembro de 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Iniciou a política de rastreamento | Essa política concede acesso somente para leitura a todos os FSx recursos da Amazon e a quaisquer tags associadas a eles. | 4 de fevereiro de 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) — Iniciou a política de rastreamento | Essa política concede permissões administrativas que permitem FSx à Amazon excluir sua função vinculada ao serviço para acesso ao Amazon S3. | 7 de janeiro de 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon gerencie as configurações de rede dos sistemas de arquivos Amazon FSx for NetApp ONTAP. | 2 de setembro de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | O Amazon FSx adicionou novas permissões para permitir que o Amazon FSx crie tags nas tabelas de rotas do EC2 para chamadas com escopo reduzido. | 2 de setembro de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon crie sistemas de arquivos Amazon FSx for NetApp ONTAP Multi-AZ. | 2 de setembro de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | O Amazon FSx adicionou novas permissões para permitir que o Amazon FSx crie tags nas tabelas de rotas do EC2 para chamadas com escopo reduzido. | 2 de setembro de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon descreva e grave nos fluxos de log do CloudWatch Logs. Isso é necessário para que os usuários possam visualizar registros de auditoria de acesso a arquivos FSx para sistemas de arquivos do Windows File Server usando CloudWatch Logs. | 8 de junho de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que FSx a Amazon descreva e grave nos fluxos de entrega do Amazon Data Firehose. Isso é necessário para que os usuários possam visualizar os registros de auditoria de acesso aos arquivos de um sistema FSx de arquivos do Windows File Server usando o Amazon Data Firehose. | 8 de junho de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam e criem grupos de CloudWatch registros de registros, fluxos de registros e gravem eventos em fluxos de registros. Isso é necessário para que os diretores possam visualizar os registros de auditoria de acesso a arquivos FSx para sistemas de arquivos do Windows File Server usando CloudWatch Logs. | 8 de junho de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam e gravem registros em um Amazon Data Firehose. Isso é necessário para que os usuários possam visualizar os registros de auditoria de acesso aos arquivos de um sistema FSx de arquivos do Windows File Server usando o Amazon Data Firehose. | 8 de junho de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os grupos de log do Amazon CloudWatch Logs associados à conta que fez a solicitação. Isso é necessário para que os diretores possam escolher um grupo de registros de CloudWatch registros existente ao configurar a auditoria de acesso a arquivos FSx para um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os fluxos de entrega do Amazon Data Firehose associados à conta que fez a solicitação. Isso é necessário para que os diretores possam escolher um stream de entrega existente do Firehose ao configurar a auditoria de acesso a arquivos para FSx um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os grupos de log do Amazon CloudWatch Logs associados à conta que fez a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Atualização de uma política existente | A Amazon FSx adicionou novas permissões para permitir que os diretores descrevam os fluxos de entrega do Amazon Data Firehose associados à conta que fez a solicitação. Isso é necessário para que os diretores possam visualizar a configuração de auditoria de acesso a arquivos existente FSx para um sistema de arquivos do Windows File Server. | 8 de junho de 2021 |
| A Amazon FSx começou a monitorar as mudanças | A Amazon FSx começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 8 de junho de 2021 |
# Controle de acesso ao sistema de arquivos com a Amazon VPC
Você acessa seus sistemas de arquivos Amazon FSx for NetApp ONTAP SVMs usando o nome DNS ou o endereço IP de um de seus endpoints, dependendo do tipo de acesso. O nome DNS é mapeado para o endereço IP privado da interface de rede elástica do sistema de arquivos ou da SVM na sua VPC. Somente recursos dentro da VPC associada, ou recursos conectados à VPC Direct Connect ou VPN associada, podem acessar os dados em seu sistema de arquivos por meio dos protocolos NFS, SMB ou iSCSI. Para obter mais informações, consulte [O que é a Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) no *Guia do usuário da Amazon VPC*.
**Atenção**
Você não deve modificar nem excluir as interfaces de rede elástica associadas ao seu sistema de arquivos. A modificação ou a exclusão da interface de rede pode causar uma perda permanente de conexão entre a VPC e o sistema de arquivos.
## Grupos de segurança da Amazon VPC
Um grupo de segurança atua como um firewall virtual FSx para seus sistemas de arquivos ONTAP para controlar o tráfego de entrada e saída. As regras de entrada controlam o tráfego de entrada para o sistema de arquivos e as regras de saída controlam o tráfego de saída do sistema de arquivos. Ao criar um sistema de arquivos, você especifica a VPC na qual ele é criado e o grupo de segurança padrão dessa VPC é aplicado. Você pode adicionar regras a cada grupo de segurança que permitem o tráfego de ou para seus sistemas de arquivos associados SVMs e. Você pode modificar as regras de um grupo de segurança a qualquer momento. As regras novas e modificadas são aplicadas automaticamente a todos os recursos associados ao grupo de segurança. Quando a Amazon FSx decide se permite que o tráfego chegue a um recurso, ela avalia todas as regras de todos os grupos de segurança associados ao recurso.
Para usar um grupo de segurança para controlar o acesso ao seu sistema de FSx arquivos da Amazon, adicione regras de entrada e saída. As regras de entrada controlam o tráfego de entrada e as regras de saída controlam o tráfego de saída do sistema de arquivos. Certifique-se de ter as regras de tráfego de rede corretas em seu grupo de segurança para mapear o compartilhamento de FSx arquivos do sistema de arquivos da Amazon em uma pasta na sua instância computacional compatível.
Para obter mais informações sobre regras de grupo de segurança, consulte [Regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules) no *Guia do usuário do Amazon EC2*.
### Criar um grupo de segurança de VPC
**Para criar um grupo de segurança para a Amazon FSx**
1. [Abra o console do Amazon EC2 em https://console.aws.amazon.com /ec2.](https://console.aws.amazon.com/ec2)
1. No painel de navegação, escolha **Grupos de segurança**.
1. Escolha **Create Security Group**.
1. Especifique um nome e uma descrição para o grupo de segurança.
1. Para **VPC**, escolha a Amazon VPC associada ao seu sistema de arquivos para criar o grupo de segurança dentro dessa VPC.
1. Para regras de saída, permita todo o tráfego em todas as portas.
1. Adicione a regras a seguir às portas de entrada do grupo de segurança. Para o campo de **origem**, você deve escolher **Personalizado** e inserir os grupos de segurança ou os intervalos de endereços IP associados às instâncias que precisam acessar seu sistema FSx de arquivos do ONTAP, incluindo:
+ Clientes Linux, Windows e and/or macOS que acessam dados em seu sistema de arquivos via NFS, SMB ou iSCSI.
+ Qualquer arquivo ONTAP systems/clusters que você conectará ao seu sistema de arquivos (por exemplo, para usar SnapMirror SnapVault, ou FlexCache).
+ Qualquer cliente que você usará para acessar a API REST, a CLI ZAPIs ou (por exemplo, Harvest/Grafana uma instância NetApp , um conector ou um console) do ONTAP. NetApp
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/limit-access-security-groups.html)
1. Adicione o grupo de segurança à interface de rede elástica do sistema de arquivos.
#### Proibir acesso a um sistema de arquivos
Para proibir temporariamente o acesso de todos os clientes à rede ao seu sistema de arquivos, você pode remover todos os grupos de segurança associados à (s) interface (s) elástica (s) de rede do seu sistema de arquivos e substituí-los por um grupo sem inbound/outbound regras.
# Validação de conformidade da Amazon FSx para NetApp ONTAP
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentos aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Amazon FSx para NetApp ONTAP e endpoints VPC de interface ()AWS PrivateLink
Você pode melhorar a postura de segurança da sua VPC configurando a FSx Amazon para usar uma interface VPC endpoint. Os endpoints VPC da Interface são alimentados por [AWS PrivateLink](https://aws.amazon.com/privatelink)uma tecnologia que permite acessar a FSx APIs Amazon de forma privada sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para se comunicar com a Amazon. FSx APIs O tráfego entre sua VPC e a Amazon FSx não sai da AWS rede.
Cada endpoint da VPC de interface é representado por uma ou mais interfaces de rede elástica em suas sub-redes. Uma interface de rede fornece um endereço IP privado que serve como ponto de entrada para o tráfego para a FSx API da Amazon. A Amazon FSx oferece suporte a endpoints VPC configurados com os tipos de IPv4 endereço IP Dualstack (IPv4 e). IPv6 Para obter mais informações, consulte [Como criar um endpoint da VPC da interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no *Guia do usuário da Amazon VPC*.
## Considerações sobre os endpoints VPC da FSx interface Amazon
*Antes de configurar uma interface VPC endpoint para a Amazon FSx, certifique-se de revisar as propriedades [e limitações da interface VPC endpoint no Guia do usuário da](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) Amazon VPC.*
Você pode chamar qualquer uma das operações de FSx API da Amazon a partir da sua VPC. Por exemplo, você pode criar um sistema de arquivos FSx for ONTAP chamando a CreateFileSystem API de dentro da sua VPC. Para ver a lista completa da Amazon FSx APIs, consulte [Ações](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) na Referência de FSx API da Amazon.
### Considerações sobre emparelhamento de VPC
Você pode conectar outras pessoas VPCs à VPC com endpoints de VPC de interface usando o peering de VPC. O peering de VPC é uma conexão de rede entre dois. VPCs Você pode estabelecer uma conexão de emparelhamento de VPC entre suas duas VPCs ou com uma VPC em outra. Conta da AWS Eles também VPCs podem estar em dois diferentes Regiões da AWS.
O tráfego entre os pares VPCs permanece na AWS rede e não atravessa a Internet pública. Depois que as VPCs são emparelhadas, recursos como as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em ambas VPCs podem acessar a FSx API da Amazon por meio de endpoints de VPC de interface criados em uma das. VPCs
## Criação de uma interface VPC endpoint para a API da Amazon FSx
Você pode criar um VPC endpoint para a FSx API da Amazon usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Creating an interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no *Guia do usuário da Amazon VPC*.
Para criar uma interface VPC endpoint para a Amazon FSx, use uma das seguintes opções:
+ `com.amazonaws.region.fsx`— Cria um endpoint para operações de FSx API da Amazon.
+ **`com.amazonaws.region.fsx-fips`**— Cria um endpoint para a FSx API da Amazon que está em conformidade com o [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
Para usar a opção de DNS privado, é necessário definir os recursos `enableDnsHostnames` e `enableDnsSupport` da sua VPC. Para obter mais informações, consulte [Viewing and updating DNS support for your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) no *Guia do usuário da Amazon VPC*.
Exceto Regiões da AWS na China, se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para a Amazon com FSx o endpoint VPC usando seu nome DNS padrão para o, por exemplo. Região da AWS`fsx.us-east-1.amazonaws.com` Para a China (Pequim) e a China (Ningxia) Regiões da AWS, você pode fazer solicitações de API com o VPC endpoint `fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn` usando `fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn` e, respectivamente.
Para obter mais informações, consulte [Accessing a service through an interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) no *Guia do usuário da Amazon VPC*.
## Criação de uma política de VPC endpoint para a Amazon FSx
Para controlar o acesso à FSx API da Amazon, você pode anexar uma política AWS Identity and Access Management (IAM) ao seu VPC endpoint. A política especifica o seguinte:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.
# Resiliência na Amazon FSx para ONTAP NetApp
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
Além da infraestrutura AWS global, a Amazon FSx oferece vários recursos para ajudar a suportar suas necessidades de resiliência e backup de dados.
## Backup e restauração
FSx A Amazon cria e salva backups automatizados dos volumes em seu sistema de arquivos Amazon FSx for NetApp ONTAP. FSx A Amazon cria backups automatizados dos seus volumes durante a janela de backup do seu sistema de arquivos Amazon FSx for NetApp ONTAP. A Amazon FSx salva os backups automatizados de seus volumes de acordo com o período de retenção de backup que você especificar. Também é possível fazer backup dos volumes manualmente, criando um backup iniciado pelo usuário. Você restaura um backup de volume a qualquer momento criando um novo volume com o backup especificado como origem.
Para obter mais informações, consulte [Proteger seus dados com backups de volume](using-backups.md).
## Snapshots
FSx A Amazon cria cópias instantâneas dos volumes Amazon FSx for NetApp ONTAP. Esses snapshots oferecem proteção contra exclusão ou modificação acidental de arquivos em seus volumes pelos usuários finais. Para obter mais informações, consulte [Como proteger seus dados com snapshots](snapshots-ontap.md).
## Zonas de disponibilidade
Os sistemas de arquivos Amazon FSx for NetApp ONTAP foram projetados para fornecer disponibilidade contínua aos dados, mesmo no caso de uma falha no servidor. Cada sistema de arquivos é alimentado por dois servidores de arquivos em pelo menos uma zona de disponibilidade, cada um com seu próprio armazenamento. A Amazon replica FSx automaticamente seus dados para protegê-los contra falhas de componentes, monitora continuamente as falhas de hardware e substitui automaticamente os componentes da infraestrutura em caso de falha. Os sistemas de arquivos são alternados automaticamente conforme necessário (normalmente em 60 segundos), e os clientes também são alternados automaticamente com o sistema de arquivos.
### Sistemas de arquivos multi-AZ
Os sistemas de arquivos Amazon FSx for NetApp ONTAP são altamente disponíveis e duráveis em todas as zonas de AWS disponibilidade e foram projetados para fornecer disponibilidade contínua aos dados, mesmo no caso de uma zona de disponibilidade não estar disponível.
Para obter mais informações, consulte [Opções de disponibilidade, durabilidade e implantação](high-availability-AZ.md).
### Sistemas de arquivos com uma única AZ
Os sistemas de arquivos Amazon FSx for NetApp ONTAP são altamente disponíveis e duráveis em uma única zona de AWS disponibilidade e foram projetados para fornecer disponibilidade contínua dentro dessa zona de disponibilidade no caso de falha de um servidor de arquivos ou disco individual.
Para obter mais informações, consulte [Opções de disponibilidade, durabilidade e implantação](high-availability-AZ.md).
# Segurança de infraestrutura na Amazon FSx para NetApp ONTAP
Como um serviço gerenciado, o Amazon FSx for NetApp ONTAP é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar a Amazon FSx pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
# Use o NetApp ONTAP Vscan com FSx o ONTAP
Você pode usar o atributo Vscan do NetApp ONTAP's do para executar software antivírus de terceiros com suporte. Para obter mais informações, consulte os seguintes recursos para cada uma das soluções com suporte:
+ Deep Instinct: [Soluções de parceiros do Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) e [Documentação do Deep Instinct1](https://portal.deepinstinct.com/pages/dikb)
+ SentinelOne — [Soluções de parceiros Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) e [SentinelOne Singularity](https://www.sentinelone.com/platform/singularity-cloud-data-security) Cloud Data Security
+ Symantec: [soluções de parceiro Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) e [Symantec Protection Engine](https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/symantec-protection-engine/9-1-0.html)
+ [Trellix (anteriormente McAfee) — soluções de [parceiros da Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) e documentos de produtos da Trellix](https://docs.trellix.com/)
+ Trend Micro: [Soluções de parceiros do Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)
**nota**
1 Você deve fazer login no portal do Deep Instinct para visualizar sua documentação.
# Usuários e perfis do ONTAP
O NetApp ONTAP inclui uma capacidade de controle de acesso por perfil (RBAC) robusta e extensível. Os perfis do ONTAP definem os recursos e os privilégios do usuário ao utilizar a API REST e a CLI do ONTAP. Cada perfil define um nível diferente de recursos e privilégios administrativos. Você atribui funções aos usuários com o objetivo de controlar seu acesso aos FSx recursos do ONTAP ao usar a API ONTAP REST e a CLI. Há ONTAP funções disponíveis separadamente FSx para usuários do sistema de arquivos ONTAP e usuários de máquinas virtuais de armazenamento (SVM).
Quando você cria um sistema de arquivos FSx para ONTAP, um ONTAP usuário padrão é criado no nível do sistema de arquivos e no nível do SVM. Você pode criar outros usuários do sistema de arquivos e do SVM, além de criar perfis adicionais do SVM para atender às necessidades da sua organização. Este capítulo explica os usuários e perfis do ONTAP, e apresenta procedimentos detalhados para criar usuários adicionais e perfis de SVM.
## Perfis e usuários de administrador do sistema de arquivos
O usuário padrão do sistema de arquivos do ONTAP é `fsxadmin`, que tem o perfil `fsxadmin` atribuído a ele. Há dois perfis predefinidos que você pode atribuir aos usuários do sistema de arquivos, listadas a seguir:
+ **`fsxadmin`**: os administradores com esse perfil têm direitos irrestritos no sistema ONTAP. Eles podem configurar todos os recursos do sistema de arquivos e do SVM disponíveis nos sistemas FSx de arquivos ONTAP.
+ **`fsxadmin-readonly`** - os administradores com esse perfil podem ver tudo no nível do sistema de arquivos, mas não podem fazer nenhuma alteração.
Esse perfil é adequado para uso com aplicações de monitoramento (p. ex., NetApp Harvest), porque ele tem acesso somente de leitura a todos os recursos disponíveis e suas propriedades, mas não pode fazer nenhuma alteração neles.
Você pode criar outros usuários do sistema de arquivos e atribuir a eles o perfil `fsxadmin` ou `fsxadmin-readonly`. Você não pode criar novos perfis nem modificar os perfis existentes. Para obter mais informações, consulte [Criação de novos usuários do ONTAP para administração do sistema de arquivos e do SVM](#file-system-roles-and-users).
A tabela a seguir descreve o nível de acesso que os perfis de administrador do sistema de arquivos têm aos comandos e diretórios de comandos da API REST e da CLI do ONTAP.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/roles-and-users.html)
## Perfis e usuários de administrador do SVM
Cada SVM tem um domínio de autenticação separado e pode ser gerenciado de modo independente por seus próprios administradores. Cada SVM em seu sistema de arquivos tem um usuário padrão chamado *vsadmin*, que tem o perfil `vsadmin` atribuído por padrão. Além do perfil `vsadmin`, há outros perfis predefinidos do SVM que fornecem permissões com escopo reduzido que você pode atribuir aos usuários do SVM. Você também pode criar perfis personalizados que forneçam o nível de controle de acesso adequado às necessidades da sua organização.
Os perfis predefinidos para administradores de SVM e seus recursos são os seguintes:
| Nome do perfil | Capacidades |
| --- | --- |
| `vsadmin` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-volume` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-protocol` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-backup` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-snaplock` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-readonly` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/roles-and-users.html) |
Para obter mais informações sobre como criar um novo perfil de SVM, consulte [Criação de perfis de SVM](creating-new-svm-roles.md).
## Como usar o Active Directory para autenticar usuários do ONTAP
Você pode autenticar o acesso dos usuários do domínio Windows Active Directory a um FSx sistema de arquivos ONTAP e SVM. Você deve executar as seguintes tarefas antes que as contas do Active Directory possam acessar seu sistema de arquivos:
+ Você precisa configurar o acesso do controlador de domínio do Active Directory para o SVM.
O SVM que você usa para configurar como gateway ou túnel para acesso ao controlador de domínio do Active Directory deve ter o CIFS habilitado, estar associado a um Active Directory ou ambos. Se você não estiver habilitando o CIFS e somente unindo a SVM do túnel a um Active Directory, certifique-se de que a SVM esteja associada ao Active Directory. Para obter mais informações, consulte [Como funciona SVMs a adesão ao Microsoft Active Directory](self-managed-AD-join.md).
+ Você precisa habilitar uma conta de usuário de domínio do Active Directory para acessar o sistema de arquivos.
Você pode usar a autenticação por senha ou a autenticação de chave pública SSH para usuários de domínio do Windows que acessam a API REST ou a CLI do ONTAP.
Para ver os procedimentos que descrevem como configurar a autenticação do Active Directory para administradores de sistemas de arquivos e SVM, consulte [Configuração da autenticação do Active Directory para usuários do ONTAP](set-up-ad-auth.md).
## Criação de novos usuários do ONTAP para administração do sistema de arquivos e do SVM
Cada usuário do ONTAP está associado a uma SVM ou ao sistema de arquivos. Os usuários do sistema de arquivos com o perfil `fsxadmin` podem criar novos perfis e usuários do SVM usando o comando [https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) da CLI do ONTAP.
O comando `security login create` cria um método de login para o utilitário de gerenciamento. Um método de login consiste em um nome de usuário, uma aplicação (método de acesso) e um método de autenticação. Um nome de usuário pode ser associado a várias aplicações. Opcionalmente, ele pode incluir um nome de perfil de controle de acesso. Se um nome de grupo do Active Directory, LDAP ou NIS for usado, o método de login concederá acesso aos usuários pertencentes ao grupo especificado. Se o usuário integrar vários grupos provisionados na tabela de login de segurança, ele terá acesso a uma lista combinada dos comandos autorizados para cada grupo.
Para obter informações que descrevem como criar um novo usuário do ONTAP, consulte [Criação de usuários do ONTAP](create-new-ontap-users.md).
**Topics**
+ [Perfis e usuários de administrador do sistema de arquivos](#file-system-admin-roles)
+ [Perfis e usuários de administrador do SVM](#svm-admin-roles)
+ [Como usar o Active Directory para autenticar usuários do ONTAP](#ad-tunneling)
+ [Criação de novos usuários do ONTAP para administração do sistema de arquivos e do SVM](#file-system-roles-and-users)
+ [Criação de usuários do ONTAP](create-new-ontap-users.md)
+ [Criação de perfis de SVM](creating-new-svm-roles.md)
+ [Configuração da autenticação do Active Directory para usuários do ONTAP](set-up-ad-auth.md)
+ [Como configurar a autenticação de chave pública](public-key-auth.md)
+ [Atualização dos requisitos de senha para perfis de sistema de arquivos e SVM](update-password-requirements.md)
+ [Falha na atualização da senha da conta `fsxadmin`](updating-admin-password.md)
# Criação de usuários do ONTAP
**Criar um novo usuário da SVM ou do sistema de arquivos (CLI do ONTAP)**
Somente usuários do sistema de arquivos com o perfil `fsxadmin` podem criar novos usuários da SVM e do sistema de arquivos.
1. Para acessar a ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP ou SVM executando o comando a seguir. Substitua `management_endpoint_ip` pelo endereço IP da porta de gerenciamento do sistema de arquivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obter mais informações, consulte [Como gerenciar sistemas de arquivos com a CLI do ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Use o comando `security login create` ONTAP CLI para criar uma nova conta de usuário em seu FSx sistema de arquivos ONTAP ou SVM.
Para definir as seguintes propriedades obrigatórias, insira seus dados nos espaços reservados no exemplo:
+ `-vserver`: especifica o nome da SVM na qual você deseja criar o novo perfil ou usuário da SVM. Se você estiver criando um perfil ou usuário do sistema de arquivos, não especifique uma SVM.
+ `-user-or-group-name`: especifica o nome de usuário ou nome do grupo do Active Directory do método de login. O nome do grupo do Active Directory só pode ser especificado com o método de autenticação de `domain` e as aplicações `ontapi` e `ssh`.
+ `-application`: especifica a aplicação do método de login. Os valores possíveis incluem http, ontapi e ssh.
+ `-authentication-method`: especifica o método de autenticação para login. Os valores possíveis incluem o seguinte:
+ domain: use para autenticação do Active Directory.
+ password: use para autenticação por senha.
+ publickey: use para autenticação de chave pública.
+ `-role`: especifica o nome do perfil de controle de acesso para o método de login. No nível do sistema de arquivos, o único perfilo que pode ser especificada é `fsxadmin`.
(Opcional) Também é possível usar um ou mais dos seguintes parâmetros com o comando:
+ `[-comment]`: use para incluir uma anotação ou comentário à conta do usuário. Por exemplo, .**Guest account** O tamanho máximo é 128 caracteres.
+ `[-second-authentication-method {none|publickey|password|nsswitch}]`: especifica o método de autenticação de segundo fator. É possível especificar os seguintes métodos:
+ password: use para autenticação por senha.
+ publickey: use para autenticação de chave pública.
+ nsswitch: use para autenticação de NIS ou LDAP.
+ none: o valor padrão, se você não especificar nenhum.
```
Fsx0123456::> security login create -vserver vserver_name -user-or-group-name user_or_group_name -application login_application -authentication-method auth_method -role role_or_account_name
```
O comando a seguir cria um novo usuário `new_fsxadmin` do sistema de arquivos com o perfil `fsxadmin-readonly` atribuído, usando SSH com uma senha para fazer login. Quando solicitado, forneça uma senha para o usuário.
```
Fsx0123456::> security login create -user-or-group-name new_fsxadmin -application ssh -authentication-method password -role fsxadmin-readonly
Please enter a password for user 'new_fsxadmin':
Please enter it again:
Fsx0123456::>
```
1. O comando a seguir cria um novo usuário `new_vsadmin` da SVM no `fsx` da SVM com o perfil `vsadmin_readonly`, configurado para usar SSH com uma senha para fazer login. Quando solicitado, forneça uma senha para o usuário.
```
Fsx0123456::> security login create -vserver fsx -user-or-group-name new_vsadmin -application ssh -authentication-method password -role vsadmin-readonly
Please enter a password for user 'new_vsadmin':
Please enter it again:
Fsx0123456::>
```
1. O comando a seguir cria um novo usuário do sistema de arquivos somente para leitura `harvest2-user` que deve ser usado pelo aplicativo NetApp Harvest para coletar métricas de desempenho e capacidade. Para obter mais informações, consulte [Monitorar sistemas de arquivos do FSx para ONTAP usando Harvest e Grafana](monitoring-harvest-grafana.md).
```
Fsx0123456::> security login create -user-or-group-name harvest2-user -application ssh -role fsxadmin-readonly -authentication-method password
```
**Visualizar informações de todos os usuários da SVM e do sistema de arquivos**
+ Use o comando a seguir para visualizar todas as informações de login do seu sistema de arquivos SVMs e.
```
Fsx0123456::> security login show
Vserver: Fsx0123456
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
autosupport console password autosupport no none
fsxadmin http password fsxadmin no none
fsxadmin ontapi password fsxadmin no none
fsxadmin ssh password fsxadmin no none
fsxadmin ssh publickey fsxadmin - none
new_fsxadmin ssh password fsxadmin-readonly
no none
Vserver: fsx
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
new_vsadmin ssh password vsadmin-readonly no none
vsadmin http password vsadmin yes none
vsadmin ontapi password vsadmin yes none
vsadmin ssh password vsadmin yes none
10 entries were displayed.
Fsx0123456::>
```
# Criação de perfis de SVM
Cada SVM que você cria tem um administrador de SVM padrão atribuído ao perfil `vsadmin` predefinido. Além do conjunto de [perfis de SVM predefinidos](roles-and-users.md#svm-admin-roles), você pode criar novos perfis de SVM. Se você precisar criar novos perfis para sua SVM, use o comando `security login role create` da CLI do ONTAP. Esse comando está disponível para administradores de sistemas de arquivos com o perfil `fsxadmin`.
**Para criar um novo perfil de SVM (CLI do ONTAP)**
1. Você pode criar um novo perfil do SVM usando o comando [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html) da ONTAP CLI:
```
Fsx0123456::> security login role create -vserver vs1.example.com -role vol_role -cmddirname volume
```
1. Especifique os seguintes parâmetros obrigatórios no comando:
+ `-vserver`: o nome da SVM.
+ `-role`: o nome do perfil.
+ `-cmddirname`: o comando ou diretório de comando ao qual o perfil fornece acesso. Coloque entre aspas duplas os nomes dos subdiretórios de comandos. Por exemplo, .`"volume snapshot"` Digite `DEFAULT` para especificar todos os diretórios de comando.
1. (Opcional) Você também pode adicionar qualquer um dos seguintes parâmetros ao comando:
+ `-vserver`: o nome da SVM que está associada ao perfil.
+ `-access`: o nível de acesso do perfil. Para diretórios de comandos, isso inclui:
+ `none`: nega o acesso aos comandos do diretório. Este é o valor padrão dos perfis personalizados.
+ `readonly`: concede acesso aos comandos show no diretório de comandos e nos subdiretórios.
+ `all`: concede acesso a todos os comandos no diretório de comandos e nos subdiretórios. Para conceder ou negar acesso aos comandos intrínsecos, especifique o diretório de comandos.
Para comandos não intrínsecos (comandos que não terminam com `create`, `modify`, `delete` ou `show`):
+ `none`: nega o acesso aos comandos do diretório. Este é o valor padrão dos perfis personalizados.
+ `readonly`: não aplicável. Não use:
+ `all`: concede acesso ao comando.
+ `-query`: o objeto de consulta usado para filtrar o nível de acesso, que é especificado na forma de opção válida para o comando ou para um comando no diretório de comandos. Coloque entre aspas duplas o objeto de consulta.
1. Execute o comando `security login role create`.
O comando a seguir cria um perfil de controle de acesso chamado “admin” para o Vserver vs1.example.com. O perfil tem acesso completo ao comando “volume”, mas somente dentro do agregado “aggr0”.
```
Fsx0123456::>security login role create -role admin -cmddirname volume -query "-aggr aggr0" -access all -vserver vs1.example.com
```
# Configuração da autenticação do Active Directory para usuários do ONTAP
Use a CLI do ONTAP para configurar o uso da autenticação do Active Directory para usuários de SVM e do sistema de arquivos do ONTAP.
Para usar os comandos neste procedimento, é necessário ser um administrador do sistema de arquivos com o perfil `fsxadmin`.
**Configurar a autenticação do Active Directory para usuários do ONTAP (CLI do ONTAP)**
Os comandos desse procedimento estão disponíveis para usuários do sistema de arquivos com o perfil `fsxadmin`.
1. Para acessar a ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP ou SVM executando o comando a seguir. Substitua `management_endpoint_ip` pelo endereço IP da porta de gerenciamento do sistema de arquivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obter mais informações, consulte [Como gerenciar sistemas de arquivos com a CLI do ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Use o comando [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html) conforme apresentado para estabelecer um túnel de domínio para autenticar usuários do Active Directory do Windows. *svm\$1name*Substitua pelo nome do SVM que você está usando para o túnel de domínio.
```
FsxId0123456::> security login domain-tunnel create -vserver svm_name
```
1. Use o comando [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) para criar contas de usuário de domínio do Active Directory que vão acessar o sistema de arquivos.
Especifique os seguintes parâmetros obrigatórios no comando:
+ `-vserver`: o nome do SVM configurado com o CIFS e associado ao seu Active Directory. Ele será usado como um túnel para autenticar os usuários do domínio do Active Directory no sistema de arquivos para o qual o novo perfil ou usuário será criado.
+ `-user-or-group-name`: o nome de usuário ou nome do grupo do Active Directory do método de login. O nome do grupo do Active Directory só pode ser especificado com o método de autenticação de `domain` e as aplicações `ontapi` e `ssh`.
+ `-application`: a aplicação do método de login. Os valores possíveis incluem http, ontapi e ssh.
+ `-authentication-method`: o método de autenticação usado para login. Os valores possíveis incluem o seguinte:
+ domain: para autenticação do Active Directory.
+ password: para autenticação por senha.
+ publickey: para autenticação de chave pública.
+ `-role`: o nome do perfil de controle de acesso para o método de login. No nível do sistema de arquivos, o único perfilo que pode ser especificada é `-role fsxadmin`.
O exemplo a seguir cria uma conta de usuário `CORP\Admin` de domínio do Active Directory para o sistema de arquivos `filesystem1`.
```
FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin
```
O exemplo a seguir cria a conta de usuário `CORP\Admin` com autenticação de chave pública.
```
FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".
```
Crie uma chave pública para o usuário `CORP\Admin` com o comando a seguir:
```
FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"
```
**Para fazer login no sistema de arquivos usando SSH com credenciais do Active Directory**
+ O exemplo a seguir demonstra como efetuar SSH no sistema de arquivos com as credenciais do Active Directory, se você escolher `ssh` para o tipo `-application`. O `username` está no formato `"domain-name\user-name"`, que é o nome do domínio e o nome de usuário que você forneceu ao criar a conta, separados por uma barra invertida e entre aspas.
```
Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com
```
Quando solicitado a digitar uma senha, use a senha do usuário do Active Directory.
# Como configurar a autenticação de chave pública
Para habilitar a autenticação de chave pública SSH, você deve primeiro gerar uma chave SSH e associá-la a uma conta de administrador usando o comando `security login publickey create`. Isso permite que a conta acesse a SVM. O comando `security login publickey create` aceita os seguintes parâmetros:
| Parâmetro | Description |
| --- | --- |
| `-vserver` (Opcional) | O nome da SVM que a conta acessa. Se você estiver configurando a autenticação de chave pública SSH para usuários do sistema de arquivos, não inclua `-versver`. |
| `-username` | O nome de usuário da conta. O valor padrão, `admin`, é o nome padrão do administrador do cluster. |
| `-index` | O número de índice da chave pública. O valor padrão será 0 se a chave for a primeira criada para a conta. Caso contrário, o valor padrão será um a mais do que o maior número de índice existente para a conta. |
| `-publickey` | A chave pública OpenSSH. Coloque a chave entre aspas duplas. |
| `-role` | O perfil de controle de acesso atribuído à conta. |
| `-comment` (Opcional) | Texto descritivo da chave pública. Coloque o texto entre aspas duplas. |
O exemplo a seguir associa uma chave pública à conta de administrador `svmadmin` da SVM `svm01`. A chave pública recebe o número de índice `5`.
```
Fsx0123456::> security login publickey create -vserver svm01 -username svmadmin -index 5 -publickey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAspH64CYbUsDQCdW22JnK6J/vU9upnKzd2zAk9C1f7YaWRUAFNs2Qe5lUmQ3ldi8AD0Vfbr5T6HZPCixNAIzaFciDy7hgnmdj9eNGedGr/JNrftQbLD1hZybX+72DpQB0tYWBhe6eDJ1oPLobZBGfMlPXh8VjeU44i7W4+s0hG0E=tsmith@publickey.example.com"
```
**Importante**
Você deve ser administrador da SVM ou do sistema de arquivos para executar essa tarefa.
# Atualização dos requisitos de senha para perfis de sistema de arquivos e SVM
Você pode atualizar os requisitos de senha para um perfil de SVM ou sistema de arquivos usando o comando [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description) da CLI do ONTAP. Esse comando está disponível somente para contas de administrador do sistema de arquivos com o perfil `fsxadmin`. Ao modificar os requisitos de senha, o sistema avisará se houver algum usuário existente com esse perfil que seja afetado pela alteração.
O exemplo a seguir modifica o requisito de tamanho mínimo da senha para 12 caracteres para usuários com o perfil `vsadmin-readonly` na SVM `fsx`. Neste exemplo, há usuários existentes com esse perfil.
```
FsxId0123456::> security login role config modify -role vsadmin-readonly -vserver fsx -passwd-minlength 12
```
O sistema exibe o seguinte aviso devido aos usuários existentes:
```
Warning: User accounts with this role exist. Modifications to the username/password restrictions on this role could result in non-compliant user
accounts.
Do you want to continue? {y|n}:
FsxId0123456::>
```
# Falha na atualização da senha da conta `fsxadmin`
Ao atualizar a senha do usuário `fsxadmin`, você poderá receber um erro se ela não atender aos requisitos de senha definidos no sistema de arquivos. É possível visualizar os requisitos de senha usando o comando `security login role config show` na CLI ou na API REST do ONTAP.
**Visualizar os requisitos de senha para um perfil de sistema de arquivos ou SVM**
1. Para acessar a ONTAP CLI, estabeleça uma sessão SSH na porta de gerenciamento do sistema de arquivos Amazon FSx for NetApp ONTAP ou SVM executando o comando a seguir. Substitua `management_endpoint_ip` pelo endereço IP da porta de gerenciamento do sistema de arquivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obter mais informações, consulte [Como gerenciar sistemas de arquivos com a CLI do ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. O comando `security login role config show` retorna os requisitos de senha para um perfil de sistema de arquivos ou SVM.
```
FsxId0123456::> security login role config show -role fsxadmin -fields password_requirement_fields
```
Para o parâmetro `-fields`, especifique uma ou todas das seguintes opções:
+ `passwd-minlength`: o tamanho mínimo da senha.
+ `passwd-min-special-chars`: o número mínimo de caracteres especiais na senha.
+ `passwd-min-lowercase-chars`: o número mínimo de letras minúsculas na senha.
+ `passwd-min-uppercase-chars`: o número mínimo de letras maiúsculas na senha.
+ `passwd-min-digits`: o número mínimo de dígitos na senha.
+ `passwd-alphanum`: informações sobre inclusão ou exclusão de caracteres alfanuméricos.
+ `passwd-expiry-time`: a data de validade da senha.
+ `passwd-expiry-warn-time`: o tempo do aviso de validade da senha.
1. Execute o comando a seguir para visualizar todos os requisitos de senha:
```
FsxId0123456::> security login role config show -role fsxadmin -fields passwd-minlength, passwd-min-special-chars, passwd-min-lowercase-chars, passwd-min-digits, passwd-alphanum, passwd-expiry-time, passwd-expiry-warn-time, passwd-min-uppercase-chars
vserver role passwd-minlength passwd-alphanum passwd-min-special-chars passwd-expiry-time passwd-min-lowercase-chars passwd-min-uppercase-chars passwd-min-digits passwd-expiry-warn-time
---------------------- -------- ---------------- --------------- ------------------------ ------------------ -------------------------- -------------------------- ----------------- -----------------------
FsxId0123456 fsxadmin 3 enabled 0 unlimited 0 0 0 unlimited
```