本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 Amazon FSx for Lustre
<a name="setting-up"></a>

在您首次使用 Amazon FSx for Lustre 之前，请完成本[注册 Amazon Web Services](#setting-up-aws)节中的任务。要完成[入门教程](getting-started.md)，请确保您将链接到文件系统的 Amazon S3 存储桶具有 [添加在 Amazon S3 中使用数据存储库的权限](#fsx-adding-permissions-s3) 中列出的权限。

**Topics**
+ [注册 Amazon Web Services](#setting-up-aws)
+ [添加在 Amazon S3 中使用数据存储库的权限](#fsx-adding-permissions-s3)
+ [Lustre 如何 FSx 检查对链接 S3 存储桶的访问权限](#fsx-lustre-permissions-s3-bucket)
+ [后续步骤](#setting-up-next-step)

## 注册 Amazon Web Services
<a name="setting-up-aws"></a>

要进行设置 AWS，请完成以下任务：

1. [注册获取 AWS 账户](#sign-up-for-aws)

1. [创建具有管理访问权限的用户](#create-an-admin)

### 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

如果您没有 AWS 账户，请完成以下步骤来创建一个。

**报名参加 AWS 账户**

1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)

1. 按照屏幕上的说明操作。

   在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

   当您注册时 AWS 账户，就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”，查看您当前的账户活动并管理您的账户**。

### 创建具有管理访问权限的用户
<a name="create-an-admin"></a>

注册后，请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center，启用并创建管理用户，这样您就不会使用 root 用户执行日常任务。

**保护你的 AWS 账户根用户**

1.  选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址，以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上，输入您的密码。

   要获取使用根用户登录方面的帮助，请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 为您的根用户启用多重身份验证（MFA）。

   有关说明，请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**创建具有管理访问权限的用户**

1. 启用 IAM Identity Center。

   有关说明，请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，为用户授予管理访问权限。

   有关使用 IAM Identity Center 目录 作为身份源的教程，请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录，请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。

  有关使用 IAM Identity Center 用户[登录的帮助，请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**将访问权限分配给其他用户**

1. 在 IAM Identity Center 中，创建一个权限集，该权限集遵循应用最低权限的最佳做法。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 将用户分配到一个组，然后为该组分配单点登录访问权限。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 添加在 Amazon S3 中使用数据存储库的权限
<a name="fsx-adding-permissions-s3"></a>

Amazon FSx for Lustre 已与亚马逊 S3 深度集成。这种集成意味着访问您 FSx 的 for Lustre 文件系统的应用程序也可以无缝访问存储在您关联的 Amazon S3 存储桶中的对象。有关更多信息，请参阅 [将数据存储库与适用于 Lustre 的 Amazon FSx 结合使用](fsx-data-repositories.md)。

要使用数据存储库，您必须先 FSx 为管理员用户授予与账户关联的角色的 Amazon for Lustre 某些 IAM 权限。

**使用控制台为角色嵌入内联策略**

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**角色**。

1. 在列表中，选择要在其中嵌入策略的角色的名称。

1. 选择**权限**选项卡。

1. 滚动到页面底部并选择**添加内联策略**。
**注意**  
您不能在 IAM 中的服务关联角色中嵌入内联策略。由于链接服务定义了您是否能修改角色的权限，因此，您可能能够从服务控制台、API 或 AWS CLI添加其他策略。要查看服务的服务关联角色文档，请参阅**使用 IAM 的AWS 服务**，然后在服务的**服务关联角色**列中选择**是**。

1. 选择**使用可视化编辑器创建策略**

1. 添加以下策略声明。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": {
           "Effect": "Allow",
           "Action": [
               "iam:CreateServiceLinkedRole",
               "iam:AttachRolePolicy",
               "iam:PutRolePolicy"
           ],
           "Resource": "arn:aws:iam::*:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/*"
       }
   }
   ```

------

创建内联策略后，它会自动嵌入您的角色。有关服务关联角色的更多信息，请参阅[使用适用于 Amazon 的服务相关角色 FSx](using-service-linked-roles.md)。

## Lustre 如何 FSx 检查对链接 S3 存储桶的访问权限
<a name="fsx-lustre-permissions-s3-bucket"></a>

如果您 FSx 用于创建 for Lustre 文件系统的 IAM 角色没有`iam:AttachRolePolicy`和`iam:PutRolePolicy`权限，则 Amazon FSx 会检查它是否可以更新您的 S3 存储桶策略。如果您的 IAM 角色中包含允许亚马逊 FSx 文件系统将数据导入或导出到您的 S3 存储桶的`s3:PutBucketPolicy`权限，则亚马逊 FSx 可以更新您的存储桶策略。如果允许修改存储桶策略，Amazon FSx 将向存储桶策略添加以下权限：
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:PutObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutBucketPolicy`
+ `s3:DeleteBucketPolicy`

如果亚马逊 FSx 无法修改存储桶策略，则会检查现有存储桶策略是否允许亚马逊 FSx 访问该存储桶。

如果所有这些选项都失败，则创建文件系统的请求失败。下图说明了 Amazon 在确定文件系统是否可以访问与其关联的 S3 存储桶时所 FSx 遵循的检查。

![Amazon FSx 用于确定其是否有权将数据导入或导出到与之关联的 S3 存储桶的检查进度。](http://docs.aws.amazon.com/zh_cn/fsx/latest/LustreGuide/images/fsx-lustre-permissons-create-fs-linked-s3.png)


## 后续步骤
<a name="setting-up-next-step"></a>

要开始使用FSx for Lustre，请参阅，了解[开始使用适用于 Lustre 的 Amazon FSx](getting-started.md)有关创建 Amazon FSx for Lustre 资源的说明。