本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于 NetApp ONTAP FSx 的 Amazon 安全
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性:
+ **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划合规计划合规计划合](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师定期测试和验证我们安全的有效性。要了解适用于 Amazon for NetApp ONTAP FSx 的合规计划,请参阅按合规计划提供的[范围内的AWSAWS 服务按合规计划](https://aws.amazon.com/compliance/services-in-scope/)分的范围内服务。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
本文档可帮助您了解在使用 Amazon 时如何应用分担责任模型 FSx。以下主题向您展示如何配置 Amazon FSx 以满足您的安全与合规目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 Amazon FSx 资源。
**Topics**
+ [FSx 适用于 NetApp ONTAP 的 Amazon 数据保护](data-protection.md)
+ [适用于 NetApp ONTAP 的 Amazon FSx 的身份和访问管理](security-iam.md)
+ [AWS 适用于 NetApp ONTAP 的 Amazon FSx 托管策略](security-iam-awsmanpol.md)
+ [使用 Amazon VPC 进行文件系统访问控制](limit-access-security-groups.md)
+ [适用于 NetApp ONTAP 的 Amazon FSx 合规性验证](fsx-ontap-compliance.md)
+ [FSx 适用于 NetApp ONTAP 的 Amazon 和接口 VPC 终端节点 ()AWS PrivateLink](fsx-vpc-endpoints.md)
+ [亚马逊 FSx 为 NetApp ONTAP 提供的弹性](disaster-recovery-resiliency.md)
+ [FSx 适用于 NetApp ONTAP 的 Amazon 基础设施安全](infrastructure-security.md)
+ [将 NetApp ONTAP vScan 与 ONTAP 配合使用 FSx](using-vscan.md)
+ [ONTAP 用户和角色](roles-and-users.md)
# FSx 适用于 NetApp ONTAP 的 Amazon 数据保护
AWS [分担责任模型分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于 Amazon FSx for NetApp ONTAP 中的数据保护。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您 AWS 服务 使用控制台、API FSx 或与 Amazon 或其他机构 AWS CLI合作时 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
## ONTAP 中的 FSx 数据加密
Amazon FSx NetApp for ONTAP 支持对静态数据进行加密和对传输中的数据进行加密。创建 Amazon FSx 文件系统时,会自动启用静态数据加密。如果您使用 NetApp 轻量级目录访问协议 (LDAP) 访问已加入 Active Directory 或域的存储虚拟机 (SVM) 中的数据,则 Amazon FSx for ONTAP 支持通过 NFS 和 SMB 协议传输的基于 Kerberos 的加密。
### 何时使用加密
如果您的组织受到要求对数据和元数据进行静态加密的公司或监管政策的约束,则您的数据会自动进行静态加密。我们还建议您通过对传输中数据进行加密来挂载文件系统,从而对传输中数据进行加密。
有关使用 Amazon for NetApp ONTAP FSx 进行数据加密的更多信息,请参阅[静态数据加密](encryption-at-rest.md)和。[加密传输中数据](encryption-in-transit.md)
# 静态数据加密
所有 Amazon FSx f NetApp or ONTAP 文件系统和备份都使用使用 AWS Key Management Service (AWS KMS) 管理的密钥进行静态加密。数据在写入文件系统前会自动加密,并在读取时自动解密。所有备份都会在创建时自动加密,并在备份恢复到新卷时自动解密。这些流程由 Amazon 透明处理 FSx,因此您无需修改应用程序。
亚马逊 FSx 使用行业标准的 AES-256 加密算法对静态的亚马逊 FSx 数据和元数据进行加密。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[加密基础知识](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)。
**注意**
AWS 密钥管理基础设施使用经联邦信息处理标准 (FIPS) 140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。
## 亚马逊如何 FSx 使用 AWS KMS
Amazon 与 AWS KMS 之 FSx 集成,用于密钥管理。Amazon FSx 使用 KMS 密钥来加密您的文件系统和任何卷备份。您可以选择用于加密和解密文件系统及卷备份(包括数据和元数据)的 KMS 密钥。您可以启用、禁用或撤销对该 KMS 密钥的授权。该 KMS 密钥可以是以下两种类型之一:
+ **AWS托管 KMS 密钥** – 这是默认 KMS 密钥,可以免费使用。
+ **客户托管 KMS 密钥** – 这是使用最灵活的 KMS 密钥,因为您可以配置其密钥政策以及为多个用户或服务提供授权。有关创建 KMS 密钥的更多信息,请参阅* AWS Key Management Service 开发人员指南*中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。
**重要**
Amazon 仅 FSx 接受对称加密 KMS 密钥。您不能在 Amazon FSx 上使用非对称 KMS 密钥。
如果将客户托管式密钥作为您的 KMS 密钥进行文件数据加密和解密,您可以启用密钥轮换。在启用密钥轮换时, AWS KMS 自动每年轮换一次您的密钥。此外,对于客户托管式 KMS 密钥,您可以随时选择何时禁用、重新启用、删除或撤销您的 KMS 密钥访问权限。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[轮换 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)以及[启用和禁用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。
## Amazon 的 FSx 密钥政策 AWS KMS
密钥政策是控制对 KMS 密钥访问的主要方法。有关密钥政策的更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[使用 AWS KMS中的密钥政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。以下列表描述了 Amazon FSx 为静态加密文件系统和备份支持的所有 AWS KMS相关权限:
+ **kms:Encrypt** –(可选)将明文加密为加密文字。该权限包含在默认密钥策略中。
+ **kms:Decrypt** –(必需)解密加密文字。加密文字是以前加密的明文。该权限包含在默认密钥策略中。
+ **kms: ReEncrypt** —(可选)使用新的加密服务器端的数据 AWS KMS key,而不会在客户端暴露数据的纯文本。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。
+ **kms: GenerateDataKeyWithoutPlaintext** —(必填)返回使用 KMS 密钥加密的数据加密密钥。此权限包含在 k **ms: GenerateDataKey \$1** 下的默认密钥策略中。
+ **km CreateGrant s:** —(必填)向密钥添加授权,以指定谁可以在什么条件下使用该密钥。授权是密钥政策的替代权限机制。有关授权的更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[使用授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。该权限包含在默认密钥策略中。
+ **kms: DescribeKey** —(必填)提供有关指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。
+ **km ListAliases s:** —(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充 KMS 密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。
# 加密传输中数据
本主题说明了在 for ONTAP 文件系统和连接的客户端之间传输文件数据时,可用于 FSx 对文件数据进行加密的不同选项。它还提供指导帮助您选择最适合工作流程的加密方法。
流经 AWS 全球 AWS 区域 网络的所有数据在离开 AWS 安全设施之前,都会在物理层自动加密。可用区之间的所有流量都是加密的。其他加密层(包括本节中列出的加密层)会提供额外保护。有关如何为流经可用区域和实例的数据 AWS 提供保护的更多信息 AWS 区域,请参阅《适用于 Linux 实例的 Amazon Elastic Compute Cloud 用户指南》[中的传输中加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)。
Amazon FSx for NetApp ONTAP 支持以下方法对在 ONTAP 文件系统和连接 FSx 的客户端之间传输的数据进行加密:
+ 对在支持的 Amazon EC2 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) 和 [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) 实例类型上运行的所有支持的协议和客户端进行基于 Nitro 的自动加密。
+ 通过 NFS 和 SMB 协议进行基于 Kerberos 的加密。
+ IPsec基于 NFS、iSCSI 和 SMB 协议的加密
所有支持的传输中数据加密方法都使用行业标准的 AES-256 加密算法,提供企业级加密。
**Topics**
+ [选择加密传输中数据的方法](#choosing-encryption-in-transit)
+ [使用 AWS Nitro 系统对传输中的数据进行加密](#nitro-encryption)
+ [使用基于 Kerberos 的加密进行传输中数据加密](#kerberos-encryption)
+ [使用加密对传输中的数据进行 IPsec 加密](#ipsec-encryption)
+ [启用传输中数据的 SMB 加密](enable-smb-encryption.md)
+ [IPsec 使用 PSK 身份验证进行配置](config-ipsec-psk-auth.md)
+ [IPsec 使用证书身份验证进行配置](config-ipsec-ca-auth.md)
## 选择加密传输中数据的方法
本节提供的信息可以帮助您确定哪种支持的传输中加密方法最适合您的工作流程。您可以在探索以下各节中详细介绍的支持选项时重新参阅本节。
在选择如何加密在 for ONTAP 文件系统和连接的客户端之间传输的数据时, FSx 需要考虑几个因素。这些因素包括:
+ 你 AWS 区域 FSx 的 ONTAP 文件系统正在其中运行。
+ 客户端运行的实例类型。
+ 客户端访问文件系统的位置。
+ 网络性能要求。
+ 您要加密的数据协议。
+ 如果您使用的是 Microsoft Active Directory。
**AWS 区域**
您的文件系统的运行状态决定了您是否可以使用基于 Amazon Nitro 的加密。 AWS 区域 有关更多信息,请参阅 [使用 AWS Nitro 系统对传输中的数据进行加密](#nitro-encryption)。
**客户端实例类型**
如果访问您文件系统的客户端在任何支持的 Amazon EC2 Mac、[Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) 或 [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) 实例类型上运行,并且您的工作流程满足使用[基于 Nitro 的加密](#nitro-encryption)的所有其他要求,则可以使用基于 Amazon Nitro 的加密。使用 Kerberos 或 IPsec 加密没有任何客户端实例类型要求。
**客户端位置**
客户端访问数据的位置相对于文件系统的位置会影响可以使用的传输中加密方法。如果客户端和文件系统位于同一 VPC 中,则可以使用任何支持的加密方法。如果客户端和文件系统位于对等状态 VPCs,只要流量不通过虚拟网络设备或服务(例如传输网关),情况也是如此。如果客户端不在同一或对等 VPC 中,或者流量通过虚拟网络设备或服务,则无法使用基于 Nitro 的加密。
**网络性能**
使用基于 Amazon Nitro 的加密技术对网络性能没有影响。这是因为支持的 Amazon EC2 实例利用底层 Nitro 系统硬件的分载功能,自动加密实例间的传输中流量。
使用 Kerberos 或 IPsec 加密会对网络性能产生影响。这是因为这两种加密方法都是基于软件的加密,需要客户端和服务器使用计算资源来加密和解密传输中的流量。
**数据协议**
您可以将基于 Amazon Nitro 的加密和 IPsec 加密与所有支持的协议(NFS、SMB 和 iSCSI)配合使用。Kerberos 加密与 NFS 和 SMB 协议(使用 Active Directory)可以一起使用。
**Active Directory**
如果您使用的是 Microsoft Active Directory,则可以通过 NFS 和 SMB 协议使用 [Kerberos 加密](#kerberos-encryption)。
利用下图来帮助您决定使用哪种传输中加密方法。
![\[流程图显示基于五个决策点确定使用哪种传输中加密方法。\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png)
IPsec 当以下所有条件都适用于您的工作流程时,加密是唯一可用的选项:
+ 您使用的是 NFS、SMB 或 iSCSI 协议。
+ 您的工作流程不支持使用基于 Amazon Nitro 的加密。
+ 您使用的不是 Microsoft Active Directory 域。
## 使用 AWS Nitro 系统对传输中的数据进行加密
使用基于 Nitro 的加密,当访问您的文件系统的客户端在支持的 Amazon EC2 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) 或 [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) 实例类型上运行时,系统会自动 FSx 对传输中的数据进行加密 AWS 区域 ,ONTAP 上可用。
使用基于 Amazon Nitro 的加密对网络性能没有影响。这是因为支持的 Amazon EC2 实例利用底层 Nitro 系统硬件的分载功能,自动加密实例间的传输中流量。
当支持的客户端实例类型位于同一 AWS 区域 和同一 VPC 中或位于与文件系统的 VPC 对等的 VPC 中时,将自动启用基于 Nitro 的加密。此外,如果客户端位于对等 VPC 中,则数据无法通过虚拟网络设备或服务(如传输网关)以自动启用基于 Nitro 的加密。有关基于 Nitro 的加密的更多信息,请参阅《适用于 [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) 或 [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) 实例类型的 Amazon EC2 用户指南》中的传输中加密部分。
下表详细介绍了基 AWS 区域 于 Nitro 的加密可用的内容。
**支持基于 Nitro 的加密**
| 生成 | 部署类型 | AWS 区域 |
| --- | --- | --- |
| 第一代文件系统1 | 单可用区 1 多可用区 1 | 美国东部(弗吉尼亚州北部)、美国东部(俄亥俄州)、美国西部(俄勒冈州)、欧洲地区(爱尔兰) |
| 第二代文件系统 | 单可用区 2 多可用区 2 | 美国东部(弗吉尼亚州北部)、美国东部(俄亥俄州)、美国西部(北加利福尼亚)、美国西部(俄勒冈州)、欧洲地区(法兰克福)、欧洲地区(爱尔兰)、亚太地区(悉尼) |
1 2022 年 11 月 28 日当天或之后创建的第一代文件系统支持在 AWS 区域使用基于 Nitro 的传输中加密。
有关 ONTAP 在 AWS 区域 何处 FSx 可用的更多信息,请参阅[亚马逊 NetApp ONTAP FSx 定价](https://aws.amazon.com/fsx/netapp-ontap/pricing/)。
有关 ONTAP 文件系统性能规格的 FSx 更多信息,请参阅[吞吐能力对性能的影响](performance.md#impact-throughput-cap-performance)。
## 使用基于 Kerberos 的加密进行传输中数据加密
如果你使用的是 Act Microsoft ive Directory,则可以通过 NFS 和 SMB 协议使用基于 Kerberos 的加密来加密已加[入](ad-integration-ontap.md) Microsoft Active Directory 的子卷的SVMs 传输数据。
### 通过 NFS 使用 Kerberos 进行传输中数据加密
和协议支持使用 Kerberos 对传输中的数据进行 NFSv3 加密。 NFSv4 要针对 NFS 协议使用 Kerberos 启用传输中加密,请参阅 NetApp ONTAP 文档中心中的[使用 Kerberos 与 NFS 获得强大的安全性](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf)。
### 通过 SMB 使用 Kerberos 进行传输中数据加密
在支持 SMB 协议 3.0 或更高版本的计算实例上映射的文件共享支持通过 SMB 协议进行传输中数据加密。这包括 Microsoft Server 2012 及更高版本以及 Microsoft Windows 8 及更高版本的所有 Microsoft Windows 版本。启用后,f FSx or ONTAP 会在您访问文件系统时自动使用 SMB 加密对传输中的数据进行加密,而无需修改应用程序。
FSx 适用于 ONTAP SMB 支持 128 位和 256 位加密,这取决于客户端会话请求。有关不同加密级别的描述,请参阅 NetApp ONTAP 文档中心中[使用 CLI 管理 SMB](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf) 的*设置 SMB 服务器最低身份验证安全级别*部分。
**注意**
客户端决定加密算法。NTLM 和 Kerberos 身份验证支持 128 位和 256 位加密。 FSx 适用于 ONTAP SMB 服务器的接受所有标准 Windows 客户端请求,精细控制由微软组策略或注册表设置处理。
您可以使用 ONTAP CLI 管理 ONTAP SVMs 和卷 FSx 的传输中加密设置。要访问 NetApp ONTAP CLI,请在要进行传输中加密设置的 SVM 上建立 SSH 会话,如 [使用 ONTAP CLI 管理 SVM](managing-resources-ontap-apps.md#vsadmin-ontap-cli) 中所述。
有关如何在 SVM 或卷上启用 SMB 加密的说明,请参阅 [启用传输中数据的 SMB 加密](enable-smb-encryption.md)。
## 使用加密对传输中的数据进行 IPsec 加密
FSx for ONTAP 支持在传输模式下使用该 IPsec 协议,以确保数据在传输过程中持续保持安全和加密。 IPsec 为所有支持的 IP 流量(NFS、iSCSI 和 FSx SMB 协议)为 ONTAP 文件系统之间传输的数据提供 end-to-end加密。通过 IPsec 加密,您可以在配置 FSx 为 IPsec 启用的 for ONTAP SVM 与在连接的 IPsec 客户端上运行的访问数据的客户端之间建立 IPsec 隧道。
当从不支持 Nitro 加密的客户端访问数据时,以及如果您的客户端未加入[基于 Kerberos 的加密所必需的 Active Directory,我们建议您使用 IPsec 加密](#nitro-encryption)通过 NFS、SMB 和 SVMs iSCSI 协议传输的数据。 IPsec 当您的 iSCSI 客户端不支持基于 Nitro 的加密时,加密是唯一可用于对 iSCSI 流量传输的数据进行加密的选项。
要进行 IPsec 身份验证,您可以使用预共享密钥 (PSKs) 或证书。如果您使用的是 PSK,则使用的 IPsec 客户端必须支持带有 PSK 的 Internet 密钥交换版本 2 (IKEv2)。在 ONTAP 和客户端上配置 IPsec 加密的高级步骤如下: FSx
1. IPsec 在您的文件系统上启用和配置。
1. 在您的客户端 IPsec 上安装和配置
1. 配置 IPsec 多客户端访问权限
有关如何 IPsec 使用 PSK 进行配置的更多信息,请参阅NetApp ONTAP文档中心中的通过[线路加密配置 IP 安全 (IPsec)](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html)。
有关如何 IPsec 使用证书进行配置的更多信息,请参阅[IPsec 使用证书身份验证进行配置](config-ipsec-ca-auth.md)。
# 启用传输中数据的 SMB 加密
默认情况下,创建 SVM 时,SMB 加密处于关闭状态。您可以对单个共享或 SVM 启用需要 SMB 加密,后者会为该 SVM 上的所有共享启用 SMB 加密。
**注意**
在 SVM 或共享上启用“需要 SMB 加密”时,不支持加密的 SMB 客户端将无法连接到该 SVM 或共享。
**要求对 SVM 上传入的 SMB 流量进行 SMB 加密**
按照以下步骤使用 NetApp ONTAP CLI 要求对 SVM 进行 SMB 加密。
1. 要通过 SSH 连接到 SVM 管理端点,请使用创建 SVM 时设置的用户名 `vsadmin` 和 vsadmin 密码。如果您没有设置 vsadmin 密码,请使用用户名 `fsxadmin` 和 fsxadmin 密码。您可以使用管理端点 IP 地址或 DNS 名称,从与文件系统位于同一 VPC 的客户端通过 SSH 连接到 SVM。
```
ssh vsadmin@svm-management-endpoint-ip-address
```
带有示例值的命令:
```
ssh vsadmin@198.51.100.10
```
使用管理端点 DNS 名称的 SSH 命令:
```
ssh vsadmin@svm-management-endpoint-dns-name
```
使用示例 DNS 名称的 SSH 命令:
```
ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
```
```
Password: vsadmin-password
This is your first recorded login.
FsxIdabcdef01234567892::>
```
1. 使用以下 [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html) NetApp ONTAP CLI 命令要求对传入 SVM 的 SMB 流量进行 SMB 加密。
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true
```
1. 使用以下命令,停止对传入 SMB 流量进行 SMB 加密。
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false
```
1. 要查看 SVM 上的当前 `is-smb-encryption-required` 设置,请使用以下 [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html) NetApp ONTAP CLI 命令:
```
vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver is-smb-encryption-required
-------- -------------------------
vs1 true
```
有关在 SVM 上管理 SMB 加密的更多信息,请参阅 NetApp ONTAP 文档中心中的[在 SMB 服务器上为 SMB 数据传输配置需要 SMB 加密](https://docs.netapp.com/us-en/ontap/smb-admin/configure-required-encryption-concept.html)。
**在卷上启用 SMB 加密**
按照以下步骤使用 NetApp ONTAP CLI 对共享启用 SMB 加密。
1. 按照 [使用 ONTAP CLI 管理 SVM](managing-resources-ontap-apps.md#vsadmin-ontap-cli) 中所述,建立与 SVM 管理端点的 Secure Shell(SSH)连接。
1. 使用以下 NetApp ONTAP CLI 命令创建新的 SMB 共享,并要求在访问此共享时进行 SMB 加密。
```
vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data
```
有关更多信息,请参阅《NetApp ONTAP CLI 命令手册》中的 [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html)。
1. 如需要求对现有 SMB 共享进行 SMB 加密,请使用以下命令。
```
vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
有关更多信息,请参阅《NetApp ONTAP CLI 命令手册》中的 [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html)。
1. 如需关闭对现有 SMB 共享进行 SMB 加密,请使用以下命令。
```
vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
有关更多信息,请参阅《NetApp ONTAP CLI 命令手册》中的 [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html)。
1. 要查看 SMB 共享上的当前 `is-smb-encryption-required` 设置,请使用以下 NetApp ONTAP CLI 命令:
```
vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties
```
如果命令返回的属性之一是 `encrypt-data` 属性,则该属性指定访问此共享时必须使用 SMB 加密。
有关更多信息,请参阅《NetApp ONTAP CLI 命令手册》中的 [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html)。
# IPsec 使用 PSK 身份验证进行配置
如果您使用 PSK 进行身份验证,则在 ONTAP 和客户端上配置 IPsec 加密的步骤如下: FSx
1. IPsec 在您的文件系统上启用和配置。
1. 在您的客户端 IPsec 上安装和配置
1. 配置 IPsec 多客户端访问权限
有关 IPsec 使用 PSK 进行配置的详细信息,请参阅NetApp ONTAP文档中心的 “通过[线路加密配置 IP 安全 (IPsec)](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html)”。
# IPsec 使用证书身份验证进行配置
以下主题提供了在 for ONTAP 文件系统和运行 Lib IPsec res FSx WAN 的客户端上使用证书身份验证配置 IPsec 加密的说明。此解决方案使用 AWS Certificate Manager 和 AWS 私有证书颁发机构 来创建私有证书颁发机构并生成证书。
在 ONTAP 文件系统和连接 FSx 的客户端上使用证书身份验证配置 IPsec 加密的高级步骤如下:
1. 设立证书颁发机构来颁发证书。
1. 为文件系统和客户端生成和导出 CA 证书。
1. 在客户端实例 IPsec 上安装证书并进行配置。
1. 在您的文件系统 IPsec 上安装证书并进行配置。
1. 定义安全策略数据库(SPD)。
1. 配置 IPsec 多客户端访问权限。
## 创建和安装 CA 证书
要进行证书身份验证,您需要在 for ONTAP 文件系统上生成并安装来自证书颁发机构的证书,以及将访问文件系统上数据的客户端。 FSx 以下示例 AWS 私有证书颁发机构 用于设置私有证书颁发机构,并生成要安装在文件系统和客户端上的证书。使用 AWS 私有证书颁发机构,您可以创建由根证书颁发机构和从属证书颁发机构 (CAs) 组成的完全 AWS 托管的层次结构,供组织内部使用。此过程分为五个步骤:
1. 使用创建私有证书颁发机构 (CA) AWS 私有 CA
1. 在私有 CA 上颁发并安装根证书
1. 从 AWS Certificate Manager 为您的文件系统和客户端申请私有证书
1. 为文件系统和客户端导出证书。
有关更多信息,请参阅《 AWS 私有证书颁发机构 用户指南》中的[私有 CA 管理](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)。
**创建根私有 CA**
1. 创建 CA 时,必须在提供的文件中指定 CA 配置。以下命令使用 Nano 文本编辑器创建 `ca_config.txt` 文件,指定以下信息:
+ 算法的名称
+ CA 用来签名的签名算法
+ X.500 主题信息
```
$ > nano ca_config.txt
```
随即显示文本编辑器。
1. 编辑 CA 规范文件。
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. 保存并关闭文件,退出文本编辑器。有关更多信息,请参阅[《 AWS 私有证书颁发机构 用户指南》中的创建 CA 的步骤](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html)。
1. 使用 C [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) AWS 私有 CA LI 命令创建私有 CA。
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region aws-region
```
如果成功,此命令将输出 CA 的 Amazon 资源名称(ARN)。
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
```
**为私有根 CA 创建和安装证书(AWS CLI)**
1. 使用 [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI 命令生成证书签名请求 (CSR)。
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.aws-region.amazonaws.com \
--region eu-west-1 > ca.csr
```
生成的文件 `ca.csr` 是以 base64 格式编码的 PEM 文件,其内容显示如下。
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
有关更多信息,请参阅 AWS 私有证书颁发机构 用户指南中的[安装根 CA 证书](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot)。
1. 使用[https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI 命令在您的私有 CA 上颁发和安装根证书。
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region aws-region
```
1. 使用[https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI 命令下载根证书。
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region aws-region > rootCA.pem
```
1. 使用[https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI 命令在您的私有 CA 上安装根证书。
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region aws-region
```
**生成并导出文件系统和客户端证书**
1. 使用[https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI 命令请求 AWS Certificate Manager 证书以在您的文件系统和客户机上使用。
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region aws-region \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
如果请求成功,则返回颁发证书的 ARN。
1. 为了安全起见,您必须在导出私钥时为其分配密码。创建密码并将其存储在名为 `passphrase.txt` 的文件中
1. 使用[https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI 命令导出之前颁发的私有证书。导出的文件包含证书、证书链以及与证书中嵌入的公钥关联的加密私有 2048 位 RSA 密钥。为了安全起见,您必须在导出私钥时为其分配密码。以下示例是 Linux EC2 实例。
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json
```
1. 使用以下 `jq` 命令从 JSON 响应中提取私钥和证书。
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. 使用以下 `openssl` 命令从 JSON 响应中解密私钥。输入命令后,系统会提示您输入密码。
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## 在亚马逊 Linux 2 客户端 IPsec 上安装和配置 Libreswan
以下各节提供了在运行 Amazon Linux 2 的 Amazon EC2 实例上安装和配置 Libreswan IPsec 的说明。
**安装和配置 Libreswan**
1. 使用 SSH 连接到 EC2 实例。有关如何执行此操作的具体说明,请参阅《适用于 Linux 实例的 Amazon Elastic Compute Cloud 用户指南》中的[使用 SSH 客户端连接到 Linux 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient)。
1. 运行以下命令安装 `libreswan`:
```
$ sudo yum install libreswan
```
1. (可选)在后续步骤 IPsec 中进行验证时,如果没有这些设置,则可能会标记这些属性。我们建议在没有这些设置的情况下先测试您的设置。如果连接出现问题,请返回此步骤并进行以下更改。
安装完成后,使用您的首选文本编辑器将以下条目添加到 `/etc/sysctl.conf` 文件中。
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
保存更改,退出文本编辑器。
1. 应用更改。
```
$ sudo sysctl -p
```
1. 验证 IPsec 配置。
```
$ sudo ipsec verify
```
验证您安装的 `Libreswan` 版本是否正常运行。
1. 初始化 IPsec NSS 数据库。
```
$ sudo ipsec checknss
```
**在客户端上安装证书**
1. 将[您为客户端生成的证书](#generate-certificate)复制到 EC2 实例上的工作目录中。You
1. 将之前生成的证书导出为与 `libreswan` 兼容的格式。
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. 导入重新格式化的密钥,并在系统提示时提供密码。
```
$ sudo ipsec import certkey.p12
```
1. 使用首选文本编辑器创建 IPsec 配置文件。
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
将以下条目添加到配置文件:
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
在文件系统 IPsec 上进行配置后,您将在客户端 IPsec 上启动。
## IPsec 在您的文件系统上进行配置
本节提供有关在 for ONTAP 文件系统上安装证书和配置 IPsec证书的说明。 FSx
**在文件系统上安装证书**
1. 将根证书(`rootCA.pem)`)、客户端证书(`cert.pem`)和解密的密钥(`decrypted.key`)文件复制到您的文件系统。您需要知道证书的密码。
1. 要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将 `management_endpoint_ip` 替换为文件系统管理端口的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
有关更多信息,请参阅 [使用 ONTAP CLI 管理文件系统](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 在客户端(而不是在您的文件系统)上使用 **cat** 列出 `rootCA.pem`、`cert.pem` 和 `decrypted.key` 文件的内容,以便复制每个文件的输出并在系统提示时粘贴到以下步骤中。
```
$ > cat cert.pem
```
复制证书内容。
1. 除非已经安装(例如 ONTAP 自签名 root-CA),否则您必须将双向身份验证期间使用的所有 CA ONTAP 证书(包括 ONTAP 端和客户端 CAs)安装到证书管理中。
按如下方式使用 `security certificate install` NetApp CLI 命令安装客户证书:
```
FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
粘贴您之前复制的 `cert.pem` 文件的内容,然后按 Enter。
```
Please enter Private Key: Press when done
```
粘贴 `decrypted.key` 文件的内容,然后按 Enter。
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
输入 `n` 以完成客户端证书的输入。
1. 创建并安装证书以供 SVM 使用。此证书的颁发者 CA 必须已安装ONTAP并添加到 IPsec。
使用以下命令来安装根证书:
```
FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
粘贴 `rootCA.pem` 文件的内容,然后按 Enter。
1. 要确保在身份验证期间安装的 CA 位于 IPsec CA 搜索路径中,请使用 “security ipsec ca-certificate add” 命令将ONTAP证书管理 CAs 添加到 IPsec 模块中。
输入以下命令来添加根证书。
```
FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert
```
1. 输入以下命令在安全 IPsec 策略数据库 (SPD) 中创建所需的策略。
```
security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. 使用以下命令显示要确认的文件系统的 IPsec 策略。
```
FSxID123:: > security ipsec policy show -vserver dr -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## 在客户端 IPsec 上启动
现在 IPsec ,在 ONTAP 文件系统和客户端上都进行了配置,您可以在客户端 IPsec 上启动。 FSx
1. 使用 SSH 连接到文件系统。
1. 开始 IPsec。
```
$ sudo ipsec start
```
1. 检查的状态 IPsec。
```
$ sudo ipsec status
```
1. 在您的文件系统上挂载卷。
```
$ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr
```
1. 通过在 for ONTAP 文件系统上显示加密连接来验证 IPsec 设置。 FSx
```
FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx policy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## IPsec 为多个客户机进行设置
当少数客户需要利用时 IPsec,为每个客户使用单个 SPD 条目就足够了。但是,当需要利用数百甚至数千个客户端时 IPsec,我们建议您使用 IPsec 多个客户端配置。
FSx for ONTAP 支持在启用后将跨多个网络的多个客户端连接到单个 SVM IP 地址。 IPsec 您可以使用 `subnet` 配置或 `Allow all clients` 配置来完成此操作,详细过程如下:
**使用子网配置 IPsec 为多台客户机进行配置**
要允许特定子网(例如 192.168.134.0/24)上的所有客户端使用单个 SPD 策略条目连接到单个 SVM IP 地址,必须以子网形式指定 `remote-ip-subnets`。此外,您必须使用正确的客户端标识来指定 `remote-identity` 字段。
**重要**
使用证书身份验证时,每个客户端都可以使用自己的唯一证书或共享证书进行身份验证。 FSx for ONTAP IPsec 会根据其本地信任存储中 CAs 安装的证书来检查证书的有效性。 FSx 适用于 ONTAP 还支持证书吊销列表 (CRL) 检查。
1. 要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将 `management_endpoint_ip` 替换为文件系统管理端口的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
有关更多信息,请参阅 [使用 ONTAP CLI 管理文件系统](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 按如下方式使用 `security ipsec policy create` NetApp ONTAP CLI 命令,用您的特定*sample*值替换这些值。
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-remote-identity client_side_identity
```
**使用 “允许所有客户端” 配置 IPsec 为多台客户机进行配置**
要允许任何客户端(无论其源 IP 地址如何)连接到 IPsec启用了 SVM 的 IP 地址,请在指定字段时使用通`0.0.0.0/0`配符。`remote-ip-subnets`
此外,您必须使用正确的客户端标识来指定 `remote-identity` 字段。对于证书身份验证,您可以输入 `ANYTHING`。
此外,使用 0.0.0.0/0 通配符时,必须配置要使用的特定本地或远程端口号。例如,NFS 端口 2049。
1. 要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将 `management_endpoint_ip` 替换为文件系统管理端口的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
有关更多信息,请参阅 [使用 ONTAP CLI 管理文件系统](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 按如下方式使用 `security ipsec policy create` NetApp ONTAP CLI 命令,用您的特定*sample*值替换这些值。
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-local-ports 2049 -remote-identity client_side_identity
```
# 适用于 NetApp ONTAP 的 Amazon FSx 的身份和访问管理
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*通过身份验证*(登录)和*授权*(拥有权限)使用 Amazon FSx 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [Amazon f FSx or NetApp ONTAP 如何与 IAM 配合使用](security_iam_service-with-iam.md)
+ [适用于 ONTAP 的 Ama FSx zon 基于身份的策略示例 NetApp](security_iam_id-based-policy-examples.md)
+ [对 Amazon FSx 的 NetApp ONTAP 身份和访问进行故障排除](security_iam_troubleshoot.md)
+ [使用适用于 Amazon 的服务相关角色 FSx](using-service-linked-roles.md)
+ [在 Amazon 上使用标签 FSx](using-tags-fsx.md)
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对 Amazon FSx 的 NetApp ONTAP 身份和访问进行故障排除](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[Amazon f FSx or NetApp ONTAP 如何与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[适用于 ONTAP 的 Ama FSx zon 基于身份的策略示例 NetApp](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务,请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 联合身份
作为最佳实践,要求人类用户使用与身份提供商的联合身份验证才能 AWS 服务 使用临时证书进行访问。
*联合身份是指*来自您的企业目录、Web 身份提供商的用户 Directory Service ,或者 AWS 服务 使用来自身份源的凭据进行访问的用户。联合身份代入可提供临时凭证的角色。
要集中管理访问权限,建议使用。 AWS IAM Identity Center有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# Amazon f FSx or NetApp ONTAP 如何与 IAM 配合使用
在使用 IAM 管理亚马逊访问权限之前 FSx,请先了解亚马逊可以使用哪些 IAM 功能 FSx。
**您可以在 Amazon for NetApp ONTAP 上使用 FSx 的 IAM 功能**
| IAM 功能 | 亚马逊 FSx 支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [策略条件键](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACLs](#security_iam_service-with-iam-acls) | 否 |
| [ABAC(策略中的标签)](#security_iam_service-with-iam-tags) | 是 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [转发访问会话(FAS)](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服务角色](#security_iam_service-with-iam-roles-service) | 否 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
要全面了解 Amazon FSx 和其他 AWS 服务如何使用大多数 IAM 功能,请参阅 IAM *用户指南中与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 亚马逊基于身份的政策 FSx
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### Amazon 基于身份的政策示例 FSx
要查看 Amazon FSx 基于身份的政策示例,请参阅。[适用于 ONTAP 的 Ama FSx zon 基于身份的策略示例 NetApp](security_iam_id-based-policy-examples.md)
## Amazon 内部基于资源的政策 FSx
**支持基于资源的策略:**否
## 针对亚马逊的政策行动 FSx
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看亚马逊 FSx 操作列表,请参阅《*服务授权参考*》 FSx中[亚马逊定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions)。
Amazon 中的策略操作在操作前 FSx 使用以下前缀:
```
fsx
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
要查看 Amazon FSx 基于身份的政策示例,请参阅。[适用于 ONTAP 的 Ama FSx zon 基于身份的策略示例 NetApp](security_iam_id-based-policy-examples.md)
## Amazon 的政策资源 FSx
**支持策略资源:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
要查看亚马逊 FSx 资源类型及其列表 ARNs,请参阅《*服务授权参考*》 FSx中的 [Amazon 定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies)。要了解您可以使用哪些操作来指定每种资源的 ARN,请参阅 [Amazon 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions)。 FSx
要查看 Amazon FSx 基于身份的政策示例,请参阅。[适用于 ONTAP 的 Ama FSx zon 基于身份的策略示例 NetApp](security_iam_id-based-policy-examples.md)
## Amazon 的政策条件密钥 FSx
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看亚马逊 FSx 条件密钥列表,请参阅*服务授权参考 FSx*中的[亚马逊条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys)。要了解您可以使用条件键的操作和资源,请参阅 [Amazon 定义的操作 FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions)。
要查看 Amazon FSx 基于身份的政策示例,请参阅。[适用于 ONTAP 的 Ama FSx zon 基于身份的策略示例 NetApp](security_iam_id-based-policy-examples.md)
## Amazon 中的访问控制列表 (ACLs) FSx
**支持 ACLs:**否
## 使用 Amazon 实现基于属性的访问控制 (ABAC) FSx
**支持 ABAC(策略中的标签):**是
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
有关为 Amazon FSx 资源添加标签的更多信息,请参阅[为 Amazon FSx 资源贴标签](tag-resources.md)。
要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅 [使用标签控制对您的 Amazon FSx 资源的访问权限](using-tags-fsx.md#restrict-fsx-access-tags)。
## 在 Amazon 上使用临时证书 FSx
**支持临时凭证:**是
临时证书提供对 AWS 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## Amazon 的转发访问会话 FSx
**支持转发访问会话(FAS):**是
转发访问会话 (FAS) 使用调用主体的权限 AWS 服务,再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## Amazon 的服务角色 FSx
**支持服务角色:**否
## Amazon 的服务相关角色 FSx
**支持服务关联角色:**是
服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理 Amazon FSx 服务相关角色的详细信息,请参阅[使用适用于 Amazon 的服务相关角色 FSx](using-service-linked-roles.md)。
# 适用于 ONTAP 的 Ama FSx zon 基于身份的策略示例 NetApp
默认情况下,用户和角色无权创建或修改 Amazon FSx 资源。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关亚马逊 FSx定义的操作和资源类型(包括每种资源类型的格式)的 ARNs 详细信息,请参阅《*服务授权参考*》 FSx中的 [Amazon 操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [使用亚马逊 FSx 控制台](#security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
## 策略最佳实践
基于身份的策略决定了是否有人可以在您的账户中创建、访问或删除亚马逊 FSx 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用亚马逊 FSx 控制台
要访问 Amazon FSx f NetApp or ONTAP 控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您的 Amazon FSx 资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保用户和角色仍然可以使用 Amazon FSx 控制台,还要将`AmazonFSxConsoleReadOnlyAccess` AWS 托管策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
您可以在中查看`AmazonFSxConsoleReadOnlyAccess`和其他 Amazon FSx 托管服务政策[AWS 适用于 NetApp ONTAP 的 Amazon FSx 托管策略](security-iam-awsmanpol.md)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 对 Amazon FSx 的 NetApp ONTAP 身份和访问进行故障排除
使用以下信息来帮助您诊断和修复在使用 Amazon FSx 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在 Amazon 上执行任何操作 FSx](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想允许我以外的人访问我的 AWS 账户 Amazon FSx 资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在 Amazon 上执行任何操作 FSx
如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。
当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `fsx:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
在此情况下,必须更新 `mateojackson` 用户的策略,以允许使用 `fsx:GetWidget` 操作访问 `my-example-widget` 资源。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我无权执行 iam:PassRole
如果您收到错误消息,说您无权执行该`iam:PassRole`操作,则必须更新您的政策,以允许您将角色传递给亚马逊 FSx。
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为的 IAM 用户`marymajor`尝试使用控制台在 Amazon 中执行操作时,会出现以下示例错误 FSx。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想允许我以外的人访问我的 AWS 账户 Amazon FSx 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 Amazon 是否 FSx 支持这些功能,请参阅[Amazon f FSx or NetApp ONTAP 如何与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 使用适用于 Amazon 的服务相关角色 FSx
亚马逊 FSx 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与 Amazon FSx 直接关联的独特的 IAM 角色。服务相关角色由 Amazon FSx 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置 Amazon FSx 变得更加容易,因为您不必手动添加必要的权限。亚马逊 FSx 定义其服务相关角色的权限,除非另有定义,否则只有亚马逊 FSx 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这样可以保护您的 Amazon FSx 资源,因为您不会无意中删除访问这些资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## Amazon 的服务相关角色权限 FSx
Amazon FSx 使用名为 **AWSServiceRoleForAmazonFSx**— 的服务相关角色在您的账户中执行某些操作,例如为您的 VPC 中的文件系统创建弹性网络接口,并在中 CloudWatch发布文件系统和卷指标。
有关此策略的更新,请参阅 [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy)。
**权限详细信息**
AWSServiceRoleForAmazonFSx 角色权限由 Amazon FSx ServiceRolePolicy AWS 托管策略定义。 AWSServiceRoleForAmazonFSx 具有以下权限:
**注意**
所有 Amazon FSx 文件系统类型都使用;列出的某些权限不适用 FSx 于 ONTAP。 AWSService RoleForAmazon FSx
+ `ds`— 允许 Amazon FSx 查看、授权和取消对您 Directory Service 目录中的应用程序的授权。
+ `ec2`— 允许 Amazon FSx 执行以下操作:
+ 查看、创建和取消关联与 Amazon FSx 文件系统关联的网络接口。
+ 查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。
+ 查看与亚马逊 FSx 文件系统关联的亚马逊 VPCs、安全组和子网。
+ 为带有`AmazonFSx.FileSystemId`标签的客户网络接口分配 IPv6 地址。
+ 取消分配 IPv6 带有`AmazonFSx.FileSystemId`标签的客户网络接口的地址。
+ 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ 为获得 AWS授权的用户创建在网络接口上执行某些操作的权限。
+ `cloudwatch`— 允许 Amazon 将指标数据点发布 FSx 到 AWS/FSx 命名空间 CloudWatch 下。
+ `route53`— 允许亚马逊 FSx 将 Amazon VPC 与私有托管区域相关联。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
}
]
}
```
------
[亚马逊 FSx 更新了托 AWS 管政策](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 中介绍了本政策的所有更新。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 Amazon 创建服务相关角色 FSx
您无需手动创建服务关联角色。当您在 AWS 管理控制台、IAM CLI 或 IAM API 中创建文件系统时,Amazon FSx 会为您创建服务相关角色。
**重要**
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。要了解更多信息,请参阅[我的 IAM 账户中的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建文件系统时,Amazon FSx 会再次为您创建服务相关角色。
## 编辑 Amazon 的服务相关角色 FSx
Amazon FSx 不允许您编辑 AWSServiceRoleForAmazonFSx 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Amazon 的服务相关角色 FSx
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先删除所有文件系统和备份,然后才能手动删除服务关联角色。
**注意**
如果您尝试删除资源时,Amazon FSx 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSServiceRoleForAmazonFSx 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Amazon FSx 服务相关角色支持的区域
Amazon FSx 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅[AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
# 在 Amazon 上使用标签 FSx
您可以使用标签来控制对 Amazon FSx 资源的访问权限并实现基于属性的访问控制 (ABAC)。要在创建期间对 Amazon FSx 资源应用标签,用户必须具有某些 AWS Identity and Access Management (IAM) 权限。
## 在创建过程中授予标记资源的权限
通过一些创建资源的 Amazon FSx API 操作,您可以在创建资源时指定标签。您可以使用这些资源标签来实现基于属性的访问权限控制(ABAC)。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在 *IAM 用户指南*中。
为使用户在创建时为资源添加标签,他们必须具有使用创建该资源的操作(如 `fsx:CreateFileSystem`、`fsx:CreateStorageVirtualMachine` 或 `fsx:CreateVolume`)的权限。如果在资源创建操作中指定了标签,则 IAM 会对 `fsx:TagResource` 操作执行额外的授权,以验证用户是否具备创建标签的权限。因此,用户还必须具有使用 `fsx:TagResource` 操作的显式权限。
以下示例策略允许用户创建文件系统和存储虚拟机 (SVMs),并在特定环境中创建期间对它们应用标记 AWS 账户。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*",
"arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*"
]
}
]
}
```
同样,下面的策略允许用户在特定文件系统上创建备份,并在创建备份的过程中向备份应用任何标签。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
仅当用户在资源创建时应用了标签的情况下,系统才会评估 `fsx:TagResource` 操作。因此,如果未在此请求中指定任何标签,则拥有创建资源权限(假定没有标记条件)的用户无需具备使用 `fsx:TagResource` 操作的权限。但是,如果用户不具备使用 `fsx:TagResource` 操作的权限而又试图创建带标签的资源,则请求将失败。
有关为 Amazon FSx 资源添加标签的更多信息,请参阅[为 Amazon FSx 资源贴标签](tag-resources.md)。有关使用标签控制 Amazon FSx 资源访问权限的更多信息,请参阅[使用标签控制对您的 Amazon FSx 资源的访问权限](#restrict-fsx-access-tags)。
## 使用标签控制对您的 Amazon FSx 资源的访问权限
要控制对 Amazon FSx 资源和操作的访问权限,您可以使用基于标签的 IAM 策略。您可以使用两种方法提供此类控制:
+ 您可以根据这些 FSx 资源上的标签来控制对 Amazon 资源的访问权限。
+ 您可以控制在 IAM 请求条件中传递哪些标签。
有关如何使用标签控制 AWS 资源访问的信息,请参阅 *IAM 用户指南*中的[使用标签控制访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。有关在创建时为 Amazon FSx 资源添加标签的更多信息,请参阅[在创建过程中授予标记资源的权限](#supported-iam-actions-tagging)。有关标记资源的更多信息,请参阅[为 Amazon FSx 资源贴标签](tag-resources.md)。
### 根据资源上的标签控制访问权限
要控制用户或角色可以对 Amazon FSx 资源执行哪些操作,您可以在资源上使用标签。例如,您可能希望根据文件系统资源上的标签的键/值对允许或拒绝对该资源执行特定的 API 操作。
**Example 策略示例 – 仅在使用特定标签时创建文件系统**
只有当用户使用特定标签键值对标记文件系统时,此策略才允许用户创建文件系统,在本示例中为 `key=Department`,`value=Finance`。
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example 策略示例 — 仅 FSx 为带有特定标签的 NetApp ONTAP 卷创建 Amazon 的备份**
此策略仅允许用户 FSx 为标有键值对的 ONTAP 卷创建备份。`key=Department` `value=Finance`使用标签 `Department=Finance` 创建备份。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example 策略示例 – 通过带有特定标签的备份创建带有特定标签的卷**
此策略允许用户仅通过带有 `Department=Finance` 标签的备份创建带有 `Department=Finance` 标签的卷。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example 策略示例 – 删除带有特定标签的文件系统**
此策略允许用户删除带有 `Department=Finance` 标签的文件系统。如果他们创建了最终备份,则必须使用 `Department=Finance` 标记。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example 示例策略 – 删除带有特定标签的卷**
此策略允许用户仅删除带有 `Department=Finance` 标签的卷。如果他们创建了最终备份,则必须使用 `Department=Finance` 标记。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteVolume"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# AWS 适用于 NetApp ONTAP 的 Amazon FSx 托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## Amazon FSx ServiceRolePolicy
允许 FSx Amazon 代表您管理 AWS 资源。请参阅 [使用适用于 Amazon 的服务相关角色 FSx](using-service-linked-roles.md),了解更多信息。
## AWS 托管策略:Amazon FSx DeleteServiceLinkedRoleAccess
您不能将 `AmazonFSxDeleteServiceLinkedRoleAccess` 附加到自己的 IAM 实体。该策略关联到服务,仅用于该服务的服务关联角色。您不能附加、分离、修改或删除此策略。有关更多信息,请参阅 [使用适用于 Amazon 的服务相关角色 FSx](using-service-linked-roles.md)。
该策略授予管理权限,允许亚马逊 FSx 删除其对 Amazon S3 访问权限的服务关联角色,该角色仅 FSx 供亚马逊用于 Lustre。
**权限详细信息**
此策略包括`iam`允许亚马逊 FSx 查看、删除和查看 Amazon S3 FSx 服务关联角色访问权限的删除状态的权限。
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxDeleteServiceLinkedRoleAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html)。
## AWS 托管策略:Amazon FSx FullAccess
您可以将 Amazon 附加FSxFullAccess 到您的 IAM 实体。亚马逊 FSx 还将此政策附加到允许亚马逊 FSx 代表您执行操作的服务角色。
提供对 Amazon 的完全访问权限 FSx 和相关 AWS 服务的访问权限。
**权限详细信息**
该策略包含以下权限。
+ `fsx`— 允许委托人具有执行所有 Amazon FSx 操作的完全访问权限,但以下操作除外。`BypassSnaplockEnterpriseRetention`
+ `ds`— 允许委托人查看有关 Directory Service 目录的信息。
+ `ec2`
+ 允许主体在指定的条件下创建标签。
+ 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ `iam`— 允许原则代表用户创建 Amazon FSx 服务关联角色。这是必需的,这样 Amazon FSx 才能代表用户管理 AWS 资源。
+ `firehose`:允许主体将记录写入 Amazon Data Firehose。这是必需的,这样用户才能通过向 Firehose 发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。
+ `logs`:允许主体创建日志组、日志流并将事件写入日志流。这是必需的,这样用户才能通过向日志发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。 CloudWatch
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxFullAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html)。
## AWS 托管策略:Amazon FSx ConsoleFullAccess
您可以将 `AmazonFSxConsoleFullAccess` 策略附加到 IAM 身份。
此政策授予管理权限,允许用户完全访问亚马逊 FSx 并通过访问相关 AWS 服务 AWS 管理控制台。
**权限详细信息**
该策略包含以下权限。
+ `fsx`— 允许委托人在 Amazon FSx 管理控制台中执行所有操作,但以下操作除外。`BypassSnaplockEnterpriseRetention`
+ `cloudwatch`— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。
+ `ds`— 允许委托人列出有关 Directory Service 目录的信息。
+ `ec2`
+ 允许委托人在路由表上创建标签,列出网络接口、路由表、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。
+ 允许主体为可与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ 允许委托人查看与 Amazon FSx 文件系统关联的弹性网络接口。
+ `kms`— 允许委托人列出密钥的别名。 AWS Key Management Service
+ `s3`:允许主体列出 Amazon S3 桶中的部分或全部对象(最多 1000 个)。
+ `secretsmanager`— 允许委托人列出 AWS Secrets Manager 用于选择域加入服务帐户凭据的密码。
+ `iam`— 授予创建服务关联角色的权限,该角色允许 Amazon FSx 代表用户执行操作。
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxConsoleFullAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html)。
## AWS 托管策略:Amazon FSx ConsoleReadOnlyAccess
您可以将 `AmazonFSxConsoleReadOnlyAccess` 策略附加到 IAM 身份。
此政策向 Amazon FSx 和相关 AWS 服务授予只读权限,以便用户可以在中查看有关这些服务的信息 AWS 管理控制台。
**权限详细信息**
该策略包含以下权限。
+ `fsx`— 允许委托人在 Amazon FSx 管理控制台中查看有关亚马逊 FSx 文件系统的信息,包括所有标签。
+ `cloudwatch`— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。
+ `ds`— 允许委托人在 Amazon FSx 管理控制台中查看有关 Directory Service 目录的信息。
+ `ec2`
+ 允许委托人在 Amazon FSx 管理控制台中查看网络接口、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。
+ 允许主体为可与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ 允许委托人查看与 Amazon FSx 文件系统关联的弹性网络接口。
+ `kms`— 允许委托人在 Amazon FSx 管理控制台中查看 AWS Key Management Service 密钥的别名。
+ `log`— 允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx
+ `secretsmanager`— 允许委托人列出 AWS Secrets Manager 用于选择域加入服务帐户凭据的密码。
+ `firehose`:允许主体描述与发出请求的账户关联的 Amazon Data Firehose 传输流。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxConsoleReadOnlyAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html)。
## AWS 托管策略:Amazon FSx ReadOnlyAccess
您可以将 `AmazonFSxReadOnlyAccess` 策略附加到 IAM 身份。
+ `fsx`— 允许委托人在 Amazon FSx 管理控制台中查看有关亚马逊 FSx 文件系统的信息,包括所有标签。
+ `ec2`:为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxReadOnlyAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html)。
## 亚马逊 FSx 更新了托 AWS 管政策
查看 FSx 自该服务开始跟踪这些变更以来亚马逊 AWS 托管政策更新的详细信息。要获取有关此页面变更的自动提醒,请订阅 Amazon FSx [适用于 NetApp ONTAP 的 Amazon FSx 文档历史记录](document-history.md) 页面上的 RSS 提要。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`secretsmanager:ListSecrets`,允许委托人列出 AWS Secrets Manager 用于选择域名加入服务账户凭证的密码。 | 2025 年 11 月 5 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`secretsmanager:ListSecrets`,允许委托人列出 AWS Secrets Manager 用于选择域名加入服务账户凭证的密码。 | 2025 年 11 月 3 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | Amazon FSx 添加了一项新权限`ec2:AssignIpv6Addresses`,允许委托人为带有`AmazonFSx.FileSystemId`标签的客户网络接口分配 IPv6 地址。 | 2025 年 7 月 22 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | Amazon FSx 添加了一项新权限`ec2:UnassignIpv6Addresses`,允许委托人取消分配 IPv6 带有标签的客户网络接口的地址。`AmazonFSx.FileSystemId` | 2025 年 7 月 22 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:CreateAndAttachS3AccessPoint`,允许委托人创建 S3 接入点并将其连接到 FSx 卷。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:DescribeS3AccessPointAttachments`,允许委托人列出所有 S3 接 AWS 账户 入 AWS 区域点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:DetachAndDeleteS3AccessPoint`,允许委托人删除 S3 接入点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:CreateAndAttachS3AccessPoint`,允许委托人创建 S3 接入点并将其连接到 FSx 卷。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:DescribeS3AccessPointAttachments`,允许委托人列出所有 S3 接 AWS 账户 入 AWS 区域点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 添加了一项新权限`fsx:DetachAndDeleteS3AccessPoint`,允许委托人删除 S3 接入点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:DescribeNetworkInterfaces`,允许委托人查看与其文件系统关联的弹性网络接口。 | 2025 年 2 月 25 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:DescribeNetworkInterfaces`,允许委托人查看与其文件系统关联的弹性网络接口。 | 2025 年 2 月 7 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许用户对 OpenZFS 文件系统执行跨区域和跨账户数据复制。 FSx | 2023 年 12 月 20 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许用户对 OpenZFS 文件系统执行跨区域和跨账户数据复制。 FSx | 2023 年 12 月 20 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许用户按需复制 OpenZFS 文件系统的卷。 FSx | 2023 年 11 月 26 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许用户按需复制 OpenZFS 文件系统的卷。 FSx | 2023 年 11 月 26 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用 ONTAP 多可用区文件 FSx 系统的共享 VPC 支持。 | 2023 年 11 月 14 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用 ONTAP 多可用区文件 FSx 系统的共享 VPC 支持。 | 2023 年 11 月 14 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限, FSx 允许亚马逊管理 OpenZFS 多可用区文件系统的网络配置。 FSx | 2023 年 8 月 9 日 |
| [AWS 托管策略:Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — 更新现有政策 | 亚马逊 FSx 修改了现有`cloudwatch:PutMetricData`权限,以便亚马逊将 CloudWatch 指标 FSx 发布到`AWS/FSx`命名空间。 | 2023 年 7 月 24 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 更新了政策,删除了`fsx:*`权限并添加了具体`fsx`操作。 | 2023 年 7 月 13 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 更新了政策,删除了`fsx:*`权限并添加了具体`fsx`操作。 | 2023 年 7 月 13 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,使用户能够在亚马逊 FSx 控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。 FSx | 2022 年 9 月 21 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,使用户能够在亚马逊 FSx 控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。 FSx | 2022 年 9 月 21 日 |
| [亚马逊 FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess)-已开始追踪政策 | 该政策授予对所有 Amazon FSx 资源以及与之关联的任何标签的只读访问权限。 | 2022 年 2 月 4 日 |
| [亚马逊 FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess)-已开始追踪政策 | 此策略授予管理权限, FSx 允许亚马逊删除其对 Amazon S3 访问权限的服务关联角色。 | 2022 年 1 月 7 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | 亚马逊 FSx 增加了新的权限, FSx 允许亚马逊管理适用 FSx 于 NetApp ONTAP 文件系统的亚马逊网络配置。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | 亚马逊 FSx 添加了新的权限, FSx 允许亚马逊为 NetApp ONTAP 多可用区文件系统创建亚马逊 FSx 。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | Amazon FSx 添加了新的权限 FSx ,允许亚马逊描述和写入 CloudWatch 日志流。 这是必需的,这样用户才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许亚马逊描述和写 FSx 入亚马逊 Data Firehose 传送流。 这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx 适用于 Windows 文件服务器的文件系统的文件访问审核日志。 | 2021 年 6 月 8 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许委托人描述和创建 CloudWatch 日志组、日志流以及将事件写入日志流。 这是必需的,这样委托人才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许委托人向亚马逊数据 Firehose 描述和写入记录。 这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx 适用于 Windows 文件服务器的文件系统的文件访问审核日志。 | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。 这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 CloudWatch 日志日志组。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。 这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 Fire FSx hose 传送流。 | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。 这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-更新现有政策 | 亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。 这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx | 2021 年 6 月 8 日 |
| 亚马逊 FSx 开始追踪变更 | 亚马逊 FSx 开始跟踪其 AWS 托管政策的变更。 | 2021 年 6 月 8 日 |
# 使用 Amazon VPC 进行文件系统访问控制
您可以访问您 FSx 的 Amazon for NetApp ONTAP 文件系统,并 SVMs 使用其中一个终端节点的 DNS 名称或 IP 地址,具体取决于访问类型。DNS 名称映射到文件系统的私有 IP 地址或您 VPC 中 SVM 的弹性网络接口。只有关联 VPC 中的资源,或者通过 Direct Connect 或 VPN 与关联 VPC 连接的资源,才能通过 NFS、SMB 或 iSCSI 协议访问文件系统中的数据。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[什么是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。
**警告**
不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。
## Amazon VPC 安全组
安全组充当您的 for ONTAP 文件系统的虚拟防火墙, FSx 用于控制传入和传出流量。入站规则控制传入到文件系统的流量,出站规则控制从文件系统传出的流量。创建文件系统时,您需要指定要在其中创建文件系统的 VPC,并应用该 VPC 的默认安全组。您可以向每个安全组添加规则,允许流入或来自其关联文件系统的流量,以及 SVMs。您可以随时修改安全组的规则。新规则和修改后的规则将自动应用到与安全组相关联的所有资源。当 Amazon FSx 决定是否允许流量到达某个资源时,它会评估与该资源关联的所有安全组的所有规则。
要使用安全组控制对您的 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入的流量,出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则,可以将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。
有关安全组规则的更多信息,请参阅*《Amazon EC2 用户指南》*中的[安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules)。
### 创建 VPC 安全组
**为 Amazon 创建安全组 FSx**
1. 在 [https://console.aws.amazon.com/ec2 上打开亚马逊 EC2](https://console.aws.amazon.com/ec2) 控制台。
1. 在导航窗格中,选择 **Security Groups**(安全组)。
1. 选择**创建安全组**。
1. 为安全组指定名称和描述。
1. 对于 **VPC**,请选择与您的文件系统关联的 Amazon VPC 以在该 VPC 中创建安全组。
1. 对于出站规则,允许所有端口上的所有流量传输。
1. 将以下规则添加到安全组的入站端口。在**源**字段中,您应选择**自定义**,然后输入与需要访问您 FSx 的 for ONTAP 文件系统的实例关联的安全组或 IP 地址范围,包括:
+ 通过 NF and/or S、SMB 或 iSCSI 访问文件系统中数据的 Linux、Windows、macOS 客户端。
+ 您将与您的文件 systems/clusters 系统对等的任何 ONTAP 文件(例如,使用 SnapMirror SnapVault、或 FlexCache)。
+ 您将用于访问 ONTAP REST API、CLI 或 ZAPIs (例如, Harvest/Grafana 实例、 NetApp 连接器或 NetApp 控制台)的任何客户端。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/limit-access-security-groups.html)
1. 将安全组添加到文件系统的弹性网络接口。
#### 禁止访问文件系统
要暂时禁止所有客户端通过网络访问您的文件系统,您可以删除与文件系统的 elastic network interface 关联的所有安全组,然后将其替换为没有 inbound/outbound 规则的组。
# 适用于 NetApp ONTAP 的 Amazon FSx 合规性验证
要了解是否属于特定合规计划的范围,请参阅AWS 服务 “[按合规计划划分的范围](https://aws.amazon.com/compliance/services-in-scope/)” ”,然后选择您感兴趣的合规计划。 AWS 服务 有关一般信息,请参阅[AWS 合规计划AWS](https://aws.amazon.com/compliance/programs/)。
您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅中的 “[下载报告” 中的 “ AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您在使用 AWS 服务 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。有关您在使用时的合规责任的更多信息 AWS 服务,请参阅[AWS 安全文档](https://docs.aws.amazon.com/security/)。
# FSx 适用于 NetApp ONTAP 的 Amazon 和接口 VPC 终端节点 ()AWS PrivateLink
您可以通过将 Amazon 配置为使用接口 VPC 终端节点 FSx 来改善 VPC 的安全状况。接口 VPC 终端节点由[AWS PrivateLink](https://aws.amazon.com/privatelink)一项技术提供支持,使您 FSx APIs 无需互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接即可私密访问 Amazon。您的 VPC 中的实例不需要公有 IP 地址即可与 Amazon 通信 FSx APIs。您的 VPC 和 Amazon 之间的流量 FSx 不会离开 AWS 网络。
每个接口 VPC 端点均由子网中的一个或多个弹性网络接口表示。网络接口提供私有 IP 地址,该地址可用作 Amazon FSx API 流量的入口点。Amazon FSx 支持配置有 Dualstack( IPv4 IPv4 和 IPv6)IP 地址类型的 VPC 终端节点。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[创建接口 VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
## 亚马逊 FSx 接口 VPC 终端节点的注意事项
在为亚马逊设置接口 VPC 终端节点之前 FSx,请务必查看亚马逊 [VPC *用户指南中的接口 VPC* 终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)。
您可以从您的 VPC 调用任何 Amazon FSx API 操作。例如,您可以通过在您的 VPC 中调用 CreateFileSystem API 来创建 FSx 适用于 ONTAP 的文件系统。有关亚马逊的完整列表 FSx APIs,请参阅亚马逊 FSx API 参考中的[操作](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html)。
### VPC 对等连接注意事项
您可以使用 VPC VPCs 对等连接通过接口 VPC 终端节点将其他人连接到 VPC。VPC 对等互连是两 VPCs者之间的网络连接。您可以在自己的两个之间建立 VPC 对等连接 VPCs,也可以与另一 AWS 账户个 VPC 之间建立 VPC 对等连接。 VPCs 也可以有两种不同的 AWS 区域。
对等设备之间的流量 VPCs 留在 AWS 网络上,不会通过公共互联网。VPC 建立对等关系后,两者中的亚马逊弹性计算云 (Amazon EC2) 实例等资源都可以 FSx 通过在其中一个中创建的接口 VPC 终端节点 VPCs 访问亚马逊 API。 VPCs
## 为亚马逊 FSx API 创建接口 VPC 终端节点
您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface (AWS CLI) 为亚马逊 FSx API 创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[创建接口 VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
要为 Amazon 创建接口 VPC 终端节点 FSx,请使用以下方法之一:
+ `com.amazonaws.region.fsx`— 为亚马逊 FSx API 操作创建终端节点。
+ **`com.amazonaws.region.fsx-fips`**— 为亚马逊 FSx API 创建符合[联邦信息处理标准 (FIPS) 140](https://aws.amazon.com/compliance/fips/) -2 的终端节点。
要使用私有 DNS 选项,您必须设置 VPC 的 `enableDnsHostnames` 和 `enableDnsSupport` 属性。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[查看和更新 VPC 的 DNS 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
中国除外 AWS 区域 ,如果您为终端节点启用私有 DNS,则可以使用 VPC 终端节点的默认 DNS 名称向 FSx Amazon 发 AWS 区域出 API 请求`fsx.us-east-1.amazonaws.com`。对于中国(北京)和中国(宁夏 AWS 区域),您可以分别`fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn`使用`fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn`和向 VPC 终端节点发出 API 请求。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[通过接口 VPC 端点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
## 为亚马逊创建 VPC 终端节点策略 FSx
要控制对 Amazon FSx API 的访问权限,您可以将 AWS Identity and Access Management (IAM) 策略附加到您的 VPC 终端节点。此策略指定以下内容:
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
# 亚马逊 FSx 为 NetApp ONTAP 提供的弹性
AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络连接。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错能力和可扩展性。
有关 AWS 区域 和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
除了 AWS 全球基础设施外,Amazon 还 FSx 提供多项功能来帮助支持您的数据弹性和备份需求。
## 备份和还原
亚马逊在您的 Amazon for NetApp ONTAP 文件系统中 FSx 创建并保存卷 FSx 的自动备份。亚马逊 FSx 会在您的 Ama FSx zon for NetApp ONTAP 文件系统的备份窗口内自动备份您的卷。Amazon FSx 会根据您指定的备份保留期保存卷的自动备份。您还可以通过创建用户启动备份来手动备份卷。您可以随时通过创建新卷来恢复卷备份,并将备份指定为源。
有关更多信息,请参阅 [使用卷备份保护数据](using-backups.md)。
## 快照
亚马逊 FSx 为 NetApp ONTAP 卷创建亚马逊 FSx 的快照副本。快照副本可防止卷中的文件被最终用户意外删除或修改。有关更多信息,请参阅 [使用快照保护您的数据](snapshots-ontap.md)。
## 可用区
Amazon FSx for NetApp ONTAP 文件系统旨在即使在服务器出现故障的情况下也能为数据提供持续可用性。每个文件系统都由位于至少一个可用区的两台文件服务器提供支持,每台文件服务器都有自己的存储。Amazon FSx 会自动复制您的数据以保护其免受组件故障的影响,持续监控硬件故障,并在出现故障时自动更换基础设施组件。文件系统会根据需要自动进行失效转移和失效自动恢复(通常在 60 秒内),而客户端则自动利用文件系统进行失效转移和失效自动恢复。
### 多可用区文件系统
Amazon FSx for NetApp ONTAP 文件系统在各个 AWS 可用区域均具有高可用性和耐用性,旨在即使在可用区不可用的情况下也能为数据提供持续可用性。
有关更多信息,请参阅 [可用性、持久性和部署选项](high-availability-AZ.md)。
### 单可用区文件系统
Amazon FSx for NetApp ONTAP 文件系统在单个 AWS 可用区内具有高可用性和耐用性,旨在在单个文件服务器或磁盘出现故障时在该可用区内提供持续可用性。
有关更多信息,请参阅 [可用性、持久性和部署选项](high-availability-AZ.md)。
# FSx 适用于 NetApp ONTAP 的 Amazon 基础设施安全
作为一项托管服务,Amazon FSx f NetApp or ONTAP 受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已发布的 API 调用 FSx 通过网络访问亚马逊。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
# 将 NetApp ONTAP vScan 与 ONTAP 配合使用 FSx
您可以使用 NetApp ONTAP's Vscan 功能来运行支持的第三方杀毒软件。有关更多信息,请参阅以下资源,了解各种支持的解决方案。
+ Deep Instinct:[Vscan 合作伙伴解决方案](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)和 [Deep Instinct 文档1](https://portal.deepinstinct.com/pages/dikb)
+ SentinelOne — [Vscan 合作伙伴解决方案](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)和 S [SentinelOne ingularity](https://www.sentinelone.com/platform/singularity-cloud-data-security) Cloud 数据安全
+ Symantec:[Vscan 合作伙伴解决方案](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)和 [Symantec 保护引擎](https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/symantec-protection-engine/9-1-0.html)
+ [Trellix(以前 McAfee)— [Vscan 合作伙伴解决方案](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)和 Trellix 产品文档](https://docs.trellix.com/)
+ Trend Micro:[Vscan 合作伙伴解决方案](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)
**注意**
1 必须登录 Deep Instinct 的门户网站才能查看相关文档。
# ONTAP 用户和角色
NetApp ONTAP 包含强大且可扩展的基于角色的访问控制(RBAC)功能。ONTAP 角色定义用户在使用 ONTAP CLI 和 REST API 时的能力和权限。每个角色定义不同级别的管理功能和权限。您可以为用户分配角色,以便在使用 ONTAP REST API 和 CLI 时控制他们对 ONTAP 资源的访问权限。 FSx ONTAP 文件系统用户和存储虚拟机 (SVM) 用户分别有ONTAP角色可用。 FSx
在 FSx 为 ONTAP 文件系统创建时,将在文件系统级别和 SVM 级别创建默认ONTAP用户。您可以创建其他文件系统用户和 SVM 用户,也可以创建其他 SVM 角色来满足贵组织的需求。本章介绍了 ONTAP 用户和角色,并提供了创建其他用户和 SVM 角色的详细步骤。
## 文件系统管理员角色和用户
默认 ONTAP 文件系统用户为 `fsxadmin`,该用户被分配了 `fsxadmin` 角色。您可以为文件系统用户分配两个预定义角色,如下所示:
+ **`fsxadmin`** - 具有此角色的管理员在 ONTAP 系统中拥有不受限制的权限。他们可以配置 ONTAP 文件系统上 FSx 可用的所有文件系统和 SVM 级资源。
+ **`fsxadmin-readonly`** - 具有此角色的管理员可以查看文件系统级别的所有内容,但不能进行任何更改。
此角色非常适合与 NetApp Harvest 等监视应用程序一起使用,因为它对所有可用资源及其属性拥有只读访问权限,但无法对其进行任何更改。
您可以创建其他文件系统用户并为其分配 `fsxadmin` 或 `fsxadmin-readonly` 角色。您无法创建新角色或修改现有角色。有关更多信息,请参阅 [为文件系统和 SVM 管理创建新的 ONTAP 用户](#file-system-roles-and-users)。
下表描述了文件系统管理员角色对 ONTAP CLI 和 REST API 命令以及命令目录拥有的访问权限。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html)
## SVM 管理员角色和用户
每个 SVM 都有单独的身份验证域,可以由其管理员进行独立管理。文件系统上的每个 SVM 都有一个默认用户 *vsadmin*,并默认为 `vsadmin` 分配了角色。除 `vsadmin` 角色外,还有其他预定义的 SVM 角色可提供缩小的权限范围,您可以将此权限分配给 SVM 用户。您还可以创建自定义角色,提供满足贵组织需求的访问控制级别。
SVM 管理员的预定义角色及其功能如下:
| 角色名称 | 功能 |
| --- | --- |
| `vsadmin` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-volume` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-protocol` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-backup` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-snaplock` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-readonly` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/roles-and-users.html) |
有关如何创建新 SVM 角色的更多信息,请参阅 [创建 SVM 角色](creating-new-svm-roles.md)。
## 使用 Active Directory 对 ONTAP 用户进行身份验证
您可以对 Windows Active Directory 域用户 FSx 对适用于 ONTAP 的文件系统和 SVM 的访问权限进行身份验证。在 Active Directory 账户可以访问文件系统之前,您必须完成以下任务:
+ 需要配置 Active Directory 域控制器对 SVM 的访问权限。
用于配置为 Active Directory 域控制器访问网关或隧道的 SVM 必须启用 CIFS、加入活动目录,或两者兼之。如果不启用 CIFS,只是将隧道 SVM 加入 Active Directory,请确保 SVM 已加入您的 Active Directory。有关更多信息,请参阅 [如何加入微软 Ac SVMs tive Directory](self-managed-AD-join.md)。
+ 需要启用 Active Directory 域用户账户以访问文件系统。
对于访问 ONTAP CLI 或 REST API 的 Windows 域用户,可以使用密码身份验证,也可以使用 SSH 公钥身份验证。
有关如何为文件系统和 SVM 管理员配置 Active Directory 身份验证的过程,请参阅 [为 ONTAP 用户配置 Active Directory 身份验证](set-up-ad-auth.md)。
## 为文件系统和 SVM 管理创建新的 ONTAP 用户
每个 ONTAP 用户都与 SVM 或文件系统关联。具有 `fsxadmin` 角色的文件系统用户可以使用 [https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) ONTAP CLI 命令创建新的 SVM 角色和用户。
`security login create` 命令创建管理实用程序的登录方法。登录方法由用户名、应用程序(访问方法)和身份验证方法构成。一个用户名可以与多个应用程序相关联。可以选择包含访问控制角色名称。如果使用的是 Active Directory、LDAP 或 NIS 组名,则登录方法允许访问属于指定组的用户。如果用户是安全登录表中预置的多个群组的成员,则该用户可以访问授权给各个群组的命令列表。
有关如何创建新 ONTAP 用户的信息,请参阅 [创建 ONTAP 用户](create-new-ontap-users.md)。
**Topics**
+ [文件系统管理员角色和用户](#file-system-admin-roles)
+ [SVM 管理员角色和用户](#svm-admin-roles)
+ [使用 Active Directory 对 ONTAP 用户进行身份验证](#ad-tunneling)
+ [为文件系统和 SVM 管理创建新的 ONTAP 用户](#file-system-roles-and-users)
+ [创建 ONTAP 用户](create-new-ontap-users.md)
+ [创建 SVM 角色](creating-new-svm-roles.md)
+ [为 ONTAP 用户配置 Active Directory 身份验证](set-up-ad-auth.md)
+ [配置公钥认证](public-key-auth.md)
+ [更新文件系统和 SVM 角色的密码要求](update-password-requirements.md)
+ [更新 `fsxadmin` 账户密码失败](updating-admin-password.md)
# 创建 ONTAP 用户
**创建新的 SVM 或文件系统用户(ONTAP CLI)**
只有具有 `fsxadmin` 角色的文件系统用户才能创建新的 SVM 和文件系统用户。
1. 要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将 `management_endpoint_ip` 替换为文件系统管理端口的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
有关更多信息,请参阅 [使用 ONTAP CLI 管理文件系统](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 使用 `security login create` ONTAP CLI 命令在您 FSx 的 ONTAP 文件系统或 SVM 上创建一个新的用户帐户。
为示例中的占位符填入数据,以定义以下必需的属性:
+ `-vserver` – 指定要在其中创建新 SVM 角色或用户的 SVM 的名称。如果要创建文件系统角色或用户,请不要指定 SVM。
+ `-user-or-group-name` – 指定登录方法的用户名或 Active Directory 组名。只能使用 `domain` 身份验证方法以及 `ontapi` 和 `ssh` 应用程序指定 Active Directory 组名。
+ `-application` – 指定登录方法的应用。可能的值包括 http、ontapi 和 ssh。
+ `-authentication-method` – 指定登录的身份验证方法。可能的值包括:
+ domain – 用于 Active Directory 身份验证
+ 密码 - 用于密码认证
+ publickey – 用于公钥身份验证
+ `-role` – 指定登录方法的访问控制角色名称。在文件系统级别,唯一可以指定的角色是 `fsxadmin`。
(可选)您还可以将以下一个或多个参数与命令配合使用:
+ `[-comment]` - 用于为用户账户添加注释或备注。例如 **Guest account**。最大长度为 128 个字符。
+ `[-second-authentication-method {none|publickey|password|nsswitch}]` – 指定第二种身份验证方法。您可以指定以下方法:
+ 密码 - 用于密码认证
+ publickey – 用于公钥身份验证
+ nswitch – 用于 NIS 或 LDAP 身份验证
+ 无 - 未指定时的默认值。
```
Fsx0123456::> security login create -vserver vserver_name -user-or-group-name user_or_group_name -application login_application -authentication-method auth_method -role role_or_account_name
```
以下命令结合使用 SSH 和登录密码创建具有 `fsxadmin-readonly` 角色的新文件系统用户 `new_fsxadmin`。在提示时,提供此用户的密码。
```
Fsx0123456::> security login create -user-or-group-name new_fsxadmin -application ssh -authentication-method password -role fsxadmin-readonly
Please enter a password for user 'new_fsxadmin':
Please enter it again:
Fsx0123456::>
```
1. 以下命令在 SVM `fsx` 上创建具有 `vsadmin_readonly` 角色的新 SVM 用户 `new_vsadmin`,配置为将 SSH 和登录密码配合使用。在提示时,提供此用户的密码。
```
Fsx0123456::> security login create -vserver fsx -user-or-group-name new_vsadmin -application ssh -authentication-method password -role vsadmin-readonly
Please enter a password for user 'new_vsadmin':
Please enter it again:
Fsx0123456::>
```
1. 以下命令创建一个新的只读文件系统用户`harvest2-user`, NetApp Harvest 应用程序将使用该用户来收集性能和容量指标。有关更多信息,请参阅 [使用 Harvest 和 Grafana 监控 FSx for ONTAP 文件系统](monitoring-harvest-grafana.md)。
```
Fsx0123456::> security login create -user-or-group-name harvest2-user -application ssh -role fsxadmin-readonly -authentication-method password
```
**查看所有文件系统和 SVM 用户的信息**
+ 使用以下命令查看文件系统和的所有登录信息 SVMs。
```
Fsx0123456::> security login show
Vserver: Fsx0123456
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
autosupport console password autosupport no none
fsxadmin http password fsxadmin no none
fsxadmin ontapi password fsxadmin no none
fsxadmin ssh password fsxadmin no none
fsxadmin ssh publickey fsxadmin - none
new_fsxadmin ssh password fsxadmin-readonly
no none
Vserver: fsx
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
new_vsadmin ssh password vsadmin-readonly no none
vsadmin http password vsadmin yes none
vsadmin ontapi password vsadmin yes none
vsadmin ssh password vsadmin yes none
10 entries were displayed.
Fsx0123456::>
```
# 创建 SVM 角色
您创建的每个 SVM 都有一个默认 SVM 管理员,并为其分配了预定义的 `vsadmin` 角色。除了这组[预定义的 SVM 角色](roles-and-users.md#svm-admin-roles)外,您还可以创建新的 SVM 角色。如果您需要为 SVM 创建新角色,请使用 `security login role create` ONTAP CLI 命令。此命令适用于具有 `fsxadmin` 角色的文件系统管理员。
**创建新的 SVM 角色(ONTAP CLI)**
1. 可以使用以下 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html) ONTAP CLI 命令创建新的 SVM 角色:
```
Fsx0123456::> security login role create -vserver vs1.example.com -role vol_role -cmddirname volume
```
1. 在命令中指定以下必需的参数:
+ `-vserver` SVM 的名称
+ `-role` – 角色的名称。
+ `-cmddirname` – 角色授予访问权限的命令或命令目录。将命令子目录名称用双引号引起来。例如 `"volume snapshot"`。输入 `DEFAULT` 指定所有命令目录。
1. (可选)您还可以向命令添加以下任意参数:
+ `-vserver` – 与角色关联的 SVM 的名称。
+ `-access` – 角色的访问级别。对于命令目录,这包括:
+ `none` – 拒绝访问命令目录中的命令。这是自定义角色的默认值。
+ `readonly` – 授予对命令目录及其子目录中的 show 命令的访问权限。
+ `all` – 授予对命令目录及其子目录中的所有命令的访问权限。要授予或拒绝对内部命令的访问权限,必须指定命令目录。
对于非内部命令(不以 `create`、`modify`、`delete` 或 `show` 结尾的命令):
+ `none` – 拒绝访问命令目录中的命令。这是自定义角色的默认值。
+ `readonly` – 不适用。请勿使用。
+ `all` – 授予对命令的访问权限。
+ `-query` – 用于筛选访问级别的查询对象,以命令或命令目录中命令的有效选项的形式指定。将查询对象用双引号引起来。
1. 运行 `security login role create` 命令。
以下命令为 vs1.example.com 虚拟服务器创建名为“admin”的访问控制角色。该角色拥有对“volume”命令的所有访问权限,但只能在“aggr0”聚合中访问。
```
Fsx0123456::>security login role create -role admin -cmddirname volume -query "-aggr aggr0" -access all -vserver vs1.example.com
```
# 为 ONTAP 用户配置 Active Directory 身份验证
使用 ONTAP CLI 为 ONTAP 文件系统和 SVM 用户配置使用 Active Directory 身份验证。
您必须是具有 `fsxadmin` 角色的文件系统管理员才能使用此过程中的命令。
**为 ONTAP 用户设置 Active Directory 身份验证(ONTAP CLI)**
此过程中的命令适用于具有 `fsxadmin` 角色的文件系统用户。
1. 要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将 `management_endpoint_ip` 替换为文件系统管理端口的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
有关更多信息,请参阅 [使用 ONTAP CLI 管理文件系统](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 使用所示的 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html) 命令建立一个用于对 Windows Active Directory 用户进行身份验证的域隧道。*svm\$1name*替换为用于域隧道的 SVM 的名称。
```
FsxId0123456::> security login domain-tunnel create -vserver svm_name
```
1. 使用 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) 命令创建将访问文件系统的 Active Directory 域用户账户。
在命令中指定以下必需的参数:
+ `-vserver` - 配置了 CIFS 并加入 Active Directory 的 SVM 的名称。它将用作 Active Directory 域用户访问文件系统的身份验证隧道。将创建新的角色或用户。
+ `-user-or-group-name` – 登录方法的用户名或 Active Directory 组名。只能使用 `domain` 身份验证方法以及 `ontapi` 和 `ssh` 应用程序指定 Active Directory 组名。
+ `-application` – 登录方法的应用。可能的值包括 http、ontapi 和 ssh。
+ `-authentication-method` – 用于登录的身份验证方法。可能的值包括:
+ domain – 用于 Active Directory 身份验证
+ 密码 - 用于密码认证
+ publickey – 用于公钥身份验证
+ `-role` – 登录方法的访问控制角色名称。在文件系统级别,唯一可以指定的角色是 `-role fsxadmin`。
以下示例为 `filesystem1` 文件系统创建了一个 Active Directory 域用户账户 `CORP\Admin`。
```
FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin
```
以下示例创建了使用公钥身份验证的 `CORP\Admin` 用户账户。
```
FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".
```
使用以下命令为 `CORP\Admin` 用户创建公钥:
```
FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"
```
**结合使用 SSH 和 Active Directory 凭证来登录文件系统**
+ 以下示例展示了如果选择为 `-application` 类型选择 `ssh`,该如何使用 Active Directory 凭证通过 SSH 进入您的文件系统。`username` 的格式为 `"domain-name\user-name"`,即您在创建账户时提供的域名和用户名,用反斜杠分隔并用引号引起来。
```
Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com
```
当系统提示输入密码时,使用 Active Directory 用户的密码。
# 配置公钥认证
要启用 SSH 公钥身份验证,必须使用 `security login publickey create` 命令先生成 SSH 密钥,然后将其与管理员账户关联。此操作将允许该账户访问 SVM。`security login publickey create` 命令接受以下参数。
| 参数 | 说明 |
| --- | --- |
| `-vserver`(可选) | 账户访问的 SVM 的名称 如果要为文件系统用户配置 SSH 公钥身份验证,不要包括 `-versver`。 |
| `-username` | 账户的用户名。默认值 `admin` 是集群管理员的默认名称。 |
| `-index` | 公钥的索引号。如果密钥是为账户创建的第一个密钥,默认值为 0。否则,默认值将比该账户现有的最高索引号多一。 |
| `-publickey` | OpenSSH 公钥。将密钥用双引号引起来。 |
| `-role` | 分配给账户的访问控制角色。 |
| `-comment`(可选) | 公钥的描述性文本。将文本用双引号引起来。 |
以下示例将公钥与 SVM `svm01` 的 SVM 管理员账户 `svmadmin` 关联。公钥分配到的索引号为 `5`。
```
Fsx0123456::> security login publickey create -vserver svm01 -username svmadmin -index 5 -publickey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAspH64CYbUsDQCdW22JnK6J/vU9upnKzd2zAk9C1f7YaWRUAFNs2Qe5lUmQ3ldi8AD0Vfbr5T6HZPCixNAIzaFciDy7hgnmdj9eNGedGr/JNrftQbLD1hZybX+72DpQB0tYWBhe6eDJ1oPLobZBGfMlPXh8VjeU44i7W4+s0hG0E=tsmith@publickey.example.com"
```
**重要**
要执行此任务,您必须是 SVM 或文件系统管理员。
# 更新文件系统和 SVM 角色的密码要求
您可以使用 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description) ONTAP CLI 命令更新文件系统或 SVM 角色的密码要求。此命令仅适用于具有 `fsxadmin` 角色的文件系统管理员账户。在修改密码要求时,如果有任何具有该角色的现有用户会受到更改的影响,系统将发出警告。
以下示例针对 `fsx` SVM 上具有 `vsadmin-readonly` 角色的用户将最低密码长度要求修改为 12 个字符。在此示例中,已有用户拥有该角色。
```
FsxId0123456::> security login role config modify -role vsadmin-readonly -vserver fsx -passwd-minlength 12
```
由于存在现有的用户,系统会显示以下警告:
```
Warning: User accounts with this role exist. Modifications to the username/password restrictions on this role could result in non-compliant user
accounts.
Do you want to continue? {y|n}:
FsxId0123456::>
```
# 更新 `fsxadmin` 账户密码失败
更新 `fsxadmin` 用户的密码时,如果密码不文件系统中设置的符合密码要求,可能会收到错误消息。您可以使用 `security login role config show` ONTAP CLI 或 REST API 命令查看密码要求。
**查看文件系统或 SVM 角色的密码要求**
1. 要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将 `management_endpoint_ip` 替换为文件系统管理端口的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
有关更多信息,请参阅 [使用 ONTAP CLI 管理文件系统](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. `security login role config show` 命令返回文件系统或 SVM 角色的密码要求。
```
FsxId0123456::> security login role config show -role fsxadmin -fields password_requirement_fields
```
对于 `-fields` 参数,指定以下任一或全部内容:
+ `passwd-minlength` – 密码的最小长度。
+ `passwd-min-special-chars` – 密码的最少特殊字符数。
+ `passwd-min-lowercase-chars` – 密码的最少小写字符数。
+ `passwd-min-uppercase-chars` – 密码的最小大写字符数。
+ `passwd-min-digits` – 密码的最小数字数量。
+ `passwd-alphanum` – 有关包含或排除字母数字字符的信息。
+ `passwd-expiry-time` – 密码过期时间。
+ `passwd-expiry-warn-time` – 密码过期警告时间。
1. 运行以下命令以查看所有密码要求:
```
FsxId0123456::> security login role config show -role fsxadmin -fields passwd-minlength, passwd-min-special-chars, passwd-min-lowercase-chars, passwd-min-digits, passwd-alphanum, passwd-expiry-time, passwd-expiry-warn-time, passwd-min-uppercase-chars
vserver role passwd-minlength passwd-alphanum passwd-min-special-chars passwd-expiry-time passwd-min-lowercase-chars passwd-min-uppercase-chars passwd-min-digits passwd-expiry-warn-time
---------------------- -------- ---------------- --------------- ------------------------ ------------------ -------------------------- -------------------------- ----------------- -----------------------
FsxId0123456 fsxadmin 3 enabled 0 unlimited 0 0 0 unlimited
```