本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon FSx for Lustre
<a name="setting-up"></a>

第一次使用 Amazon FSx for Lustre 之前，請先完成 [註冊 Amazon Web Services](#setting-up-aws)區段中的任務。若要完成[入門教學](getting-started.md)課程，請確定您將連結至檔案系統的 Amazon S3 儲存貯體具有 中列出的許可[新增在 Amazon S3 中使用資料儲存庫的許可](#fsx-adding-permissions-s3)。

**Topics**
+ [註冊 Amazon Web Services](#setting-up-aws)
+ [新增在 Amazon S3 中使用資料儲存庫的許可](#fsx-adding-permissions-s3)
+ [FSx for Lustre 如何檢查連結 S3 儲存貯體的存取](#fsx-lustre-permissions-s3-bucket)
+ [下一步驟](#setting-up-next-step)

## 註冊 Amazon Web Services
<a name="setting-up-aws"></a>

若要設定 AWS，請完成下列任務：

1. [註冊 AWS 帳戶](#sign-up-for-aws)

1. [建立具有管理存取權的使用者](#create-an-admin)

### 註冊 AWS 帳戶
<a name="sign-up-for-aws"></a>

如果您沒有 AWS 帳戶，請完成下列步驟來建立一個。

**註冊 AWS 帳戶**

1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。

1. 請遵循線上指示進行。

   部分註冊程序需接收來電或簡訊，並在電話鍵盤輸入驗證碼。

   當您註冊 時 AWS 帳戶，*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 在註冊程序完成後， 會傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**，以檢視您目前的帳戶活動並管理帳戶。

### 建立具有管理存取權的使用者
<a name="create-an-admin"></a>

註冊 後 AWS 帳戶，請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者，以免將根使用者用於日常任務。

**保護您的 AWS 帳戶根使用者**

1.  選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需說明，請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 （主控台） 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**建立具有管理存取權的使用者**

1. 啟用 IAM Identity Center。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，將管理存取權授予使用者。

   如需使用 IAM Identity Center 目錄 做為身分來源的教學課程，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM Identity Center 使用者登入的說明，請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**指派存取權給其他使用者**

1. 在 IAM Identity Center 中，建立一個許可集來遵循套用最低權限的最佳實務。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 新增在 Amazon S3 中使用資料儲存庫的許可
<a name="fsx-adding-permissions-s3"></a>

Amazon FSx for Lustre 與 Amazon S3 深度整合。此整合表示存取 FSx for Lustre 檔案系統的應用程式也可以無縫存取存放在連結 Amazon S3 儲存貯體中的物件。如需詳細資訊，請參閱[搭配 Amazon FSx for Lustre 使用資料儲存庫](fsx-data-repositories.md)。

若要使用資料儲存庫，您必須先在與管理員使用者帳戶相關聯的角色中允許 Amazon FSx for Lustre 特定 IAM 許可。

**使用主控台內嵌角色的內嵌政策**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**角色**。

1. 在清單中，選擇要內嵌政策的角色名稱。

1. 選擇**許可**索引標籤。

1. 向下捲動到頁面底部，然後選擇 **Add inline policy (新增內嵌政策)**。
**注意**  
您無法在 IAM 的服務連結角色中嵌入內嵌政策。由於連結服務定義您是否可以修改角色的許可，因此您可以從服務主控台、API 或 AWS CLI新增額外的政策。若要檢視服務的服務連結角色文件，請參閱**AWS 使用 IAM 的服務**，然後在服務的**服務連結角色**欄中選擇**是**。

1. 選擇**使用視覺化編輯器建立政策**

1. 新增下列許可政策陳述式。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": {
           "Effect": "Allow",
           "Action": [
               "iam:CreateServiceLinkedRole",
               "iam:AttachRolePolicy",
               "iam:PutRolePolicy"
           ],
           "Resource": "arn:aws:iam::*:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/*"
       }
   }
   ```

------

在您建立內嵌政策後，它會自動嵌入您的角色中。如需服務連結角色的詳細資訊，請參閱[使用 Amazon FSx 的服務連結角色](using-service-linked-roles.md)。

## FSx for Lustre 如何檢查連結 S3 儲存貯體的存取
<a name="fsx-lustre-permissions-s3-bucket"></a>

如果您用來建立 FSx for Lustre 檔案系統的 IAM 角色沒有 `iam:AttachRolePolicy`和 `iam:PutRolePolicy`許可，則 Amazon FSx 會檢查是否可以更新您的 S3 儲存貯體政策。如果您的 IAM 角色包含`s3:PutBucketPolicy`許可，Amazon FSx 可以更新您的儲存貯體政策，以允許 Amazon FSx 檔案系統匯入或匯出資料到您的 S3 儲存貯體。如果允許修改儲存貯體政策，Amazon FSx 會將下列許可新增至儲存貯體政策：
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:PutObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutBucketPolicy`
+ `s3:DeleteBucketPolicy`

如果 Amazon FSx 無法修改儲存貯體政策，則會檢查現有的儲存貯體政策是否授予 Amazon FSx 對儲存貯體的存取權。

如果所有這些選項都失敗，則建立檔案系統的請求會失敗。下圖說明 Amazon FSx 在判斷檔案系統是否可以存取要連結的 S3 儲存貯體時所遵循的檢查。

![Amazon FSx 用來判斷其是否具有將資料匯入或匯出至其連結之 S3 儲存貯體的許可的檢查進度。](http://docs.aws.amazon.com/zh_tw/fsx/latest/LustreGuide/images/fsx-lustre-permissons-create-fs-linked-s3.png)


## 下一步驟
<a name="setting-up-next-step"></a>

若要開始使用 FSx for Lustre，請參閱 以取得建立 Amazon FSx for Lustre 資源[Amazon FSx for Lustre 入門](getting-started.md)的說明。