本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置 Amazon FSx for Lustre
首次使用 Amazon FSx for Lustre 前,请完成 注册 Amazon Web Services 部分中的任务。要完成入门教程,请确保您将链接到文件系统的 Amazon S3 存储桶具有 添加在 Amazon S3 中使用数据存储库的权限 中列出的权限。
注册 Amazon Web Services
要进行设置 AWS,请完成以下任务:
注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
要注册 AWS 账户
打开 https://portal.aws.amazon.com/billing/signup
。 按照屏幕上的说明进行操作。
在注册时,将接到一通电话,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为安全最佳实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务。
AWS 注册过程完成后会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/
创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
保护你的 AWS 账户根用户
-
选择 Root 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。AWS Management Console
在下一页上,输入您的密码。 要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的以根用户身份登录。
-
为您的根用户启用多重身份验证 (MFA)。
有关说明,请参阅 I A M 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)。
创建具有管理访问权限的用户
-
启用 IAM Identity Center
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的启用 AWS IAM Identity Center。
-
在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《用户指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户访问权限。
以具有管理访问权限的用户身份登录
-
要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录网址。
有关使用 IAM Identity Center 用户登录的帮助,请参阅AWS 登录 用户指南中的登录 AWS 访问门户。
将访问权限分配给其他用户
添加在 Amazon S3 中使用数据存储库的权限
Amazon FSx for Lustre 与 Amazon S3 深度集成。这种集成意味着,访问您的 FSx for Lustre 文件系统的应用程序也可以无缝访问链接的 Amazon S3 存储桶中存储的对象。有关更多信息,请参阅 在 Amazon 上使用数据存储库 for Lu FSx stre。
要使用数据存储库,您必须首先允许 Amazon FSx for Lustre 在与您的管理员用户账户关联的角色中具有某些 IAM 权限。
使用控制台为角色嵌入内联策略
-
登录 AWS Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com//iam/
。 -
在导航窗格中,选择角色。
-
在列表中,选择要在其中嵌入策略的角色的名称。
-
选择权限选项卡。
-
滚动到页面底部并选择添加内联策略。
注意
您不能在 IAM 中的服务相关角色中嵌入内联策略。由于链接服务定义了您是否能修改角色的权限,因此,您可能能够从服务控制台、API 或 AWS CLI添加其他策略。要查看服务的服务相关角色文档,请参阅使用 IAM 的AWS 服务,然后在服务的服务相关角色列中选择是。
-
选择使用可视化编辑器创建策略
-
添加以下策略声明。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/*" } }
创建内联策略后,它会自动嵌入您的角色。有关服务相关角色的更多信息,请参阅使用 Amazon FSx 的服务相关角色。
FSx for Lustre 如何检查对链接 S3 存储桶的访问权限
如果您用于创建 FSx for Lustre 文件系统的 IAM 角色没有 iam:AttachRolePolicy
和 iam:PutRolePolicy
权限,那么 Amazon FSx 会检查它是否可以更新您的 S3 存储桶策略。如果您的 IAM 角色中包含允许 Amazon FSx 文件系统将数据导入或导出到您的 S3 存储桶的 s3:PutBucketPolicy
权限,则 Amazon FSx 可以更新您的存储桶策略。如果允许修改存储桶策略,则 Amazon FSx 将向存储桶策略添加以下权限:
s3:AbortMultipartUpload
s3:DeleteObject
s3:PutObject
s3:Get*
s3:List*
s3:PutBucketNotification
s3:PutBucketPolicy
s3:DeleteBucketPolicy
如果 Amazon FSx 无法修改存储桶策略,则它会检查现有存储桶策略是否授予 Amazon FSx 访问存储桶的权限。
如果所有这些选项都失败,则创建文件系统的请求失败。下图说明了 Amazon FSx 在确定文件系统是否可以访问与之链接的 S3 存储桶时所遵循的检查。
后续步骤
要开始使用 FSx for Lustre,请参阅 开始使用 Amazon for Lu FSx stre,获取有关创建 Amazon FSx for Lustre 资源的说明。