本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置 Amazon FSx for Lustre
在您首次使用 Amazon FSx for Lustre 之前,请完成本[注册 Amazon Web Services](#setting-up-aws)节中的任务。要完成[入门教程](getting-started.md),请确保您将链接到文件系统的 Amazon S3 存储桶具有 [添加在 Amazon S3 中使用数据存储库的权限](#fsx-adding-permissions-s3) 中列出的权限。
**Topics**
+ [注册 Amazon Web Services](#setting-up-aws)
+ [添加在 Amazon S3 中使用数据存储库的权限](#fsx-adding-permissions-s3)
+ [Lustre 如何 FSx 检查对链接 S3 存储桶的访问权限](#fsx-lustre-permissions-s3-bucket)
+ [后续步骤](#setting-up-next-step)
## 注册 Amazon Web Services
要进行设置 Amazon,请完成以下任务:
1. [注册获取 Amazon Web Services 账户](#sign-up-for-aws)
1. [保护 IAM 用户](#secure-an-admin)
### 注册获取 Amazon Web Services 账户
如果您没有 Amazon Web Services 账户,请完成以下步骤来创建一个。
**报名参加 Amazon Web Services 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.amazonaws.cn/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 Amazon Web Services 账户,就会创建*Amazon Web Services 账户根用户*一个。根用户有权访问该账户中的所有 Amazon Web Services 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
Amazon 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://www.amazonaws.cn/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
### 保护 IAM 用户
注册后 Amazon Web Services 账户,开启多重身份验证 (MFA),保护您的管理用户。有关说明,请参阅《IAM 用户指南》**中的 [为 IAM 用户启用虚拟 MFA 设备(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-iam-user)。
要允许其他用户访问您的 Amazon Web Services 账户 资源,请创建 IAM 用户。为了保护您的 IAM 用户,请启用 MFA 并仅向 IAM 用户授予执行任务所需的权限。
有关创建和保护 IAM 用户的更多信息,请参阅《IAM 用户指南》中的以下主题:**
+ [在你的 IAM 用户中创建 Amazon Web Services 账户](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_create.html)
+ [适用于 Amazon 资源的访问权限管理](https://docs.amazonaws.cn/IAM/latest/UserGuide/access.html)
+ [基于 IAM 身份的策略示例](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_examples.html)
## 添加在 Amazon S3 中使用数据存储库的权限
Amazon FSx for Lustre 已与亚马逊 S3 深度集成。这种集成意味着访问您 FSx 的 for Lustre 文件系统的应用程序也可以无缝访问存储在您关联的 Amazon S3 存储桶中的对象。有关更多信息,请参阅 [在 Amazon 上使用数据存储库 for Lu FSx stre](fsx-data-repositories.md)。
要使用数据存储库,您必须先 FSx 为管理员用户授予与账户关联的角色的 Amazon for Lustre 某些 IAM 权限。
**使用控制台为角色嵌入内联策略**
1. 登录 Amazon Web Services 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/)。
1. 在导航窗格中,选择**角色**。
1. 在列表中,选择要在其中嵌入策略的角色的名称。
1. 选择**权限**选项卡。
1. 滚动到页面底部并选择**添加内联策略**。
**注意**
您不能在 IAM 中的服务关联角色中嵌入内联策略。由于链接服务定义了您是否能修改角色的权限,因此,您可能能够从服务控制台、API 或 Amazon CLI添加其他策略。要查看服务的服务关联角色文档,请参阅**使用 IAM 的Amazon 服务**,然后在服务的**服务关联角色**列中选择**是**。
1. 选择**使用可视化编辑器创建策略**
1. 添加以下策略声明。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/*"
}
}
```
------
创建内联策略后,它会自动嵌入您的角色。有关服务关联角色的更多信息,请参阅[使用适用于 Amazon 的服务相关角色 FSx](using-service-linked-roles.md)。
## Lustre 如何 FSx 检查对链接 S3 存储桶的访问权限
如果您 FSx 用于创建 for Lustre 文件系统的 IAM 角色没有`iam:AttachRolePolicy`和`iam:PutRolePolicy`权限,则 Amazon FSx 会检查它是否可以更新您的 S3 存储桶策略。如果您的 IAM 角色中包含允许亚马逊 FSx 文件系统将数据导入或导出到您的 S3 存储桶的`s3:PutBucketPolicy`权限,则亚马逊 FSx 可以更新您的存储桶策略。如果允许修改存储桶策略,Amazon FSx 将向存储桶策略添加以下权限:
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:PutObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutBucketPolicy`
+ `s3:DeleteBucketPolicy`
如果亚马逊 FSx 无法修改存储桶策略,则会检查现有存储桶策略是否允许亚马逊 FSx 访问该存储桶。
如果所有这些选项都失败,则创建文件系统的请求失败。下图说明了 Amazon 在确定文件系统是否可以访问与其关联的 S3 存储桶时所 FSx 遵循的检查。
![\[Amazon FSx 用于确定其是否有权将数据导入或导出到与之关联的 S3 存储桶的检查进度。\]](http://docs.amazonaws.cn/fsx/latest/LustreGuide/images/fsx-lustre-permissons-create-fs-linked-s3.png)
## 后续步骤
要开始使用FSx for Lustre,请参阅,了解[开始使用适用于 Lustre 的 Amazon FSx](getting-started.md)有关创建 Amazon FSx for Lustre 资源的说明。