AWS- und Azure-Berechtigungen für Cloud Manager
Cloud Manager benötigt Berechtigungen, um Aktionen in AWS und Azure in Ihrem Namen auszuführen. Diese Berechtigungen sind in enthalten "Die von NetApp bereitgestellten Richtlinien". Sie möchten vielleicht wissen, was Cloud Manager mit diesen Berechtigungen macht.
Was Cloud Manager mit AWS-Berechtigungen macht
Cloud Manager verwendet ein AWS-Konto, um API-Aufrufe an mehrere AWS-Services durchzuführen, darunter EC2, S3, CloudFormation, IAM, den Security Token Service (STS) und den Key Management Service (KMS).
Aktionen | Zweck |
---|---|
„ec2:StartInstances“, „ec2:StopInstances“, „ec2:DescribeInstances“, „ec2:DescribeInstanceStatus“, „ec2:RunInstances“, „ec2:TerminateInstances“, „ec2:ModifyInstanceAttribut“, |
Startet eine Cloud Volumes ONTAP Instanz und stoppt, startet und überwacht die Instanz. |
"EC2:DescribeInstanceAttribute", |
Überprüft, ob das erweiterte Netzwerk für unterstützte Instanztypen aktiviert ist. |
„ec2:DescribeRouteTables“, „ec2:DescribeImages“, |
Startet eine Cloud Volumes ONTAP HA-Konfiguration. |
"EC2:CreateTags", |
Kennzeichnet jede Ressource, die Cloud Manager erstellt, mit den Tags "workingenvironment" und "WorkingEnvironmentId". Cloud Manager verwendet diese Tags für Wartung und Kostenzuordnung. |
„ec2:CreateVolume“, „ec2:DescribeVolumes“, „ec2:ModifyVolumeAttribute“, „ec2:AttachVolume“, „ec2:DeleteVolume“, „ec2:DetachVolume“, |
Managt die EBS Volumes, die Cloud Volumes ONTAP als Back-End Storage verwendet. |
„ec2:CreateSecurityGroup“, „ec2:DeleteSecurityGroup“, „ec2:DescribeSecurityGroups“, „ec2:RevokeSecurityGroupEgress“, „ec2:AuthoriseSecurityGroupEgress“, „ec2:AuthoriseSecurityGroupIngress“, „ec2:RevokeSecurityGroupIngress“, |
Erstellt vordefinierte Sicherheitsgruppen für Cloud Volumes ONTAP. |
„ec2:CreateNetworkInterface“, „ec2:DescribeNetworkInterfaces“, „ec2:DeleteNetworkInterface“, „ec2:ModifyNetworkInterface“, |
Erstellt und managt Netzwerkschnittstellen für Cloud Volumes ONTAP im Ziel-Subnetz. |
„ec2:DescribeSubnets“, „ec2:DescribeVpcs“, |
Ruft die Liste der Zielsubnetze und Sicherheitsgruppen ab, die beim Erstellen einer neuen Arbeitsumgebung für Cloud Volumes ONTAP benötigt wird. |
"EC2:DescribeDhcpOptions", |
Bestimmt DNS-Server und den Standarddomänennamen beim Starten von Cloud Volumes ONTAP Instanzen. |
„ec2:CreateSnapshot“, „ec2:DeleteSnapshot“, „ec2:DescribeSnapshots“, |
Erstellt Snapshots von EBS Volumes während der Ersteinrichtung und bei jedem Anhalten einer Cloud Volumes ONTAP Instanz. |
"EC2:GetConsoleOutput", |
Erfasst die Cloud Volumes ONTAP Konsole, die an AutoSupport Nachrichten angehängt ist. |
"EC2:DescribeKeyPairs", |
Ruft beim Starten von Instanzen die Liste der verfügbaren Schlüsselpaare ab. |
"EC2:DescribeRegions", |
Ruft eine Liste der verfügbaren AWS-Regionen ab. |
„ec2:DeleteTags“, „ec2:DescribeTags“, |
Managt Tags für Ressourcen, die mit Cloud Volumes ONTAP Instanzen verbunden sind. |
„Cloudformation:CreateStack“, „Cloudformation:DeleteStack“, „Cloudformation:DescribeStacks“, „Cloudformation:DescribeStackEvents“, „Cloudformation:ValidateTemplate“, |
Startet Cloud Volumes ONTAP Instanzen. |
„iam:PassRollenole“, „iam:CreateRollenole“, „iam:DeleteRollenole“, „iam:PutRolePolicy“, „iam:CreateInstanceProfil“, „iam:DeleteRolePolicy“, „iam:AddRoleToInstanceProfile“, „iam:RemoveRoleFromInstanceProfile“, „iam:DeleteInstanceProfile“, |
Startet eine Cloud Volumes ONTAP HA-Konfiguration. |
„iam:ListInstanceProfiles“, „STS:DecodeAuthorisationMessage“, „ec2:AssociateIamInstanceProfil“, „ec2:DescribeIamInstanceProfilAssociations“, „ec2:DisassotionIamInstanceProfile“, |
Managt Instanzprofile für Cloud Volumes ONTAP Instanzen. |
„s3:GetBucketTagging“, „s3:GetBucketLocation“, „s3:ListAllMyBuckets“, „s3:ListBucket“ |
Informationen zu AWS S3-Buckets, damit Cloud Manager in den NetApp Data Fabric Cloud Sync Service integriert werden kann |
„s3:CreateBucket“, „s3:DeleteBucket“, „s3:GetLifecycleConfiguration“, „s3:PutLifecycleConfiguration“, „s3:PutBucketTagging“, „s3:ListBucketVersions“, |
Managt den S3-Bucket, den ein Cloud Volumes ONTAP System als Kapazitäts-Tier verwendet. |
„Kms:Liste*“, „Kms:Beschreiben*“ |
Ruft Informationen zu Schlüsseln vom AWS Key Management Service ab. |
„ce:GetReservationUtilisation“, „ce:GetDimensionValues“, „ce:GetCostAndUsage“, „ce:GetTags“ |
Abrufen von AWS-Kostendaten für Cloud Volumes ONTAP |
„ec2:CreatePlacementGroup“, „ec2:DeletePlacementGroup“ |
Wenn Sie eine HA-Konfiguration in einer einzigen AWS Availability Zone implementieren, startet Cloud Manager die beiden HA-Nodes und den Mediator in einer AWS Spread-Placement-Gruppe. |
Was Cloud Manager mit Azure-Berechtigungen tut
Die Cloud Manager Azure Policy enthält die Berechtigungen, die Cloud Manager für die Bereitstellung und das Management von Cloud Volumes ONTAP in Azure benötigt.
Aktionen | Zweck |
---|---|
„Microsoft.Compute/locations/operations/read", „Microsoft.Compute/locations/vmSizes/read", „Microsoft.Compute/operations/read", „Microsoft.Compute/virtualMachines/instanceView/read", „Microsoft.Compute/virtualMachines/powerOff/action", „Microsoft.Compute/virtualMachines/read", „Microsoft.Compute/virtualMachines/restart/action", „Microsoft.Compute/virtualMachines/start/action", „Microsoft.Compute/virtualMachines/deallocate/action", „Microsoft.Compute/virtualMachines/vmSizes/read", „Microsoft.Compute/virtualMachines/write", |
Erstellt Cloud Volumes ONTAP und beendet, startet, löscht und erhält den Status des Systems. |
„Microsoft.Compute/images/write", „Microsoft.Compute/images/read", |
Ermöglicht die Implementierung von Cloud Volumes ONTAP über eine VHD. |
„Microsoft.Compute/disks/delete", „Microsoft.Compute/disks/read", „Microsoft.Compute/disks/write", „Microsoft.Storage/ChecknameAvailability/read“, „Microsoft.Storage/Operations/read“, „Microsoft.Storage/StorageAccounts/Listkeys/Action“, „Microsoft.Storage/StorageAccounts/read“, „Microsoft.Storage/storageAccounts/Retgeneratekey/Action“, „Microsoft.Storage/storageAccounts/write“, „Microsoft.Storage/storageAccounts/delete“, „Microsoft.Storage/Nutzungs/Lesevorgang“, |
Verwaltet Azure Storage-Konten und -Festplatten und hängt die Festplatten an Cloud Volumes ONTAP an. |
„Microsoft.Network/networkInterfaces/read", „Microsoft.Network/networkInterfaces/write", „Microsoft.Network/networkInterfaces/join/action", |
Erstellt und managt Netzwerkschnittstellen für Cloud Volumes ONTAP im Ziel-Subnetz. |
„Microsoft.Network/networkSecurityGroups/read", „Microsoft.Network/networkSecurityGroups/write", „Microsoft.Network/networkSecurityGroups/join/action", |
Erstellt vordefinierte Netzwerksicherheitsgruppen für Cloud Volumes ONTAP. |
„Microsoft.Ressourcen/Abonnements/Standorte/gelesen“, „Microsoft.Network/locations/operationResults/read", „Microsoft.Network/locations/operations/read", „Microsoft.Network/virtualNetworks/read", „Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read", „Microsoft.Network/virtualNetworks/subnets/read", „Microsoft.Network/virtualNetworks/subnets/virtualMachines/read", „Microsoft.Network/virtualNetworks/virtualMachines/read", „Microsoft.Network/virtualNetworks/subnets/join/action", |
Ruft Netzwerkinformationen zu Regionen, dem Ziel-VNet und dem Subnetz ab und fügt Cloud Volumes ONTAP VNets hinzu. |
„Microsoft.Network/virtualNetworks/subnets/write", „Microsoft.Network/routeTables/join/action", |
Aktiviert VNet Service-Endpunkte für das Daten-Tiering. |
„Microsoft.Ressourcen/Implementierungen/Betrieb/Lesen“, „Microsoft.Resources/Deployments/read“, „Microsoft.Resources/Deployments/write“, |
Implementierung von Cloud Volumes ONTAP anhand einer Vorlage |
„Microsoft.Resources/Deployments/Operations/read“, „Microsoft.Resources/Deployments/read“, „Microsoft.Resources/Deployments/write“, „Microsoft.Resources/Resources/read“, „Microsoft.Resources/Subscriptions/Operationresults/read“, „Microsoft.Resources/subskriptions/resourceGroups/delete“, „Microsoft.Resources/Subskriptions/resourceGroups/read“, „Microsoft.Resources/subskriptions/resourcegruppen/Resources/read“, „Microsoft.Resources/subskriptions/resourceGroups/write“, |
Erstellt und managt Ressourcengruppen für Cloud Volumes ONTAP. |
„Microsoft.Compute/snapshots/write", „Microsoft.Compute/snapshots/read", „Microsoft.Compute/disks/beginGetAccess/action" |
Erstellt und managt von Azure verwaltete Snapshots. |
„Microsoft.Compute/availabilitySets/write", „Microsoft.Compute/availabilitySets/read", |
Erstellt und managt Verfügbarkeitssätze für Cloud Volumes ONTAP. |
„Microsoft.MarketplaceOrdering/offertypes/Publisher/offerers/Plans/Agreements/read“, „Microsoft.MarketplaceOrdering/offertypes/Publisher/Offerers/Plans/Agreements/write“ |
Ermöglicht programmatische Implementierungen über Azure Marketplace. |
„Microsoft.Network/loadBalancers/read", „Microsoft.Network/loadBalancers/write", „Microsoft.Network/loadBalancers/delete", „Microsoft.Network/loadBalancers/backendAddressPools/read", „Microsoft.Network/loadBalancers/backendAddressPools/join/action", „Microsoft.Network/loadBalancers/frontendIPConfigurations/read", „Microsoft.Network/loadBalancers/loadBalancingRules/read", „Microsoft.Network/loadBalancers/probes/read", „Microsoft.Network/loadBalancers/probes/join/action", |
Managt einen Azure Load Balancer für HA-Paare. |
"Microsoft.Authorization/locks/*" |
Ermöglicht das Management von Sperren auf Azure Festplatten. |
„Microsoft.Authorization/roleDefinitions/write“, „Microsoft.Authorization/roleAssignments/write“, „Microsoft.Web/sites/*“ |
Managt Failover für HA-Paare |