Wie Cloud Manager die Berechtigungen von Cloud-Providern nutzt
Für die Ausführung von Aktionen bei Ihrem Cloud-Provider sind für Cloud Manager Berechtigungen erforderlich. Diese Berechtigungen sind in enthalten "Die von NetApp bereitgestellten Richtlinien". Sie möchten vielleicht wissen, was Cloud Manager mit diesen Berechtigungen macht.
Was Cloud Manager mit AWS-Berechtigungen macht
Cloud Manager verwendet ein AWS-Konto, um API-Aufrufe an mehrere AWS-Services durchzuführen, darunter EC2, S3, CloudFormation, IAM, den Security Token Service (STS) und den Key Management Service (KMS).
Aktionen | Zweck |
---|---|
„ec2:StartInstances“, „ec2:StopInstances“, „ec2:DescribeInstances“, „ec2:DescribeInstanceStatus“, „ec2:RunInstances“, „ec2:TerminateInstances“, „ec2:ModifyInstanceAttribut“, |
Startet eine Cloud Volumes ONTAP Instanz und stoppt, startet und überwacht die Instanz. |
"EC2:DescribeInstanceAttribute", |
Überprüft, ob das erweiterte Netzwerk für unterstützte Instanztypen aktiviert ist. |
„ec2:DescribeRouteTables“, „ec2:DescribeImages“, |
Startet eine Cloud Volumes ONTAP HA-Konfiguration. |
"EC2:CreateTags", |
Kennzeichnet jede Ressource, die Cloud Manager erstellt, mit den Tags "workingenvironment" und "WorkingEnvironmentId". Cloud Manager verwendet diese Tags für Wartung und Kostenzuordnung. |
„ec2:CreateVolume“, „ec2:DescribeVolumes“, „ec2:ModifyVolumeAttribute“, „ec2:AttachVolume“, „ec2:DeleteVolume“, „ec2:DetachVolume“, |
Managt die EBS Volumes, die Cloud Volumes ONTAP als Back-End Storage verwendet. |
„ec2:CreateSecurityGroup“, „ec2:DeleteSecurityGroup“, „ec2:DescribeSecurityGroups“, „ec2:RevokeSecurityGroupEgress“, „ec2:AuthoriseSecurityGroupEgress“, „ec2:AuthoriseSecurityGroupIngress“, „ec2:RevokeSecurityGroupIngress“, |
Erstellt vordefinierte Sicherheitsgruppen für Cloud Volumes ONTAP. |
„ec2:CreateNetworkInterface“, „ec2:DescribeNetworkInterfaces“, „ec2:DeleteNetworkInterface“, „ec2:ModifyNetworkInterface“, |
Erstellt und managt Netzwerkschnittstellen für Cloud Volumes ONTAP im Ziel-Subnetz. |
„ec2:DescribeSubnets“, „ec2:DescribeVpcs“, |
Ruft die Liste der Zielsubnetze und Sicherheitsgruppen ab, die beim Erstellen einer neuen Arbeitsumgebung für Cloud Volumes ONTAP benötigt wird. |
"EC2:DescribeDhcpOptions", |
Bestimmt DNS-Server und den Standarddomänennamen beim Starten von Cloud Volumes ONTAP Instanzen. |
„ec2:CreateSnapshot“, „ec2:DeleteSnapshot“, „ec2:DescribeSnapshots“, |
Erstellt Snapshots von EBS Volumes während der Ersteinrichtung und bei jedem Anhalten einer Cloud Volumes ONTAP Instanz. |
"EC2:GetConsoleOutput", |
Erfasst die Cloud Volumes ONTAP Konsole, die an AutoSupport Nachrichten angehängt ist. |
"EC2:DescribeKeyPairs", |
Ruft beim Starten von Instanzen die Liste der verfügbaren Schlüsselpaare ab. |
"EC2:DescribeRegions", |
Ruft eine Liste der verfügbaren AWS-Regionen ab. |
„ec2:DeleteTags“, „ec2:DescribeTags“, |
Managt Tags für Ressourcen, die mit Cloud Volumes ONTAP Instanzen verbunden sind. |
„Cloudformation:CreateStack“, „Cloudformation:DeleteStack“, „Cloudformation:DescribeStacks“, „Cloudformation:DescribeStackEvents“, „Cloudformation:ValidateTemplate“, |
Startet Cloud Volumes ONTAP Instanzen. |
„iam:PassRollenole“, „iam:CreateRollenole“, „iam:DeleteRollenole“, „iam:PutRolePolicy“, „iam:CreateInstanceProfil“, „iam:DeleteRolePolicy“, „iam:AddRoleToInstanceProfile“, „iam:RemoveRoleFromInstanceProfile“, „iam:DeleteInstanceProfile“, |
Startet eine Cloud Volumes ONTAP HA-Konfiguration. |
„iam:ListInstanceProfiles“, „STS:DecodeAuthorisationMessage“, „ec2:AssociateIamInstanceProfil“, „ec2:DescribeIamInstanceProfilAssociations“, „ec2:DisassotionIamInstanceProfile“, |
Managt Instanzprofile für Cloud Volumes ONTAP Instanzen. |
„s3:GetBucketTagging“, „s3:GetBucketLocation“, „s3:ListAllMyBuckets“, „s3:ListBucket“ |
Informationen zu AWS S3-Buckets, damit Cloud Manager in den NetApp Data Fabric Cloud Sync Service integriert werden kann |
„s3:CreateBucket“, „s3:DeleteBucket“, „s3:GetLifecycleConfiguration“, „s3:PutLifecycleConfiguration“, „s3:PutBucketTagging“, „s3:ListBucketVersions“, „s3:GetBucketPolicyStatus“, „s3:GetBucketPublicAccessBlock“, „s3:GetBucketAcl“, „s3:GetBucketPolicy“, „s3:PutBucketPublicAccessBlock“ |
Managt den S3-Bucket, den ein Cloud Volumes ONTAP System als Kapazitäts-Tier für das Daten-Tiering verwendet |
„Kms:Liste*“, „Kms:Reverschlüsselt*“, „Kms:Beschreiben*“, „Kms:CreateGrant“, |
Aktiviert die Datenverschlüsselung von Cloud Volumes ONTAP mithilfe des AWS KMS (Key Management Service). |
„ce:GetReservationUtilisation“, „ce:GetDimensionValues“, „ce:GetCostAndUsage“, „ce:GetTags“ |
Abrufen von AWS-Kostendaten für Cloud Volumes ONTAP |
„ec2:CreatePlacementGroup“, „ec2:DeletePlacementGroup“ |
Wenn Sie eine HA-Konfiguration in einer einzigen AWS Availability Zone implementieren, startet Cloud Manager die beiden HA-Nodes und den Mediator in einer AWS Spread-Placement-Gruppe. |
„ec2:DescribeReserviertInstanceAngebote“ |
Cloud Manager verwendet die Berechtigung als Teil der Cloud Compliance-Implementierung, um den Instanztyp auszuwählen, der verwendet werden soll. |
„s3:DeleteBucket“, „s3:GetLifecycleConfiguration“, „s3:PutLifecycleConfiguration“, „s3:PutBucketTagging“, „s3:ListBucketVersions“, „s3:GetObject“, „s3:ListBucket“, „s3:ListAllMyBuckets“, „s3:GetBucketTagging“, „s3:GetBucketLocation“ „s3:GetBucketPolicyStatus“, „s3:GetBucketPublicAccessBlock“, „s3:GetBucketAcl“, „s3:GetBucketPolicy“, „s3:PutBucketPublicAccessBlock“ |
Cloud Manager verwendet diese Berechtigungen, wenn Sie den Service „Backup in S3“ aktivieren. |
Was Cloud Manager mit Azure-Berechtigungen tut
Die Cloud Manager Azure Policy enthält die Berechtigungen, die Cloud Manager für die Bereitstellung und das Management von Cloud Volumes ONTAP in Azure benötigt.
Aktionen | Zweck |
---|---|
„Microsoft.Compute/locations/operations/read", „Microsoft.Compute/locations/vmSizes/read", „Microsoft.Compute/operations/read", „Microsoft.Compute/virtualMachines/instanceView/read", „Microsoft.Compute/virtualMachines/powerOff/action", „Microsoft.Compute/virtualMachines/read", „Microsoft.Compute/virtualMachines/restart/action", „Microsoft.Compute/virtualMachines/start/action", „Microsoft.Compute/virtualMachines/deallocate/action", „Microsoft.Compute/virtualMachines/vmSizes/read", „Microsoft.Compute/virtualMachines/write", |
Erstellt Cloud Volumes ONTAP und beendet, startet, löscht und erhält den Status des Systems. |
„Microsoft.Compute/images/write", „Microsoft.Compute/images/read", |
Ermöglicht die Implementierung von Cloud Volumes ONTAP über eine VHD. |
„Microsoft.Compute/disks/delete", „Microsoft.Compute/disks/read", „Microsoft.Compute/disks/write", „Microsoft.Storage/ChecknameAvailability/read“, „Microsoft.Storage/Operations/read“, „Microsoft.Storage/StorageAccounts/Listkeys/Action“, „Microsoft.Storage/StorageAccounts/read“, „Microsoft.Storage/storageAccounts/Retgeneratekey/Action“, „Microsoft.Storage/storageAccounts/write“, „Microsoft.Storage/storageAccounts/delete“, „Microsoft.Storage/Nutzungs/Lesevorgang“, |
Verwaltet Azure Storage-Konten und -Festplatten und hängt die Festplatten an Cloud Volumes ONTAP an. |
„Microsoft.Network/networkInterfaces/read", „Microsoft.Network/networkInterfaces/write", „Microsoft.Network/networkInterfaces/join/action", |
Erstellt und managt Netzwerkschnittstellen für Cloud Volumes ONTAP im Ziel-Subnetz. |
„Microsoft.Network/networkSecurityGroups/read", „Microsoft.Network/networkSecurityGroups/write", „Microsoft.Network/networkSecurityGroups/join/action", |
Erstellt vordefinierte Netzwerksicherheitsgruppen für Cloud Volumes ONTAP. |
„Microsoft.Ressourcen/Abonnements/Standorte/gelesen“, „Microsoft.Network/locations/operationResults/read", „Microsoft.Network/locations/operations/read", „Microsoft.Network/virtualNetworks/read", „Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read", „Microsoft.Network/virtualNetworks/subnets/read", „Microsoft.Network/virtualNetworks/subnets/virtualMachines/read", „Microsoft.Network/virtualNetworks/virtualMachines/read", „Microsoft.Network/virtualNetworks/subnets/join/action", |
Ruft Netzwerkinformationen zu Regionen, dem Ziel-VNet und dem Subnetz ab und fügt Cloud Volumes ONTAP VNets hinzu. |
„Microsoft.Network/virtualNetworks/subnets/write", „Microsoft.Network/routeTables/join/action", |
Aktiviert VNet Service-Endpunkte für das Daten-Tiering. |
„Microsoft.Ressourcen/Implementierungen/Betrieb/Lesen“, „Microsoft.Resources/Deployments/read“, „Microsoft.Resources/Deployments/write“, |
Implementierung von Cloud Volumes ONTAP anhand einer Vorlage |
„Microsoft.Resources/Deployments/Operations/read“, „Microsoft.Resources/Deployments/read“, „Microsoft.Resources/Deployments/write“, „Microsoft.Resources/Resources/read“, „Microsoft.Resources/Subscriptions/Operationresults/read“, „Microsoft.Resources/subskriptions/resourceGroups/delete“, „Microsoft.Resources/Subskriptions/resourceGroups/read“, „Microsoft.Resources/subskriptions/resourcegruppen/Resources/read“, „Microsoft.Resources/subskriptions/resourceGroups/write“, |
Erstellt und managt Ressourcengruppen für Cloud Volumes ONTAP. |
„Microsoft.Compute/snapshots/write", „Microsoft.Compute/snapshots/read", „Microsoft.Compute/disks/beginGetAccess/action" |
Erstellt und managt von Azure verwaltete Snapshots. |
„Microsoft.Compute/availabilitySets/write", „Microsoft.Compute/availabilitySets/read", |
Erstellt und managt Verfügbarkeitssätze für Cloud Volumes ONTAP. |
„Microsoft.MarketplaceOrdering/offertypes/Publisher/offerers/Plans/Agreements/read“, „Microsoft.MarketplaceOrdering/offertypes/Publisher/Offerers/Plans/Agreements/write“ |
Ermöglicht programmatische Implementierungen über Azure Marketplace. |
„Microsoft.Network/loadBalancers/read", „Microsoft.Network/loadBalancers/write", „Microsoft.Network/loadBalancers/delete", „Microsoft.Network/loadBalancers/backendAddressPools/read", „Microsoft.Network/loadBalancers/backendAddressPools/join/action", „Microsoft.Network/loadBalancers/frontendIPConfigurations/read", „Microsoft.Network/loadBalancers/loadBalancingRules/read", „Microsoft.Network/loadBalancers/probes/read", „Microsoft.Network/loadBalancers/probes/join/action", |
Managt einen Azure Load Balancer für HA-Paare. |
"Microsoft.Authorization/locks/*" |
Ermöglicht das Management von Sperren auf Azure Festplatten. |
„Microsoft.Authorization/roleDefinitions/write“, „Microsoft.Authorization/roleAssignments/write“, „Microsoft.Web/sites/*“ |
Managt Failover für HA-Paare |
„Microsoft.Network/privateEndpoints/write", „Microsoft.Storage/StoragebAccounts/PrivateEndpointConnectionsApproval/Action“, „Microsoft.Storage/storageAccounts/private EndpointConnections/read“, „Microsoft.Network/privateEndpoints/read", „Microsoft.Network/privateDnsZones/write", „Microsoft.Network/privateDnsZones/virtualNetworkLinks/write", „Microsoft.Network/virtualNetworks/join/action", „Microsoft.Network/privateDnsZones/A/write", „Microsoft.Network/privateDnsZones/read", „Microsoft.Network/privateDnsZones/virtualNetworkLinks/read", |
Ermöglicht das Management privater Endpunkte. Private Endpunkte werden verwendet, wenn keine Konnektivität außerhalb des Subnetzes bereitgestellt wird. Cloud Manager erstellt das Storage-Konto für HA mit nur der internen Konnektivität im Subnetz. |
„Microsoft.NetApp/netAppAccounts/capacityPools/volumes/delete", |
Ermöglicht Cloud Manager das Löschen von Volumes für Azure NetApp Files. |
„Microsoft.Resources/Deployments/OperationStatuses/read“ |
Azure erfordert diese Berechtigung für einige Implementierungen von Virtual Machines (das hängt von der zugrunde liegenden physischen Hardware ab, die während der Implementierung verwendet wird). |
„Microsoft.Resources/Deployments/OperationStatuses/read“, „Microsoft.Insights/Metrics/Read“, „Microsoft.Compute/virtualMachines/extensions/write", „Microsoft.Compute/virtualMachines/extensions/read", „Microsoft.Compute/virtualMachines/extensions/delete", „Microsoft.Compute/virtualMachines/delete", „Microsoft.Network/networkInterfaces/delete", „Microsoft.Network/networkSecurityGroups/delete", „Microsoft.Resources/Deployments/delete“, |
Ermöglicht die Verwendung von Global File Cache. |
„Microsoft.Compute/diskEncryptionSets/read" |
Cloud Manager ermöglicht die Verschlüsselung von über Azure gemanagten Festplatten auf Cloud Volumes ONTAP-Systemen mit einem einzelnen Node mithilfe von externen Schlüsseln eines anderen Kontos. Diese Funktion wird durch APIs unterstützt. |
Was Cloud Manager mit GCP-Berechtigungen macht
Die Cloud Manager-Richtlinie für GCP beinhaltet die Berechtigungen, die Cloud Manager für die Implementierung und das Management von Cloud Volumes ONTAP benötigt.
Aktionen | Zweck |
---|---|
- Compute.Disks.create - Compute.Disks.createSnapshot - compute.disks.delete - Compute.Disks.get - Compute.Disks.list - compute.disks.setLabels - compute.disks.use |
Zum Erstellen und Verwalten von Festplatten für Cloud Volumes ONTAP. |
- Compute.Firewalls.create - compute.firewalls.delete - Compute.Firewalls.get - Compute.Firewalls.list |
Um Firewall-Regeln für Cloud Volumes ONTAP zu erstellen. |
- Compute.globalOperations.get |
Um den Status von Vorgängen anzuzeigen. |
- Compute.images.get - Compute.images.getFromFamily - Compute.images.list - compute.images.useReadOnly |
Um Images für VM-Instanzen zu erhalten. |
- compute.instances.attachDisk - compute.instances.detachDisk |
Zum Verbinden und Trennen von Festplatten mit Cloud Volumes ONTAP. |
- compute.instances.create - compute.instances.delete |
Um Cloud Volumes ONTAP VM-Instanzen zu erstellen und zu löschen. |
- compute.instances.get |
Um VM-Instanzen aufzulisten. |
- compute.instances.getSerialPortOutput |
Um Konsolenprotokolle zu erhalten. |
- compute.instances.list |
Um die Liste der Instanzen in einer Zone abzurufen. |
- compute.instances.setDeletionProtection |
So legen Sie den Löschschutz für die Instanz fest: |
- compute.instances.setLabels |
So fügen Sie Etiketten hinzu: |
- compute.instances.setMachineType |
So ändern Sie den Maschinentyp für Cloud Volumes ONTAP. |
- compute.instances.setMetadata |
Um Metadaten hinzuzufügen. |
- compute.instances.setTags |
Um Tags für Firewall-Regeln hinzuzufügen. |
- compute.instances.start - compute.instances.stop - compute.instances.updateDisplayDevice |
Um Cloud Volumes ONTAP zu starten und anzuhalten. |
- Compute.machineTypes.get |
Um die Anzahl der Kerne zu erhalten, um qouten zu überprüfen. |
- compute.projects.get |
Zur Unterstützung mehrerer Projekte. |
- Compute.Snapshots.create - compute.snapshots.delete - Compute.Snapshots.get - Compute.Snapshots.list - compute.snapshots.setLabels |
Um persistente Festplatten-Snapshots zu erstellen und zu managen. |
- compute.networks.get - compute.networks.list - Compute.Regions.get - Compute.Regions.list - Compute.subNetworks.get - Compute.subNetworks.list - Compute.zoneOperations.get - Compute.Zones.get - Compute.Zones.list |
Um die Netzwerkinformationen zu erhalten, die für die Erstellung einer neuen Instanz einer Cloud Volumes ONTAP Virtual Machine erforderlich sind. |
- deploymentmanager.compositeTypes.get - deploymentmanager.compositeTypes.list - deploymentmanager.deployments.create - deploymentmanager.deployments.delete - deploymentmanager.deployments.get - deploymentmanager.deployments.list - istmentmanager.Manifeste.get - istmentmanager.manifeste.list - istmentmanager.Operations.get - istmentmanager.Operations.list - bereitsmanager.Resources.get - bereitsmanager.Resources.list - Bereitstellungmanager.typeProviders.get - istmentmanager.tyArten.list |
Um die Cloud Volumes ONTAP VM-Instanz mithilfe von Google Cloud Deployment Manager bereitzustellen. |
- Logging.logEntries.list - Logging.privateLogEntries.list |
Zum Abrufen von Stack-Protokolllaufwerken. |
- resourcemanager.projects.get |
Zur Unterstützung mehrerer Projekte. |
- Storage.Buckets.create - storage.buckets.delete - Storage.Buckets.get - Storage.Buckets.list - Storage.Buckets.Update |
Zur Erstellung und Verwaltung eines Google Cloud Storage Buckets für Daten-Tiering |
- cloudkms.cryptoKeyVersions.useToEncrypt - cloudkms.kryptoKeys.get - cloudkms.kryptoKeys.list - cloudkms.Keyrings.list |
Verwenden von vom Kunden gemanagten Verschlüsselungen aus dem Cloud-Verschlüsselungsmanagement-Service mit Cloud Volumes ONTAP. |
- compute.instances.setServiceAccount - iam.serviceAccounts.getIamPolicy - iam.serviceAccounts.list |
So legen Sie ein Servicekonto für die Cloud Volumes ONTAP-Instanz fest: Dieses Servicekonto bietet Berechtigungen für Daten-Tiering zu einem Google Cloud Storage Bucket. |