Berechtigungen für NetApp Workload Factory
Änderungen vorschlagen
PDFs
Um die Funktionen und Dienste von NetApp Workload Factory nutzen zu können, müssen Sie Berechtigungen erteilen, damit Workload Factory Vorgänge in Ihrer Cloud-Umgebung ausführen kann.
Warum Berechtigungen verwenden
Wenn Sie Berechtigungen erteilen, ordnet Workload Factory der Instanz eine Richtlinie mit Berechtigungen zur Verwaltung von Ressourcen und Prozessen innerhalb dieses AWS-Kontos zu. Dies ermöglicht es Workload Factory, verschiedene Operationen auszuführen, von der Erkennung Ihrer Speicherumgebungen bis hin zur Bereitstellung von AWS-Ressourcen wie Dateisystemen im Speichermanagement oder Wissensdatenbanken für GenAI-Workloads.
Wenn Workload Factory beispielsweise bei Datenbank-Workloads über die erforderlichen Berechtigungen verfügt, scannt es alle EC2-Instanzen in einem bestimmten Konto und einer bestimmten Region und filtert alle Windows-basierten Maschinen. Wenn der AWS Systems Manager (SSM)-Agent installiert ist und auf dem Host ausgeführt wird und das System Manager-Netzwerk ordnungsgemäß konfiguriert ist, kann Workload Factory auf die Windows-Maschine zugreifen und überprüfen, ob die SQL Server-Software installiert ist oder nicht.
Berechtigungen nach Workload
Jede Arbeitslast verwendet Berechtigungen, um bestimmte Aufgaben in Workload Factory auszuführen. Berechtigungen werden in festgelegten Berechtigungsrichtlinien gebündelt. Scrollen Sie zu der von Ihnen verwendeten Arbeitslast, um mehr über die Berechtigungsrichtlinien, kopierbares JSON für die Berechtigungsrichtlinien und eine Tabelle zu erfahren, die alle Berechtigungen, ihren Zweck, ihre Verwendung und die sie unterstützenden Berechtigungsrichtlinien auflistet.
Berechtigungen für Speicher
Die für Storage verfügbaren IAM-Richtlinien bieten die Berechtigungen, die Workload Factory benötigt, um Ressourcen und Prozesse in Ihrer öffentlichen Cloud-Umgebung zu verwalten.
Für den Speicher stehen folgende Berechtigungsrichtlinien zur Auswahl:
-
Ansicht, Planung und Analyse: Sehen Sie sich FSx for ONTAP -Dateisysteme an, erfahren Sie mehr über den Systemzustand, erhalten Sie eine fundierte Analyse Ihrer Systeme und entdecken Sie Einsparmöglichkeiten.
-
Betrieb und Fehlerbehebung: Führen Sie operative Aufgaben durch, wie z. B. die Anpassung der Dateisystemkapazität und die Behebung von Problemen in Ihren Dateisystemkonfigurationen.
-
Dateisystemerstellung und -löschung: Erstellen und Löschen von FSx-Dateisystemen und Speicher-VMs für ONTAP .
Die erforderlichen IAM-Richtlinien anzeigen:
IAM-Richtlinien für Storage
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:ListTagsForResource",
"fsx:DescribeBackups",
"fsx:DescribeSharedVpcConfiguration",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"elasticfilesystem:DescribeFileSystems",
"ce:GetCostAndUsage",
"ce:GetTags",
"ce:GetCostAndUsageWithResources",
"ce:GetCostForecast",
"ce:GetUsageForecast"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolume",
"fsx:DeleteVolume",
"fsx:UpdateFileSystem",
"fsx:UpdateStorageVirtualMachine",
"fsx:UpdateVolume",
"fsx:CreateBackup",
"fsx:CreateVolumeFromBackup",
"fsx:DeleteBackup",
"fsx:TagResource",
"fsx:UntagResource",
"bedrock:InvokeModelWithResponseStream",
"bedrock:ListInferenceProfiles",
"bedrock:GetInferenceProfile"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:DeleteFileSystem",
"fsx:DeleteStorageVirtualMachine",
"fsx:TagResource",
"fsx:UntagResource",
"kms:CreateGrant",
"iam:CreateServiceLinkedRole",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVolumeStatus",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}In der folgenden Tabelle werden die Berechtigungen für Speicher angezeigt.
Berechtigungstabelle für Speicher
| Zweck | Aktion | Wo verwendet | Berechtigungsrichtlinie |
|---|---|---|---|
Erstellen Sie ein FSX für ONTAP-Dateisystem |
fsx:CreateFileSystem |
Einsatz |
Dateisystemerstellung und -löschung |
Erstellen Sie eine Sicherheitsgruppe für ein FSX für ONTAP-Dateisystem |
ec2:CreateSecurityGroup |
Einsatz |
Dateisystemerstellung und -löschung |
Fügen Sie Tags zu einer Sicherheitsgruppe für ein FSX für ONTAP-Dateisystem hinzu |
ec2:CreateTags |
Einsatz |
Dateisystemerstellung und -löschung |
Ausgang und Zugang der Sicherheitsgruppe für ein FSX für ONTAP Filesystem autorisieren |
ec2:AuthoriseSecurityGroupEgress |
Einsatz |
Dateisystemerstellung und -löschung |
ec2:AuthoriseSecurityGroupIngress |
Einsatz |
Dateisystemerstellung und -löschung |
|
Die gewährte Rolle bietet die Kommunikation zwischen FSX für ONTAP und anderen AWS-Services |
iam:CreateServiceLinkedRole |
Einsatz |
Dateisystemerstellung und -löschung |
Hier erhalten Sie Informationen zum Ausfüllen des Formulars FSX für die Bereitstellung des Dateisystems für ONTAP |
ec2:DescribeVpcs |
|
Dateisystemerstellung und -löschung |
ec2:DescribeSubnets |
|
Dateisystemerstellung und -löschung |
|
ec2:DescribeSecurityGroups |
|
Dateisystemerstellung und -löschung |
|
ec2:DescribeRouteTables |
|
Dateisystemerstellung und -löschung |
|
ec2:DescribeNetworkInterfaces |
|
Dateisystemerstellung und -löschung |
|
ec2:DescribeVolumeStatus |
|
Dateisystemerstellung und -löschung |
|
KMS-Schlüsseldetails erhalten und FSX für ONTAP-Verschlüsselung verwenden |
Km:CreateGrant |
Einsatz |
Dateisystemerstellung und -löschung |
Kms:DescribeKey |
Einsatz |
Dateisystemerstellung und -löschung |
|
Kms:Listenschlüssel |
Einsatz |
Dateisystemerstellung und -löschung |
|
Km:ListAliase |
Einsatz |
Dateisystemerstellung und -löschung |
|
Abrufen von Volume-Details für EC2-Instanzen |
ec2:DescribeVolumes |
|
Ansicht, Planung und Analyse |
Informieren Sie sich über Details für EC2 Instanzen |
ec2:DescribeInstances |
Einsparungen entdecken |
Ansicht, Planung und Analyse |
Elastic File System im Einsparungsrechner beschreiben |
Elasticfilesystem:DescribeFileSystems |
Einsparungen entdecken |
Ansicht, Planung und Analyse |
Listen Sie Tags für FSX for ONTAP-Ressourcen auf |
fsx:ListTagsForRessource |
Inventar |
Ansicht, Planung und Analyse |
Ausgang und Ingress der Sicherheitsgruppe für ein FSX für ONTAP Filesystem managen |
ec2:RevokeSecurityGroupIngress |
Managementvorgänge |
Dateisystemerstellung und -löschung |
ec2:DeleteSecurityGroup |
Managementvorgänge |
Dateisystemerstellung und -löschung |
|
Erstellen, Anzeigen und Verwalten von FSX for ONTAP-Dateisystemressourcen |
fsx: CreateVolume erstellen |
Managementvorgänge |
Betriebs- und Sanierungsmaßnahmen |
fsx:TagResource |
Managementvorgänge |
Betriebs- und Sanierungsmaßnahmen |
|
fsx:CreateStorageVirtualMachine |
Managementvorgänge |
Dateisystemerstellung und -löschung |
|
fsx:Dateisystem löschen |
Managementvorgänge |
Dateisystemerstellung und -löschung |
|
fsx:DeleteStorageVirtualMachine |
Managementvorgänge |
Ansicht, Planung und Analyse |
|
fsx:DescribeFileSystems |
Inventar |
Ansicht, Planung und Analyse |
|
fsx:DescribeStorageVirtualMachines |
Inventar |
Ansicht, Planung und Analyse |
|
fsx:DescribeSharedVpcConfiguration |
Inventar |
Ansicht, Planung und Analyse |
|
fsx:UpdateFileSystem |
Managementvorgänge |
Betriebs- und Sanierungsmaßnahmen |
|
fsx:UpdateStorageVirtualMachine |
Managementvorgänge |
Betriebs- und Sanierungsmaßnahmen |
|
fsx:DescribeVolumes |
Inventar |
Ansicht, Planung und Analyse |
|
fsx:UpdateVolumen |
Managementvorgänge |
Betriebs- und Sanierungsmaßnahmen |
|
fsx:DeleteVolume |
Managementvorgänge |
Betriebs- und Sanierungsmaßnahmen |
|
fsx:UntagResource |
Managementvorgänge |
Betriebs- und Sanierungsmaßnahmen |
|
fsx:DescribeBackups |
Managementvorgänge |
Ansicht, Planung und Analyse |
|
fsx:CreateBackup |
Managementvorgänge |
Betriebs- und Sanierungsmaßnahmen |
|
fsx:CreateVolumeFromBackup |
Managementvorgänge |
Betriebs- und Sanierungsmaßnahmen |
|
Abrufen von Kennzahlen zu Dateisystem und Volume |
cloudwatch:GetMetricData |
Managementvorgänge |
Ansicht, Planung und Analyse |
cloudwatch:GetMetricStatistics |
Managementvorgänge |
Ansicht, Planung und Analyse |
|
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen |
iam:SimulatePrincipalPolicy |
Einsatz |
Alle |
Berechtigungen für Datenbank-Workloads
Die für Datenbank-Workloads verfügbaren IAM-Richtlinien bieten die Berechtigungen, die Workload Factory benötigt, um Ressourcen und Prozesse in Ihrer öffentlichen Cloud-Umgebung zu verwalten.
Für Datenbanken stehen folgende Berechtigungsrichtlinien zur Auswahl:
-
Ansicht, Planung und Analyse: Sehen Sie sich das Inventar der Datenbankressourcen an, erfahren Sie mehr über den Zustand Ihrer Ressourcen, überprüfen Sie die gut strukturierte Analyse Ihrer Datenbankkonfigurationen und entdecken Sie Einsparmöglichkeiten, erhalten Sie eine Fehlerprotokollanalyse und entdecken Sie Einsparmöglichkeiten.
-
Betrieb und Fehlerbehebung: Führen Sie operative Aufgaben für Ihre Datenbankressourcen durch und beheben Sie Probleme mit Datenbankkonfigurationen und dem zugrunde liegenden FSx for ONTAP Dateisystemspeicher.
-
Erstellung von Datenbank-Hosts: Bereitstellung von Datenbank-Hosts und des zugrunde liegenden FSx for ONTAP Dateisystemspeichers gemäß bewährten Verfahren.
Wählen Sie Ihren Betriebsmodus aus, um die erforderlichen IAM-Richtlinien anzuzeigen:
IAM-Richtlinien für Datenbank-Workloads
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource",
"logs:DescribeLogGroups",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
}
]
}[
{
"Sid": "FSxRemediation",
"Effect": "Allow",
"Action": [
"fsx:UpdateFileSystem",
"fsx:UpdateVolume"
],
"Resource": "*"
},
{
"Sid": "EC2Remediation",
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:ModifyInstanceAttribute",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
}
]{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CreationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ValidateTemplate",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:RunInstances",
"ec2:DescribeTags",
"ec2:DescribeLaunchTemplates",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:DescribeFileSystemAliases",
"kms:CreateGrant",
"kms:DescribeCustomKeyStores",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"sns:Publish",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
}
]
}In der folgenden Tabelle werden die Berechtigungen für Datenbank-Workloads angezeigt.
Berechtigungstabelle für Datenbank-Workloads
| Zweck | Aktion | Wo verwendet | Berechtigungsrichtlinie |
|---|---|---|---|
Erhalten Sie Metrikstatistiken für FSx für ONTAP, EBS und FSx für Windows File Server sowie Empfehlungen zur Rechenoptimierung. |
cloudwatch:GetMetricStatistics |
|
Ansicht, Planung und Analyse |
Sammeln Sie in Amazon CloudWatch gespeicherte Leistungsmetriken von registrierten SQL-Knoten. Die Daten werden in Leistungstrenddiagrammen auf dem Bildschirm „Instanzverwaltung“ für registrierte SQL-Instanzen generiert. |
cloudwatch:GetMetricData |
Inventar |
Ansicht, Planung und Analyse |
Informieren Sie sich über Details für EC2 Instanzen |
ec2:DescribeInstances |
|
Ansicht, Planung und Analyse |
ec2:DescribeKeypairs |
Einsatz |
Ansicht, Planung und Analyse |
|
ec2:DescribeNetworkInterfaces |
Einsatz |
Ansicht, Planung und Analyse |
|
ec2:DescribeInstanceTypes |
|
Ansicht, Planung und Analyse |
|
Informieren Sie sich, wie Sie das FSX for ONTAP-Implementierungsformular ausfüllen |
ec2:DescribeVpcs |
|
Ansicht, Planung und Analyse |
ec2:DescribeSubnets |
|
Ansicht, Planung und Analyse |
|
ec2:DescribeSecurityGroups |
Einsatz |
Ansicht, Planung und Analyse |
|
ec2:DescribeBilder |
Einsatz |
Ansicht, Planung und Analyse |
|
ec2:DescribeRegionen |
Einsatz |
Ansicht, Planung und Analyse |
|
ec2:DescribeRouteTables |
|
Ansicht, Planung und Analyse |
|
Holen Sie sich alle vorhandenen VPC-Endpunkte, um zu ermitteln, ob neue Endpunkte vor der Implementierung erstellt werden müssen |
ec2:DescribeVpcEndpunkte |
|
Ansicht, Planung und Analyse |
Erstellen Sie VPC-Endpunkte, wenn sie für erforderliche Services unabhängig von der öffentlichen Netzwerkkonnektivität auf EC2-Instanzen nicht vorhanden sind |
ec2:CreateVpcEndpoint |
Einsatz |
Erstellung eines Datenbankhosts |
Abrufen von Instanztypen in der Region für Validierungsknoten (t2.micro/t3.micro) |
ec2:DescribeInstanceTypeOfferings |
Einsatz |
Ansicht, Planung und Analyse |
Erhalten Sie Snapshot-Details zu jedem angebundenen EBS Volumes zur Preisgestaltung und Schätzung der Einsparungen |
ec2:DescribeSnapshots |
Einsparungen entdecken |
Ansicht, Planung und Analyse |
Informieren Sie sich über die einzelnen angebundenen EBS Volumes und erhalten Sie Informationen zu Preisen und einer Schätzung, die Einsparungen schätzt |
ec2:DescribeVolumes |
|
Ansicht, Planung und Analyse |
Erhalten Sie KMS-Schlüsseldetails für FSX für ONTAP-Dateisystemverschlüsselung |
Km:ListAliase |
Einsatz |
Ansicht, Planung und Analyse |
Kms:Listenschlüssel |
Einsatz |
Ansicht, Planung und Analyse |
|
Kms:DescribeKey |
Einsatz |
Ansicht, Planung und Analyse |
|
Holen Sie sich eine Liste der CloudFormation Stacks in der Umgebung, um Quota Limit zu überprüfen |
CloudFormation:ListenStacks |
Einsatz |
Ansicht, Planung und Analyse |
Überprüfen Sie die Kontenlimits für Ressourcen, bevor Sie die Bereitstellung auslösen |
Cloudformation:DescribeAccountLimits |
Einsatz |
Ansicht, Planung und Analyse |
Holen Sie sich eine Liste der von AWS gemanagten Active Directories in der Region |
ds:DescribeDirectories |
Einsatz |
Ansicht, Planung und Analyse |
Hier erhalten Sie Listen und Details zu Volumes, Backups, SVMs, Filesystemen in AZS und Tags für das Filesystem FSX for ONTAP |
fsx:DescribeVolumes |
|
Ansicht, Planung und Analyse |
fsx:DescribeBackups |
|
Ansicht, Planung und Analyse |
|
fsx:DescribeStorageVirtualMachines |
|
Ansicht, Planung und Analyse |
|
fsx:DescribeFileSystems |
|
Ansicht, Planung und Analyse |
|
fsx:ListTagsForRessource |
Managen von Abläufen |
Ansicht, Planung und Analyse |
|
Servicekontingente für CloudFormation und VPC abrufen / Geheimnisse in einem Benutzerkonto für die für SQL, Domäne und FSx für ONTAP bereitgestellten Anmeldeinformationen erstellen |
Service-Equotas:ListServiceQuotas |
Einsatz |
Ansicht, Planung und Analyse |
Verwenden Sie SSM-basierte Abfrage, um die aktualisierte Liste von FSX für ONTAP unterstützte Regionen zu erhalten |
ssm:GetParametersByPath |
Einsatz |
Ansicht, Planung und Analyse |
Abfrage der SSM-Antwort nach dem Senden des Befehls für Verwaltungsvorgänge nach der Bereitstellung |
ssm:GetCommandInvocation |
|
Ansicht, Planung und Analyse |
Senden Sie Befehle über SSM an EC2-Instanzen zur Erkennung und Verwaltung. |
ssm:SendCommand |
|
Ansicht, Planung und Analyse |
Ermitteln Sie den SSM-Konnektivitätsstatus der Instanzen nach der Bereitstellung |
ssm:GetConnectionStatus |
|
Ansicht, Planung und Analyse |
Abrufen des SSM-Zuordnungsstatus für eine Gruppe von gemanagten EC2-Instanzen (SQL-Nodes) |
ssm:DescribeInstanceInformation |
Inventar |
Ansicht, Planung und Analyse |
Liste der verfügbaren Patch-Basispläne für die Bewertung von Patches des Betriebssystems abrufen |
ssm:DescribePatchBaselines |
Optimierung |
Ansicht, Planung und Analyse |
Ermitteln Sie den Patchstatus auf Windows EC2-Instanzen für die Bewertung von Betriebssystem-Patches |
ssm:DescribeInstancePatchStates |
Optimierung |
Ansicht, Planung und Analyse |
Führen Sie Befehle auf, die von AWS Patch Manager auf EC2-Instanzen für das Patch-Management des Betriebssystems ausgeführt werden |
ssm:ListCommands |
Optimierung |
Ansicht, Planung und Analyse |
Prüfen Sie, ob das Konto bei AWS Compute Optimizer registriert ist |
compute-Optimizer:GetEnrollmentStatus |
|
Erstellung eines Datenbankhosts |
Aktualisieren Sie in AWS Compute Optimizer eine vorhandene Empfehlung, um die auf SQL Server-Workloads abgestimmten Empfehlungen zu erhalten |
compute-Optimizer:PutRecommendationPreferences |
|
Erstellung eines Datenbankhosts |
Holen Sie sich die empfohlenen Einstellungen für eine bestimmte Ressource von AWS Compute Optimizer |
compute-Optimizer:GetEffectiveEmpfehlungPreferences |
|
Erstellung eines Datenbankhosts |
Holen Sie sich Empfehlungen ab, die AWS Compute Optimizer für Amazon Elastic Compute Cloud (Amazon EC2) Instanzen generiert |
compute-Optimizer:GetEC2InstanceRecommendations |
|
Erstellung eines Datenbankhosts |
Überprüfen Sie die Zuordnung von Instanzen zu Gruppen mit automatischer Skalierung |
Automatische Skalierung:DescribeAutoScalingGroups |
|
Erstellung eines Datenbankhosts |
Automatische Skalierung:DescribeAutoScalingInstances |
|
Erstellung eines Datenbankhosts |
|
Abrufen, Auflisten, Erstellen und Löschen von SSM-Parametern für AD, FSX für ONTAP und SQL-Benutzeranmeldeinformationen, die während der Bereitstellung verwendet oder in Ihrem AWS-Konto verwaltet werden |
ssm:GetParameter 1 |
|
Ansicht, Planung und Analyse |
ssm:GetParameters 1 |
|
Ansicht, Planung und Analyse |
|
ssm:PutParameter 1 |
|
Ansicht, Planung und Analyse |
|
ssm:DeleteParameters 1 |
|
Ansicht, Planung und Analyse |
|
Zuordnen von Netzwerkressourcen zu SQL-Knoten und Validierungsknoten und Hinzufügen weiterer sekundärer IPs zu SQL-Knoten |
ec2:AllocateAddress 1 |
Einsatz |
Erstellung eines Datenbankhosts |
ec2:AllocateHosts 1 |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:AssignPrivateIpAddresses 1 |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:AssociateAddress 1 |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:AssociateRouteTable 1 |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:AssociateSubnetCidrBlock 1 |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:AssociateVpcCidrBlock 1 |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:AttachInternetGateway 1 |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:AttachNetworkInterface 1 |
Einsatz |
Erstellung eines Datenbankhosts |
|
Verbinden Sie die für die Implementierung erforderlichen EBS Volumes mit den SQL Nodes |
ec2:AttachVolume |
Einsatz |
Erstellung eines Datenbankhosts |
Weisen Sie bereitgestellten EC2-Instanzen Sicherheitsgruppen zu und ändern Sie Regeln. |
ec2:AuthoriseSecurityGroupEgress |
Einsatz |
Erstellung eines Datenbankhosts |
ec2:AuthoriseSecurityGroupIngress |
Einsatz |
Erstellung eines Datenbankhosts |
|
Erstellen Sie EBS Volumes, die den SQL Nodes für die Implementierung benötigt werden |
ec2:CreateVolume |
Einsatz |
Erstellung eines Datenbankhosts |
Entfernen Sie die temporären Validierungs-Nodes, die vom Typ t2.micro erstellt wurden, und für Rollback oder erneute Versuche ausgefallener EC2 SQL-Nodes |
ec2:DeleteNetworkInterface |
Einsatz |
Erstellung eines Datenbankhosts |
ec2:DeleteSecurityGroup |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:DeleteTags |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:DeleteVolume |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:DetachNetworkInterface |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:DetachVolume |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:DisassociateAddress |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:DisassociateIamInstanceProfil |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:DisassociateRouteTable |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:DisassociateSubnetCidrBlock |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:DisassociateVpcCidrBlock |
Einsatz |
Erstellung eines Datenbankhosts |
|
Attribute für erstellte SQL-Instanzen ändern. Gilt nur für Namen, die mit WLMDB beginnen. |
ec2:ModifyInstanceAttribut |
Einsatz |
Betriebs- und Sanierungsmaßnahmen |
ec2: ModifyInstancePlacement |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:ModifyNetworkInterface Attribute |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:ModifySubnetAttribute |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:ModifyVolume |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:ModifyVolumeAttribute |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:ModifyVpcAttribute |
Einsatz |
Erstellung eines Datenbankhosts |
|
Aufheben und Löschen von Validierungsinstanzen |
ec2: ReleaseAddress |
Einsatz |
Erstellung eines Datenbankhosts |
ec2:ReplaceRoute |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:ReplaceRouteTableAssociation |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:RevokeSecurityGroupEgress |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:RevokeSecurityGroupIngress |
Einsatz |
Erstellung eines Datenbankhosts |
|
Starten Sie die bereitgestellten Instanzen |
ec2:StartInstances |
Einsatz |
Betriebs- und Sanierungsmaßnahmen |
Stoppen Sie die bereitgestellten Instanzen |
ec2:StopInstances |
Einsatz |
Betriebs- und Sanierungsmaßnahmen |
Markieren Sie benutzerdefinierte Werte für von WLMDB erstellte Amazon FSX for NetApp ONTAP-Ressourcen, um Rechnungsdetails während der Ressourcenverwaltung zu erhalten |
fsx:TagResource 1 |
|
Erstellung eines Datenbankhosts |
CloudFormation-Vorlage für die Bereitstellung erstellen und validieren |
CloudFormation:CreateStack |
Einsatz |
Erstellung eines Datenbankhosts |
Molkenbildung:DescribeStackEvents |
Einsatz |
Erstellung eines Datenbankhosts |
|
Wolkenbildung:DescribeStacks |
Einsatz |
Erstellung eines Datenbankhosts |
|
CloudFormation:ListenStacks |
Einsatz |
Ansicht, Planung und Analyse |
|
Cloudformation:ValidierteVorlage |
Einsatz |
Erstellung eines Datenbankhosts |
|
Erstellen Sie verschachtelte Stapelvorlagen für den erneuten Versuch und Rollback |
ec2:CreateLaunchTemplate |
Einsatz |
Erstellung eines Datenbankhosts |
ec2:CreateLaunchTemplateVersion |
Einsatz |
Erstellung eines Datenbankhosts |
|
Verwalten von Tags und Netzwerksicherheit auf erstellten Instanzen |
ec2:CreateNetworkInterface |
Einsatz |
Erstellung eines Datenbankhosts |
ec2:CreateSecurityGroup |
Einsatz |
Erstellung eines Datenbankhosts |
|
ec2:CreateTags |
Einsatz |
Erstellung eines Datenbankhosts |
|
Abrufen von Instanzdetails für die Bereitstellung |
ec2:DescribeAddresses |
Einsatz |
Ansicht, Planung und Analyse |
ec2:DescribeLaunchTemplates |
Einsatz |
Ansicht, Planung und Analyse |
|
Starten Sie die erstellten Instanzen |
ec2:RunInstances |
Einsatz |
Erstellung eines Datenbankhosts |
Erstellen Sie FSX for ONTAP-Ressourcen, die für die Bereitstellung erforderlich sind. Für bestehende FSX for ONTAP Systeme wird eine neue SVM erstellt, die SQL Volumes hostet. |
fsx:CreateFileSystem |
Einsatz |
Erstellung eines Datenbankhosts |
fsx:CreateStorageVirtualMachine |
Einsatz |
Erstellung eines Datenbankhosts |
|
fsx: CreateVolume erstellen |
|
Erstellung eines Datenbankhosts |
|
FSX for ONTAP – Details |
fsx:DescribeFileSystemAliases |
Einsatz |
Erstellung eines Datenbankhosts |
Ändern der Größe von FSX für ONTAP-Dateisystem, um Reserve des Dateisystems zu beheben |
fsx:UpdateFilesystem |
Optimierung |
Betriebs- und Sanierungsmaßnahmen |
Ändern Sie die Größe von Volumes zur Korrektur von Protokoll- und tempdb-Laufwerkgrößen |
fsx:UpdateVolumen |
Optimierung |
Betriebs- und Sanierungsmaßnahmen |
KMS-Schlüsseldetails erhalten und FSX für ONTAP-Verschlüsselung verwenden |
Km:CreateGrant |
Einsatz |
Erstellung eines Datenbankhosts |
kms:DescribeCustomKeyStores |
Einsatz |
Erstellung eines Datenbankhosts |
|
Kms:GenerateDataKey |
Einsatz |
Erstellung eines Datenbankhosts |
|
Erstellen Sie CloudWatch-Protokolle für Validierungs- und Bereitstellungsskripte, die auf EC2-Instanzen ausgeführt werden |
Protokolle:CreateLogGroup |
Einsatz |
Erstellung eines Datenbankhosts |
Protokolle:CreateLogStream |
Einsatz |
Erstellung eines Datenbankhosts |
|
Protokolle:GetLogGroupFields |
Einsatz |
Erstellung eines Datenbankhosts |
|
Protokolle:GetLogRecord |
Einsatz |
Erstellung eines Datenbankhosts |
|
Protokolle:ListLogDeliveries |
Einsatz |
Erstellung eines Datenbankhosts |
|
Protokolle:PutLogEvents |
|
Erstellung eines Datenbankhosts |
|
Protokolle:TagResource |
Einsatz |
Erstellung eines Datenbankhosts |
|
Workload Factory wechselt zu Amazon CloudWatch-Protokollen für die SQL-Instanz, wenn eine Kürzung der SSM-Ausgabe auftritt |
Protokolle:GetLogEvents |
|
Ansicht, Planung und Analyse |
Erlauben Sie Workload Factory, aktuelle Protokollgruppen abzurufen und zu überprüfen, ob die Aufbewahrung für von Workload Factory erstellte Protokollgruppen festgelegt ist |
Protokolle:DescribeLogGroups |
|
Ansicht, Planung und Analyse |
Erlauben Sie Workload Factory, eine eintägige Aufbewahrungsrichtlinie für von Workload Factory erstellte Protokollgruppen festzulegen, um eine unnötige Ansammlung von Protokollströmen für SSM-Befehlsausgaben zu vermeiden. |
Protokolle:PutRetentionPolicy |
|
Ansicht, Planung und Analyse |
Führen Sie die SNS-Themen des Kunden auf und veröffentlichen Sie sie in WLMDB-Backend-SNS sowie in Kunden-SNS, falls ausgewählt |
sns:listTopics |
Einsatz |
Ansicht, Planung und Analyse |
sns:Veröffentlichen |
Einsatz |
Erstellung eines Datenbankhosts |
|
Erforderliche SSM-Berechtigungen, um das Erkennungsskript auf bereitgestellten SQL-Instanzen auszuführen und die aktuelle Liste von FSX für von ONTAP unterstützte AWS-Regionen abzurufen. |
ssm:PutComplianceItems |
Einsatz |
Erstellung eines Datenbankhosts |
ssm:PutConfigurePackageResult |
Einsatz |
Erstellung eines Datenbankhosts |
|
ssm:PutInventory |
Einsatz |
Erstellung eines Datenbankhosts |
|
ssm:UpdateAssociationStatus |
Einsatz |
Erstellung eines Datenbankhosts |
|
ssm:UpdateInstanceAssociationStatus |
Einsatz |
Erstellung eines Datenbankhosts |
|
ssm:UpdateInstanceInformation |
Einsatz |
Erstellung eines Datenbankhosts |
|
ssmmesages:CreateControlChannel |
Einsatz |
Erstellung eines Datenbankhosts |
|
ssmmesages:CreateDataChannel |
Einsatz |
Erstellung eines Datenbankhosts |
|
ssmmesages:OpenControlChannel |
Einsatz |
Erstellung eines Datenbankhosts |
|
ssmmesages:OpenDataChannel |
Einsatz |
Erstellung eines Datenbankhosts |
|
Signal CloudFormation Stack auf Erfolg oder Misserfolg. |
Cloudformation:SignalRessource 1 |
Einsatz |
Erstellung eines Datenbankhosts |
Fügen Sie die von Vorlage erstellte EC2-Rolle zum Instanzprofil von EC2 hinzu, um Skripts auf EC2 Zugriff auf die für die Implementierung erforderlichen Ressourcen zu ermöglichen. |
iam:AddRoleToInstanceProfile |
Einsatz |
Erstellung eines Datenbankhosts |
Instanzprofil für EC2 erstellen und erstellte EC2-Rolle zuweisen. |
iam:CreateInstanceProfil |
Einsatz |
Erstellung eines Datenbankhosts |
EC2-Rolle über Vorlage mit den unten aufgeführten Berechtigungen erstellen |
iam:CreateRollenole |
Einsatz |
Erstellung eines Datenbankhosts |
Mit EC2-Service verknüpfte Rolle erstellen |
iam:CreateServiceLinkedRole 2 |
Einsatz |
Erstellung eines Datenbankhosts |
Löschen Sie das während der Bereitstellung speziell für die Validierungsknoten erstellte Instanzprofil |
iam:DeleteInstanceProfil |
Einsatz |
Erstellung eines Datenbankhosts |
Rufen Sie die Rollen- und Richtliniendetails ab, um Lücken in der Berechtigung zu ermitteln und die Bereitstellung zu validieren |
iam:GetPolicy |
Einsatz |
Erstellung eines Datenbankhosts |
iam:GetPolicyVersion |
Einsatz |
Erstellung eines Datenbankhosts |
|
iam:GetRole |
Einsatz |
Erstellung eines Datenbankhosts |
|
iam:GetRolePolicy |
Einsatz |
Erstellung eines Datenbankhosts |
|
iam:GetUser |
Einsatz |
Erstellung eines Datenbankhosts |
|
Übergeben Sie die erstellte Rolle an EC2-Instanz |
iam:PassRole 3 |
Einsatz |
Erstellung eines Datenbankhosts |
Fügen Sie der erstellten EC2-Rolle eine Richtlinie mit den erforderlichen Berechtigungen hinzu |
iam:PuttePolicy |
Einsatz |
Erstellung eines Datenbankhosts |
Trennen der Rolle vom bereitgestellten EC2-Instanzprofil |
iam:RemoveRoleFromInstanceProfile |
Einsatz |
Erstellung eines Datenbankhosts |
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen |
iam:SimulatePrincipalPolicy |
Einsatz |
Alle |
Nutzen Sie die verfügbaren Basismodelle für die Fehlerprotokollanalyse. |
Bedrock:GetFoundationModelVerfügbarkeit |
Fehlerprotokollanalyse |
Ansicht, Planung und Analyse |
Liste der in Amazon Bedrock verfügbaren Schnittstellenprofile für die Fehlerprotokollanalyse |
Bedrock:ListInferenceProfiles |
Fehlerprotokollanalyse |
Ansicht, Planung und Analyse |
-
Die Berechtigung ist auf Ressourcen beschränkt, die mit WLMDB beginnen.
-
„iam:CreateServiceLinkedRole“ begrenzt durch „iam:AWSServiceName“: „ec2.amazonaws.com"*
-
"iam:PassRole" begrenzt durch "iam:PassedToService": "ec2.amazonaws.com"*
Berechtigungen für GenAI-Workloads
Die IAM-Richtlinien für VMware-Workloads bieten die Berechtigungen, die Workload Factory für VMware benötigt, um Ressourcen und Prozesse in Ihrer öffentlichen Cloud-Umgebung basierend auf dem Betriebsmodus zu verwalten, in dem Sie arbeiten.
GenAI IAM-Richtlinien sind nur mit Lese-/Schreibberechtigungen verfügbar:
-
Lesen/Schreiben: Führt in Ihrem Namen Operationen in AWS aus und automatisiert diese, wobei die zugewiesenen Anmeldeinformationen über die erforderlichen und validierten Berechtigungen für die Ausführung verfügen.
IAM-Richtlinien für GenAI-Workloads
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Die folgende Tabelle enthält Einzelheiten zu den Berechtigungen für GenAI-Workloads.
Berechtigungstabelle für GenAI-Workloads
| Zweck | Aktion | Wo verwendet | Berechtigungsrichtlinie |
|---|---|---|---|
Ein Cloud-Formation-Stack für KI-Engine entsteht während Implementierung und Wiederherstellung |
CloudFormation:CreateStack |
Einsatz |
Lese-/Schreibzugriff |
Der Cloud-Formation-Stack für KI-Engine |
Wolkenbildung:DescribeStacks |
Einsatz |
Lese-/Schreibzugriff |
Listen Sie Regionen für den Implementierungsassistenten für KI-Engines auf |
ec2:DescribeRegionen |
Einsatz |
Lese-/Schreibzugriff |
Anzeigen von KI-Engine-Tags |
ec2:DescribeTags |
Einsatz |
Lese-/Schreibzugriff |
S3-Buckets auflisten |
s3:ListAllMyBuchs |
Einsatz |
Lese-/Schreibzugriff |
VPC-Endpunkte vor der Erstellung des AI-Engine-Stacks auflisten |
ec2:CreateVpcEndpoint |
Einsatz |
Lese-/Schreibzugriff |
Erstellen einer Sicherheitsgruppe für KI-Engines während der Erstellung des AI-Engine-Stacks bei Implementierungen und Neuerstellungen |
ec2:CreateSecurityGroup |
Einsatz |
Lese-/Schreibzugriff |
Markieren Sie Ressourcen, die durch die Stack-Erstellung von KI-Engines erstellt wurden, während der Implementierung oder Wiederherstellung |
ec2:CreateTags |
Einsatz |
Lese-/Schreibzugriff |
Veröffentlichen Sie verschlüsselte Ereignisse im WLMAI-Backend aus dem AI-Engine-Stack |
Kms:GenerateDataKey |
Einsatz |
Lese-/Schreibzugriff |
KMS:Entschlüsseln |
Einsatz |
Lese-/Schreibzugriff |
|
Veröffentlichen Sie Ereignisse und benutzerdefinierte Ressourcen im WLMAI-Backend aus dem Stack der ai-Engine |
sns:Veröffentlichen |
Einsatz |
Lese-/Schreibzugriff |
VPCs während des Assistenten für die Implementierung einer KI-Engine auflisten |
ec2:DescribeVpcs |
Einsatz |
Lese-/Schreibzugriff |
Subnetze im Assistenten für die Bereitstellung der ai-Engine auflisten |
ec2:DescribeSubnets |
Einsatz |
Lese-/Schreibzugriff |
Routingtabellen werden bei der Implementierung und beim Rebuild der KI-Engine abgerufen |
ec2:DescribeRouteTables |
Einsatz |
Lese-/Schreibzugriff |
Auflistung von Schlüsselpaaren während des Implementierungsassistenten für KI-Engines |
ec2:DescribeKeypairs |
Einsatz |
Lese-/Schreibzugriff |
Auflistung der Sicherheitsgruppen bei der Erstellung von KI-Engines (so werden Sicherheitsgruppen an privaten Endpunkten gefunden) |
ec2:DescribeSecurityGroups |
Einsatz |
Lese-/Schreibzugriff |
VPC-Endpunkte abrufen, um zu ermitteln, ob bei der Implementierung der KI-Engine irgendwelche erstellt werden sollten |
ec2:DescribeVpcEndpunkte |
Einsatz |
Lese-/Schreibzugriff |
Listen Sie die Anwendungen von Amazon Q Business auf |
QBusiness:ListenApplications |
Einsatz |
Lese-/Schreibzugriff |
Führen Sie Instanzen auf, um den Status der AI-Engine herauszufinden |
ec2:DescribeInstances |
Fehlerbehebung |
Lese-/Schreibzugriff |
Listet Images während der Erstellung des AI-Engine-Stacks bei Implementierungen und Neuerstellungen auf |
ec2:DescribeBilder |
Einsatz |
Lese-/Schreibzugriff |
Erstellung und Aktualisierung von Sicherheitsgruppen für AI-Instanzen und private Endpunkte während der Erstellung des KI-Instanz-Stacks bei Implementierungen und Neuerstellungen |
ec2:RevokeSecurityGroupEgress |
Einsatz |
Lese-/Schreibzugriff |
ec2:RevokeSecurityGroupIngress |
Einsatz |
Lese-/Schreibzugriff |
|
Während der Erstellung eines Cloud-Formation-Stacks führen Sie die KI-Engine während der Implementierung und Neuerstellung aus |
ec2:RunInstances |
Einsatz |
Lese-/Schreibzugriff |
Während der Stack-Erstellung während der Implementierung und der Wiederherstellung können Sie dann Sicherheitsgruppen hinzufügen und Regeln für die KI-Engine ändern |
ec2:AuthoriseSecurityGroupEgress |
Einsatz |
Lese-/Schreibzugriff |
ec2:AuthoriseSecurityGroupIngress |
Einsatz |
Lese-/Schreibzugriff |
|
Initiieren Sie eine Chat-Anfrage an eines der Basismodelle |
Bedrock:InvokeModelWithin ResponseStream |
Einsatz |
Lese-/Schreibzugriff |
Chat-/Einbettungsanfrage für Grundmodelle starten |
Bedrock:InvokeModel |
Einsatz |
Lese-/Schreibzugriff |
Zeigen Sie die verfügbaren Fundamentmodelle in einer Region an |
Bedrock:ListFoundationModels |
Einsatz |
Lese-/Schreibzugriff |
Informationen zu einem Basismodell abrufen |
Bedrock:GetFoundationModel |
Einsatz |
Lese-/Schreibzugriff |
Überprüfen Sie den Zugriff auf das Basismodell |
Bedrock:GetFoundationModelVerfügbarkeit |
Einsatz |
Lese-/Schreibzugriff |
Überprüfen Sie, ob die Amazon CloudWatch-Protokollgruppe während der Bereitstellung und Neuerstellung erstellt werden muss |
Protokolle:DescribeLogGroups |
Einsatz |
Lese-/Schreibzugriff |
Holen Sie sich Regionen, die FSX und Amazon Bedrock unterstützen, während der KI-Engine-Assistent |
ssm:GetParametersByPath |
Einsatz |
Lese-/Schreibzugriff |
Nutzen Sie das aktuelle Amazon Linux Image für die Implementierung der KI-Engine während des Implementierungs- und Neuerstellungsvorgangs |
ssm:GetParameters |
Einsatz |
Lese-/Schreibzugriff |
Erhalten Sie die SSM-Antwort vom Befehl, der an die AI-Engine gesendet wird |
ssm:GetCommandInvocation |
Einsatz |
Lese-/Schreibzugriff |
Überprüfen Sie die SSM-Verbindung zur AI-Engine |
ssm:SendCommand |
Einsatz |
Lese-/Schreibzugriff |
ssm:GetConnectionStatus |
Einsatz |
Lese-/Schreibzugriff |
|
Erstellung eines Instanzprofils für die KI-Engine bei der Stack-Erstellung während der Implementierung oder Neuerstellung |
iam:CreateRollenole |
Einsatz |
Lese-/Schreibzugriff |
iam:CreateInstanceProfil |
Einsatz |
Lese-/Schreibzugriff |
|
iam:AddRoleToInstanceProfile |
Einsatz |
Lese-/Schreibzugriff |
|
iam:PuttePolicy |
Einsatz |
Lese-/Schreibzugriff |
|
iam:GetRolePolicy |
Einsatz |
Lese-/Schreibzugriff |
|
iam:GetRole |
Einsatz |
Lese-/Schreibzugriff |
|
iam:TagRole |
Einsatz |
Lese-/Schreibzugriff |
|
iam:PassRole |
Einsatz |
Lese-/Schreibzugriff |
|
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen |
iam:SimulatePrincipalPolicy |
Einsatz |
Lese-/Schreibzugriff |
Listen Sie FSX für ONTAP-Dateisysteme während des Assistenten „Create Knowledge Base“ auf |
fsx:DescribeVolumes |
Erstellung einer Wissensdatenbank |
Lese-/Schreibzugriff |
Listen Sie FSX für ONTAP-Dateisystem-Volumes während des Assistenten „Create Knowledge Base“ auf |
fsx:DescribeFileSystems |
Erstellung einer Wissensdatenbank |
Lese-/Schreibzugriff |
Management von Wissensdatenbanken auf Basis der KI-Engine bei Neuerstellungen |
fsx:ListTagsForRessource |
Fehlerbehebung |
Lese-/Schreibzugriff |
Listen Sie FSX für ONTAP Dateisystem Speicher virtuelle Maschinen während des „Create Knowledge“-Knowledgebase-Assistenten auf |
fsx:DescribeStorageVirtualMachines |
Einsatz |
Lese-/Schreibzugriff |
Verschieben Sie die Wissensdatenbank in eine neue Instanz |
fsx:UntagResource |
Fehlerbehebung |
Lese-/Schreibzugriff |
Verwalten Sie die Wissensdatenbank auf der KI-Engine während des Rebuilds |
fsx:TagResource |
Fehlerbehebung |
Lese-/Schreibzugriff |
Speichern Sie SSM Secrets (ECR-Token, CIFS-Anmeldedaten, Mandanten-Service-Kontoschlüssel) auf sichere Weise |
ssm:GetParameter |
Einsatz |
Lese-/Schreibzugriff |
ssm:PutParameter |
Einsatz |
Lese-/Schreibzugriff |
|
Bei der Implementierung und Wiederherstellung werden die AI-Engine-Protokolle an die Amazon CloudWatch Protokollgruppe gesendet |
Protokolle:CreateLogGroup |
Einsatz |
Lese-/Schreibzugriff |
Protokolle:PutRetentionPolicy |
Einsatz |
Lese-/Schreibzugriff |
|
Senden Sie die AI-Engine-Protokolle an die Amazon CloudWatch-Protokollgruppe |
Protokolle:TagResource |
Fehlerbehebung |
Lese-/Schreibzugriff |
SSM-Antwort von Amazon CloudWatch abrufen (wenn die Antwort zu lang ist) |
Protokolle:DescribeLogStreams |
Fehlerbehebung |
Lese-/Schreibzugriff |
Erhalten Sie die SSM-Antwort von Amazon CloudWatch |
Protokolle:GetLogEvents |
Fehlerbehebung |
Lese-/Schreibzugriff |
Erstellen einer Amazon CloudWatch-Protokollgruppe für Amazon Bedrock-Protokolle während der Stack-Erstellung bei Bereitstellungs- und Neuerstellungsvorgängen |
Protokolle:CreateLogGroup |
Einsatz |
Lese-/Schreibzugriff |
Protokolle:PutRetentionPolicy |
Einsatz |
Lese-/Schreibzugriff |
|
Protokolle:TagResource |
Einsatz |
Lese-/Schreibzugriff |
|
Inferenzprofile für das Modell auflisten |
Bedrock:ListInferenceProfiles |
Fehlerbehebung |
Lese-/Schreibzugriff |
Berechtigungen für VMware-Workloads
Für VMware-Workloads stehen folgende Berechtigungsrichtlinien zur Auswahl:
-
Ansicht, Planung und Analyse: Sehen Sie sich das Inventar der EVS-Virtualisierungsumgebungen an, erhalten Sie eine fundierte Analyse Ihrer Systeme und entdecken Sie Einsparmöglichkeiten.
-
Bereitstellung und Anbindung von Datenspeichern: Stellen Sie empfohlene VM-Layouts auf Amazon EVS-, Amazon EC2- oder VMware Cloud on AWS vSphere-Clustern bereit und verwenden Sie angepasste Amazon FSx for NetApp ONTAP Dateisysteme als externe Datenspeicher.
Wählen Sie die Berechtigungsrichtlinie aus, um die erforderlichen IAM-Richtlinien anzuzeigen:
IAM-Richtlinien für VMware-Workloads
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeDhcpOptions",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"secretsmanager:ListSecrets",
"evs:ListEnvironments",
"evs:GetEnvironment",
"evs:ListEnvironmentVlans"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Die folgende Tabelle enthält Einzelheiten zu den Berechtigungen für VMware-Workloads.
Berechtigungstabelle für VMware-Workloads
| Zweck | Aktion | Wo verwendet | Berechtigungsrichtlinie |
|---|---|---|---|
Fügen Sie Sicherheitsgruppen hinzu, und ändern Sie Regeln für die bereitgestellten Knoten |
ec2:AuthoriseSecurityGroupIngress |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
Erstellen von EBS Volumes |
fsx: CreateVolume erstellen |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
Markieren Sie benutzerdefinierte Werte für FSX for NetApp ONTAP-Ressourcen, die von VMware-Workloads erstellt wurden |
fsx:TagResource |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
Erstellen und Validieren der CloudFormation-Vorlage |
CloudFormation:CreateStack |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
Verwalten von Tags und Netzwerksicherheit auf erstellten Instanzen |
ec2:CreateSecurityGroup |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
Starten Sie die erstellten Instanzen |
ec2:RunInstances |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
Hier finden Sie Details zur EC2-Instanz |
ec2:DescribeInstances |
Inventar |
Datenspeicherbereitstellung und -konnektivität |
Führen Sie während der Stapelerstellung während der Bereitstellung und Neuerstellung Images auf |
ec2:DescribeBilder |
Inventar |
Datenspeicherbereitstellung und -konnektivität |
Konfigurationsdetails der DHCP-Optionssätze anzeigen, die mit VPCs verknüpft sind |
ec2:DescribeDhcpOptions |
Inventar |
Ansicht, Planung und Analyse |
Rufen Sie die VPCs in der ausgewählten Umgebung auf, um das Bereitstellungsformular auszufüllen |
ec2:DescribeVpcs |
|
Ansicht, Planung und Analyse |
Rufen Sie die Subnetze in der ausgewählten Umgebung ab, um das Bereitstellungsformular auszufüllen |
ec2:DescribeSubnets |
|
Ansicht, Planung und Analyse |
Rufen Sie die Sicherheitsgruppen in der ausgewählten Umgebung auf, um das Bereitstellungsformular auszufüllen |
ec2:DescribeSecurityGroups |
Einsatz |
Ansicht, Planung und Analyse |
Abrufen der Verfügbarkeitszonen in der ausgewählten Umgebung |
ec2:DescribeAvailability Zones |
|
Ansicht, Planung und Analyse |
Informieren Sie sich über die Regionen mit Amazon FSX for NetApp ONTAP Support |
ec2:DescribeRegionen |
Einsatz |
Ansicht, Planung und Analyse |
Holen Sie sich die Aliase von KMS-Schlüsseln, die für die Verschlüsselung mit Amazon FSX for NetApp ONTAP verwendet werden |
Km:ListAliase |
Einsatz |
Ansicht, Planung und Analyse |
Nutzen Sie KMS-Schlüssel für die Verschlüsselung mit Amazon FSX for NetApp ONTAP |
Kms:Listenschlüssel |
Einsatz |
Ansicht, Planung und Analyse |
Erhalten Sie KMS-Schlüssel Ablaufdetails für Amazon FSX für NetApp ONTAP-Verschlüsselung verwendet werden |
Kms:DescribeKey |
Einsatz |
Ansicht, Planung und Analyse |
Geheimnisse im AWS Secrets Manager auflisten |
secretsmanager:ListSecrets |
Inventar |
Ansicht, Planung und Analyse |
Rufen Sie eine Liste der Umgebungen von Amazon EVS ab. |
evs:ListEnvironments |
Inventar |
Ansicht, Planung und Analyse |
Erhalten Sie detaillierte Informationen über eine bestimmte Amazon EVS-Umgebung |
evs:GetEnvironment |
Inventar |
Ansicht, Planung und Analyse |
Liste der VLANs, die einer Amazon EVS-Umgebung zugeordnet sind |
evs:ListEnvironmentVlans |
Inventar |
Ansicht, Planung und Analyse |
Erstellen Sie die für die Bereitstellung erforderlichen Ressourcen für Amazon FSX for NetApp ONTAP |
fsx:CreateFileSystem |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
fsx:CreateStorageVirtualMachine |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
|
fsx: CreateVolume erstellen |
|
Datenspeicherbereitstellung und -konnektivität |
|
Amazon FSX for NetApp ONTAP – Details |
fsx:Beschreiben* |
|
Datenspeicherbereitstellung und -konnektivität |
KMS-Kerndetails und Verwendung für Amazon FSX for NetApp ONTAP Verschlüsselung |
Km:CreateGrant |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
Km:Beschreiben* |
Einsatz |
Ansicht, Planung und Analyse |
|
Km:Liste* |
Einsatz |
Ansicht, Planung und Analyse |
|
KMS:Entschlüsseln |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
|
Kms:GenerateDataKey |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
|
Listen Sie die SNS-Themen des Kunden auf und veröffentlichen Sie sie in WLMVMC-Backend-SNS sowie in Kunden-SNS, falls ausgewählt |
sns:Veröffentlichen |
Einsatz |
Datenspeicherbereitstellung und -konnektivität |
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen |
iam:SimulatePrincipalPolicy |
Einsatz |
|
Änderungsprotokoll
Wenn Berechtigungen hinzugefügt und entfernt werden, werden wir diese in den folgenden Abschnitten zur Kenntnis nehmen.
2. November 2025
Die Berechtigungsrichtlinien „Nur lesen“ und „Lesen/Schreiben“ wurden in den Workloads Storage, Database und VMware ersetzt, um eine feinere Granularität und Flexibilität bei der Zuweisung von Berechtigungen zu ermöglichen.
5. Oktober 2025
Die folgenden Berechtigungen wurden aus GenAI entfernt und werden jetzt von der GenAI-Engine verwaltet:
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
29 Juni 2025
Die folgende Berechtigung ist jetzt im schreibgeschützten Modus für Datenbanken verfügbar: cloudwatch:GetMetricData .
3 Juni 2025
Die folgende Berechtigung ist jetzt im Lese-/Schreibmodus für GenAI verfügbar: s3:ListAllMyBuckets .
4 Mai 2025
Die folgende Berechtigung ist jetzt im Lese-/Schreibmodus für GenAI verfügbar: qbusiness:ListApplications .
Die folgenden Berechtigungen sind jetzt im schreibgeschützten Modus für Datenbanken verfügbar:
-
logs:GetLogEvents -
logs:DescribeLogGroups
Die folgende Berechtigung ist jetzt im Lese-/Schreibmodus für Datenbanken verfügbar:
logs:PutRetentionPolicy .
Bis 2. April 2025
Die folgende Berechtigung ist jetzt im schreibgeschützten Modus für Datenbanken verfügbar: ssm:DescribeInstanceInformation .
30 März 2025
Aktualisierung der GenAI-Workload-Berechtigungen
Die folgenden Berechtigungen sind jetzt im Lese-/Schreibmodus für GenAI verfügbar:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
Die folgende Berechtigung wurde aus dem Lese-/Schreibmodus für GenAI entfernt: Bedrock:GetFoundationModel .
iam:SimulatePrincipalPolicy-Berechtigungsaktualisierung
Der iam:SimulatePrincipalPolicy Die Berechtigung ist Teil aller Workload-Berechtigungsrichtlinien, wenn Sie die automatische Berechtigungsprüfung beim Hinzufügen zusätzlicher AWS-Kontoanmeldeinformationen oder beim Hinzufügen einer neuen Workload-Funktion über die Workload Factory-Konsole aktivieren. Die Berechtigung simuliert Workload-Vorgänge und prüft, ob Sie über die erforderlichen AWS-Kontoberechtigungen verfügen, bevor Sie Ressourcen aus Workload Factory bereitstellen. Durch die Aktivierung dieser Prüfung verringern Sie den Zeit- und Arbeitsaufwand, der möglicherweise zum Bereinigen von Ressourcen aus fehlgeschlagenen Vorgängen und zum Hinzufügen fehlender Berechtigungen erforderlich ist.
2 März 2025
Die folgende Berechtigung ist jetzt im Lese-/Schreibmodus für GenAI verfügbar: bedrock:GetFoundationModel .
3 Februar 2025
Die folgende Berechtigung ist jetzt im schreibgeschützten Modus für Datenbanken verfügbar: iam:SimulatePrincipalPolicy .