Berechtigungen für NetApp Workload Factory
Änderungen vorschlagen
PDFs
Um die Funktionen und Dienste von NetApp Workload Factory nutzen zu können, müssen Sie Berechtigungen erteilen, damit Workload Factory Vorgänge in Ihrer Cloud-Umgebung ausführen kann.
Warum Berechtigungen verwenden
Wenn Sie Berechtigungen für den Nur-Lese- oder Lese-/Schreibmodus erteilen, fügt Workload Factory der Instanz eine Richtlinie mit Berechtigungen zum Verwalten von Ressourcen und Prozessen innerhalb dieses AWS-Kontos hinzu. Dadurch kann Workload Factory verschiedene Vorgänge ausführen, angefangen von der Erkennung Ihrer Speicherumgebungen bis hin zur Bereitstellung von AWS-Ressourcen wie Dateisystemen in der Speicherverwaltung oder Wissensdatenbanken für GenAI-Workloads.
Wenn Workload Factory beispielsweise bei Datenbank-Workloads über die erforderlichen Berechtigungen verfügt, scannt es alle EC2-Instanzen in einem bestimmten Konto und einer bestimmten Region und filtert alle Windows-basierten Maschinen. Wenn der AWS Systems Manager (SSM)-Agent installiert ist und auf dem Host ausgeführt wird und das System Manager-Netzwerk ordnungsgemäß konfiguriert ist, kann Workload Factory auf die Windows-Maschine zugreifen und überprüfen, ob die SQL Server-Software installiert ist oder nicht.
Berechtigungen nach Workload
Jede Workload verwendet Berechtigungen, um bestimmte Aufgaben in Workload Factory auszuführen. Scrollen Sie zu der von Ihnen verwendeten Arbeitslast, um die Liste der Berechtigungen, ihren Zweck, wo sie verwendet werden und welche Modi sie unterstützen, anzuzeigen.
Berechtigungen für Speicher
Die für Storage verfügbaren IAM-Richtlinien bieten die Berechtigungen, die Workload Factory benötigt, um Ressourcen und Prozesse in Ihrer öffentlichen Cloud-Umgebung basierend auf dem Betriebsmodus zu verwalten, in dem Sie arbeiten.
Wählen Sie Ihren Betriebsmodus aus, um die erforderlichen IAM-Richtlinien anzuzeigen:
IAM-Richtlinien für Storage
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:Describe*",
"fsx:ListTagsForResource",
"ec2:Describe*",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:*",
"ec2:Describe*",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"iam:CreateServiceLinkedRole",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"kms:CreateGrant",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"iam:SimulatePrincipalPolicy",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
}
]
}In der folgenden Tabelle werden die Berechtigungen für Speicher angezeigt.
Berechtigungstabelle für Speicher
| Zweck | Aktion | Wo verwendet | Modus |
|---|---|---|---|
Erstellen Sie ein FSX für ONTAP-Dateisystem |
fsx:CreateFileSystem* |
Einsatz |
Lese-/Schreibzugriff |
Erstellen Sie eine Sicherheitsgruppe für ein FSX für ONTAP-Dateisystem |
ec2:CreateSecurityGroup |
Einsatz |
Lese-/Schreibzugriff |
Fügen Sie Tags zu einer Sicherheitsgruppe für ein FSX für ONTAP-Dateisystem hinzu |
ec2:CreateTags |
Einsatz |
Lese-/Schreibzugriff |
Ausgang und Zugang der Sicherheitsgruppe für ein FSX für ONTAP Filesystem autorisieren |
ec2:AuthoriseSecurityGroupEgress |
Einsatz |
Lese-/Schreibzugriff |
ec2:AuthoriseSecurityGroupIngress |
Einsatz |
Lese-/Schreibzugriff |
|
Die gewährte Rolle bietet die Kommunikation zwischen FSX für ONTAP und anderen AWS-Services |
iam:CreateServiceLinkedRole |
Einsatz |
Lese-/Schreibzugriff |
Hier erhalten Sie Informationen zum Ausfüllen des Formulars FSX für die Bereitstellung des Dateisystems für ONTAP |
ec2:DescribeVpcs |
|
|
ec2:DescribeSubnets |
|
|
|
ec2:DescribeRegionen |
|
|
|
ec2:DescribeSecurityGroups |
|
|
|
ec2:DescribeRouteTables |
|
|
|
ec2:DescribeNetworkInterfaces |
|
|
|
ec2:DescribeVolumeStatus |
|
|
|
KMS-Schlüsseldetails erhalten und FSX für ONTAP-Verschlüsselung verwenden |
Km:CreateGrant |
Einsatz |
Lese-/Schreibzugriff |
Km:Beschreiben* |
Einsatz |
|
|
Km:Liste* |
Einsatz |
|
|
Abrufen von Volume-Details für EC2-Instanzen |
ec2:DescribeVolumes |
|
|
Informieren Sie sich über Details für EC2 Instanzen |
ec2:DescribeInstances |
Einsparungen entdecken |
|
Elastic File System im Einsparungsrechner beschreiben |
Elasticdateisystem:deskribe* |
Einsparungen entdecken |
Schreibgeschützt |
Listen Sie Tags für FSX for ONTAP-Ressourcen auf |
fsx:ListTagsForRessource |
Inventar |
|
Ausgang und Ingress der Sicherheitsgruppe für ein FSX für ONTAP Filesystem managen |
ec2:RevokeSecurityGroupIngress |
Managementvorgänge |
Lese-/Schreibzugriff |
ec2:DeleteSecurityGroup |
Managementvorgänge |
Lese-/Schreibzugriff |
|
Erstellen, Anzeigen und Verwalten von FSX for ONTAP-Dateisystemressourcen |
fsx:CreateVolume* |
Managementvorgänge |
Lese-/Schreibzugriff |
fsx:TagResource* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx:CreateStorageVirtualMachine* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx: DeleteFileSystem* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx: DeleteStorageVirtualMachine* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx:DescribeFileSystems* |
Inventar |
|
|
fsx:DescribeStorageVirtualMachines* |
Inventar |
|
|
fsx:UpdateFileSystem* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx:UpdateStorageVirtualMachine* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx:DescribeVolumes* |
Inventar |
|
|
fsx:UpdateVolumen* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx:DeleteVolumen* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx:UntagResource* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx:DescribeBackups* |
Managementvorgänge |
|
|
fsx:CreateBackup* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
fsx: CreateVolumeFromBackup* |
Managementvorgänge |
Lese-/Schreibzugriff |
|
CloudWatch-Kennzahlen berichten |
cloudwatch:PutMetricData |
Managementvorgänge |
Lese-/Schreibzugriff |
Abrufen von Kennzahlen zu Dateisystem und Volume |
cloudwatch:GetMetricData |
Managementvorgänge |
|
cloudwatch:GetMetricStatistics |
Managementvorgänge |
|
Berechtigungen für Datenbank-Workloads
Die für Datenbank-Workloads verfügbaren IAM-Richtlinien bieten die Berechtigungen, die Workload Factory benötigt, um Ressourcen und Prozesse in Ihrer öffentlichen Cloud-Umgebung basierend auf dem Betriebsmodus zu verwalten, in dem Sie arbeiten.
Wählen Sie Ihren Betriebsmodus aus, um die erforderlichen IAM-Richtlinien anzuzeigen:
IAM-Richtlinien für Datenbank-Workloads
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource"
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeAccountLimits",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ds:DescribeDirectories",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeAddresses",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeLaunchTemplates",
"ec2:RunInstances",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:UpdateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:UpdateVolume",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:DescribeFileSystemAliases",
"fsx:DescribeBackups",
"fsx:ListTagsForResource",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:DescribeCustomKeyStores",
"kms:ListAliases",
"kms:ListKeys",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"logs:PutRetentionPolicy",
"servicequotas:ListServiceQuotas",
"sns:ListTopics",
"sns:Publish",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstancePatchStates",
"ssm:DescribePatchBaselines",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:GetConnectionStatus",
"ssm:ListCommands",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:SendCommand",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}In der folgenden Tabelle werden die Berechtigungen für Datenbank-Workloads angezeigt.
Berechtigungstabelle für Datenbank-Workloads
| Zweck | Aktion | Wo verwendet | Modus |
|---|---|---|---|
Erhalten Sie Metrikstatistiken für FSx für ONTAP, EBS und FSx für Windows File Server sowie Empfehlungen zur Rechenoptimierung. |
cloudwatch:GetMetricStatistics |
|
|
Sammeln Sie in Amazon CloudWatch gespeicherte Leistungsmetriken von registrierten SQL-Knoten. Die Daten werden in Leistungstrenddiagrammen auf dem Bildschirm „Instanzverwaltung“ für registrierte SQL-Instanzen generiert. |
cloudwatch:GetMetricData |
Inventar |
Schreibgeschützt |
Listen Sie Auslöser für Ereignisse auf und legen Sie sie fest |
sns:listTopics |
Einsatz |
|
Informieren Sie sich über Details für EC2 Instanzen |
ec2:DescribeInstances |
|
|
ec2:DescribeKeypairs |
Einsatz |
|
|
ec2:DescribeNetworkInterfaces |
Einsatz |
|
|
ec2:DescribeInstanceTypes |
|
|
|
Informieren Sie sich, wie Sie das FSX for ONTAP-Implementierungsformular ausfüllen |
ec2:DescribeVpcs |
|
|
ec2:DescribeSubnets |
|
|
|
ec2:DescribeSecurityGroups |
Einsatz |
|
|
ec2:DescribeBilder |
Einsatz |
|
|
ec2:DescribeRegionen |
Einsatz |
|
|
ec2:DescribeRouteTables |
|
|
|
Holen Sie sich alle vorhandenen VPC-Endpunkte, um zu ermitteln, ob neue Endpunkte vor der Implementierung erstellt werden müssen |
ec2:DescribeVpcEndpunkte |
|
|
Erstellen Sie VPC-Endpunkte, wenn sie für erforderliche Services unabhängig von der öffentlichen Netzwerkkonnektivität auf EC2-Instanzen nicht vorhanden sind |
ec2:CreateVpcEndpoint |
Einsatz |
Lese-/Schreibzugriff |
Abrufen von Instanztypen in der Region für Validierungsknoten (t2.micro/t3.micro) |
ec2:DescribeInstanceTypeOfferings |
Einsatz |
|
Erhalten Sie Snapshot-Details zu jedem angebundenen EBS Volumes zur Preisgestaltung und Schätzung der Einsparungen |
ec2:DescribeSnapshots |
Einsparungen entdecken |
|
Informieren Sie sich über die einzelnen angebundenen EBS Volumes und erhalten Sie Informationen zu Preisen und einer Schätzung, die Einsparungen schätzt |
ec2:DescribeVolumes |
|
|
Erhalten Sie KMS-Schlüsseldetails für FSX für ONTAP-Dateisystemverschlüsselung |
Km:ListAliase |
Einsatz |
|
Kms:Listenschlüssel |
Einsatz |
|
|
Kms:DescribeKey |
Einsatz |
|
|
Holen Sie sich eine Liste der CloudFormation Stacks in der Umgebung, um Quota Limit zu überprüfen |
CloudFormation:ListenStacks |
Einsatz |
|
Überprüfen Sie die Kontenlimits für Ressourcen, bevor Sie die Bereitstellung auslösen |
Cloudformation:DescribeAccountLimits |
Einsatz |
|
Holen Sie sich eine Liste der von AWS gemanagten Active Directories in der Region |
ds:DescribeDirectories |
Einsatz |
|
Hier erhalten Sie Listen und Details zu Volumes, Backups, SVMs, Filesystemen in AZS und Tags für das Filesystem FSX for ONTAP |
fsx:DescribeVolumes |
|
|
fsx:DescribeBackups |
|
|
|
fsx:DescribeStorageVirtualMachines |
|
|
|
fsx:DescribeFileSystems |
|
|
|
fsx:ListTagsForRessource |
Managen von Abläufen |
|
|
Nutzen Sie Service-Quota-Limits für CloudFormation und VPC |
Service-Equotas:ListServiceQuotas |
Einsatz |
|
Verwenden Sie SSM-basierte Abfrage, um die aktualisierte Liste von FSX für ONTAP unterstützte Regionen zu erhalten |
ssm:GetParametersByPath |
Einsatz |
|
Abfrage der SSM-Antwort nach dem Senden des Befehls für Verwaltungsvorgänge nach der Bereitstellung |
ssm:GetCommandInvocation |
|
|
Senden von Befehlen über SSM an EC2-Instanzen |
ssm:SendCommand |
|
|
Ermitteln Sie den SSM-Konnektivitätsstatus der Instanzen nach der Bereitstellung |
ssm:GetConnectionStatus |
|
|
Abrufen des SSM-Zuordnungsstatus für eine Gruppe von gemanagten EC2-Instanzen (SQL-Nodes) |
ssm:DescribeInstanceInformation |
Inventar |
Lesen |
Liste der verfügbaren Patch-Basispläne für die Bewertung von Patches des Betriebssystems abrufen |
ssm:DescribePatchBaselines |
Optimierung |
|
Ermitteln Sie den Patchstatus auf Windows EC2-Instanzen für die Bewertung von Betriebssystem-Patches |
ssm:DescribeInstancePatchStates |
Optimierung |
|
Führen Sie Befehle auf, die von AWS Patch Manager auf EC2-Instanzen für das Patch-Management des Betriebssystems ausgeführt werden |
ssm:ListCommands |
Optimierung |
|
Prüfen Sie, ob das Konto bei AWS Compute Optimizer registriert ist |
compute-Optimizer:GetEnrollmentStatus |
|
Lese-/Schreibzugriff |
Aktualisieren Sie in AWS Compute Optimizer eine vorhandene Empfehlung, um die auf SQL Server-Workloads abgestimmten Empfehlungen zu erhalten |
compute-Optimizer:PutRecommendationPreferences |
|
Lese-/Schreibzugriff |
Holen Sie sich die empfohlenen Einstellungen für eine bestimmte Ressource von AWS Compute Optimizer |
compute-Optimizer:GetEffectiveEmpfehlungPreferences |
|
Lese-/Schreibzugriff |
Holen Sie sich Empfehlungen ab, die AWS Compute Optimizer für Amazon Elastic Compute Cloud (Amazon EC2) Instanzen generiert |
compute-Optimizer:GetEC2InstanceRecommendations |
|
Lese-/Schreibzugriff |
Überprüfen Sie die Zuordnung von Instanzen zu Gruppen mit automatischer Skalierung |
Automatische Skalierung:DescribeAutoScalingGroups |
|
Lese-/Schreibzugriff |
Automatische Skalierung:DescribeAutoScalingInstances |
|
Lese-/Schreibzugriff |
|
Abrufen, Auflisten, Erstellen und Löschen von SSM-Parametern für AD, FSX für ONTAP und SQL-Benutzeranmeldeinformationen, die während der Bereitstellung verwendet oder in Ihrem AWS-Konto verwaltet werden |
ssm:GetParameter 1 |
|
|
ssm:GetParameters 1 |
Managen von Abläufen |
|
|
ssm:PutParameter 1 |
|
|
|
ssm:DeleteParameters 1 |
Managen von Abläufen |
|
|
Zuordnen von Netzwerkressourcen zu SQL-Knoten und Validierungsknoten und Hinzufügen weiterer sekundärer IPs zu SQL-Knoten |
ec2:AllocateAddress 1 |
Einsatz |
Lese-/Schreibzugriff |
ec2:AllocateHosts 1 |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:AssignPrivateIpAddresses 1 |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:AssociateAddress 1 |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:AssociateRouteTable 1 |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:AssociateSubnetCidrBlock 1 |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:AssociateVpcCidrBlock 1 |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:AttachInternetGateway 1 |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:AttachNetworkInterface 1 |
Einsatz |
Lese-/Schreibzugriff |
|
Verbinden Sie die für die Implementierung erforderlichen EBS Volumes mit den SQL Nodes |
ec2:AttachVolume |
Einsatz |
Lese-/Schreibzugriff |
Fügen Sie Sicherheitsgruppen hinzu, und ändern Sie Regeln für die bereitgestellten Knoten |
ec2:AuthoriseSecurityGroupEgress |
Einsatz |
Lese-/Schreibzugriff |
ec2:AuthoriseSecurityGroupIngress |
Einsatz |
Lese-/Schreibzugriff |
|
Erstellen Sie EBS Volumes, die den SQL Nodes für die Implementierung benötigt werden |
ec2:CreateVolume |
Einsatz |
Lese-/Schreibzugriff |
Entfernen Sie die temporären Validierungs-Nodes, die vom Typ t2.micro erstellt wurden, und für Rollback oder erneute Versuche ausgefallener EC2 SQL-Nodes |
ec2:DeleteNetworkInterface |
Einsatz |
Lese-/Schreibzugriff |
ec2:DeleteSecurityGroup |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:DeleteTags |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:DeleteVolume |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:DetachNetworkInterface |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:DetachVolume |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:DisassociateAddress |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:DisassociateIamInstanceProfil |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:DisassociateRouteTable |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:DisassociateSubnetCidrBlock |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:DisassociateVpcCidrBlock |
Einsatz |
Lese-/Schreibzugriff |
|
Attribute für erstellte SQL-Instanzen ändern. Gilt nur für Namen, die mit WLMDB beginnen. |
ec2:ModifyInstanceAttribut |
Einsatz |
Lese-/Schreibzugriff |
ec2: ModifyInstancePlacement |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:ModifyNetworkInterface Attribute |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:ModifySubnetAttribute |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:ModifyVolume |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:ModifyVolumeAttribute |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:ModifyVpcAttribute |
Einsatz |
Lese-/Schreibzugriff |
|
Aufheben und Löschen von Validierungsinstanzen |
ec2: ReleaseAddress |
Einsatz |
Lese-/Schreibzugriff |
ec2:ReplaceRoute |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:ReplaceRouteTableAssociation |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:RevokeSecurityGroupEgress |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:RevokeSecurityGroupIngress |
Einsatz |
Lese-/Schreibzugriff |
|
Starten Sie die bereitgestellten Instanzen |
ec2:StartInstances |
Einsatz |
Lese-/Schreibzugriff |
Stoppen Sie die bereitgestellten Instanzen |
ec2:StopInstances |
Einsatz |
Lese-/Schreibzugriff |
Markieren Sie benutzerdefinierte Werte für von WLMDB erstellte Amazon FSX for NetApp ONTAP-Ressourcen, um Rechnungsdetails während der Ressourcenverwaltung zu erhalten |
fsx:TagResource 1 |
|
Lese-/Schreibzugriff |
CloudFormation-Vorlage für die Bereitstellung erstellen und validieren |
CloudFormation:CreateStack |
Einsatz |
Lese-/Schreibzugriff |
Molkenbildung:DescribeStackEvents |
Einsatz |
Lese-/Schreibzugriff |
|
Wolkenbildung:DescribeStacks |
Einsatz |
Lese-/Schreibzugriff |
|
CloudFormation:ListenStacks |
Einsatz |
Lese-/Schreibzugriff |
|
Cloudformation:ValidierteVorlage |
Einsatz |
Lese-/Schreibzugriff |
|
Holen Sie die in der Region verfügbaren Verzeichnisse ab |
ds:DescribeDirectories |
Einsatz |
Lese-/Schreibzugriff |
Fügen Sie Regeln für die Sicherheitsgruppe hinzu, die an bereitgestellte EC2-Instanzen angehängt ist |
ec2:AuthoriseSecurityGroupEgress |
Einsatz |
Lese-/Schreibzugriff |
ec2:AuthoriseSecurityGroupIngress |
Einsatz |
Lese-/Schreibzugriff |
|
Erstellen Sie verschachtelte Stapelvorlagen für den erneuten Versuch und Rollback |
ec2:CreateLaunchTemplate |
Einsatz |
Lese-/Schreibzugriff |
ec2:CreateLaunchTemplateVersion |
Einsatz |
Lese-/Schreibzugriff |
|
Verwalten von Tags und Netzwerksicherheit auf erstellten Instanzen |
ec2:CreateNetworkInterface |
Einsatz |
Lese-/Schreibzugriff |
ec2:CreateSecurityGroup |
Einsatz |
Lese-/Schreibzugriff |
|
ec2:CreateTags |
Einsatz |
Lese-/Schreibzugriff |
|
Löschen Sie die Sicherheitsgruppe, die vorübergehend für Validierungsknoten erstellt wurde |
ec2:DeleteSecurityGroup |
Einsatz |
Lese-/Schreibzugriff |
Abrufen von Instanzdetails für die Bereitstellung |
ec2:DescribeAddresses |
Einsatz |
Lese-/Schreibzugriff |
ec2:DescribeLaunchTemplates |
Einsatz |
Lese-/Schreibzugriff |
|
Starten Sie die erstellten Instanzen |
ec2:RunInstances |
Einsatz |
Lese-/Schreibzugriff |
Erstellen Sie FSX for ONTAP-Ressourcen, die für die Bereitstellung erforderlich sind. Für bestehende FSX for ONTAP Systeme wird eine neue SVM erstellt, die SQL Volumes hostet. |
fsx:CreateFileSystem |
Einsatz |
Lese-/Schreibzugriff |
fsx:CreateStorageVirtualMachine |
Einsatz |
Lese-/Schreibzugriff |
|
fsx: CreateVolume erstellen |
|
Lese-/Schreibzugriff |
|
FSX for ONTAP – Details |
fsx:DescribeFileSystemAliases |
Einsatz |
Lese-/Schreibzugriff |
Ändern der Größe von FSX für ONTAP-Dateisystem, um Reserve des Dateisystems zu beheben |
fsx:UpdateFilesystem |
Optimierung |
Lese-/Schreibzugriff |
Ändern Sie die Größe von Volumes zur Korrektur von Protokoll- und tempdb-Laufwerkgrößen |
fsx:UpdateVolumen |
Optimierung |
Lese-/Schreibzugriff |
KMS-Schlüsseldetails erhalten und FSX für ONTAP-Verschlüsselung verwenden |
Km:CreateGrant |
Einsatz |
Lese-/Schreibzugriff |
kms:DescribeCustomKeyStores |
Einsatz |
Lese-/Schreibzugriff |
|
Kms:GenerateDataKey |
Einsatz |
Lese-/Schreibzugriff |
|
Erstellen Sie CloudWatch-Protokolle für Validierungs- und Bereitstellungsskripte, die auf EC2-Instanzen ausgeführt werden |
Protokolle:CreateLogGroup |
Einsatz |
Lese-/Schreibzugriff |
Protokolle:CreateLogStream |
Einsatz |
Lese-/Schreibzugriff |
|
Protokolle:DescribeLogStreams |
|
Lese-/Schreibzugriff |
|
Protokolle:GetLogGroupFields |
Einsatz |
Lese-/Schreibzugriff |
|
Protokolle:GetLogRecord |
Einsatz |
Lese-/Schreibzugriff |
|
Protokolle:ListLogDeliveries |
Einsatz |
Lese-/Schreibzugriff |
|
Protokolle:PutLogEvents |
|
Lese-/Schreibzugriff |
|
Protokolle:TagResource |
Einsatz |
Lese-/Schreibzugriff |
|
Workload Factory wechselt zu Amazon CloudWatch-Protokollen für die SQL-Instanz, wenn eine Kürzung der SSM-Ausgabe auftritt |
Protokolle:GetLogEvents |
|
|
Erlauben Sie Workload Factory, aktuelle Protokollgruppen abzurufen und zu überprüfen, ob die Aufbewahrung für von Workload Factory erstellte Protokollgruppen festgelegt ist |
Protokolle:DescribeLogGroups |
|
Schreibgeschützt |
Erlauben Sie Workload Factory, eine eintägige Aufbewahrungsrichtlinie für von Workload Factory erstellte Protokollgruppen festzulegen, um eine unnötige Ansammlung von Protokollströmen für SSM-Befehlsausgaben zu vermeiden. |
Protokolle:PutRetentionPolicy |
|
|
Erstellen Sie Geheimnisse in einem Benutzerkonto für die Anmeldeinformationen für SQL, Domäne und FSX für ONTAP |
Service-Equotas:ListServiceQuotas |
Einsatz |
Lese-/Schreibzugriff |
Führen Sie die SNS-Themen des Kunden auf und veröffentlichen Sie sie in WLMDB-Backend-SNS sowie in Kunden-SNS, falls ausgewählt |
sns:listTopics |
Einsatz |
Lese-/Schreibzugriff |
sns:Veröffentlichen |
Einsatz |
Lese-/Schreibzugriff |
|
Erforderliche SSM-Berechtigungen, um das Erkennungsskript auf bereitgestellten SQL-Instanzen auszuführen und die aktuelle Liste von FSX für von ONTAP unterstützte AWS-Regionen abzurufen. |
ssm:PutComplianceItems |
Einsatz |
Lese-/Schreibzugriff |
ssm:PutConfigurePackageResult |
Einsatz |
Lese-/Schreibzugriff |
|
ssm:PutInventory |
Einsatz |
Lese-/Schreibzugriff |
|
ssm:SendCommand |
|
Lese-/Schreibzugriff |
|
ssm:UpdateAssociationStatus |
Einsatz |
Lese-/Schreibzugriff |
|
ssm:UpdateInstanceAssociationStatus |
Einsatz |
Lese-/Schreibzugriff |
|
ssm:UpdateInstanceInformation |
Einsatz |
Lese-/Schreibzugriff |
|
ssmmesages:CreateControlChannel |
Einsatz |
Lese-/Schreibzugriff |
|
ssmmesages:CreateDataChannel |
Einsatz |
Lese-/Schreibzugriff |
|
ssmmesages:OpenControlChannel |
Einsatz |
Lese-/Schreibzugriff |
|
ssmmesages:OpenDataChannel |
Einsatz |
Lese-/Schreibzugriff |
|
Anmeldedaten für FSX für ONTAP-, Active Directory- und SQL-Benutzer speichern (nur für SQL-Benutzerauthentifizierung) |
ssm:GetParameter 1 |
|
Lese-/Schreibzugriff |
ssm:GetParameters 1 |
|
Lese-/Schreibzugriff |
|
ssm:PutParameter 1 |
|
Lese-/Schreibzugriff |
|
ssm:DeleteParameters 1 |
|
Lese-/Schreibzugriff |
|
Signal CloudFormation Stack auf Erfolg oder Misserfolg. |
Cloudformation:SignalRessource 1 |
Einsatz |
Lese-/Schreibzugriff |
Fügen Sie die von Vorlage erstellte EC2-Rolle zum Instanzprofil von EC2 hinzu, um Skripts auf EC2 Zugriff auf die für die Implementierung erforderlichen Ressourcen zu ermöglichen. |
iam:AddRoleToInstanceProfile |
Einsatz |
Lese-/Schreibzugriff |
Instanzprofil für EC2 erstellen und erstellte EC2-Rolle zuweisen. |
iam:CreateInstanceProfil |
Einsatz |
Lese-/Schreibzugriff |
EC2-Rolle über Vorlage mit den unten aufgeführten Berechtigungen erstellen |
iam:CreateRollenole |
Einsatz |
Lese-/Schreibzugriff |
Mit EC2-Service verknüpfte Rolle erstellen |
iam:CreateServiceLinkedRole 2 |
Einsatz |
Lese-/Schreibzugriff |
Löschen Sie das während der Bereitstellung speziell für die Validierungsknoten erstellte Instanzprofil |
iam:DeleteInstanceProfil |
Einsatz |
Lese-/Schreibzugriff |
Rufen Sie die Rollen- und Richtliniendetails ab, um Lücken in der Berechtigung zu ermitteln und die Bereitstellung zu validieren |
iam:GetPolicy |
Einsatz |
Lese-/Schreibzugriff |
iam:GetPolicyVersion |
Einsatz |
Lese-/Schreibzugriff |
|
iam:GetRole |
Einsatz |
Lese-/Schreibzugriff |
|
iam:GetRolePolicy |
Einsatz |
Lese-/Schreibzugriff |
|
iam:GetUser |
Einsatz |
Lese-/Schreibzugriff |
|
Übergeben Sie die erstellte Rolle an EC2-Instanz |
iam:PassRole 3 |
Einsatz |
Lese-/Schreibzugriff |
Fügen Sie der erstellten EC2-Rolle eine Richtlinie mit den erforderlichen Berechtigungen hinzu |
iam:PuttePolicy |
Einsatz |
Lese-/Schreibzugriff |
Trennen der Rolle vom bereitgestellten EC2-Instanzprofil |
iam:RemoveRoleFromInstanceProfile |
Einsatz |
Lese-/Schreibzugriff |
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen |
iam:SimulatePrincipalPolicy |
Einsatz |
|
-
Die Berechtigung ist auf Ressourcen beschränkt, die mit WLMDB beginnen.
-
„iam:CreateServiceLinkedRole“ begrenzt durch „iam:AWSServiceName“: „ec2.amazonaws.com"*
-
"iam:PassRole" begrenzt durch "iam:PassedToService": "ec2.amazonaws.com"*
Berechtigungen für GenAI-Workloads
Die IAM-Richtlinien für VMware-Workloads bieten die Berechtigungen, die Workload Factory für VMware benötigt, um Ressourcen und Prozesse in Ihrer öffentlichen Cloud-Umgebung basierend auf dem Betriebsmodus zu verwalten, in dem Sie arbeiten.
GenAI IAM-Richtlinien sind nur im Lese-/Schreibmodus verfügbar:
IAM-Richtlinien für GenAI-Workloads
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Die folgende Tabelle enthält Einzelheiten zu den Berechtigungen für GenAI-Workloads.
Berechtigungstabelle für GenAI-Workloads
| Zweck | Aktion | Wo verwendet | Modus |
|---|---|---|---|
Ein Cloud-Formation-Stack für KI-Engine entsteht während Implementierung und Wiederherstellung |
CloudFormation:CreateStack |
Einsatz |
Lese-/Schreibzugriff |
Der Cloud-Formation-Stack für KI-Engine |
Wolkenbildung:DescribeStacks |
Einsatz |
Lese-/Schreibzugriff |
Listen Sie Regionen für den Implementierungsassistenten für KI-Engines auf |
ec2:DescribeRegionen |
Einsatz |
Lese-/Schreibzugriff |
Anzeigen von KI-Engine-Tags |
ec2:DescribeTags |
Einsatz |
Lese-/Schreibzugriff |
S3-Buckets auflisten |
s3:ListAllMyBuchs |
Einsatz |
Lese-/Schreibzugriff |
VPC-Endpunkte vor der Erstellung des AI-Engine-Stacks auflisten |
ec2:CreateVpcEndpoint |
Einsatz |
Lese-/Schreibzugriff |
Erstellen einer Sicherheitsgruppe für KI-Engines während der Erstellung des AI-Engine-Stacks bei Implementierungen und Neuerstellungen |
ec2:CreateSecurityGroup |
Einsatz |
Lese-/Schreibzugriff |
Markieren Sie Ressourcen, die durch die Stack-Erstellung von KI-Engines erstellt wurden, während der Implementierung oder Wiederherstellung |
ec2:CreateTags |
Einsatz |
Lese-/Schreibzugriff |
Veröffentlichen Sie verschlüsselte Ereignisse im WLMAI-Backend aus dem AI-Engine-Stack |
Kms:GenerateDataKey |
Einsatz |
Lese-/Schreibzugriff |
KMS:Entschlüsseln |
Einsatz |
Lese-/Schreibzugriff |
|
Veröffentlichen Sie Ereignisse und benutzerdefinierte Ressourcen im WLMAI-Backend aus dem Stack der ai-Engine |
sns:Veröffentlichen |
Einsatz |
Lese-/Schreibzugriff |
VPCs während des Assistenten für die Implementierung einer KI-Engine auflisten |
ec2:DescribeVpcs |
Einsatz |
Lese-/Schreibzugriff |
Subnetze im Assistenten für die Bereitstellung der ai-Engine auflisten |
ec2:DescribeSubnets |
Einsatz |
Lese-/Schreibzugriff |
Routingtabellen werden bei der Implementierung und beim Rebuild der KI-Engine abgerufen |
ec2:DescribeRouteTables |
Einsatz |
Lese-/Schreibzugriff |
Auflistung von Schlüsselpaaren während des Implementierungsassistenten für KI-Engines |
ec2:DescribeKeypairs |
Einsatz |
Lese-/Schreibzugriff |
Auflistung der Sicherheitsgruppen bei der Erstellung von KI-Engines (so werden Sicherheitsgruppen an privaten Endpunkten gefunden) |
ec2:DescribeSecurityGroups |
Einsatz |
Lese-/Schreibzugriff |
VPC-Endpunkte abrufen, um zu ermitteln, ob bei der Implementierung der KI-Engine irgendwelche erstellt werden sollten |
ec2:DescribeVpcEndpunkte |
Einsatz |
Lese-/Schreibzugriff |
Listen Sie die Anwendungen von Amazon Q Business auf |
QBusiness:ListenApplications |
Einsatz |
Lese-/Schreibzugriff |
Führen Sie Instanzen auf, um den Status der AI-Engine herauszufinden |
ec2:DescribeInstances |
Fehlerbehebung |
Lese-/Schreibzugriff |
Listet Images während der Erstellung des AI-Engine-Stacks bei Implementierungen und Neuerstellungen auf |
ec2:DescribeBilder |
Einsatz |
Lese-/Schreibzugriff |
Erstellung und Aktualisierung von Sicherheitsgruppen für AI-Instanzen und private Endpunkte während der Erstellung des KI-Instanz-Stacks bei Implementierungen und Neuerstellungen |
ec2:RevokeSecurityGroupEgress |
Einsatz |
Lese-/Schreibzugriff |
ec2:RevokeSecurityGroupIngress |
Einsatz |
Lese-/Schreibzugriff |
|
Während der Erstellung eines Cloud-Formation-Stacks führen Sie die KI-Engine während der Implementierung und Neuerstellung aus |
ec2:RunInstances |
Einsatz |
Lese-/Schreibzugriff |
Während der Stack-Erstellung während der Implementierung und der Wiederherstellung können Sie dann Sicherheitsgruppen hinzufügen und Regeln für die KI-Engine ändern |
ec2:AuthoriseSecurityGroupEgress |
Einsatz |
Lese-/Schreibzugriff |
ec2:AuthoriseSecurityGroupIngress |
Einsatz |
Lese-/Schreibzugriff |
|
Initiieren Sie eine Chat-Anfrage an eines der Basismodelle |
Bedrock:InvokeModelWithin ResponseStream |
Einsatz |
Lese-/Schreibzugriff |
Chat-/Einbettungsanfrage für Grundmodelle starten |
Bedrock:InvokeModel |
Einsatz |
Lese-/Schreibzugriff |
Zeigen Sie die verfügbaren Fundamentmodelle in einer Region an |
Bedrock:ListFoundationModels |
Einsatz |
Lese-/Schreibzugriff |
Informationen zu einem Basismodell abrufen |
Bedrock:GetFoundationModel |
Einsatz |
Lese-/Schreibzugriff |
Überprüfen Sie den Zugriff auf das Basismodell |
Bedrock:GetFoundationModelVerfügbarkeit |
Einsatz |
Lese-/Schreibzugriff |
Überprüfen Sie, ob die Amazon CloudWatch-Protokollgruppe während der Bereitstellung und Neuerstellung erstellt werden muss |
Protokolle:DescribeLogGroups |
Einsatz |
Lese-/Schreibzugriff |
Holen Sie sich Regionen, die FSX und Amazon Bedrock unterstützen, während der KI-Engine-Assistent |
ssm:GetParametersByPath |
Einsatz |
Lese-/Schreibzugriff |
Nutzen Sie das aktuelle Amazon Linux Image für die Implementierung der KI-Engine während des Implementierungs- und Neuerstellungsvorgangs |
ssm:GetParameters |
Einsatz |
Lese-/Schreibzugriff |
Erhalten Sie die SSM-Antwort vom Befehl, der an die AI-Engine gesendet wird |
ssm:GetCommandInvocation |
Einsatz |
Lese-/Schreibzugriff |
Überprüfen Sie die SSM-Verbindung zur AI-Engine |
ssm:SendCommand |
Einsatz |
Lese-/Schreibzugriff |
ssm:GetConnectionStatus |
Einsatz |
Lese-/Schreibzugriff |
|
Erstellung eines Instanzprofils für die KI-Engine bei der Stack-Erstellung während der Implementierung oder Neuerstellung |
iam:CreateRollenole |
Einsatz |
Lese-/Schreibzugriff |
iam:CreateInstanceProfil |
Einsatz |
Lese-/Schreibzugriff |
|
iam:AddRoleToInstanceProfile |
Einsatz |
Lese-/Schreibzugriff |
|
iam:PuttePolicy |
Einsatz |
Lese-/Schreibzugriff |
|
iam:GetRolePolicy |
Einsatz |
Lese-/Schreibzugriff |
|
iam:GetRole |
Einsatz |
Lese-/Schreibzugriff |
|
iam:TagRole |
Einsatz |
Lese-/Schreibzugriff |
|
iam:PassRole |
Einsatz |
Lese-/Schreibzugriff |
|
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen |
iam:SimulatePrincipalPolicy |
Einsatz |
Lese-/Schreibzugriff |
Listen Sie FSX für ONTAP-Dateisysteme während des Assistenten „Create Knowledge Base“ auf |
fsx:DescribeVolumes |
Erstellung einer Wissensdatenbank |
Lese-/Schreibzugriff |
Listen Sie FSX für ONTAP-Dateisystem-Volumes während des Assistenten „Create Knowledge Base“ auf |
fsx:DescribeFileSystems |
Erstellung einer Wissensdatenbank |
Lese-/Schreibzugriff |
Management von Wissensdatenbanken auf Basis der KI-Engine bei Neuerstellungen |
fsx:ListTagsForRessource |
Fehlerbehebung |
Lese-/Schreibzugriff |
Listen Sie FSX für ONTAP Dateisystem Speicher virtuelle Maschinen während des „Create Knowledge“-Knowledgebase-Assistenten auf |
fsx:DescribeStorageVirtualMachines |
Einsatz |
Lese-/Schreibzugriff |
Verschieben Sie die Wissensdatenbank in eine neue Instanz |
fsx:UntagResource |
Fehlerbehebung |
Lese-/Schreibzugriff |
Verwalten Sie die Wissensdatenbank auf der KI-Engine während des Rebuilds |
fsx:TagResource |
Fehlerbehebung |
Lese-/Schreibzugriff |
Speichern Sie SSM Secrets (ECR-Token, CIFS-Anmeldedaten, Mandanten-Service-Kontoschlüssel) auf sichere Weise |
ssm:GetParameter |
Einsatz |
Lese-/Schreibzugriff |
ssm:PutParameter |
Einsatz |
Lese-/Schreibzugriff |
|
Bei der Implementierung und Wiederherstellung werden die AI-Engine-Protokolle an die Amazon CloudWatch Protokollgruppe gesendet |
Protokolle:CreateLogGroup |
Einsatz |
Lese-/Schreibzugriff |
Protokolle:PutRetentionPolicy |
Einsatz |
Lese-/Schreibzugriff |
|
Senden Sie die AI-Engine-Protokolle an die Amazon CloudWatch-Protokollgruppe |
Protokolle:TagResource |
Fehlerbehebung |
Lese-/Schreibzugriff |
SSM-Antwort von Amazon CloudWatch abrufen (wenn die Antwort zu lang ist) |
Protokolle:DescribeLogStreams |
Fehlerbehebung |
Lese-/Schreibzugriff |
Erhalten Sie die SSM-Antwort von Amazon CloudWatch |
Protokolle:GetLogEvents |
Fehlerbehebung |
Lese-/Schreibzugriff |
Erstellen einer Amazon CloudWatch-Protokollgruppe für Amazon Bedrock-Protokolle während der Stack-Erstellung bei Bereitstellungs- und Neuerstellungsvorgängen |
Protokolle:CreateLogGroup |
Einsatz |
Lese-/Schreibzugriff |
Protokolle:PutRetentionPolicy |
Einsatz |
Lese-/Schreibzugriff |
|
Protokolle:TagResource |
Einsatz |
Lese-/Schreibzugriff |
|
Inferenzprofile für das Modell auflisten |
Bedrock:ListInferenceProfiles |
Fehlerbehebung |
Lese-/Schreibzugriff |
Berechtigungen für VMware-Workloads
Die IAM-Richtlinien für VMware-Workloads bieten die Berechtigungen, die Workload Factory für VMware benötigt, um Ressourcen und Prozesse in Ihrer öffentlichen Cloud-Umgebung basierend auf dem Betriebsmodus zu verwalten, in dem Sie arbeiten.
Wählen Sie Ihren Betriebsmodus aus, um die erforderlichen IAM-Richtlinien anzuzeigen:
IAM-Richtlinien für VMware-Workloads
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ssm:GetParametersByPath",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Die folgende Tabelle enthält Einzelheiten zu den Berechtigungen für VMware-Workloads.
Berechtigungstabelle für VMware-Workloads
| Zweck | Aktion | Wo verwendet | Modus |
|---|---|---|---|
Fügen Sie Sicherheitsgruppen hinzu, und ändern Sie Regeln für die bereitgestellten Knoten |
ec2:AuthoriseSecurityGroupIngress |
Einsatz |
Lese-/Schreibzugriff |
Erstellen von EBS Volumes |
ec2:CreateVolume |
Einsatz |
Lese-/Schreibzugriff |
Markieren Sie benutzerdefinierte Werte für FSX for NetApp ONTAP-Ressourcen, die von VMware-Workloads erstellt wurden |
fsx:TagResource |
Einsatz |
Lese-/Schreibzugriff |
Erstellen und Validieren der CloudFormation-Vorlage |
CloudFormation:CreateStack |
Einsatz |
Lese-/Schreibzugriff |
Verwalten von Tags und Netzwerksicherheit auf erstellten Instanzen |
ec2:CreateSecurityGroup |
Einsatz |
Lese-/Schreibzugriff |
Starten Sie die erstellten Instanzen |
ec2:RunInstances |
Einsatz |
Lese-/Schreibzugriff |
Hier finden Sie Details zur EC2-Instanz |
ec2:DescribeInstances |
Einsatz |
Lese-/Schreibzugriff |
Führen Sie während der Stapelerstellung während der Bereitstellung und Neuerstellung Images auf |
ec2:DescribeBilder |
Einsatz |
Lese-/Schreibzugriff |
Rufen Sie die VPCs in der ausgewählten Umgebung auf, um das Bereitstellungsformular auszufüllen |
ec2:DescribeVpcs |
|
|
Rufen Sie die Subnetze in der ausgewählten Umgebung ab, um das Bereitstellungsformular auszufüllen |
ec2:DescribeSubnets |
|
|
Rufen Sie die Sicherheitsgruppen in der ausgewählten Umgebung auf, um das Bereitstellungsformular auszufüllen |
ec2:DescribeSecurityGroups |
Einsatz |
|
Abrufen der Verfügbarkeitszonen in der ausgewählten Umgebung |
ec2:DescribeAvailability Zones |
|
|
Informieren Sie sich über die Regionen mit Amazon FSX for NetApp ONTAP Support |
ec2:DescribeRegionen |
Einsatz |
|
Holen Sie sich die Aliase von KMS-Schlüsseln, die für die Verschlüsselung mit Amazon FSX for NetApp ONTAP verwendet werden |
Km:ListAliase |
Einsatz |
|
Nutzen Sie KMS-Schlüssel für die Verschlüsselung mit Amazon FSX for NetApp ONTAP |
Kms:Listenschlüssel |
Einsatz |
|
Erhalten Sie KMS-Schlüssel Ablaufdetails für Amazon FSX für NetApp ONTAP-Verschlüsselung verwendet werden |
Kms:DescribeKey |
Einsatz |
|
SSM-basierte Abfrage wird verwendet, um die aktualisierte Liste der von Amazon FSX für NetApp ONTAP unterstützten Regionen zu erhalten |
ssm:GetParametersByPath |
Einsatz |
|
Erstellen Sie die für die Bereitstellung erforderlichen Ressourcen für Amazon FSX for NetApp ONTAP |
fsx:CreateFileSystem |
Einsatz |
Lese-/Schreibzugriff |
fsx:CreateStorageVirtualMachine |
Einsatz |
Lese-/Schreibzugriff |
|
fsx: CreateVolume erstellen |
|
Lese-/Schreibzugriff |
|
Amazon FSX for NetApp ONTAP – Details |
fsx:Beschreiben* |
|
Lese-/Schreibzugriff |
fsx:Liste* |
|
Lese-/Schreibzugriff |
|
KMS-Kerndetails und Verwendung für Amazon FSX for NetApp ONTAP Verschlüsselung |
Km:CreateGrant |
Einsatz |
Lese-/Schreibzugriff |
Km:Beschreiben* |
Einsatz |
Lese-/Schreibzugriff |
|
Km:Liste* |
Einsatz |
Lese-/Schreibzugriff |
|
KMS:Entschlüsseln |
Einsatz |
Lese-/Schreibzugriff |
|
Kms:GenerateDataKey |
Einsatz |
Lese-/Schreibzugriff |
|
Listen Sie die SNS-Themen des Kunden auf und veröffentlichen Sie sie in WLMVMC-Backend-SNS sowie in Kunden-SNS, falls ausgewählt |
sns:Veröffentlichen |
Einsatz |
Lese-/Schreibzugriff |
Wird verwendet, um die aktuelle Liste der von Amazon FSX for NetApp ONTAP unterstützten AWS-Regionen abzurufen |
ssm:get* |
|
Lese-/Schreibzugriff |
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen |
iam:SimulatePrincipalPolicy |
Einsatz |
Lese-/Schreibzugriff |
SSM-Parameterspeicher wird verwendet, um Anmeldeinformationen von Amazon FSX für NetApp ONTAP zu speichern |
ssm:GetParameter |
|
Lese-/Schreibzugriff |
ssm:PutParameters |
|
Lese-/Schreibzugriff |
|
ssm:PutParameter |
|
Lese-/Schreibzugriff |
|
ssm:DeleteParameters |
|
Lese-/Schreibzugriff |
Änderungsprotokoll
Wenn Berechtigungen hinzugefügt und entfernt werden, werden wir diese in den folgenden Abschnitten zur Kenntnis nehmen.
5. Oktober 2025
Die folgenden Berechtigungen wurden aus GenAI entfernt und werden jetzt von der GenAI-Engine verwaltet:
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
29 Juni 2025
Die folgende Berechtigung ist jetzt im schreibgeschützten Modus für Datenbanken verfügbar: cloudwatch:GetMetricData .
3 Juni 2025
Die folgende Berechtigung ist jetzt im Lese-/Schreibmodus für GenAI verfügbar: s3:ListAllMyBuckets .
4 Mai 2025
Die folgende Berechtigung ist jetzt im Lese-/Schreibmodus für GenAI verfügbar: qbusiness:ListApplications .
Die folgenden Berechtigungen sind jetzt im schreibgeschützten Modus für Datenbanken verfügbar:
-
logs:GetLogEvents -
logs:DescribeLogGroups
Die folgende Berechtigung ist jetzt im Lese-/Schreibmodus für Datenbanken verfügbar:
logs:PutRetentionPolicy .
Bis 2. April 2025
Die folgende Berechtigung ist jetzt im schreibgeschützten Modus für Datenbanken verfügbar: ssm:DescribeInstanceInformation .
30 März 2025
Aktualisierung der GenAI-Workload-Berechtigungen
Die folgenden Berechtigungen sind jetzt im Lese-/Schreibmodus für GenAI verfügbar:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
Die folgende Berechtigung wurde aus dem Lese-/Schreibmodus für GenAI entfernt: Bedrock:GetFoundationModel .
iam:SimulatePrincipalPolicy-Berechtigungsaktualisierung
Der iam:SimulatePrincipalPolicy Die Berechtigung ist Teil aller Workload-Berechtigungsrichtlinien, wenn Sie die automatische Berechtigungsprüfung beim Hinzufügen zusätzlicher AWS-Kontoanmeldeinformationen oder beim Hinzufügen einer neuen Workload-Funktion über die Workload Factory-Konsole aktivieren. Die Berechtigung simuliert Workload-Vorgänge und prüft, ob Sie über die erforderlichen AWS-Kontoberechtigungen verfügen, bevor Sie Ressourcen aus Workload Factory bereitstellen. Durch die Aktivierung dieser Prüfung verringern Sie den Zeit- und Arbeitsaufwand, der möglicherweise zum Bereinigen von Ressourcen aus fehlgeschlagenen Vorgängen und zum Hinzufügen fehlender Berechtigungen erforderlich ist.
2 März 2025
Die folgende Berechtigung ist jetzt im Lese-/Schreibmodus für GenAI verfügbar: bedrock:GetFoundationModel .
3 Februar 2025
Die folgende Berechtigung ist jetzt im schreibgeschützten Modus für Datenbanken verfügbar: iam:SimulatePrincipalPolicy .