Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Berechtigungen für die BlueXP -Workload-Fabrik

04/02/2025 Beitragende

PDFs

Um Funktionen und Services für die BlueXP -Workload-Farm verwenden zu können, müssen Sie Berechtigungen bereitstellen, damit die Workload-Factory Vorgänge in Ihrer Cloud-Umgebung ausführen kann.

Warum Berechtigungen verwenden

Wenn Sie Berechtigungen für den Lese- oder Automatisierungsmodus bereitstellen, hängt die Workload-Fabrik eine Richtlinie mit Berechtigungen zum Managen von Ressourcen und Prozessen in diesem AWS-Konto an die Instanz an. Auf diese Weise können die Workload-Fabrik verschiedene Operationen ausführen, angefangen bei der Erkennung Ihrer Storage-Umgebungen bis hin zur Bereitstellung von AWS-Ressourcen wie Dateisysteme im Storage-Management oder Wissensdatenbanken für GenAI-Workloads.

Wenn beispielsweise die Workload-Farm mit den erforderlichen Berechtigungen erteilt wird, durchsucht er alle EC2-Instanzen in einem bestimmten Konto und einer bestimmten Region und filtert alle Windows-basierten Maschinen. Wenn der AWS Systems Manager (SSM) Agent installiert ist und auf dem Host ausgeführt wird und das System Manager-Netzwerk ordnungsgemäß konfiguriert ist, kann die Workload Factory auf den Windows-Rechner zugreifen und überprüfen, ob die SQL Server-Software installiert ist oder nicht.

Berechtigungen nach Workload

Jeder Workload verwendet Berechtigungen, um bestimmte Aufgaben in der Workload-Fabrik auszuführen. Blättern Sie zu der Arbeitslast, die Sie verwenden, um die Liste der Berechtigungen, deren Zweck, wo sie verwendet werden und welche Modi sie unterstützen anzuzeigen.

Berechtigungen für Speicher

Die für Storage verfügbaren IAM-Richtlinien bieten die Berechtigungen, die die Workload-Fabrik für das Management von Ressourcen und Prozessen in Ihrer Public Cloud-Umgebung basierend auf dem von Ihnen verwendeten Betriebsmodus benötigt.

Wählen Sie Ihren Betriebsmodus aus, um die erforderlichen IAM-Richtlinien anzuzeigen:

IAM-Richtlinien für Storage

Lesemodus

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:Describe*",
        "fsx:ListTagsForResource",
        "ec2:Describe*",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Automate-Modus

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:*",
        "ec2:Describe*",
        "ec2:CreateTags",
        "ec2:CreateSecurityGroup",
        "iam:CreateServiceLinkedRole",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "kms:CreateGrant",
        "cloudwatch:PutMetricData",
        "cloudwatch:GetMetricData",
        "iam:SimulatePrincipalPolicy",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/AppCreator": "NetappFSxWF"
        }
      }
    }
  ]
}

In der folgenden Tabelle werden die Berechtigungen für Speicher angezeigt.

Berechtigungstabelle für Speicher

Zweck	Aktion	Wo verwendet	Modus
Erstellen Sie ein FSX für ONTAP-Dateisystem	fsx:CreateFileSystem*	Einsatz	Automatisieren
Erstellen Sie eine Sicherheitsgruppe für ein FSX für ONTAP-Dateisystem	ec2:CreateSecurityGroup	Einsatz	Automatisieren
Fügen Sie Tags zu einer Sicherheitsgruppe für ein FSX für ONTAP-Dateisystem hinzu	ec2:CreateTags	Einsatz	Automatisieren
Ausgang und Zugang der Sicherheitsgruppe für ein FSX für ONTAP Filesystem autorisieren	ec2:AuthoriseSecurityGroupEgress	Einsatz	Automatisieren
ec2:AuthoriseSecurityGroupIngress	Einsatz	Automatisieren
Die gewährte Rolle bietet die Kommunikation zwischen FSX für ONTAP und anderen AWS-Services	iam:CreateServiceLinkedRole	Einsatz	Automatisieren
Hier erhalten Sie Informationen zum Ausfüllen des Formulars FSX für die Bereitstellung des Dateisystems für ONTAP	ec2:DescribeVpcs	Einsatz Einsparungen entdecken	Lesen Automatisieren
ec2:DescribeSubnets	Einsatz Einsparungen entdecken	Lesen Automatisieren
ec2:DescribeRegionen	Einsatz Einsparungen entdecken	Lesen Automatisieren
ec2:DescribeSecurityGroups	Einsatz Einsparungen entdecken	Lesen Automatisieren
ec2:DescribeRouteTables	Einsatz Einsparungen entdecken	Lesen Automatisieren
ec2:DescribeNetworkInterfaces	Einsatz Einsparungen entdecken	Lesen Automatisieren
ec2:DescribeVolumeStatus	Einsatz Einsparungen entdecken	Lesen Automatisieren
KMS-Schlüsseldetails erhalten und FSX für ONTAP-Verschlüsselung verwenden	Km:CreateGrant	Einsatz	Automatisieren
Km:Beschreiben*	Einsatz	Lesen Automatisieren
Km:Liste*	Einsatz	Lesen Automatisieren
Abrufen von Volume-Details für EC2-Instanzen	ec2:DescribeVolumes	Inventar Einsparungen entdecken	Lesen Automatisieren
Informieren Sie sich über Details für EC2 Instanzen	ec2:DescribeInstances	Einsparungen entdecken	Lesen Automatisieren
Elastic File System im Einsparungsrechner beschreiben	Elasticdateisystem:deskribe*	Einsparungen entdecken	Lesen
Listen Sie Tags für FSX for ONTAP-Ressourcen auf	fsx:ListTagsForRessource	Inventar	Lesen Automatisieren
Ausgang und Ingress der Sicherheitsgruppe für ein FSX für ONTAP Filesystem managen	ec2:RevokeSecurityGroupIngress	Managementvorgänge	Automatisieren
ec2:DeleteSecurityGroup	Managementvorgänge	Automatisieren
Erstellen, Anzeigen und Verwalten von FSX for ONTAP-Dateisystemressourcen	fsx:CreateVolume*	Managementvorgänge	Automatisieren
fsx:TagResource*	Managementvorgänge	Automatisieren
fsx:CreateStorageVirtualMachine*	Managementvorgänge	Automatisieren
fsx: DeleteFileSystem*	Managementvorgänge	Automatisieren
fsx: DeleteStorageVirtualMachine*	Managementvorgänge	Automatisieren
fsx:DescribeFileSystems*	Inventar	Lesen Automatisieren
fsx:DescribeStorageVirtualMachines*	Inventar	Lesen Automatisieren
fsx:UpdateFileSystem*	Managementvorgänge	Automatisieren
fsx:UpdateStorageVirtualMachine*	Managementvorgänge	Automatisieren
fsx:DescribeVolumes*	Inventar	Lesen Automatisieren
fsx:UpdateVolumen*	Managementvorgänge	Automatisieren
fsx:DeleteVolumen*	Managementvorgänge	Automatisieren
fsx:UntagResource*	Managementvorgänge	Automatisieren
fsx:DescribeBackups*	Managementvorgänge	Lesen Automatisieren
fsx:CreateBackup*	Managementvorgänge	Automatisieren
fsx: CreateVolumeFromBackup*	Managementvorgänge	Automatisieren
CloudWatch-Kennzahlen berichten	cloudwatch:PutMetricData	Managementvorgänge	Automatisieren
Abrufen von Kennzahlen zu Dateisystem und Volume	cloudwatch:GetMetricData	Managementvorgänge	Lesen Automatisieren
cloudwatch:GetMetricStatistics	Managementvorgänge	Lesen Automatisieren

Zweck

Aktion

Wo verwendet

Modus

Erstellen Sie ein FSX für ONTAP-Dateisystem

fsx:CreateFileSystem*

Einsatz

Automatisieren

Erstellen Sie eine Sicherheitsgruppe für ein FSX für ONTAP-Dateisystem

ec2:CreateSecurityGroup

Einsatz

Automatisieren

Fügen Sie Tags zu einer Sicherheitsgruppe für ein FSX für ONTAP-Dateisystem hinzu

ec2:CreateTags

Einsatz

Automatisieren

Ausgang und Zugang der Sicherheitsgruppe für ein FSX für ONTAP Filesystem autorisieren

ec2:AuthoriseSecurityGroupEgress

Einsatz

Automatisieren

ec2:AuthoriseSecurityGroupIngress

Einsatz

Automatisieren

Die gewährte Rolle bietet die Kommunikation zwischen FSX für ONTAP und anderen AWS-Services

iam:CreateServiceLinkedRole

Einsatz

Automatisieren

Hier erhalten Sie Informationen zum Ausfüllen des Formulars FSX für die Bereitstellung des Dateisystems für ONTAP

ec2:DescribeVpcs

Einsatz
Einsparungen entdecken

Lesen
Automatisieren

ec2:DescribeSubnets

Einsatz
Einsparungen entdecken

Lesen
Automatisieren

ec2:DescribeRegionen

Einsatz
Einsparungen entdecken

Lesen
Automatisieren

ec2:DescribeSecurityGroups

Einsatz
Einsparungen entdecken

Lesen
Automatisieren

ec2:DescribeRouteTables

Einsatz
Einsparungen entdecken

Lesen
Automatisieren

ec2:DescribeNetworkInterfaces

Einsatz
Einsparungen entdecken

Lesen
Automatisieren

ec2:DescribeVolumeStatus

Einsatz
Einsparungen entdecken

Lesen
Automatisieren

KMS-Schlüsseldetails erhalten und FSX für ONTAP-Verschlüsselung verwenden

Km:CreateGrant

Einsatz

Automatisieren

Km:Beschreiben*

Einsatz

Lesen
Automatisieren

Km:Liste*

Einsatz

Lesen
Automatisieren

Abrufen von Volume-Details für EC2-Instanzen

ec2:DescribeVolumes

Inventar
Einsparungen entdecken

Lesen
Automatisieren

Informieren Sie sich über Details für EC2 Instanzen

ec2:DescribeInstances

Einsparungen entdecken

Lesen
Automatisieren

Elastic File System im Einsparungsrechner beschreiben

Elasticdateisystem:deskribe*

Einsparungen entdecken

Lesen

Listen Sie Tags für FSX for ONTAP-Ressourcen auf

fsx:ListTagsForRessource

Inventar

Lesen
Automatisieren

Ausgang und Ingress der Sicherheitsgruppe für ein FSX für ONTAP Filesystem managen

ec2:RevokeSecurityGroupIngress

Managementvorgänge

Automatisieren

ec2:DeleteSecurityGroup

Managementvorgänge

Automatisieren

Erstellen, Anzeigen und Verwalten von FSX for ONTAP-Dateisystemressourcen

fsx:CreateVolume*

Managementvorgänge

Automatisieren

fsx:TagResource*

Managementvorgänge

Automatisieren

fsx:CreateStorageVirtualMachine*

Managementvorgänge

Automatisieren

fsx: DeleteFileSystem*

Managementvorgänge

Automatisieren

fsx: DeleteStorageVirtualMachine*

Managementvorgänge

Automatisieren

fsx:DescribeFileSystems*

Inventar

Lesen
Automatisieren

fsx:DescribeStorageVirtualMachines*

Inventar

Lesen
Automatisieren

fsx:UpdateFileSystem*

Managementvorgänge

Automatisieren

fsx:UpdateStorageVirtualMachine*

Managementvorgänge

Automatisieren

fsx:DescribeVolumes*

Inventar

Lesen
Automatisieren

fsx:UpdateVolumen*

Managementvorgänge

Automatisieren

fsx:DeleteVolumen*

Managementvorgänge

Automatisieren

fsx:UntagResource*

Managementvorgänge

Automatisieren

fsx:DescribeBackups*

Managementvorgänge

Lesen
Automatisieren

fsx:CreateBackup*

Managementvorgänge

Automatisieren

fsx: CreateVolumeFromBackup*

Managementvorgänge

Automatisieren

CloudWatch-Kennzahlen berichten

cloudwatch:PutMetricData

Managementvorgänge

Automatisieren

Abrufen von Kennzahlen zu Dateisystem und Volume

cloudwatch:GetMetricData

Managementvorgänge

Lesen
Automatisieren

cloudwatch:GetMetricStatistics

Managementvorgänge

Lesen
Automatisieren

Berechtigungen für Datenbank-Workloads

Die für Datenbank-Workloads verfügbaren IAM-Richtlinien bieten die Berechtigungen, die die Workload-Fabrik für das Management von Ressourcen und Prozessen in Ihrer Public-Cloud-Umgebung basierend auf dem Betriebsmodus benötigt.

Wählen Sie Ihren Betriebsmodus aus, um die erforderlichen IAM-Richtlinien anzuzeigen:

IAM-Richtlinien für Datenbank-Workloads

Lesemodus

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CommonGroup",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "sns:ListTopics",
        "ec2:DescribeInstances",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeImages",
        "ec2:DescribeRegions",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes",
        "ec2:DescribeAddresses",
        "kms:ListAliases",
        "kms:ListKeys",
        "kms:DescribeKey",
        "cloudformation:ListStacks",
        "cloudformation:DescribeAccountLimits",
        "ds:DescribeDirectories",
        "fsx:DescribeVolumes",
        "fsx:DescribeBackups",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:DescribeFileSystems",
        "servicequotas:ListServiceQuotas",
        "ssm:GetParametersByPath",
        "ssm:GetCommandInvocation",
        "ssm:SendCommand",
        "ssm:GetConnectionStatus",
        "ssm:DescribePatchBaselines",
        "ssm:DescribeInstancePatchStates",
        "ssm:ListCommands",
        "ssm:DescribeInstanceInformation",
        "fsx:ListTagsForResource"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:GetParameters",
        "ssm:PutParameter",
        "ssm:DeleteParameters"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Automate-Modus

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EC2Group",
      "Effect": "Allow",
      "Action": [
        "ec2:AllocateAddress",
        "ec2:AllocateHosts",
        "ec2:AssignPrivateIpAddresses",
        "ec2:AssociateAddress",
        "ec2:AssociateRouteTable",
        "ec2:AssociateSubnetCidrBlock",
        "ec2:AssociateVpcCidrBlock",
        "ec2:AttachInternetGateway",
        "ec2:AttachNetworkInterface",
        "ec2:AttachVolume",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateVolume",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteSecurityGroup",
        "ec2:DeleteTags",
        "ec2:DeleteVolume",
        "ec2:DetachNetworkInterface",
        "ec2:DetachVolume",
        "ec2:DisassociateAddress",
        "ec2:DisassociateIamInstanceProfile",
        "ec2:DisassociateRouteTable",
        "ec2:DisassociateSubnetCidrBlock",
        "ec2:DisassociateVpcCidrBlock",
        "ec2:ModifyInstanceAttribute",
        "ec2:ModifyInstancePlacement",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:ModifySubnetAttribute",
        "ec2:ModifyVolume",
        "ec2:ModifyVolumeAttribute",
        "ec2:ReleaseAddress",
        "ec2:ReplaceRoute",
        "ec2:ReplaceRouteTableAssociation",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
        }
      }
    },
    {
      "Sid": "FSxNGroup",
      "Effect": "Allow",
      "Action": [
        "fsx:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
        }
      }
    },
    {
      "Sid": "CommonGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStacks",
        "cloudformation:ValidateTemplate",
        "cloudformation:DescribeAccountLimits",
        "cloudwatch:GetMetricStatistics",
        "ds:DescribeDirectories",
        "ec2:CreateLaunchTemplate",
        "ec2:CreateLaunchTemplateVersion",
        "ec2:CreateNetworkInterface",
        "ec2:CreateSecurityGroup",
        "ec2:CreateTags",
        "ec2:CreateVpcEndpoint",
        "ec2:Describe*",
        "ec2:Get*",
        "ec2:RunInstances",
        "ec2:ModifyVpcAttribute",
        "ec2messages:*",
        "fsx:CreateFileSystem",
        "fsx:UpdateFileSystem",
        "fsx:CreateStorageVirtualMachine",
        "fsx:CreateVolume",
        "fsx:UpdateVolume",
        "fsx:Describe*",
        "fsx:List*",
        "kms:CreateGrant",
        "kms:Describe*",
        "kms:List*",
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DescribeLog*",
        "logs:GetLog*",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:TagResource",
        "servicequotas:ListServiceQuotas",
        "sns:ListTopics",
        "sns:Publish",
        "ssm:Describe*",
        "ssm:Get*",
        "ssm:List*",
        "ssm:PutComplianceItems",
        "ssm:PutConfigurePackageResult",
        "ssm:PutInventory",
        "ssm:SendCommand",
        "ssm:UpdateAssociationStatus",
        "ssm:UpdateInstanceAssociationStatus",
        "ssm:UpdateInstanceInformation",
        "ssmmessages:*",
        "compute-optimizer:GetEnrollmentStatus",
        "compute-optimizer:PutRecommendationPreferences",
        "compute-optimizer:GetEffectiveRecommendationPreferences",
        "compute-optimizer:GetEC2InstanceRecommendations",
        "autoscaling:DescribeAutoScalingGroups",
        "autoscaling:DescribeAutoScalingInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "ArnGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:SignalResource"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/WLMDB*",
        "arn:aws:logs:*:*:log-group:WLMDB*"
      ]
    },
    {
      "Sid": "IAMGroup",
      "Effect": "Allow",
      "Action": [
        "iam:AddRoleToInstanceProfile",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:GetUser",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup1",
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "IAMGroup2",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:GetParameters",
        "ssm:PutParameter",
        "ssm:DeleteParameters"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
    }
  ]
}

In der folgenden Tabelle werden die Berechtigungen für Datenbank-Workloads angezeigt.

Berechtigungstabelle für Datenbank-Workloads

Zweck	Aktion	Wo verwendet	Modus
Abrufen von metrischen Statistiken für FSX für ONTAP, EBS und FSX für Windows File Server	cloudwatch:GetMetricStatistics	Inventar Einsparungen entdecken	Lesen Automatisieren
Listen Sie Auslöser für Ereignisse auf und legen Sie sie fest	sns:listTopics	Einsatz	Lesen Automatisieren
Informieren Sie sich über Details für EC2 Instanzen	ec2:DescribeInstances	Inventar Einsparungen entdecken	Lesen Automatisieren
ec2:DescribeKeypairs	Einsatz	Lesen Automatisieren
ec2:DescribeNetworkInterfaces	Einsatz	Lesen Automatisieren
ec2:DescribeInstanceTypes	Einsatz Einsparungen entdecken	Lesen Automatisieren
Informieren Sie sich, wie Sie das FSX for ONTAP-Implementierungsformular ausfüllen	ec2:DescribeVpcs	Einsatz Inventar	Lesen Automatisieren
ec2:DescribeSubnets	Einsatz Inventar	Lesen Automatisieren
ec2:DescribeSecurityGroups	Einsatz	Lesen Automatisieren
ec2:DescribeBilder	Einsatz	Lesen Automatisieren
ec2:DescribeRegionen	Einsatz	Lesen Automatisieren
ec2:DescribeRouteTables	Einsatz Inventar	Lesen Automatisieren
Holen Sie sich alle vorhandenen VPC-Endpunkte, um zu ermitteln, ob neue Endpunkte vor der Implementierung erstellt werden müssen	ec2:DescribeVpcEndpunkte	Einsatz Inventar	Lesen Automatisieren
Erstellen Sie VPC-Endpunkte, wenn sie für erforderliche Services unabhängig von der öffentlichen Netzwerkkonnektivität auf EC2-Instanzen nicht vorhanden sind	ec2:CreateVpcEndpoint	Einsatz	Automatisieren
Abrufen von Instanztypen in der Region für Validierungsknoten (t2.micro/t3.micro)	ec2:DescribeInstanceTypeOfferings	Einsatz	Lesen Automatisieren
Erhalten Sie Snapshot-Details zu jedem angebundenen EBS Volumes zur Preisgestaltung und Schätzung der Einsparungen	ec2:DescribeSnapshots	Einsparungen entdecken	Lesen Automatisieren
Informieren Sie sich über die einzelnen angebundenen EBS Volumes und erhalten Sie Informationen zu Preisen und einer Schätzung, die Einsparungen schätzt	ec2:DescribeVolumes	Inventar Einsparungen entdecken	Lesen Automatisieren
Erhalten Sie KMS-Schlüsseldetails für FSX für ONTAP-Dateisystemverschlüsselung	Km:ListAliase	Einsatz	Lesen Automatisieren
Kms:Listenschlüssel	Einsatz	Lesen Automatisieren
Kms:DescribeKey	Einsatz	Lesen Automatisieren
Holen Sie sich eine Liste der CloudFormation Stacks in der Umgebung, um Quota Limit zu überprüfen	CloudFormation:ListenStacks	Einsatz	Lesen Automatisieren
Überprüfen Sie die Kontenlimits für Ressourcen, bevor Sie die Bereitstellung auslösen	Cloudformation:DescribeAccountLimits	Einsatz	Lesen Automatisieren
Holen Sie sich eine Liste der von AWS gemanagten Active Directories in der Region	ds:DescribeDirectories	Einsatz	Lesen Automatisieren
Hier erhalten Sie Listen und Details zu Volumes, Backups, SVMs, Filesystemen in AZS und Tags für das Filesystem FSX for ONTAP	fsx:DescribeVolumes	Inventar Einsparungen Entdecken	Lesen Automatisieren
fsx:DescribeBackups	Inventar Einsparungen Entdecken	Lesen Automatisieren
fsx:DescribeStorageVirtualMachines	Einsatz Managen von Abläufen Inventar	Lesen Automatisieren
fsx:DescribeFileSystems	Einsatz Managen von Abläufen Inventar Einsparungen entdecken	Lesen Automatisieren
fsx:ListTagsForRessource	Managen von Abläufen	Lesen Automatisieren
Nutzen Sie Service-Quota-Limits für CloudFormation und VPC	Service-Equotas:ListServiceQuotas	Einsatz	Lesen Automatisieren
Verwenden Sie SSM-basierte Abfrage, um die aktualisierte Liste von FSX für ONTAP unterstützte Regionen zu erhalten	ssm:GetParametersByPath	Einsatz	Lesen Automatisieren
Abfrage der SSM-Antwort nach dem Senden des Befehls für Verwaltungsvorgänge nach der Bereitstellung	ssm:GetCommandInvocation	Managen von Abläufen Inventar Einsparungen entdecken Optimierung	Lesen Automatisieren
Senden von Befehlen über SSM an EC2-Instanzen	ssm:SendCommand	Managen von Abläufen Inventar Einsparungen entdecken Optimierung	Lesen Automatisieren
Ermitteln Sie den SSM-Konnektivitätsstatus der Instanzen nach der Bereitstellung	ssm:GetConnectionStatus	Managen von Abläufen Inventar Optimierung	Lesen Automatisieren
Abrufen des SSM-Zuordnungsstatus für eine Gruppe von gemanagten EC2-Instanzen (SQL-Nodes)	ssm:DescribeInstanceInformation	Inventar	Lesen
Liste der verfügbaren Patch-Basispläne für die Bewertung von Patches des Betriebssystems abrufen	ssm:DescribePatchBaselines	Optimierung	Lesen Automatisieren
Ermitteln Sie den Patchstatus auf Windows EC2-Instanzen für die Bewertung von Betriebssystem-Patches	ssm:DescribeInstancePatchStates	Optimierung	Lesen Automatisieren
Führen Sie Befehle auf, die von AWS Patch Manager auf EC2-Instanzen für das Patch-Management des Betriebssystems ausgeführt werden	ssm:ListCommands	Optimierung	Lesen Automatisieren
Prüfen Sie, ob das Konto bei AWS Compute Optimizer registriert ist	compute-Optimizer:GetEnrollmentStatus	Einsparungen entdecken Optimierung	Automatisieren
Aktualisieren Sie in AWS Compute Optimizer eine vorhandene Empfehlung, um die auf SQL Server-Workloads abgestimmten Empfehlungen zu erhalten	compute-Optimizer:PutRecommendationPreferences	Einsparungen entdecken Optimierung	Automatisieren
Holen Sie sich die empfohlenen Einstellungen für eine bestimmte Ressource von AWS Compute Optimizer	compute-Optimizer:GetEffectiveEmpfehlungPreferences	Einsparungen entdecken Optimierung	Automatisieren
Holen Sie sich Empfehlungen ab, die AWS Compute Optimizer für Amazon Elastic Compute Cloud (Amazon EC2) Instanzen generiert	compute-Optimizer:GetEC2InstanceRecommendations	Einsparungen entdecken Optimierung	Automatisieren
Überprüfen Sie die Zuordnung von Instanzen zu Gruppen mit automatischer Skalierung	Automatische Skalierung:DescribeAutoScalingGroups	Einsparungen entdecken Optimierung	Automatisieren
Automatische Skalierung:DescribeAutoScalingInstances	Einsparungen entdecken Optimierung	Automatisieren
Abrufen, Auflisten, Erstellen und Löschen von SSM-Parametern für AD, FSX für ONTAP und SQL-Benutzeranmeldeinformationen, die während der Bereitstellung verwendet oder in Ihrem AWS-Konto verwaltet werden	ssm:GetParameter ¹	Einsatz Managen von Abläufen	Lesen Automatisieren
ssm:GetParameters ¹	Managen von Abläufen	Lesen Automatisieren
ssm:PutParameter ¹	Einsatz Managen von Abläufen	Lesen Automatisieren
ssm:DeleteParameters ¹	Managen von Abläufen	Lesen Automatisieren
Zuordnen von Netzwerkressourcen zu SQL-Knoten und Validierungsknoten und Hinzufügen weiterer sekundärer IPs zu SQL-Knoten	ec2:AllocateAddress ¹	Einsatz	Automatisieren
ec2:AllocateHosts ¹	Einsatz	Automatisieren
ec2:AssignPrivateIpAddresses ¹	Einsatz	Automatisieren
ec2:AssociateAddress ¹	Einsatz	Automatisieren
ec2:AssociateRouteTable ¹	Einsatz	Automatisieren
ec2:AssociateSubnetCidrBlock ¹	Einsatz	Automatisieren
ec2:AssociateVpcCidrBlock ¹	Einsatz	Automatisieren
ec2:AttachInternetGateway ¹	Einsatz	Automatisieren
ec2:AttachNetworkInterface ¹	Einsatz	Automatisieren
Verbinden Sie die für die Implementierung erforderlichen EBS Volumes mit den SQL Nodes	ec2:AttachVolume	Einsatz	Automatisieren
Fügen Sie Sicherheitsgruppen hinzu, und ändern Sie Regeln für die bereitgestellten Knoten	ec2:AuthoriseSecurityGroupEgress	Einsatz	Automatisieren
ec2:AuthoriseSecurityGroupIngress	Einsatz	Automatisieren
Erstellen Sie EBS Volumes, die den SQL Nodes für die Implementierung benötigt werden	ec2:CreateVolume	Einsatz	Automatisieren
Entfernen Sie die temporären Validierungs-Nodes, die vom Typ t2.micro erstellt wurden, und für Rollback oder erneute Versuche ausgefallener EC2 SQL-Nodes	ec2:DeleteNetworkInterface	Einsatz	Automatisieren
ec2:DeleteSecurityGroup	Einsatz	Automatisieren
ec2:DeleteTags	Einsatz	Automatisieren
ec2:DeleteVolume	Einsatz	Automatisieren
ec2:DetachNetworkInterface	Einsatz	Automatisieren
ec2:DetachVolume	Einsatz	Automatisieren
ec2:DisassociateAddress	Einsatz	Automatisieren
ec2:DisassociateIamInstanceProfil	Einsatz	Automatisieren
ec2:DisassociateRouteTable	Einsatz	Automatisieren
ec2:DisassociateSubnetCidrBlock	Einsatz	Automatisieren
ec2:DisassociateVpcCidrBlock	Einsatz	Automatisieren
Attribute für erstellte SQL-Instanzen ändern. Gilt nur für Namen, die mit WLMDB beginnen.	ec2:ModifyInstanceAttribut	Einsatz	Automatisieren
ec2: ModifyInstancePlacement	Einsatz	Automatisieren
ec2:ModifyNetworkInterface Attribute	Einsatz	Automatisieren
ec2:ModifySubnetAttribute	Einsatz	Automatisieren
ec2:ModifyVolume	Einsatz	Automatisieren
ec2:ModifyVolumeAttribute	Einsatz	Automatisieren
ec2:ModifyVpcAttribute	Einsatz	Automatisieren
Aufheben und Löschen von Validierungsinstanzen	ec2: ReleaseAddress	Einsatz	Automatisieren
ec2:ReplaceRoute	Einsatz	Automatisieren
ec2:ReplaceRouteTableAssociation	Einsatz	Automatisieren
ec2:RevokeSecurityGroupEgress	Einsatz	Automatisieren
ec2:RevokeSecurityGroupIngress	Einsatz	Automatisieren
Starten Sie die bereitgestellten Instanzen	ec2:StartInstances	Einsatz	Automatisieren
Stoppen Sie die bereitgestellten Instanzen	ec2:StopInstances	Einsatz	Automatisieren
Markieren Sie benutzerdefinierte Werte für von WLMDB erstellte Amazon FSX for NetApp ONTAP-Ressourcen, um Rechnungsdetails während der Ressourcenverwaltung zu erhalten	fsx:TagResource ¹	Einsatz Managen von Abläufen	Automatisieren
CloudFormation-Vorlage für die Bereitstellung erstellen und validieren	CloudFormation:CreateStack	Einsatz	Automatisieren
Molkenbildung:DescribeStackEvents	Einsatz	Automatisieren
Wolkenbildung:DescribeStacks	Einsatz	Automatisieren
CloudFormation:ListenStacks	Einsatz	Automatisieren
Cloudformation:ValidierteVorlage	Einsatz	Automatisieren
Holen Sie sich Metriken zur Empfehlung zur Compute-Optimierung ab	cloudwatch:GetMetricStatistics	Einsparungen entdecken	Automatisieren
Holen Sie die in der Region verfügbaren Verzeichnisse ab	ds:DescribeDirectories	Einsatz	Automatisieren
Fügen Sie Regeln für die Sicherheitsgruppe hinzu, die an bereitgestellte EC2-Instanzen angehängt ist	ec2:AuthoriseSecurityGroupEgress	Einsatz	Automatisieren
ec2:AuthoriseSecurityGroupIngress	Einsatz	Automatisieren
Erstellen Sie verschachtelte Stapelvorlagen für den erneuten Versuch und Rollback	ec2:CreateLaunchTemplate	Einsatz	Automatisieren
ec2:CreateLaunchTemplateVersion	Einsatz	Automatisieren
Verwalten von Tags und Netzwerksicherheit auf erstellten Instanzen	ec2:CreateNetworkInterface	Einsatz	Automatisieren
ec2:CreateSecurityGroup	Einsatz	Automatisieren
ec2:CreateTags	Einsatz	Automatisieren
Löschen Sie die Sicherheitsgruppe, die vorübergehend für Validierungsknoten erstellt wurde	ec2:DeleteSecurityGroup	Einsatz	Automatisieren
Abrufen von Instanzdetails für die Bereitstellung	ec2: Beschreiben*	Einsatz Inventar Einsparungen entdecken	Automatisieren
ec2:get*	Einsatz Inventar Einsparungen entdecken	Automatisieren
Starten Sie die erstellten Instanzen	ec2:RunInstances	Einsatz	Automatisieren
System Manager verwendet den AWS Endpunkt des Nachrichtenbereitstellungsservices für API-Vorgänge	Ec2messages:*	Bereitstellung * Inventar	Automatisieren
Erstellen Sie FSX for ONTAP-Ressourcen, die für die Bereitstellung erforderlich sind. Für bestehende FSX for ONTAP Systeme wird eine neue SVM erstellt, die SQL Volumes hostet.	fsx:CreateFileSystem	Einsatz	Automatisieren
fsx:CreateStorageVirtualMachine	Einsatz	Automatisieren
fsx: CreateVolume erstellen	Einsatz Managen von Abläufen	Automatisieren
FSX for ONTAP – Details	fsx:Beschreiben*	Einsatz Inventar Managen von Abläufen Einsparungen entdecken	Automatisieren
fsx:Liste*	Einsatz Inventar	Automatisieren
Ändern der Größe von FSX für ONTAP-Dateisystem, um Reserve des Dateisystems zu beheben	fsx:UpdateFilesystem	Optimierung	Automatisieren
Ändern Sie die Größe von Volumes zur Korrektur von Protokoll- und tempdb-Laufwerkgrößen	fsx:UpdateVolumen	Optimierung	Automatisieren
KMS-Schlüsseldetails erhalten und FSX für ONTAP-Verschlüsselung verwenden	Km:CreateGrant	Einsatz	Automatisieren
Km:Beschreiben*	Einsatz	Automatisieren
Km:Liste*	Einsatz	Automatisieren
Kms:GenerateDataKey	Einsatz	Automatisieren
Erstellen Sie CloudWatch-Protokolle für Validierungs- und Bereitstellungsskripte, die auf EC2-Instanzen ausgeführt werden	Protokolle:CreateLogGroup	Einsatz	Automatisieren
Protokolle:CreateLogStream	Einsatz	Automatisieren
Protokolle:DescribeLog*	Einsatz	Automatisieren
Protokolle:getlog*	Einsatz	Automatisieren
Protokolle:ListLogDeliveries	Einsatz	Automatisieren
Protokolle:PutLogEvents	Einsatz Managen von Abläufen	Automatisieren
Protokolle:TagResource	Einsatz	Automatisieren
Erstellen Sie Geheimnisse in einem Benutzerkonto für die Anmeldeinformationen für SQL, Domäne und FSX für ONTAP	Service-Equotas:ListServiceQuotas	Einsatz	Automatisieren
Führen Sie die SNS-Themen des Kunden auf und veröffentlichen Sie sie in WLMDB-Backend-SNS sowie in Kunden-SNS, falls ausgewählt	sns:listTopics	Einsatz	Automatisieren
sns:Veröffentlichen	Einsatz	Automatisieren
Erforderliche SSM-Berechtigungen, um das Erkennungsskript auf bereitgestellten SQL-Instanzen auszuführen und die aktuelle Liste von FSX für von ONTAP unterstützte AWS-Regionen abzurufen.	ssm:Beschreiben*	Einsatz	Automatisieren
ssm:get*	Einsatz Managen von Abläufen	Automatisieren
ssm:Liste*	Einsatz	Automatisieren
ssm:PutComplianceItems	Einsatz	Automatisieren
ssm:PutConfigurePackageResult	Einsatz	Automatisieren
ssm:PutInventory	Einsatz	Automatisieren
ssm:SendCommand	Einsatz Inventar Managen von Abläufen	Automatisieren
ssm:UpdateAssociationStatus	Einsatz	Automatisieren
ssm:UpdateInstanceAssociationStatus	Einsatz	Automatisieren
ssm:UpdateInstanceInformation	Einsatz	Automatisieren
Ssmmessages:*	Einsatz Inventar Managen von Abläufen	Automatisieren
Anmeldedaten für FSX für ONTAP-, Active Directory- und SQL-Benutzer speichern (nur für SQL-Benutzerauthentifizierung)	ssm:GetParameter ¹	Einsatz Managen von Abläufen Inventar	Automatisieren
ssm:GetParameters ¹	Einsatz Inventar	Automatisieren
ssm:PutParameter ¹	Einsatz Managen von Abläufen	Automatisieren
ssm:DeleteParameters ¹	Einsatz Managen von Abläufen	Automatisieren
Signal CloudFormation Stack auf Erfolg oder Misserfolg.	Cloudformation:SignalRessource ¹	Einsatz	Automatisieren
Fügen Sie die von Vorlage erstellte EC2-Rolle zum Instanzprofil von EC2 hinzu, um Skripts auf EC2 Zugriff auf die für die Implementierung erforderlichen Ressourcen zu ermöglichen.	iam:AddRoleToInstanceProfile	Einsatz	Automatisieren
Instanzprofil für EC2 erstellen und erstellte EC2-Rolle zuweisen.	iam:CreateInstanceProfil	Einsatz	Automatisieren
EC2-Rolle über Vorlage mit den unten aufgeführten Berechtigungen erstellen	iam:CreateRollenole	Einsatz	Automatisieren
Mit EC2-Service verknüpfte Rolle erstellen	iam:CreateServiceLinkedRole ²	Einsatz	Automatisieren
Löschen Sie das während der Bereitstellung speziell für die Validierungsknoten erstellte Instanzprofil	iam:DeleteInstanceProfil	Einsatz	Automatisieren
Rufen Sie die Rollen- und Richtliniendetails ab, um Lücken in der Berechtigung zu ermitteln und die Bereitstellung zu validieren	iam:GetPolicy	Einsatz	Automatisieren
iam:GetPolicyVersion	Einsatz	Automatisieren
iam:GetRole	Einsatz	Automatisieren
iam:GetRolePolicy	Einsatz	Automatisieren
iam:GetUser	Einsatz	Automatisieren
Übergeben Sie die erstellte Rolle an EC2-Instanz	iam:PassRole ³	Einsatz	Automatisieren
Fügen Sie der erstellten EC2-Rolle eine Richtlinie mit den erforderlichen Berechtigungen hinzu	iam:PuttePolicy	Einsatz	Automatisieren
Trennen der Rolle vom bereitgestellten EC2-Instanzprofil	iam:RemoveRoleFromInstanceProfile	Einsatz	Automatisieren
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen	iam:SimulatePrincipalPolicy	Einsatz	Lesen Automatisieren

Zweck

Aktion

Wo verwendet

Modus

Abrufen von metrischen Statistiken für FSX für ONTAP, EBS und FSX für Windows File Server

cloudwatch:GetMetricStatistics

Inventar
Einsparungen entdecken

Lesen
Automatisieren

Listen Sie Auslöser für Ereignisse auf und legen Sie sie fest

sns:listTopics

Einsatz

Lesen
Automatisieren

Informieren Sie sich über Details für EC2 Instanzen

ec2:DescribeInstances

Inventar
Einsparungen entdecken

Lesen
Automatisieren

ec2:DescribeKeypairs

Einsatz

Lesen
Automatisieren

ec2:DescribeNetworkInterfaces

Einsatz

Lesen
Automatisieren

ec2:DescribeInstanceTypes

Einsatz
Einsparungen entdecken

Lesen
Automatisieren

Informieren Sie sich, wie Sie das FSX for ONTAP-Implementierungsformular ausfüllen

ec2:DescribeVpcs

Einsatz
Inventar

Lesen
Automatisieren

ec2:DescribeSubnets

Einsatz
Inventar

Lesen
Automatisieren

ec2:DescribeSecurityGroups

Einsatz

Lesen
Automatisieren

ec2:DescribeBilder

Einsatz

Lesen
Automatisieren

ec2:DescribeRegionen

Einsatz

Lesen
Automatisieren

ec2:DescribeRouteTables

Einsatz
Inventar

Lesen
Automatisieren

Holen Sie sich alle vorhandenen VPC-Endpunkte, um zu ermitteln, ob neue Endpunkte vor der Implementierung erstellt werden müssen

ec2:DescribeVpcEndpunkte

Einsatz
Inventar

Lesen
Automatisieren

Erstellen Sie VPC-Endpunkte, wenn sie für erforderliche Services unabhängig von der öffentlichen Netzwerkkonnektivität auf EC2-Instanzen nicht vorhanden sind

ec2:CreateVpcEndpoint

Einsatz

Automatisieren

Abrufen von Instanztypen in der Region für Validierungsknoten (t2.micro/t3.micro)

ec2:DescribeInstanceTypeOfferings

Einsatz

Lesen
Automatisieren

Erhalten Sie Snapshot-Details zu jedem angebundenen EBS Volumes zur Preisgestaltung und Schätzung der Einsparungen

ec2:DescribeSnapshots

Einsparungen entdecken

Lesen
Automatisieren

Informieren Sie sich über die einzelnen angebundenen EBS Volumes und erhalten Sie Informationen zu Preisen und einer Schätzung, die Einsparungen schätzt

ec2:DescribeVolumes

Inventar
Einsparungen entdecken

Lesen
Automatisieren

Erhalten Sie KMS-Schlüsseldetails für FSX für ONTAP-Dateisystemverschlüsselung

Km:ListAliase

Einsatz

Lesen
Automatisieren

Kms:Listenschlüssel

Einsatz

Lesen
Automatisieren

Kms:DescribeKey

Einsatz

Lesen
Automatisieren

Holen Sie sich eine Liste der CloudFormation Stacks in der Umgebung, um Quota Limit zu überprüfen

CloudFormation:ListenStacks

Einsatz

Lesen
Automatisieren

Überprüfen Sie die Kontenlimits für Ressourcen, bevor Sie die Bereitstellung auslösen

Cloudformation:DescribeAccountLimits

Einsatz

Lesen
Automatisieren

Holen Sie sich eine Liste der von AWS gemanagten Active Directories in der Region

ds:DescribeDirectories

Einsatz

Lesen
Automatisieren

Hier erhalten Sie Listen und Details zu Volumes, Backups, SVMs, Filesystemen in AZS und Tags für das Filesystem FSX for ONTAP

fsx:DescribeVolumes

Inventar
Einsparungen Entdecken

Lesen
Automatisieren

fsx:DescribeBackups

Inventar
Einsparungen Entdecken

Lesen
Automatisieren

fsx:DescribeStorageVirtualMachines

Einsatz
Managen von Abläufen
Inventar

Lesen
Automatisieren

fsx:DescribeFileSystems

Einsatz
Managen von Abläufen
Inventar
Einsparungen entdecken

Lesen
Automatisieren

fsx:ListTagsForRessource

Managen von Abläufen

Lesen
Automatisieren

Nutzen Sie Service-Quota-Limits für CloudFormation und VPC

Service-Equotas:ListServiceQuotas

Einsatz

Lesen
Automatisieren

Verwenden Sie SSM-basierte Abfrage, um die aktualisierte Liste von FSX für ONTAP unterstützte Regionen zu erhalten

ssm:GetParametersByPath

Einsatz

Lesen
Automatisieren

Abfrage der SSM-Antwort nach dem Senden des Befehls für Verwaltungsvorgänge nach der Bereitstellung

ssm:GetCommandInvocation

Managen von Abläufen
Inventar
Einsparungen entdecken
Optimierung

Lesen
Automatisieren

Senden von Befehlen über SSM an EC2-Instanzen

ssm:SendCommand

Managen von Abläufen
Inventar
Einsparungen entdecken
Optimierung

Lesen
Automatisieren

Ermitteln Sie den SSM-Konnektivitätsstatus der Instanzen nach der Bereitstellung

ssm:GetConnectionStatus

Managen von Abläufen
Inventar
Optimierung

Lesen
Automatisieren

Abrufen des SSM-Zuordnungsstatus für eine Gruppe von gemanagten EC2-Instanzen (SQL-Nodes)

ssm:DescribeInstanceInformation

Inventar

Lesen

Liste der verfügbaren Patch-Basispläne für die Bewertung von Patches des Betriebssystems abrufen

ssm:DescribePatchBaselines

Optimierung

Lesen
Automatisieren

Ermitteln Sie den Patchstatus auf Windows EC2-Instanzen für die Bewertung von Betriebssystem-Patches

ssm:DescribeInstancePatchStates

Optimierung

Lesen
Automatisieren

Führen Sie Befehle auf, die von AWS Patch Manager auf EC2-Instanzen für das Patch-Management des Betriebssystems ausgeführt werden

ssm:ListCommands

Optimierung

Lesen
Automatisieren

Prüfen Sie, ob das Konto bei AWS Compute Optimizer registriert ist

compute-Optimizer:GetEnrollmentStatus

Einsparungen entdecken
Optimierung

Automatisieren

Aktualisieren Sie in AWS Compute Optimizer eine vorhandene Empfehlung, um die auf SQL Server-Workloads abgestimmten Empfehlungen zu erhalten

compute-Optimizer:PutRecommendationPreferences

Einsparungen entdecken
Optimierung

Automatisieren

Holen Sie sich die empfohlenen Einstellungen für eine bestimmte Ressource von AWS Compute Optimizer

compute-Optimizer:GetEffectiveEmpfehlungPreferences

Einsparungen entdecken
Optimierung

Automatisieren

Holen Sie sich Empfehlungen ab, die AWS Compute Optimizer für Amazon Elastic Compute Cloud (Amazon EC2) Instanzen generiert

compute-Optimizer:GetEC2InstanceRecommendations

Einsparungen entdecken
Optimierung

Automatisieren

Überprüfen Sie die Zuordnung von Instanzen zu Gruppen mit automatischer Skalierung

Automatische Skalierung:DescribeAutoScalingGroups

Einsparungen entdecken
Optimierung

Automatisieren

Automatische Skalierung:DescribeAutoScalingInstances

Einsparungen entdecken
Optimierung

Automatisieren

Abrufen, Auflisten, Erstellen und Löschen von SSM-Parametern für AD, FSX für ONTAP und SQL-Benutzeranmeldeinformationen, die während der Bereitstellung verwendet oder in Ihrem AWS-Konto verwaltet werden

ssm:GetParameter ¹

Einsatz
Managen von Abläufen

Lesen
Automatisieren

ssm:GetParameters ¹

Managen von Abläufen

Lesen
Automatisieren

ssm:PutParameter ¹

Einsatz
Managen von Abläufen

Lesen
Automatisieren

ssm:DeleteParameters ¹

Managen von Abläufen

Lesen
Automatisieren

Zuordnen von Netzwerkressourcen zu SQL-Knoten und Validierungsknoten und Hinzufügen weiterer sekundärer IPs zu SQL-Knoten

ec2:AllocateAddress ¹

Einsatz

Automatisieren

ec2:AllocateHosts ¹

Einsatz

Automatisieren

ec2:AssignPrivateIpAddresses ¹

Einsatz

Automatisieren

ec2:AssociateAddress ¹

Einsatz

Automatisieren

ec2:AssociateRouteTable ¹

Einsatz

Automatisieren

ec2:AssociateSubnetCidrBlock ¹

Einsatz

Automatisieren

ec2:AssociateVpcCidrBlock ¹

Einsatz

Automatisieren

ec2:AttachInternetGateway ¹

Einsatz

Automatisieren

ec2:AttachNetworkInterface ¹

Einsatz

Automatisieren

Verbinden Sie die für die Implementierung erforderlichen EBS Volumes mit den SQL Nodes

ec2:AttachVolume

Einsatz

Automatisieren

Fügen Sie Sicherheitsgruppen hinzu, und ändern Sie Regeln für die bereitgestellten Knoten

ec2:AuthoriseSecurityGroupEgress

Einsatz

Automatisieren

ec2:AuthoriseSecurityGroupIngress

Einsatz

Automatisieren

Erstellen Sie EBS Volumes, die den SQL Nodes für die Implementierung benötigt werden

ec2:CreateVolume

Einsatz

Automatisieren

Entfernen Sie die temporären Validierungs-Nodes, die vom Typ t2.micro erstellt wurden, und für Rollback oder erneute Versuche ausgefallener EC2 SQL-Nodes

ec2:DeleteNetworkInterface

Einsatz

Automatisieren

ec2:DeleteSecurityGroup

Einsatz

Automatisieren

ec2:DeleteTags

Einsatz

Automatisieren

ec2:DeleteVolume

Einsatz

Automatisieren

ec2:DetachNetworkInterface

Einsatz

Automatisieren

ec2:DetachVolume

Einsatz

Automatisieren

ec2:DisassociateAddress

Einsatz

Automatisieren

ec2:DisassociateIamInstanceProfil

Einsatz

Automatisieren

ec2:DisassociateRouteTable

Einsatz

Automatisieren

ec2:DisassociateSubnetCidrBlock

Einsatz

Automatisieren

ec2:DisassociateVpcCidrBlock

Einsatz

Automatisieren

Attribute für erstellte SQL-Instanzen ändern. Gilt nur für Namen, die mit WLMDB beginnen.

ec2:ModifyInstanceAttribut

Einsatz

Automatisieren

ec2: ModifyInstancePlacement

Einsatz

Automatisieren

ec2:ModifyNetworkInterface Attribute

Einsatz

Automatisieren

ec2:ModifySubnetAttribute

Einsatz

Automatisieren

ec2:ModifyVolume

Einsatz

Automatisieren

ec2:ModifyVolumeAttribute

Einsatz

Automatisieren

ec2:ModifyVpcAttribute

Einsatz

Automatisieren

Aufheben und Löschen von Validierungsinstanzen

ec2: ReleaseAddress

Einsatz

Automatisieren

ec2:ReplaceRoute

Einsatz

Automatisieren

ec2:ReplaceRouteTableAssociation

Einsatz

Automatisieren

ec2:RevokeSecurityGroupEgress

Einsatz

Automatisieren

ec2:RevokeSecurityGroupIngress

Einsatz

Automatisieren

Starten Sie die bereitgestellten Instanzen

ec2:StartInstances

Einsatz

Automatisieren

Stoppen Sie die bereitgestellten Instanzen

ec2:StopInstances

Einsatz

Automatisieren

Markieren Sie benutzerdefinierte Werte für von WLMDB erstellte Amazon FSX for NetApp ONTAP-Ressourcen, um Rechnungsdetails während der Ressourcenverwaltung zu erhalten

fsx:TagResource ¹

Einsatz
Managen von Abläufen

Automatisieren

CloudFormation-Vorlage für die Bereitstellung erstellen und validieren

CloudFormation:CreateStack

Einsatz

Automatisieren

Molkenbildung:DescribeStackEvents

Einsatz

Automatisieren

Wolkenbildung:DescribeStacks

Einsatz

Automatisieren

CloudFormation:ListenStacks

Einsatz

Automatisieren

Cloudformation:ValidierteVorlage

Einsatz

Automatisieren

Holen Sie sich Metriken zur Empfehlung zur Compute-Optimierung ab

cloudwatch:GetMetricStatistics

Einsparungen entdecken

Automatisieren

Holen Sie die in der Region verfügbaren Verzeichnisse ab

ds:DescribeDirectories

Einsatz

Automatisieren

Fügen Sie Regeln für die Sicherheitsgruppe hinzu, die an bereitgestellte EC2-Instanzen angehängt ist

ec2:AuthoriseSecurityGroupEgress

Einsatz

Automatisieren

ec2:AuthoriseSecurityGroupIngress

Einsatz

Automatisieren

Erstellen Sie verschachtelte Stapelvorlagen für den erneuten Versuch und Rollback

ec2:CreateLaunchTemplate

Einsatz

Automatisieren

ec2:CreateLaunchTemplateVersion

Einsatz

Automatisieren

Verwalten von Tags und Netzwerksicherheit auf erstellten Instanzen

ec2:CreateNetworkInterface

Einsatz

Automatisieren

ec2:CreateSecurityGroup

Einsatz

Automatisieren

ec2:CreateTags

Einsatz

Automatisieren

Löschen Sie die Sicherheitsgruppe, die vorübergehend für Validierungsknoten erstellt wurde

ec2:DeleteSecurityGroup

Einsatz

Automatisieren

Abrufen von Instanzdetails für die Bereitstellung

ec2: Beschreiben*

Einsatz
Inventar
Einsparungen entdecken

Automatisieren

ec2:get*

Einsatz
Inventar
Einsparungen entdecken

Automatisieren

Starten Sie die erstellten Instanzen

ec2:RunInstances

Einsatz

Automatisieren

System Manager verwendet den AWS Endpunkt des Nachrichtenbereitstellungsservices für API-Vorgänge

Ec2messages:*

Bereitstellung * Inventar

Automatisieren

Erstellen Sie FSX for ONTAP-Ressourcen, die für die Bereitstellung erforderlich sind. Für bestehende FSX for ONTAP Systeme wird eine neue SVM erstellt, die SQL Volumes hostet.

fsx:CreateFileSystem

Einsatz

Automatisieren

fsx:CreateStorageVirtualMachine

Einsatz

Automatisieren

fsx: CreateVolume erstellen

Einsatz
Managen von Abläufen

Automatisieren

FSX for ONTAP – Details

fsx:Beschreiben*

Einsatz
Inventar
Managen von Abläufen
Einsparungen entdecken

Automatisieren

fsx:Liste*

Einsatz
Inventar

Automatisieren

Ändern der Größe von FSX für ONTAP-Dateisystem, um Reserve des Dateisystems zu beheben

fsx:UpdateFilesystem

Optimierung

Automatisieren

Ändern Sie die Größe von Volumes zur Korrektur von Protokoll- und tempdb-Laufwerkgrößen

fsx:UpdateVolumen

Optimierung

Automatisieren

KMS-Schlüsseldetails erhalten und FSX für ONTAP-Verschlüsselung verwenden

Km:CreateGrant

Einsatz

Automatisieren

Km:Beschreiben*

Einsatz

Automatisieren

Km:Liste*

Einsatz

Automatisieren

Kms:GenerateDataKey

Einsatz

Automatisieren

Erstellen Sie CloudWatch-Protokolle für Validierungs- und Bereitstellungsskripte, die auf EC2-Instanzen ausgeführt werden

Protokolle:CreateLogGroup

Einsatz

Automatisieren

Protokolle:CreateLogStream

Einsatz

Automatisieren

Protokolle:DescribeLog*

Einsatz

Automatisieren

Protokolle:getlog*

Einsatz

Automatisieren

Protokolle:ListLogDeliveries

Einsatz

Automatisieren

Protokolle:PutLogEvents

Einsatz
Managen von Abläufen

Automatisieren

Protokolle:TagResource

Einsatz

Automatisieren

Erstellen Sie Geheimnisse in einem Benutzerkonto für die Anmeldeinformationen für SQL, Domäne und FSX für ONTAP

Service-Equotas:ListServiceQuotas

Einsatz

Automatisieren

Führen Sie die SNS-Themen des Kunden auf und veröffentlichen Sie sie in WLMDB-Backend-SNS sowie in Kunden-SNS, falls ausgewählt

sns:listTopics

Einsatz

Automatisieren

sns:Veröffentlichen

Einsatz

Automatisieren

Erforderliche SSM-Berechtigungen, um das Erkennungsskript auf bereitgestellten SQL-Instanzen auszuführen und die aktuelle Liste von FSX für von ONTAP unterstützte AWS-Regionen abzurufen.

ssm:Beschreiben*

Einsatz

Automatisieren

ssm:get*

Einsatz
Managen von Abläufen

Automatisieren

ssm:Liste*

Einsatz

Automatisieren

ssm:PutComplianceItems

Einsatz

Automatisieren

ssm:PutConfigurePackageResult

Einsatz

Automatisieren

ssm:PutInventory

Einsatz

Automatisieren

ssm:SendCommand

Einsatz
Inventar
Managen von Abläufen

Automatisieren

ssm:UpdateAssociationStatus

Einsatz

Automatisieren

ssm:UpdateInstanceAssociationStatus

Einsatz

Automatisieren

ssm:UpdateInstanceInformation

Einsatz

Automatisieren

Ssmmessages:*

Einsatz
Inventar
Managen von Abläufen

Automatisieren

Anmeldedaten für FSX für ONTAP-, Active Directory- und SQL-Benutzer speichern (nur für SQL-Benutzerauthentifizierung)

ssm:GetParameter ¹

Einsatz
Managen von Abläufen
Inventar

Automatisieren

ssm:GetParameters ¹

Einsatz
Inventar

Automatisieren

ssm:PutParameter ¹

Einsatz
Managen von Abläufen

Automatisieren

ssm:DeleteParameters ¹

Einsatz
Managen von Abläufen

Automatisieren

Signal CloudFormation Stack auf Erfolg oder Misserfolg.

Cloudformation:SignalRessource ¹

Einsatz

Automatisieren

Fügen Sie die von Vorlage erstellte EC2-Rolle zum Instanzprofil von EC2 hinzu, um Skripts auf EC2 Zugriff auf die für die Implementierung erforderlichen Ressourcen zu ermöglichen.

iam:AddRoleToInstanceProfile

Einsatz

Automatisieren

Instanzprofil für EC2 erstellen und erstellte EC2-Rolle zuweisen.

iam:CreateInstanceProfil

Einsatz

Automatisieren

EC2-Rolle über Vorlage mit den unten aufgeführten Berechtigungen erstellen

iam:CreateRollenole

Einsatz

Automatisieren

Mit EC2-Service verknüpfte Rolle erstellen

iam:CreateServiceLinkedRole ²

Einsatz

Automatisieren

Löschen Sie das während der Bereitstellung speziell für die Validierungsknoten erstellte Instanzprofil

iam:DeleteInstanceProfil

Einsatz

Automatisieren

Rufen Sie die Rollen- und Richtliniendetails ab, um Lücken in der Berechtigung zu ermitteln und die Bereitstellung zu validieren

iam:GetPolicy

Einsatz

Automatisieren

iam:GetPolicyVersion

Einsatz

Automatisieren

iam:GetRole

Einsatz

Automatisieren

iam:GetRolePolicy

Einsatz

Automatisieren

iam:GetUser

Einsatz

Automatisieren

Übergeben Sie die erstellte Rolle an EC2-Instanz

iam:PassRole ³

Einsatz

Automatisieren

Fügen Sie der erstellten EC2-Rolle eine Richtlinie mit den erforderlichen Berechtigungen hinzu

iam:PuttePolicy

Einsatz

Automatisieren

Trennen der Rolle vom bereitgestellten EC2-Instanzprofil

iam:RemoveRoleFromInstanceProfile

Einsatz

Automatisieren

Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen

iam:SimulatePrincipalPolicy

Einsatz

Lesen
Automatisieren

Die Berechtigung ist auf Ressourcen beschränkt, die mit WLMDB beginnen.
„iam:CreateServiceLinkedRole“ begrenzt durch „iam:AWSServiceName“: „ec2.amazonaws.com"*
"iam:PassRole" begrenzt durch "iam:PassedToService": "ec2.amazonaws.com"*

Berechtigungen für GenAI-Workloads

Die IAM-Richtlinien für VMware-Workloads bieten die Berechtigungen, die die Workload-Farm für VMware benötigt, um Ressourcen und Prozesse in Ihrer Public-Cloud-Umgebung basierend auf dem von Ihnen verwendeten Betriebsmodus zu managen.

GenAI IAM-Richtlinien sind nur im Betriebsmodus verfügbar:

IAM-Richtlinien für GenAI-Workloads

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudformationGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DescribeStacks"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
    },
    {
      "Sid": "EC2Group",
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
        }
      }
    },
    {
      "Sid": "EC2DescribeGroup",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeTags",
        "ec2:CreateVpcEndpoint",
        "ec2:CreateSecurityGroup",
        "ec2:CreateTags",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstances",
        "ec2:DescribeImages",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:RunInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup",
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:CreateInstanceProfile",
        "iam:AddRoleToInstanceProfile",
        "iam:PutRolePolicy",
        "iam:GetRolePolicy",
        "iam:GetRole",
        "iam:TagRole"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup2",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "FSXNGroup",
      "Effect": "Allow",
      "Action": [
        "fsx:DescribeVolumes",
        "fsx:DescribeFileSystems",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:ListTagsForResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "FSXNGroup2",
      "Effect": "Allow",
      "Action": [
        "fsx:UntagResource",
        "fsx:TagResource"
      ],
      "Resource": [
        "arn:aws:fsx:*:*:volume/*/*",
        "arn:aws:fsx:*:*:storage-virtual-machine/*/*"
      ]
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:PutParameter"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
    },
    {
      "Sid": "SSM",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "ssm:GetParametersByPath"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
    },
    {
      "Sid": "SSMMessages",
      "Effect": "Allow",
      "Action": [
        "ssm:GetCommandInvocation"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SSMCommandDocument",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand"
      ],
      "Resource": [
        "arn:aws:ssm:*:*:document/AWS-RunShellScript"
      ]
    },
    {
      "Sid": "SSMCommandInstance",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand",
        "ssm:GetConnectionStatus"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ],
      "Condition": {
        "StringLike": {
          "ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
        }
      }
    },
    {
      "Sid": "KMS",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SNS",
      "Effect": "Allow",
      "Action": [
        "sns:Publish"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchAiEngine",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource",
        "logs:DescribeLogStreams"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
    },
    {
      "Sid": "CloudWatchAiEngineLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
    },
    {
      "Sid": "BedrockGroup",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModelWithResponseStream",
        "bedrock:InvokeModel",
        "bedrock:ListFoundationModels",
        "bedrock:GetFoundationModelAvailability",
        "bedrock:GetModelInvocationLoggingConfiguration",
        "bedrock:PutModelInvocationLoggingConfiguration",
        "bedrock:ListInferenceProfiles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchBedrock",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
    },
    {
      "Sid": "BedrockLoggingAttachRole",
      "Effect": "Allow",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Die folgende Tabelle enthält Einzelheiten zu den Berechtigungen für GenAI-Workloads.

Berechtigungstabelle für GenAI-Workloads

Zweck	Aktion	Wo verwendet	Modus
Ein Cloud-Formation-Stack für KI-Engine entsteht während Implementierung und Wiederherstellung	CloudFormation:CreateStack	Einsatz	Automatisieren
Der Cloud-Formation-Stack für KI-Engine	Wolkenbildung:DescribeStacks	Einsatz	Automatisieren
Listen Sie Regionen für den Implementierungsassistenten für KI-Engines auf	ec2:DescribeRegionen	Einsatz	Automatisieren
Anzeigen von KI-Engine-Tags	ec2:DescribeTags	Einsatz	Automatisieren
VPC-Endpunkte vor der Erstellung des AI-Engine-Stacks auflisten	ec2:CreateVpcEndpoint	Einsatz	Automatisieren
Erstellen einer Sicherheitsgruppe für KI-Engines während der Erstellung des AI-Engine-Stacks bei Implementierungen und Neuerstellungen	ec2:CreateSecurityGroup	Einsatz	Automatisieren
Markieren Sie Ressourcen, die durch die Stack-Erstellung von KI-Engines erstellt wurden, während der Implementierung oder Wiederherstellung	ec2:CreateTags	Einsatz	Automatisieren
Veröffentlichen Sie verschlüsselte Ereignisse im WLMAI-Backend aus dem AI-Engine-Stack	Kms:GenerateDataKey	Einsatz	Automatisieren
KMS:Entschlüsseln	Einsatz	Automatisieren
Veröffentlichen Sie Ereignisse und benutzerdefinierte Ressourcen im WLMAI-Backend aus dem Stack der ai-Engine	sns:Veröffentlichen	Einsatz	Automatisieren
VPCs während des Assistenten für die Implementierung einer KI-Engine auflisten	ec2:DescribeVpcs	Einsatz	Automatisieren
Subnetze im Assistenten für die Bereitstellung der ai-Engine auflisten	ec2:DescribeSubnets	Einsatz	Automatisieren
Routingtabellen werden bei der Implementierung und beim Rebuild der KI-Engine abgerufen	ec2:DescribeRouteTables	Einsatz	Automatisieren
Auflistung von Schlüsselpaaren während des Implementierungsassistenten für KI-Engines	ec2:DescribeKeypairs	Einsatz	Automatisieren
Auflistung der Sicherheitsgruppen bei der Erstellung von KI-Engines (so werden Sicherheitsgruppen an privaten Endpunkten gefunden)	ec2:DescribeSecurityGroups	Einsatz	Automatisieren
VPC-Endpunkte abrufen, um zu ermitteln, ob bei der Implementierung der KI-Engine irgendwelche erstellt werden sollten	ec2:DescribeVpcEndpunkte	Einsatz	Automatisieren
Führen Sie Instanzen auf, um den Status der AI-Engine herauszufinden	ec2:DescribeInstances	Fehlerbehebung	Automatisieren
Listet Images während der Erstellung des AI-Engine-Stacks bei Implementierungen und Neuerstellungen auf	ec2:DescribeBilder	Einsatz	Automatisieren
Erstellung und Aktualisierung von Sicherheitsgruppen für AI-Instanzen und private Endpunkte während der Erstellung des KI-Instanz-Stacks bei Implementierungen und Neuerstellungen	ec2:RevokeSecurityGroupEgress	Einsatz	Automatisieren
ec2:RevokeSecurityGroupIngress	Einsatz	Automatisieren
Während der Erstellung eines Cloud-Formation-Stacks führen Sie die KI-Engine während der Implementierung und Neuerstellung aus	ec2:RunInstances	Einsatz	Automatisieren
Während der Stack-Erstellung während der Implementierung und der Wiederherstellung können Sie dann Sicherheitsgruppen hinzufügen und Regeln für die KI-Engine ändern	ec2:AuthoriseSecurityGroupEgress	Einsatz	Automatisieren
ec2:AuthoriseSecurityGroupIngress	Einsatz	Automatisieren
Abfrage des Protokollierungsstatus von Amazon Bedrock/Amazon CloudWatch während der Implementierung der KI-Engine	Bedrock:GetModelInvocationLoggingKonfiguration	Einsatz	Automatisieren
Initiieren Sie eine Chat-Anfrage an eines der Basismodelle	Bedrock:InvokeModelWithin ResponseStream	Einsatz	Automatisieren
Chat-/Einbettungsanfrage für Grundmodelle starten	Bedrock:InvokeModel	Einsatz	Automatisieren
Zeigen Sie die verfügbaren Fundamentmodelle in einer Region an	Bedrock:ListFoundationModels	Einsatz	Automatisieren
Überprüfen Sie den Zugriff auf das Basismodell	Bedrock:GetFoundationModelVerfügbarkeit	Einsatz	Automatisieren
Überprüfen Sie, ob die Amazon CloudWatch-Protokollgruppe während der Bereitstellung und Neuerstellung erstellt werden muss	Protokolle:DescribeLogGroups	Einsatz	Automatisieren
Holen Sie sich Regionen, die FSX und Amazon Bedrock unterstützen, während der KI-Engine-Assistent	ssm:GetParametersByPath	Einsatz	Automatisieren
Nutzen Sie das aktuelle Amazon Linux Image für die Implementierung der KI-Engine während des Implementierungs- und Neuerstellungsvorgangs	ssm:GetParameters	Einsatz	Automatisieren
Erhalten Sie die SSM-Antwort vom Befehl, der an die AI-Engine gesendet wird	ssm:GetCommandInvocation	Einsatz	Automatisieren
Überprüfen Sie die SSM-Verbindung zur AI-Engine	ssm:SendCommand	Einsatz	Automatisieren
ssm:GetConnectionStatus	Einsatz	Automatisieren
Erstellung eines Instanzprofils für die KI-Engine bei der Stack-Erstellung während der Implementierung oder Neuerstellung	iam:CreateRollenole	Einsatz	Automatisieren
iam:CreateInstanceProfil	Einsatz	Automatisieren
iam:AddRoleToInstanceProfile	Einsatz	Automatisieren
iam:PuttePolicy	Einsatz	Automatisieren
iam:GetRolePolicy	Einsatz	Automatisieren
iam:GetRole	Einsatz	Automatisieren
iam:TagRole	Einsatz	Automatisieren
iam:PassRole	Einsatz	Automatisieren
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen	iam:SimulatePrincipalPolicy	Einsatz	Automatisieren
Listen Sie FSX für ONTAP-Dateisysteme während des Assistenten „Create Knowledge Base“ auf	fsx:DescribeVolumes	Erstellung einer Wissensdatenbank	Automatisieren
Listen Sie FSX für ONTAP-Dateisystem-Volumes während des Assistenten „Create Knowledge Base“ auf	fsx:DescribeFileSystems	Erstellung einer Wissensdatenbank	Automatisieren
Management von Wissensdatenbanken auf Basis der KI-Engine bei Neuerstellungen	fsx:ListTagsForRessource	Fehlerbehebung	Automatisieren
Listen Sie FSX für ONTAP Dateisystem Speicher virtuelle Maschinen während des „Create Knowledge“-Knowledgebase-Assistenten auf	fsx:DescribeStorageVirtualMachines	Einsatz	Automatisieren
Verschieben Sie die Wissensdatenbank in eine neue Instanz	fsx:UntagResource	Fehlerbehebung	Automatisieren
Verwalten Sie die Wissensdatenbank auf der KI-Engine während des Rebuilds	fsx:TagResource	Fehlerbehebung	Automatisieren
Speichern Sie SSM Secrets (ECR-Token, CIFS-Anmeldedaten, Mandanten-Service-Kontoschlüssel) auf sichere Weise	ssm:GetParameter	Einsatz	Automatisieren
ssm:PutParameter	Einsatz	Automatisieren
Bei der Implementierung und Wiederherstellung werden die AI-Engine-Protokolle an die Amazon CloudWatch Protokollgruppe gesendet	Protokolle:CreateLogGroup	Einsatz	Automatisieren
Protokolle:PutRetentionPolicy	Einsatz	Automatisieren
Senden Sie die AI-Engine-Protokolle an die Amazon CloudWatch-Protokollgruppe	Protokolle:TagResource	Fehlerbehebung	Automatisieren
SSM-Antwort von Amazon CloudWatch abrufen (wenn die Antwort zu lang ist)	Protokolle:DescribeLogStreams	Fehlerbehebung	Automatisieren
Erhalten Sie die SSM-Antwort von Amazon CloudWatch	Protokolle:GetLogEvents	Fehlerbehebung	Automatisieren
Erstellen einer Amazon CloudWatch-Protokollgruppe für Amazon Bedrock-Protokolle während der Stack-Reation während der Bereitstellung und Neuerstellung	Protokolle:CreateLogGroup	Einsatz	Automatisieren
Protokolle:PutRetentionPolicy	Einsatz	Automatisieren
Protokolle:TagResource	Einsatz	Automatisieren
Senden Sie Bedrock-Protokolle an Amazon CloudWatch	Bedrock:PutModelInvocationLoggingKonfiguration	Fehlerbehebung	Automatisieren
Erstellen Sie die Rolle, die das Senden von Amazon Bedrock-Protokollen an Amazon CloudWatch ermöglicht	iam:AttachRolePolicy	Fehlerbehebung	Automatisieren
Erstellen Sie die Rolle, die das Senden von Amazon Bedrock-Protokollen an Amazon CloudWatch ermöglicht	iam:PassRole	Fehlerbehebung	Automatisieren
Erstellen Sie die Rolle, die das Senden von Amazon Bedrock-Protokollen an Amazon CloudWatch ermöglicht	iam:CreatePolicy	Fehlerbehebung	Automatisieren
Inferenzprofile für das Modell auflisten	Bedrock:ListInferenceProfiles	Fehlerbehebung	Automatisieren

Zweck

Aktion

Wo verwendet

Modus

Ein Cloud-Formation-Stack für KI-Engine entsteht während Implementierung und Wiederherstellung

CloudFormation:CreateStack

Einsatz

Automatisieren

Der Cloud-Formation-Stack für KI-Engine

Wolkenbildung:DescribeStacks

Einsatz

Automatisieren

Listen Sie Regionen für den Implementierungsassistenten für KI-Engines auf

ec2:DescribeRegionen

Einsatz

Automatisieren

Anzeigen von KI-Engine-Tags

ec2:DescribeTags

Einsatz

Automatisieren

VPC-Endpunkte vor der Erstellung des AI-Engine-Stacks auflisten

ec2:CreateVpcEndpoint

Einsatz

Automatisieren

Erstellen einer Sicherheitsgruppe für KI-Engines während der Erstellung des AI-Engine-Stacks bei Implementierungen und Neuerstellungen

ec2:CreateSecurityGroup

Einsatz

Automatisieren

Markieren Sie Ressourcen, die durch die Stack-Erstellung von KI-Engines erstellt wurden, während der Implementierung oder Wiederherstellung

ec2:CreateTags

Einsatz

Automatisieren

Veröffentlichen Sie verschlüsselte Ereignisse im WLMAI-Backend aus dem AI-Engine-Stack

Kms:GenerateDataKey

Einsatz

Automatisieren

KMS:Entschlüsseln

Einsatz

Automatisieren

Veröffentlichen Sie Ereignisse und benutzerdefinierte Ressourcen im WLMAI-Backend aus dem Stack der ai-Engine

sns:Veröffentlichen

Einsatz

Automatisieren

VPCs während des Assistenten für die Implementierung einer KI-Engine auflisten

ec2:DescribeVpcs

Einsatz

Automatisieren

Subnetze im Assistenten für die Bereitstellung der ai-Engine auflisten

ec2:DescribeSubnets

Einsatz

Automatisieren

Routingtabellen werden bei der Implementierung und beim Rebuild der KI-Engine abgerufen

ec2:DescribeRouteTables

Einsatz

Automatisieren

Auflistung von Schlüsselpaaren während des Implementierungsassistenten für KI-Engines

ec2:DescribeKeypairs

Einsatz

Automatisieren

Auflistung der Sicherheitsgruppen bei der Erstellung von KI-Engines (so werden Sicherheitsgruppen an privaten Endpunkten gefunden)

ec2:DescribeSecurityGroups

Einsatz

Automatisieren

VPC-Endpunkte abrufen, um zu ermitteln, ob bei der Implementierung der KI-Engine irgendwelche erstellt werden sollten

ec2:DescribeVpcEndpunkte

Einsatz

Automatisieren

Führen Sie Instanzen auf, um den Status der AI-Engine herauszufinden

ec2:DescribeInstances

Fehlerbehebung

Automatisieren

Listet Images während der Erstellung des AI-Engine-Stacks bei Implementierungen und Neuerstellungen auf

ec2:DescribeBilder

Einsatz

Automatisieren

Erstellung und Aktualisierung von Sicherheitsgruppen für AI-Instanzen und private Endpunkte während der Erstellung des KI-Instanz-Stacks bei Implementierungen und Neuerstellungen

ec2:RevokeSecurityGroupEgress

Einsatz

Automatisieren

ec2:RevokeSecurityGroupIngress

Einsatz

Automatisieren

Während der Erstellung eines Cloud-Formation-Stacks führen Sie die KI-Engine während der Implementierung und Neuerstellung aus

ec2:RunInstances

Einsatz

Automatisieren

Während der Stack-Erstellung während der Implementierung und der Wiederherstellung können Sie dann Sicherheitsgruppen hinzufügen und Regeln für die KI-Engine ändern

ec2:AuthoriseSecurityGroupEgress

Einsatz

Automatisieren

ec2:AuthoriseSecurityGroupIngress

Einsatz

Automatisieren

Abfrage des Protokollierungsstatus von Amazon Bedrock/Amazon CloudWatch während der Implementierung der KI-Engine

Bedrock:GetModelInvocationLoggingKonfiguration

Einsatz

Automatisieren

Initiieren Sie eine Chat-Anfrage an eines der Basismodelle

Bedrock:InvokeModelWithin ResponseStream

Einsatz

Automatisieren

Chat-/Einbettungsanfrage für Grundmodelle starten

Bedrock:InvokeModel

Einsatz

Automatisieren

Zeigen Sie die verfügbaren Fundamentmodelle in einer Region an

Bedrock:ListFoundationModels

Einsatz

Automatisieren

Überprüfen Sie den Zugriff auf das Basismodell

Bedrock:GetFoundationModelVerfügbarkeit

Einsatz

Automatisieren

Überprüfen Sie, ob die Amazon CloudWatch-Protokollgruppe während der Bereitstellung und Neuerstellung erstellt werden muss

Protokolle:DescribeLogGroups

Einsatz

Automatisieren

Holen Sie sich Regionen, die FSX und Amazon Bedrock unterstützen, während der KI-Engine-Assistent

ssm:GetParametersByPath

Einsatz

Automatisieren

Nutzen Sie das aktuelle Amazon Linux Image für die Implementierung der KI-Engine während des Implementierungs- und Neuerstellungsvorgangs

ssm:GetParameters

Einsatz

Automatisieren

Erhalten Sie die SSM-Antwort vom Befehl, der an die AI-Engine gesendet wird

ssm:GetCommandInvocation

Einsatz

Automatisieren

Überprüfen Sie die SSM-Verbindung zur AI-Engine

ssm:SendCommand

Einsatz

Automatisieren

ssm:GetConnectionStatus

Einsatz

Automatisieren

Erstellung eines Instanzprofils für die KI-Engine bei der Stack-Erstellung während der Implementierung oder Neuerstellung

iam:CreateRollenole

Einsatz

Automatisieren

iam:CreateInstanceProfil

Einsatz

Automatisieren

iam:AddRoleToInstanceProfile

Einsatz

Automatisieren

iam:PuttePolicy

Einsatz

Automatisieren

iam:GetRolePolicy

Einsatz

Automatisieren

iam:GetRole

Einsatz

Automatisieren

iam:TagRole

Einsatz

Automatisieren

iam:PassRole

Einsatz

Automatisieren

Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen

iam:SimulatePrincipalPolicy

Einsatz

Automatisieren

Listen Sie FSX für ONTAP-Dateisysteme während des Assistenten „Create Knowledge Base“ auf

fsx:DescribeVolumes

Erstellung einer Wissensdatenbank

Automatisieren

Listen Sie FSX für ONTAP-Dateisystem-Volumes während des Assistenten „Create Knowledge Base“ auf

fsx:DescribeFileSystems

Erstellung einer Wissensdatenbank

Automatisieren

Management von Wissensdatenbanken auf Basis der KI-Engine bei Neuerstellungen

fsx:ListTagsForRessource

Fehlerbehebung

Automatisieren

Listen Sie FSX für ONTAP Dateisystem Speicher virtuelle Maschinen während des „Create Knowledge“-Knowledgebase-Assistenten auf

fsx:DescribeStorageVirtualMachines

Einsatz

Automatisieren

Verschieben Sie die Wissensdatenbank in eine neue Instanz

fsx:UntagResource

Fehlerbehebung

Automatisieren

Verwalten Sie die Wissensdatenbank auf der KI-Engine während des Rebuilds

fsx:TagResource

Fehlerbehebung

Automatisieren

Speichern Sie SSM Secrets (ECR-Token, CIFS-Anmeldedaten, Mandanten-Service-Kontoschlüssel) auf sichere Weise

ssm:GetParameter

Einsatz

Automatisieren

ssm:PutParameter

Einsatz

Automatisieren

Bei der Implementierung und Wiederherstellung werden die AI-Engine-Protokolle an die Amazon CloudWatch Protokollgruppe gesendet

Protokolle:CreateLogGroup

Einsatz

Automatisieren

Protokolle:PutRetentionPolicy

Einsatz

Automatisieren

Senden Sie die AI-Engine-Protokolle an die Amazon CloudWatch-Protokollgruppe

Protokolle:TagResource

Fehlerbehebung

Automatisieren

SSM-Antwort von Amazon CloudWatch abrufen (wenn die Antwort zu lang ist)

Protokolle:DescribeLogStreams

Fehlerbehebung

Automatisieren

Erhalten Sie die SSM-Antwort von Amazon CloudWatch

Protokolle:GetLogEvents

Fehlerbehebung

Automatisieren

Erstellen einer Amazon CloudWatch-Protokollgruppe für Amazon Bedrock-Protokolle während der Stack-Reation während der Bereitstellung und Neuerstellung

Protokolle:CreateLogGroup

Einsatz

Automatisieren

Protokolle:PutRetentionPolicy

Einsatz

Automatisieren

Protokolle:TagResource

Einsatz

Automatisieren

Senden Sie Bedrock-Protokolle an Amazon CloudWatch

Bedrock:PutModelInvocationLoggingKonfiguration

Fehlerbehebung

Automatisieren

Erstellen Sie die Rolle, die das Senden von Amazon Bedrock-Protokollen an Amazon CloudWatch ermöglicht

iam:AttachRolePolicy

Fehlerbehebung

Automatisieren

Erstellen Sie die Rolle, die das Senden von Amazon Bedrock-Protokollen an Amazon CloudWatch ermöglicht

iam:PassRole

Fehlerbehebung

Automatisieren

Erstellen Sie die Rolle, die das Senden von Amazon Bedrock-Protokollen an Amazon CloudWatch ermöglicht

iam:CreatePolicy

Fehlerbehebung

Automatisieren

Inferenzprofile für das Modell auflisten

Bedrock:ListInferenceProfiles

Fehlerbehebung

Automatisieren

Berechtigungen für VMware-Workloads

Wählen Sie Ihren Betriebsmodus aus, um die erforderlichen IAM-Richtlinien anzuzeigen:

IAM-Richtlinien für VMware-Workloads

Lesemodus

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ssm:GetParametersByPath",
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Automate-Modus

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fsx:CreateFileSystem",
        "fsx:DescribeFileSystems",
        "fsx:CreateStorageVirtualMachine",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:CreateVolume",
        "fsx:DescribeVolumes",
        "fsx:TagResource",
        "sns:Publish",
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases",
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:CreateGrant"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:RunInstances",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:CreateSecurityGroup",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParametersByPath",
        "ssm:GetParameters"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Die folgende Tabelle enthält Einzelheiten zu den Berechtigungen für VMware-Workloads.

Berechtigungstabelle für VMware-Workloads

Zweck	Aktion	Wo verwendet	Modus
Fügen Sie Sicherheitsgruppen hinzu, und ändern Sie Regeln für die bereitgestellten Knoten	ec2:AuthoriseSecurityGroupIngress	Einsatz	Automatisieren
Erstellen von EBS Volumes	ec2:CreateVolume	Einsatz	Automatisieren
Markieren Sie benutzerdefinierte Werte für FSX for NetApp ONTAP-Ressourcen, die von VMware-Workloads erstellt wurden	fsx:TagResource	Einsatz	Automatisieren
Erstellen und Validieren der CloudFormation-Vorlage	CloudFormation:CreateStack	Einsatz	Automatisieren
Verwalten von Tags und Netzwerksicherheit auf erstellten Instanzen	ec2:CreateSecurityGroup	Einsatz	Automatisieren
Starten Sie die erstellten Instanzen	ec2:RunInstances	Einsatz	Automatisieren
Hier finden Sie Details zur EC2-Instanz	ec2:DescribeInstances	Einsatz	Automatisieren
Führen Sie während der Stapelerstellung während der Bereitstellung und Neuerstellung Images auf	ec2:DescribeBilder	Einsatz	Automatisieren
Rufen Sie die VPCs in der ausgewählten Umgebung auf, um das Bereitstellungsformular auszufüllen	ec2:DescribeVpcs	Einsatz Inventar	Lesen Automatisieren
Rufen Sie die Subnetze in der ausgewählten Umgebung ab, um das Bereitstellungsformular auszufüllen	ec2:DescribeSubnets	Einsatz Inventar	Lesen Automatisieren
Rufen Sie die Sicherheitsgruppen in der ausgewählten Umgebung auf, um das Bereitstellungsformular auszufüllen	ec2:DescribeSecurityGroups	Einsatz	Lesen Automatisieren
Abrufen der Verfügbarkeitszonen in der ausgewählten Umgebung	ec2:DescribeAvailability Zones	Einsatz Inventar	Lesen Automatisieren
Informieren Sie sich über die Regionen mit Amazon FSX for NetApp ONTAP Support	ec2:DescribeRegionen	Einsatz	Lesen Automatisieren
Holen Sie sich die Aliase von KMS-Schlüsseln, die für die Verschlüsselung mit Amazon FSX for NetApp ONTAP verwendet werden	Km:ListAliase	Einsatz	Lesen Automatisieren
Nutzen Sie KMS-Schlüssel für die Verschlüsselung mit Amazon FSX for NetApp ONTAP	Kms:Listenschlüssel	Einsatz	Lesen Automatisieren
Erhalten Sie KMS-Schlüssel Ablaufdetails für Amazon FSX für NetApp ONTAP-Verschlüsselung verwendet werden	Kms:DescribeKey	Einsatz	Lesen Automatisieren
SSM-basierte Abfrage wird verwendet, um die aktualisierte Liste der von Amazon FSX für NetApp ONTAP unterstützten Regionen zu erhalten	ssm:GetParametersByPath	Einsatz	Lesen Automatisieren
Erstellen Sie die für die Bereitstellung erforderlichen Ressourcen für Amazon FSX for NetApp ONTAP	fsx:CreateFileSystem	Einsatz	Automatisieren
fsx:CreateStorageVirtualMachine	Einsatz	Automatisieren
fsx: CreateVolume erstellen	Einsatz Managementvorgänge	Automatisieren
Amazon FSX for NetApp ONTAP – Details	fsx:Beschreiben*	Einsatz Inventar Managementvorgänge Einsparungen entdecken	Automatisieren
fsx:Liste*	Einsatz Inventar	Automatisieren
KMS-Kerndetails und Verwendung für Amazon FSX for NetApp ONTAP Verschlüsselung	Km:CreateGrant	Einsatz	Automatisieren
Km:Beschreiben*	Einsatz	Automatisieren
Km:Liste*	Einsatz	Automatisieren
KMS:Entschlüsseln	Einsatz	Automatisieren
Kms:GenerateDataKey	Einsatz	Automatisieren
Listen Sie die SNS-Themen des Kunden auf und veröffentlichen Sie sie in WLMVMC-Backend-SNS sowie in Kunden-SNS, falls ausgewählt	sns:Veröffentlichen	Einsatz	Automatisieren
Wird verwendet, um die aktuelle Liste der von Amazon FSX for NetApp ONTAP unterstützten AWS-Regionen abzurufen	ssm:get*	Einsatz Managementvorgänge	Automatisieren
Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen	iam:SimulatePrincipalPolicy	Einsatz	Automatisieren
SSM-Parameterspeicher wird verwendet, um Anmeldeinformationen von Amazon FSX für NetApp ONTAP zu speichern	ssm:GetParameter	Einsatz Managementvorgänge Inventar	Automatisieren
ssm:PutParameters	Einsatz Inventar	Automatisieren
ssm:PutParameter	Einsatz Managementvorgänge	Automatisieren
ssm:DeleteParameters	Einsatz Managementvorgänge	Automatisieren

Zweck

Aktion

Wo verwendet

Modus

Fügen Sie Sicherheitsgruppen hinzu, und ändern Sie Regeln für die bereitgestellten Knoten

ec2:AuthoriseSecurityGroupIngress

Einsatz

Automatisieren

Erstellen von EBS Volumes

ec2:CreateVolume

Einsatz

Automatisieren

Markieren Sie benutzerdefinierte Werte für FSX for NetApp ONTAP-Ressourcen, die von VMware-Workloads erstellt wurden

fsx:TagResource

Einsatz

Automatisieren

Erstellen und Validieren der CloudFormation-Vorlage

CloudFormation:CreateStack

Einsatz

Automatisieren

Verwalten von Tags und Netzwerksicherheit auf erstellten Instanzen

ec2:CreateSecurityGroup

Einsatz

Automatisieren

Starten Sie die erstellten Instanzen

ec2:RunInstances

Einsatz

Automatisieren

Hier finden Sie Details zur EC2-Instanz

ec2:DescribeInstances

Einsatz

Automatisieren

Führen Sie während der Stapelerstellung während der Bereitstellung und Neuerstellung Images auf

ec2:DescribeBilder

Einsatz

Automatisieren

Rufen Sie die VPCs in der ausgewählten Umgebung auf, um das Bereitstellungsformular auszufüllen

ec2:DescribeVpcs

Einsatz
Inventar

Lesen
Automatisieren

Rufen Sie die Subnetze in der ausgewählten Umgebung ab, um das Bereitstellungsformular auszufüllen

ec2:DescribeSubnets

Einsatz
Inventar

Lesen
Automatisieren

Rufen Sie die Sicherheitsgruppen in der ausgewählten Umgebung auf, um das Bereitstellungsformular auszufüllen

ec2:DescribeSecurityGroups

Einsatz

Lesen
Automatisieren

Abrufen der Verfügbarkeitszonen in der ausgewählten Umgebung

ec2:DescribeAvailability Zones

Einsatz
Inventar

Lesen
Automatisieren

Informieren Sie sich über die Regionen mit Amazon FSX for NetApp ONTAP Support

ec2:DescribeRegionen

Einsatz

Lesen
Automatisieren

Holen Sie sich die Aliase von KMS-Schlüsseln, die für die Verschlüsselung mit Amazon FSX for NetApp ONTAP verwendet werden

Km:ListAliase

Einsatz

Lesen
Automatisieren

Nutzen Sie KMS-Schlüssel für die Verschlüsselung mit Amazon FSX for NetApp ONTAP

Kms:Listenschlüssel

Einsatz

Lesen
Automatisieren

Erhalten Sie KMS-Schlüssel Ablaufdetails für Amazon FSX für NetApp ONTAP-Verschlüsselung verwendet werden

Kms:DescribeKey

Einsatz

Lesen
Automatisieren

SSM-basierte Abfrage wird verwendet, um die aktualisierte Liste der von Amazon FSX für NetApp ONTAP unterstützten Regionen zu erhalten

ssm:GetParametersByPath

Einsatz

Lesen
Automatisieren

Erstellen Sie die für die Bereitstellung erforderlichen Ressourcen für Amazon FSX for NetApp ONTAP

fsx:CreateFileSystem

Einsatz

Automatisieren

fsx:CreateStorageVirtualMachine

Einsatz

Automatisieren

fsx: CreateVolume erstellen

Einsatz
Managementvorgänge

Automatisieren

Amazon FSX for NetApp ONTAP – Details

fsx:Beschreiben*

Einsatz
Inventar
Managementvorgänge
Einsparungen entdecken

Automatisieren

fsx:Liste*

Einsatz
Inventar

Automatisieren

KMS-Kerndetails und Verwendung für Amazon FSX for NetApp ONTAP Verschlüsselung

Km:CreateGrant

Einsatz

Automatisieren

Km:Beschreiben*

Einsatz

Automatisieren

Km:Liste*

Einsatz

Automatisieren

KMS:Entschlüsseln

Einsatz

Automatisieren

Kms:GenerateDataKey

Einsatz

Automatisieren

Listen Sie die SNS-Themen des Kunden auf und veröffentlichen Sie sie in WLMVMC-Backend-SNS sowie in Kunden-SNS, falls ausgewählt

sns:Veröffentlichen

Einsatz

Automatisieren

Wird verwendet, um die aktuelle Liste der von Amazon FSX for NetApp ONTAP unterstützten AWS-Regionen abzurufen

ssm:get*

Einsatz
Managementvorgänge

Automatisieren

Simulieren Sie Workload-Vorgänge, um verfügbare Berechtigungen zu validieren und sie mit den erforderlichen AWS Kontoberechtigungen zu vergleichen

iam:SimulatePrincipalPolicy

Einsatz

Automatisieren

SSM-Parameterspeicher wird verwendet, um Anmeldeinformationen von Amazon FSX für NetApp ONTAP zu speichern

ssm:GetParameter

Einsatz
Managementvorgänge
Inventar

Automatisieren

ssm:PutParameters

Einsatz
Inventar

Automatisieren

ssm:PutParameter

Einsatz
Managementvorgänge

Automatisieren

ssm:DeleteParameters

Einsatz
Managementvorgänge

Automatisieren

Änderungsprotokoll

Wenn Berechtigungen hinzugefügt und entfernt werden, werden wir diese in den folgenden Abschnitten zur Kenntnis nehmen.

Bis 2. April 2025

Die folgende Berechtigung ist jetzt im read-Modus für Datenbanken verfügbar: ssm:DescribeInstanceInformation.

30 März 2025

Aktualisierung der GenAI-Workload-Berechtigungen

Die folgenden Berechtigungen stehen jetzt im Automate-Modus für GenAI zur Verfügung:

bedrock:PutModelInvocationLoggingConfiguration
iam:AttachRolePolicy
iam:PassRole
iam:createPolicy
bedrock:ListInferenceProfiles

Die folgende Berechtigung wurde für GenAI aus Automate Mode entfernt: Bedrock:GetFoundationModel.

iam:SimulatePrincipalPolicy-Berechtigungsaktualisierung

Die iam:SimulatePrincipalPolicy Berechtigung ist Teil aller Workload-Berechtigungsrichtlinien, wenn Sie die automatische Berechtigungssüberprüfung aktivieren, wenn Sie zusätzliche AWS-Kontoanmeldeinformationen hinzufügen oder eine neue Workload-Funktion von der Arbeitslastwerkkonsole hinzufügen. Die Berechtigung simuliert Workload-Vorgänge und prüft, ob Sie über die erforderlichen AWS-Kontoberechtigungen verfügen, bevor Sie Ressourcen aus der Workload-Werkseinstellung bereitstellen. Durch die Aktivierung dieser Prüfung wird der Zeitaufwand und der Aufwand verringert, den Sie möglicherweise benötigen, um Ressourcen von fehlgeschlagenen Vorgängen zu bereinigen und fehlende Berechtigungen hinzuzufügen.

2 März 2025

Die folgende Berechtigung ist jetzt im Automate Modus für GenAI verfügbar: bedrock:GetFoundationModel.

3 Februar 2025

Die folgende Berechtigung ist jetzt im read Modus für Datenbanken verfügbar: iam:SimulatePrincipalPolicy.

Berechtigungen für die BlueXP -Workload-Fabrik

Creating your file...

Warum Berechtigungen verwenden

Berechtigungen nach Workload

Berechtigungen für Speicher

Berechtigungen für Datenbank-Workloads

Berechtigungen für GenAI-Workloads

Berechtigungen für VMware-Workloads

Änderungsprotokoll

Bis 2. April 2025

30 März 2025

Aktualisierung der GenAI-Workload-Berechtigungen

iam:SimulatePrincipalPolicy-Berechtigungsaktualisierung

2 März 2025

3 Februar 2025