Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Permisos para la fábrica de cargas de trabajo de BlueXP 

Colaboradores netapp-rlithman netapp-mwallis

Para utilizar las funciones y los servicios de fábrica de cargas de trabajo de BlueXP , deberá proporcionar permisos para que la fábrica de cargas de trabajo pueda realizar operaciones en su entorno de cloud.

Por qué usar permisos

Cuando proporciona permisos de modo solo lectura o lectura/escritura, la fábrica de carga de trabajo adjunta una política a la instancia con permisos para administrar recursos y procesos dentro de esa cuenta de AWS. Esto permite que la fábrica de cargas de trabajo ejecute diversas operaciones a partir de la detección de entornos de almacenamiento hasta implementar recursos de AWS, como sistemas de archivos en administración de almacenamiento o bases de conocimientos para cargas de trabajo GenAI.

Para las cargas de trabajo de base de datos, por ejemplo, cuando se otorga la fábrica de carga de trabajo con los permisos necesarios, analiza todas las instancias EC2 de una cuenta y región determinadas y filtra todas las máquinas basadas en Windows. Si el agente de AWS Systems Manager (SSM) está instalado y ejecutándose en el host y la red de System Manager está configurada correctamente, la fábrica de cargas de trabajo puede acceder a la máquina Windows y verificar si el software de SQL Server está instalado o no.

Permisos por carga de trabajo

Cada carga de trabajo utiliza permisos para realizar ciertas tareas en la fábrica de cargas de trabajo. Desplácese a la carga de trabajo que utiliza para ver la lista de permisos, su propósito, dónde se utilizan y qué modos los admiten.

Permisos para almacenamiento

Las políticas de IAM disponibles para almacenamiento proporcionan los permisos que la fábrica de carga de trabajo necesita para administrar los recursos y procesos dentro de su entorno de nube pública según el modo operativo en el que opere.

Seleccione el modo operativo para ver las políticas de IAM necesarias:

Políticas de IAM para almacenamiento
Modo de solo lectura
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:Describe*",
        "fsx:ListTagsForResource",
        "ec2:Describe*",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}
Modo de lectura/escritura
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:*",
        "ec2:Describe*",
        "ec2:CreateTags",
        "ec2:CreateSecurityGroup",
        "iam:CreateServiceLinkedRole",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "kms:CreateGrant",
        "cloudwatch:PutMetricData",
        "cloudwatch:GetMetricData",
        "iam:SimulatePrincipalPolicy",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/AppCreator": "NetappFSxWF"
        }
      }
    }
  ]
}

La siguiente tabla muestra los permisos para Storage.

Tabla de permisos para almacenamiento
Específico Acción Donde se utiliza Modo

Crea un sistema de archivos FSx for ONTAP

fsx:CreateFileSystem*

Puesta en marcha

Lectura/Escritura

Cree un grupo de seguridad para un sistema de archivos FSx for ONTAP

ec2:CreateSecurityGroup

Puesta en marcha

Lectura/Escritura

Agregue etiquetas a un grupo de seguridad para un sistema de archivos FSx para ONTAP

ec2:CreateTags

Puesta en marcha

Lectura/Escritura

Autorizar la salida e ingreso de grupos de seguridad para un sistema de archivos FSx para ONTAP

ec2:AuthorizeSecurityGroupEgress

Puesta en marcha

Lectura/Escritura

ec2:AuthorizeSecurityGroupIngress

Puesta en marcha

Lectura/Escritura

El rol otorgado proporciona comunicación entre FSx para ONTAP y otros servicios de AWS

iam:CreateServiceLinkedIn

Puesta en marcha

Lectura/Escritura

Consulta los detalles que necesitas para rellenar el formulario de puesta en marcha del sistema de archivos FSx para ONTAP

ec2:DescribeVpcs

  • Puesta en marcha

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeSubnets

  • Puesta en marcha

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

ec2:regiones describidas

  • Puesta en marcha

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeSecurityGroups

  • Puesta en marcha

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeRouteTables

  • Puesta en marcha

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeNetworkinterfaces

  • Puesta en marcha

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

EC2:DescripbeVolumeStatus

  • Puesta en marcha

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

Obtén los detalles clave de KMS y utilízalos para el cifrado FSx para ONTAP

Kms:CreateGrant

Puesta en marcha

Lectura/Escritura

Kms:describir*

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Kms:Lista*

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtenga detalles de volumen para las instancias de EC2

ec2:DescribeVolumes

  • Inventario

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

Obtenga detalles para las instancias de EC2

ec2:DescribInstances

Explora el ahorro

  • Sólo lectura

  • Lectura/Escritura

Describa Elastic File System en la calculadora de ahorro

ElasticfileSystem:describe*

Explora el ahorro

Solo lectura

Enumera las etiquetas de los recursos de FSx for ONTAP

fsx:ListTagsForResource

Inventario

  • Solo lectura

  • Lectura/Escritura

Gestionar la salida y el ingreso de grupos de seguridad para un sistema de archivos FSx para ONTAP

ec2:RevokeSecurityGroupIngress

Operaciones de gestión

Lectura/Escritura

ec2:DeleteSecurityGroup

Operaciones de gestión

Lectura/Escritura

Cree, vea y gestione recursos del sistema de archivos FSx para ONTAP

fsx:CreateVolume*

Operaciones de gestión

Lectura/Escritura

fsx:TagResource*

Operaciones de gestión

Lectura/Escritura

fsx:CreateStorageVirtualMachine*

Operaciones de gestión

Lectura/Escritura

fsx:DeleteFileSystem*

Operaciones de gestión

Lectura/Escritura

fsx:DeleteStorageVirtualMachine*

Operaciones de gestión

Lectura/Escritura

fsx:DescripciónFileSystems*

Inventario

  • Solo lectura

  • Lectura/Escritura

fsx:DescripciónStorageVirtualMachines*

Inventario

  • Solo lectura

  • Lectura/Escritura

fsx:UpdateFileSystem*

Operaciones de gestión

Lectura/Escritura

fsx:UpdateStorageVirtualMachine*

Operaciones de gestión

Lectura/Escritura

fsx:DescribeVolumes*

Inventario

  • Solo lectura

  • Lectura/Escritura

fsx:UpdateVolume*

Operaciones de gestión

Lectura/Escritura

fsx:DeleteVolume*

Operaciones de gestión

Lectura/Escritura

fsx:UntagResource*

Operaciones de gestión

Lectura/Escritura

fsx:DescribeBackups*

Operaciones de gestión

  • Solo lectura

  • Lectura/Escritura

fsx:CreateBackup*

Operaciones de gestión

Lectura/Escritura

fsx:CreateVolumeFromBackup*

Operaciones de gestión

Lectura/Escritura

Informar de las métricas de CloudWatch

Cloudwatch:PutMetricData

Operaciones de gestión

Lectura/Escritura

Obtenga métricas de volumen y sistema de archivos

Cloudwatch:GetMetricData

Operaciones de gestión

  • Solo lectura

  • Lectura/Escritura

Cloudwatch:GetMetricStatistics

Operaciones de gestión

  • Solo lectura

  • Lectura/Escritura

Permisos para cargas de trabajo de bases de datos

Las políticas de IAM disponibles para las cargas de trabajo de bases de datos proporcionan los permisos que la fábrica de cargas de trabajo necesita para administrar recursos y procesos dentro de su entorno de nube pública en función del modo operativo en el que opera.

Seleccione el modo operativo para ver las políticas de IAM necesarias:

Políticas de IAM para cargas de trabajo de bases de datos
Modo de solo lectura
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CommonGroup",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "sns:ListTopics",
        "ec2:DescribeInstances",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeImages",
        "ec2:DescribeRegions",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes",
        "ec2:DescribeAddresses",
        "kms:ListAliases",
        "kms:ListKeys",
        "kms:DescribeKey",
        "cloudformation:ListStacks",
        "cloudformation:DescribeAccountLimits",
        "ds:DescribeDirectories",
        "fsx:DescribeVolumes",
        "fsx:DescribeBackups",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:DescribeFileSystems",
        "servicequotas:ListServiceQuotas",
        "ssm:GetParametersByPath",
        "ssm:GetCommandInvocation",
        "ssm:SendCommand",
        "ssm:GetConnectionStatus",
        "ssm:DescribePatchBaselines",
        "ssm:DescribeInstancePatchStates",
        "ssm:ListCommands",
        "ssm:DescribeInstanceInformation",
        "fsx:ListTagsForResource"
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:GetParameters",
        "ssm:PutParameter",
        "ssm:DeleteParameters"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
    },
    {
      "Sid": "SSMResponseCloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents",
        "logs:PutRetentionPolicy"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}
Modo de lectura/escritura
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EC2Group",
      "Effect": "Allow",
      "Action": [
        "ec2:AllocateAddress",
        "ec2:AllocateHosts",
        "ec2:AssignPrivateIpAddresses",
        "ec2:AssociateAddress",
        "ec2:AssociateRouteTable",
        "ec2:AssociateSubnetCidrBlock",
        "ec2:AssociateVpcCidrBlock",
        "ec2:AttachInternetGateway",
        "ec2:AttachNetworkInterface",
        "ec2:AttachVolume",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateVolume",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteSecurityGroup",
        "ec2:DeleteTags",
        "ec2:DeleteVolume",
        "ec2:DetachNetworkInterface",
        "ec2:DetachVolume",
        "ec2:DisassociateAddress",
        "ec2:DisassociateIamInstanceProfile",
        "ec2:DisassociateRouteTable",
        "ec2:DisassociateSubnetCidrBlock",
        "ec2:DisassociateVpcCidrBlock",
        "ec2:ModifyInstanceAttribute",
        "ec2:ModifyInstancePlacement",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:ModifySubnetAttribute",
        "ec2:ModifyVolume",
        "ec2:ModifyVolumeAttribute",
        "ec2:ReleaseAddress",
        "ec2:ReplaceRoute",
        "ec2:ReplaceRouteTableAssociation",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
        }
      }
    },
    {
      "Sid": "FSxNGroup",
      "Effect": "Allow",
      "Action": [
        "fsx:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
        }
      }
    },
    {
      "Sid": "CommonGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStacks",
        "cloudformation:ValidateTemplate",
        "cloudformation:DescribeAccountLimits",
        "cloudwatch:GetMetricStatistics",
        "ds:DescribeDirectories",
        "ec2:CreateLaunchTemplate",
        "ec2:CreateLaunchTemplateVersion",
        "ec2:CreateNetworkInterface",
        "ec2:CreateSecurityGroup",
        "ec2:CreateTags",
        "ec2:CreateVpcEndpoint",
        "ec2:Describe*",
        "ec2:Get*",
        "ec2:RunInstances",
        "ec2:ModifyVpcAttribute",
        "ec2messages:*",
        "fsx:CreateFileSystem",
        "fsx:UpdateFileSystem",
        "fsx:CreateStorageVirtualMachine",
        "fsx:CreateVolume",
        "fsx:UpdateVolume",
        "fsx:Describe*",
        "fsx:List*",
        "kms:CreateGrant",
        "kms:Describe*",
        "kms:List*",
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DescribeLog*",
        "logs:GetLog*",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:TagResource",
        "logs:PutRetentionPolicy",
        "servicequotas:ListServiceQuotas",
        "sns:ListTopics",
        "sns:Publish",
        "ssm:Describe*",
        "ssm:Get*",
        "ssm:List*",
        "ssm:PutComplianceItems",
        "ssm:PutConfigurePackageResult",
        "ssm:PutInventory",
        "ssm:SendCommand",
        "ssm:UpdateAssociationStatus",
        "ssm:UpdateInstanceAssociationStatus",
        "ssm:UpdateInstanceInformation",
        "ssmmessages:*",
        "compute-optimizer:GetEnrollmentStatus",
        "compute-optimizer:PutRecommendationPreferences",
        "compute-optimizer:GetEffectiveRecommendationPreferences",
        "compute-optimizer:GetEC2InstanceRecommendations",
        "autoscaling:DescribeAutoScalingGroups",
        "autoscaling:DescribeAutoScalingInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "ArnGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:SignalResource"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/WLMDB*",
        "arn:aws:logs:*:*:log-group:WLMDB*"
      ]
    },
    {
      "Sid": "IAMGroup",
      "Effect": "Allow",
      "Action": [
        "iam:AddRoleToInstanceProfile",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:GetUser",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup1",
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "IAMGroup2",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:GetParameters",
        "ssm:PutParameter",
        "ssm:DeleteParameters"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

En la siguiente tabla se muestran los permisos para las cargas de trabajo de la base de datos.

Tabla de permisos para cargas de trabajo de base de datos
Específico Acción Donde se utiliza Modo

Obtenga estadísticas métricas para FSx para ONTAP, EBS y FSx para Windows File Server y para recomendaciones de optimización de cómputo

Cloudwatch:GetMetricStatistics

  • Inventario

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

Recopile métricas de rendimiento guardadas en Amazon CloudWatch desde nodos SQL registrados. Los datos se generan en gráficos de tendencias de rendimiento en la pantalla de administración de instancias para las instancias SQL registradas.

Cloudwatch:GetMetricData

Inventario

Solo lectura

Listar y definir disparadores para eventos

sns:ListTopics

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtenga detalles para las instancias de EC2

ec2:DescribInstances

  • Inventario

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeKeyPairs

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeNetworkinterfaces

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

EC2:DescripciónTipos de InstanceTipos

  • Puesta en marcha

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

Obtén los detalles que necesitas para rellenar el formulario de puesta en marcha de FSx para ONTAP

ec2:DescribeVpcs

  • Puesta en marcha

  • Inventario

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeSubnets

  • Puesta en marcha

  • Inventario

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeSecurityGroups

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeImages

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

ec2:regiones describidas

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

ec2:DescribeRouteTables

  • Puesta en marcha

  • Inventario

  • Solo lectura

  • Lectura/Escritura

Obtenga cualquier extremo de VPC existente para determinar si es necesario crear nuevos extremos antes de las implementaciones

ec2:DescribeVpcEndpoints

  • Puesta en marcha

  • Inventario

  • Solo lectura

  • Lectura/Escritura

Cree puntos finales de VPC si no existen para los servicios requeridos independientemente de la conectividad de red pública en las instancias de EC2

EC2:CreateVpcEndpoint

Puesta en marcha

Lectura/Escritura

Obtener tipos de instancias disponibles en la región para los nodos de validación (T2.micro/T3.micro)

EC2:DescripciónInstanceTypeOfferings

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtenga detalles de snapshot de cada volumen de EBS adjunto para calcular los precios y el ahorro

ec2:DescribSnapshots

Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

Obtén detalles de cada volumen de EBS adjunto para calcular los precios y el ahorro

ec2:DescribeVolumes

  • Inventario

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

Obtenga información clave de KMS para el cifrado del sistema de archivos FSx para ONTAP

Kms:ListAliases

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Km:ListKeys

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Km:DescripbeKey

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtenga una lista de pilas de CloudFormation que se ejecutan en el entorno para comprobar el límite de cuota

Cloudformation:ListStacks

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Compruebe los límites de la cuenta para los recursos antes de activar el despliegue

Formación de nubes:DescribeAccountLimits

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtenga una lista de directorios activos gestionados por AWS en la región

ds:DescripbeDirectories

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtén listas y detalles de volúmenes, backups, SVM, sistemas de archivos en AZs y etiquetas para el sistema de archivos FSx para ONTAP

fsx:DescribeVolumes

  • Inventario

  • Explore Ahorros

  • Solo lectura

  • Lectura/Escritura

fsx:DescripbeBackups

  • Inventario

  • Explore Ahorros

  • Solo lectura

  • Lectura/Escritura

fsx:DescribeStorageVirtualMachines

  • Puesta en marcha

  • Gestionar operaciones

  • Inventario

  • Solo lectura

  • Lectura/Escritura

fsx:DescripciónFileSystems

  • Puesta en marcha

  • Gestionar operaciones

  • Inventario

  • Explora el ahorro

  • Solo lectura

  • Lectura/Escritura

fsx:ListTagsForResource

Gestionar operaciones

  • Solo lectura

  • Lectura/Escritura

Obtenga los límites de cuotas de servicio para CloudFormation y VPC

ServiceQuotas:ListServiceQuotas

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Utilice la consulta basada en SSM para obtener la lista actualizada de regiones soportadas por FSx para ONTAP

ssm:GetParametersByPath

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Sondee la respuesta de SSM después de enviar el comando para gestionar las operaciones posteriores al despliegue

ssm:GetCommandInvocation

  • Gestionar operaciones

  • Inventario

  • Explora el ahorro

  • Optimización

  • Solo lectura

  • Lectura/Escritura

Envíe comandos sobre SSM a instancias EC2

ssm:SendCommand

  • Gestionar operaciones

  • Inventario

  • Explora el ahorro

  • Optimización

  • Solo lectura

  • Lectura/Escritura

Obtener el estado de conectividad de SSM en las instancias posteriores al despliegue

ssm:GetConnectionStatus

  • Gestionar operaciones

  • Inventario

  • Optimización

  • Solo lectura

  • Lectura/Escritura

Recuperar el estado de asociación de SSM para un grupo de instancias EC2 gestionadas (nodos SQL)

ssm:Descripción InstanceInformation

Inventario

Lea

Obtenga la lista de líneas base de parches disponibles para la evaluación de parches del sistema operativo

ssm:DescripciónPatchBaselines

Optimización

  • Solo lectura

  • Lectura/Escritura

Obtener el estado de aplicación de parches en las instancias de Windows EC2 para la evaluación de parches del sistema operativo

ssm:DescripciónInstancePatchStates

Optimización

  • Solo lectura

  • Lectura/Escritura

Enumere los comandos ejecutados por AWS Patch Manager en las instancias EC2 para la gestión de parches del sistema operativo

ssm: ListCommands

Optimización

  • Solo lectura

  • Lectura/Escritura

Compruebe si la cuenta está inscrita en AWS Compute Optimizer

Compute-Optimizer:GetEnrollmentStatus

  • Explora el ahorro

  • Optimización

Lectura/Escritura

Actualice una preferencia de recomendación existente en AWS Compute Optimizer para adaptar las sugerencias para las cargas de trabajo de SQL Server

Compute-Optimizer:PutRecommendationPreferences

  • Explora el ahorro

  • Optimización

Lectura/Escritura

Obtener preferencias de recomendación que están en vigor para un recurso determinado de AWS Compute Optimizer

Compute-Optimizer:GetEffectiveRecommendationPreferences

  • Explora el ahorro

  • Optimización

Lectura/Escritura

Obtenga recomendaciones que AWS Compute Optimizer genera para las instancias de Amazon Elastic Compute Cloud (Amazon EC2)

Compute-Optimizer:GetEC2InstanceRecommendations

  • Explora el ahorro

  • Optimización

Lectura/Escritura

Compruebe la asociación de instancias a grupos de escala automática

escala automática:DescripciónAutoScalingGroups

  • Explora el ahorro

  • Optimización

Lectura/Escritura

escala automática:DescripciónAutoScalingInstances

  • Explora el ahorro

  • Optimización

Lectura/Escritura

Obtenga, enumere, cree y elimine parámetros de SSM para las credenciales de usuario de AD, FSx para ONTAP y SQL utilizadas durante la implementación o administradas en su cuenta de AWS

ssm:getParameter 1

  • Puesta en marcha

  • Gestionar operaciones

  • Solo lectura

  • Lectura/Escritura

ssm:GetParameters 1

Gestionar operaciones

  • Solo lectura

  • Lectura/Escritura

ssm:PutParameter 1

  • Puesta en marcha

  • Gestionar operaciones

  • Solo lectura

  • Lectura/Escritura

ssm:DeleteParameters 1

Gestionar operaciones

  • Solo lectura

  • Lectura/Escritura

Asocie recursos de red a nodos SQL y nodos de validación, y agregue IP secundarias adicionales a nodos SQL

EC2:AllocateAddress 1

Puesta en marcha

Lectura/Escritura

EC2:AllocateHosts 1

Puesta en marcha

Lectura/Escritura

EC2:AssignPrivateIpAddresses 1

Puesta en marcha

Lectura/Escritura

EC2:AssociateAddress 1

Puesta en marcha

Lectura/Escritura

EC2:AssociateRouteTable 1

Puesta en marcha

Lectura/Escritura

EC2:AssociateSubnetCidrBlock 1

Puesta en marcha

Lectura/Escritura

EC2:AssociateVpcCidrBlock 1

Puesta en marcha

Lectura/Escritura

EC2:AttachInternetGateway 1

Puesta en marcha

Lectura/Escritura

EC2:AttachNetworkInterface 1

Puesta en marcha

Lectura/Escritura

Conecte los volúmenes de EBS necesarios a los nodos SQL para la puesta en marcha

ec2:AttachVolume

Puesta en marcha

Lectura/Escritura

Asocie grupos de seguridad y modifique reglas para los nodos aprovisionados

ec2:AuthorizeSecurityGroupEgress

Puesta en marcha

Lectura/Escritura

ec2:AuthorizeSecurityGroupIngress

Puesta en marcha

Lectura/Escritura

Cree los volúmenes de EBS necesarios para los nodos SQL para la puesta en marcha

ec2:CreateVolume

Puesta en marcha

Lectura/Escritura

Elimine los nodos de validación temporales creados del tipo T2.micro y para la reversión o el reintento de EC2 nodos SQL fallidos

ec2:DeleteNetworkInterface

Puesta en marcha

Lectura/Escritura

ec2:DeleteSecurityGroup

Puesta en marcha

Lectura/Escritura

ec2:DeleteTags

Puesta en marcha

Lectura/Escritura

ec2:DeleteVolume

Puesta en marcha

Lectura/Escritura

EC2:DetachNetworkInterface

Puesta en marcha

Lectura/Escritura

ec2:DetachVolume

Puesta en marcha

Lectura/Escritura

EC2:DisasociateAddress

Puesta en marcha

Lectura/Escritura

ec2:DisasociateIamInstanceProfile

Puesta en marcha

Lectura/Escritura

EC2:DisAssociateRouteTable

Puesta en marcha

Lectura/Escritura

EC2:DisasociateSubnetCidrBlock

Puesta en marcha

Lectura/Escritura

EC2:DisasociateVpcCidrBlock

Puesta en marcha

Lectura/Escritura

Modificar atributos para instancias SQL creadas. Solo se aplica a los nombres que comienzan con WLMDB.

ec2:ModificyInstanceAttribute

Puesta en marcha

Lectura/Escritura

EC2:ModifyInstanceColocación

Puesta en marcha

Lectura/Escritura

ec2:ModificyNetworkInterfaceAttribute

Puesta en marcha

Lectura/Escritura

EC2:ModifySubnetAttribute

Puesta en marcha

Lectura/Escritura

ec2:ModifiyVolume

Puesta en marcha

Lectura/Escritura

ec2:ModifyVolumeAttribute

Puesta en marcha

Lectura/Escritura

EC2:ModifyVpcAttribute

Puesta en marcha

Lectura/Escritura

Desasociar y destruir instancias de validación

EC2:Release Address

Puesta en marcha

Lectura/Escritura

EC2:ReplaceRoute

Puesta en marcha

Lectura/Escritura

EC2:ReplaceRouteTableAssociation

Puesta en marcha

Lectura/Escritura

ec2:RevokeSecurityGroupEgress

Puesta en marcha

Lectura/Escritura

ec2:RevokeSecurityGroupIngress

Puesta en marcha

Lectura/Escritura

Inicie las instancias desplegadas

ec2:StartuStarInstances

Puesta en marcha

Lectura/Escritura

Pare las instancias desplegadas

ec2:StopInstances

Puesta en marcha

Lectura/Escritura

Etiquete valores personalizados para los recursos de Amazon FSx for NetApp ONTAP creados por WLMDB para obtener detalles de facturación durante la gestión de recursos

fsx:TagResource 1

  • Puesta en marcha

  • Gestionar operaciones

Lectura/Escritura

Cree y valide la plantilla de CloudFormation para el despliegue

Cloudformation:CreateStack

Puesta en marcha

Lectura/Escritura

Cloudformation:DescribeStackEvents

Puesta en marcha

Lectura/Escritura

Cloudformation:Describacks

Puesta en marcha

Lectura/Escritura

Cloudformation:ListStacks

Puesta en marcha

Lectura/Escritura

Cloudformation:ValidateTemplate

Puesta en marcha

Lectura/Escritura

Recuperar directorios disponibles en la región

ds:DescripbeDirectories

Puesta en marcha

Lectura/Escritura

Agregue reglas para el grupo de seguridad asociado a las instancias EC2 provisionadas

ec2:AuthorizeSecurityGroupEgress

Puesta en marcha

Lectura/Escritura

ec2:AuthorizeSecurityGroupIngress

Puesta en marcha

Lectura/Escritura

Cree plantillas de pila anidadas para reintentos y rollback

EC2:CreateLaunchTemplate

Puesta en marcha

Lectura/Escritura

EC2:CreateLaunchTemplateVersion

Puesta en marcha

Lectura/Escritura

Gestionar etiquetas y seguridad de red en las instancias creadas

ec2:CreateNetworkInterface

Puesta en marcha

Lectura/Escritura

ec2:CreateSecurityGroup

Puesta en marcha

Lectura/Escritura

ec2:CreateTags

Puesta en marcha

Lectura/Escritura

Suprima el grupo de seguridad creado temporalmente para los nodos de validación

ec2:DeleteSecurityGroup

Puesta en marcha

Lectura/Escritura

Obtener detalles de instancia para el provisionamiento

EC2:Describir*

  • Puesta en marcha

  • Inventario

  • Explora el ahorro

Lectura/Escritura

EC2:GET*

  • Puesta en marcha

  • Inventario

  • Explora el ahorro

Lectura/Escritura

Inicie las instancias creadas

ec2:RunInstances

Puesta en marcha

Lectura/Escritura

Systems Manager utiliza el extremo del servicio de entrega de mensajes de AWS para las operaciones de API

ec2messages:*

  • Implementación *Inventario

Lectura/Escritura

Crear FSx para los recursos de ONTAP necesarios para aprovisionamiento. Para los sistemas FSx para ONTAP existentes, se crea un nuevo SVM para alojar los volúmenes de SQL.

fsx:CreateFileSystem

Puesta en marcha

Lectura/Escritura

fsx:CreateStorageVirtualMachine

Puesta en marcha

Lectura/Escritura

fsx:CreateVolume

  • Puesta en marcha

  • Gestionar operaciones

Lectura/Escritura

Obtén más información sobre FSx para ONTAP

fsx:describe*

  • Puesta en marcha

  • Inventario

  • Gestionar operaciones

  • Explora el ahorro

Lectura/Escritura

fsx:List*

  • Puesta en marcha

  • Inventario

Lectura/Escritura

Cambie el tamaño de FSx para el sistema de archivos ONTAP para solucionar el margen adicional del sistema de archivos

fsx:UpdateFilesystem

Optimización

Lectura/Escritura

Cambie el tamaño de los volúmenes para corregir los tamaños de los registros y las unidades de TempDB

fsx:UpdateVolume

Optimización

Lectura/Escritura

Obtén los detalles clave de KMS y utilízalos para el cifrado FSx para ONTAP

Kms:CreateGrant

Puesta en marcha

Lectura/Escritura

Kms:describir*

Puesta en marcha

Lectura/Escritura

Kms:Lista*

Puesta en marcha

Lectura/Escritura

Km:GenerateDataKey

Puesta en marcha

Lectura/Escritura

Cree registros de CloudWatch para la validación y el aprovisionamiento de scripts que se ejecutan en instancias EC2

Registros:CreateLogGroup

Puesta en marcha

Lectura/Escritura

Registros:CreateLogStream

Puesta en marcha

Lectura/Escritura

Registros:DescribeLog*

Puesta en marcha

Lectura/Escritura

Registros:GetLog*

Puesta en marcha

Lectura/Escritura

Logs:ListLogDeliveries

Puesta en marcha

Lectura/Escritura

Logs:PutLogEvents

  • Puesta en marcha

  • Gestionar operaciones

Lectura/Escritura

Logs:TagResource

Puesta en marcha

Lectura/Escritura

La fábrica de cargas de trabajo cambia a los registros de Amazon CloudWatch para la instancia SQL al encontrar el truncamiento de salida de SSM

Logs:GetLogEvents

  • Evaluación del almacenamiento (optimización)

  • Inventario

  • Solo lectura

  • Lectura/Escritura

Permitir que la fábrica de cargas de trabajo obtenga grupos de registros actuales y comprobar que la retención esté establecida para grupos de registros creados por la fábrica de cargas de trabajo

Logs:DescripbeLogGroups

  • Evaluación del almacenamiento (optimización)

  • Inventario

Solo lectura

Permitir que la fábrica de cargas de trabajo defina una política de retención de un día para los grupos de logs creados por la fábrica de cargas de trabajo para evitar la acumulación innecesaria de flujos de log para las salidas de comandos SSM

Logs:PutRetentionPolicy

  • Evaluación del almacenamiento (optimización)

  • Inventario

  • Solo lectura

  • Lectura/Escritura

Cree secretos en una cuenta de usuario para las credenciales proporcionadas para SQL, el dominio y FSx para ONTAP

ServiceQuotas:ListServiceQuotas

Puesta en marcha

Lectura/Escritura

Enumere los temas de SNS del cliente y publique en el SNS de backend de WLMDB, así como en el SNS del cliente, si está seleccionado

sns:ListTopics

Puesta en marcha

Lectura/Escritura

sns: Publicar

Puesta en marcha

Lectura/Escritura

Permisos SSM necesarios para ejecutar el script de detección en instancias SQL aprovisionadas y para obtener la lista más reciente de regiones AWS compatibles con FSx para ONTAP.

ssm:DESCRIBE*

Puesta en marcha

Lectura/Escritura

ssm:GET*

  • Puesta en marcha

  • Gestionar operaciones

Lectura/Escritura

ssm: Lista*

Puesta en marcha

Lectura/Escritura

ssm:PutComplianceItems

Puesta en marcha

Lectura/Escritura

ssm:PutConfigurePackageResult

Puesta en marcha

Lectura/Escritura

ssm: Inventario de PutInventory

Puesta en marcha

Lectura/Escritura

ssm:SendCommand

  • Puesta en marcha

  • Inventario

  • Gestionar operaciones

Lectura/Escritura

ssm: UpdateAssociationStatus

Puesta en marcha

Lectura/Escritura

ssm:UpdateInstanceAssociationStatus

Puesta en marcha

Lectura/Escritura

ssm:UpdateInstanceInformation

Puesta en marcha

Lectura/Escritura

ssmmessages:*

  • Puesta en marcha

  • Inventario

  • Gestionar operaciones

Lectura/Escritura

Guardar credenciales para FSX para ONTAP, Active Directory y el usuario SQL (solo para la autenticación de usuario SQL)

ssm:getParameter 1

  • Puesta en marcha

  • Gestionar operaciones

  • Inventario

Lectura/Escritura

ssm:GetParameters 1

  • Puesta en marcha

  • Inventario

Lectura/Escritura

ssm:PutParameter 1

  • Puesta en marcha

  • Gestionar operaciones

Lectura/Escritura

ssm:DeleteParameters 1

  • Puesta en marcha

  • Gestionar operaciones

Lectura/Escritura

La pila de CloudFormation de señales se ha producido correctamente o ha fallado.

Formación de nubes:SignalResource 1

Puesta en marcha

Lectura/Escritura

Agregue el rol EC2 creado por la plantilla al perfil de instancia de EC2 para permitir que los scripts de EC2 accedan a los recursos necesarios para el despliegue.

iam:AddRoleToInstanceProfile

Puesta en marcha

Lectura/Escritura

Cree un perfil de instancia para EC2 y adjunte el rol EC2 creado.

iam:CreateInstanceProfile

Puesta en marcha

Lectura/Escritura

Cree un rol EC2 a través de una plantilla con los permisos enumerados a continuación

iam:CreateRole

Puesta en marcha

Lectura/Escritura

Crear rol vinculado al servicio EC2

iam:CreateServiceLinkedRole 2

Puesta en marcha

Lectura/Escritura

Suprimir perfil de instancia creado durante el despliegue específicamente para los nodos de validación

iam:DeleteInstanceProfile

Puesta en marcha

Lectura/Escritura

Obtenga los detalles del rol y la política para determinar las brechas en los permisos y validarlas para la implementación

iam: GetPolicy

Puesta en marcha

Lectura/Escritura

iam:GetPolicyVersion

Puesta en marcha

Lectura/Escritura

iam:GetRole

Puesta en marcha

Lectura/Escritura

iam: GetRolePolicy

Puesta en marcha

Lectura/Escritura

iam: GetUser

Puesta en marcha

Lectura/Escritura

Transfiera el rol creado a la instancia EC2

iam:PassRole 3

Puesta en marcha

Lectura/Escritura

Agregue una política con los permisos necesarios al rol EC2 creado

iam:PutRolePolicy

Puesta en marcha

Lectura/Escritura

Separe el rol del perfil de instancia de EC2 aprovisionado

iam:RemoveRoleFromInstanceProfile

Puesta en marcha

Lectura/Escritura

Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS

iam: Política de SimulatePrincipalPolicy

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

  1. El permiso está restringido a los recursos que comienzan con WLMDB.

  2. «iam:CreateServiceLinkedRole» limitado por «iam:AWSServiceName»: «ec2.amazonaws.com"*

  3. “iam:PassRole” limitado por “iam:PassedToService”: “ec2.amazonaws.com"*

Permisos para cargas de trabajo de GenAI

Las políticas de IAM para cargas de trabajo de VMware proporcionan los permisos que la fábrica de cargas de trabajo para VMware necesita para gestionar recursos y procesos dentro de tu entorno de nube pública en función del modo operativo en el que operes.

Las políticas de IAM de GenAI solo están disponibles en modo de lectura/escritura:

Políticas de IAM para las cargas de trabajo de GenAI
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudformationGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DescribeStacks"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
    },
    {
      "Sid": "EC2Group",
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
        }
      }
    },
    {
      "Sid": "EC2DescribeGroup",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeTags",
        "ec2:CreateVpcEndpoint",
        "ec2:CreateSecurityGroup",
        "ec2:CreateTags",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstances",
        "ec2:DescribeImages",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:RunInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup",
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:CreateInstanceProfile",
        "iam:AddRoleToInstanceProfile",
        "iam:PutRolePolicy",
        "iam:GetRolePolicy",
        "iam:GetRole",
        "iam:TagRole"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup2",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "FSXNGroup",
      "Effect": "Allow",
      "Action": [
        "fsx:DescribeVolumes",
        "fsx:DescribeFileSystems",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:ListTagsForResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "FSXNGroup2",
      "Effect": "Allow",
      "Action": [
        "fsx:UntagResource",
        "fsx:TagResource"
      ],
      "Resource": [
        "arn:aws:fsx:*:*:volume/*/*",
        "arn:aws:fsx:*:*:storage-virtual-machine/*/*"
      ]
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:PutParameter"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
    },
    {
      "Sid": "SSM",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "ssm:GetParametersByPath"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
    },
    {
      "Sid": "SSMMessages",
      "Effect": "Allow",
      "Action": [
        "ssm:GetCommandInvocation"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SSMCommandDocument",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand"
      ],
      "Resource": [
        "arn:aws:ssm:*:*:document/AWS-RunShellScript"
      ]
    },
    {
      "Sid": "SSMCommandInstance",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand",
        "ssm:GetConnectionStatus"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ],
      "Condition": {
        "StringLike": {
          "ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
        }
      }
    },
    {
      "Sid": "KMS",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SNS",
      "Effect": "Allow",
      "Action": [
        "sns:Publish"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchAiEngine",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource",
        "logs:DescribeLogStreams"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
    },
    {
      "Sid": "CloudWatchAiEngineLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
    },
    {
      "Sid": "BedrockGroup",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModelWithResponseStream",
        "bedrock:InvokeModel",
        "bedrock:ListFoundationModels",
        "bedrock:GetFoundationModelAvailability",
        "bedrock:GetModelInvocationLoggingConfiguration",
        "bedrock:PutModelInvocationLoggingConfiguration",
        "bedrock:ListInferenceProfiles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchBedrock",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
    },
    {
      "Sid": "BedrockLoggingAttachRole",
      "Effect": "Allow",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
    },
    {
      "Sid": "BedrockLoggingIamOperations",
      "Effect": "Allow",
      "Action": [
        "iam:CreatePolicy"
      ],
      "Resource": "*"
    },
    {
      "Sid": "QBusiness",
      "Effect": "Allow",
      "Action": [
        "qbusiness:ListApplications"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

En la siguiente tabla se ofrecen detalles sobre los permisos para las cargas de trabajo de GenAI.

Tabla de permisos para cargas de trabajo de GenAI
Específico Acción Donde se utiliza Modo

Cree una pila de formación de cloud del motor de IA durante las operaciones de puesta en marcha y recompilación

Cloudformation:CreateStack

Puesta en marcha

Lectura/Escritura

Cree la pila de formación de cloud del motor de IA

Cloudformation:Describacks

Puesta en marcha

Lectura/Escritura

Enumere las regiones del asistente de despliegue del motor AI

ec2:regiones describidas

Puesta en marcha

Lectura/Escritura

Mostrar etiquetas de motor AI

ec2:etiquetas a describTags

Puesta en marcha

Lectura/Escritura

Lista de depósitos S3

s3:ListAllMyBuckets

Puesta en marcha

Lectura/Escritura

Enumere los extremos de VPC antes de crear la pila del motor de AI

EC2:CreateVpcEndpoint

Puesta en marcha

Lectura/Escritura

Cree un grupo de seguridad del motor de IA durante la creación de la pila del motor de IA durante las operaciones de implementación y reconstrucción

ec2:CreateSecurityGroup

Puesta en marcha

Lectura/Escritura

Etiquete los recursos creados por la creación de pila de motores de IA durante las operaciones de implementación y recompilación

ec2:CreateTags

Puesta en marcha

Lectura/Escritura

Publique eventos cifrados en el backend WLMAI desde la pila del motor AI

Km:GenerateDataKey

Puesta en marcha

Lectura/Escritura

Km:descifrar

Puesta en marcha

Lectura/Escritura

Publique eventos y recursos personalizados en el backend WLMAI desde la pila ai-engine

sns: Publicar

Puesta en marcha

Lectura/Escritura

Mostrar los PC virtuales durante el asistente de despliegue del motor AI

ec2:DescribeVpcs

Puesta en marcha

Lectura/Escritura

Muestra las subredes del asistente de despliegue del motor AI

ec2:DescribeSubnets

Puesta en marcha

Lectura/Escritura

Obtenga tablas de ruta durante la puesta en marcha y recompilación del motor de IA

ec2:DescribeRouteTables

Puesta en marcha

Lectura/Escritura

Enumere los pares de claves durante el asistente de implementación del motor de IA

ec2:DescribeKeyPairs

Puesta en marcha

Lectura/Escritura

Enumerar los grupos de seguridad durante la creación de la pila del motor AI (para buscar grupos de seguridad en los extremos privados)

ec2:DescribeSecurityGroups

Puesta en marcha

Lectura/Escritura

Consigue extremos de VPC para determinar si se deben crear alguno durante la puesta en marcha del motor de IA

ec2:DescribeVpcEndpoints

Puesta en marcha

Lectura/Escritura

Enumere las aplicaciones de Amazon Q Business

Qbusiness:ListApplications

Puesta en marcha

Lectura/Escritura

Enumere las instancias para averiguar el estado del motor de IA

ec2:DescribInstances

Resolución de problemas

Lectura/Escritura

Enumera imágenes durante la creación de la pila del motor de IA durante las operaciones de implementación y recompilación

ec2:DescribeImages

Puesta en marcha

Lectura/Escritura

Cree y actualice la instancia de IA y el grupo de seguridad de punto final privado durante la creación de la pila de instancias de AI durante las operaciones de despliegue y reconstrucción

ec2:RevokeSecurityGroupEgress

Puesta en marcha

Lectura/Escritura

ec2:RevokeSecurityGroupIngress

Puesta en marcha

Lectura/Escritura

Ejecutar el motor de IA durante la creación de pilas de formación de nube durante las operaciones de puesta en marcha y recompilación

ec2:RunInstances

Puesta en marcha

Lectura/Escritura

Asocie grupos de seguridad y modifique las reglas del motor de IA durante la creación de la pila durante las operaciones de puesta en marcha y recompilación

ec2:AuthorizeSecurityGroupEgress

Puesta en marcha

Lectura/Escritura

ec2:AuthorizeSecurityGroupIngress

Puesta en marcha

Lectura/Escritura

Consulte el estado de registro de Amazon Bedrock/Amazon CloudWatch durante la implementación del motor de IA

Bedrock:GetModelInvocationLoggingConfiguration

Puesta en marcha

Lectura/Escritura

Inicie una solicitud de chat para uno de los modelos básicos

Bedrock:InvokeModelWithResponseStream

Puesta en marcha

Lectura/Escritura

Iniciar solicitud de chat/inserción para modelos de base

Bedrock:InvokeModel

Puesta en marcha

Lectura/Escritura

Muestra los modelos de base disponibles en una región

Bedrock:ListFoundationModels

Puesta en marcha

Lectura/Escritura

Obtenga información sobre un modelo de fundación

Bedrock:GetFoundationModel

Puesta en marcha

Lectura/Escritura

Verifique el acceso al modelo de base

Bedrock:GetFoundationModelAvailability

Puesta en marcha

Lectura/Escritura

Verifique la necesidad de crear un grupo de registros de Amazon CloudWatch durante las operaciones de despliegue y reconstrucción

Logs:DescripbeLogGroups

Puesta en marcha

Lectura/Escritura

Obtén regiones que dan soporte a FSx y Amazon Bedrock durante el asistente del motor de IA

ssm:GetParametersByPath

Puesta en marcha

Lectura/Escritura

Obtenga la imagen más reciente de Amazon Linux para la puesta en marcha del motor de IA durante las operaciones de puesta en marcha y recompilación

ssm: GetParameters

Puesta en marcha

Lectura/Escritura

Obtenga la respuesta SSM del comando enviado al motor AI

ssm:GetCommandInvocation

Puesta en marcha

Lectura/Escritura

Compruebe la conexión del SSM al motor AI

ssm:SendCommand

Puesta en marcha

Lectura/Escritura

ssm:GetConnectionStatus

Puesta en marcha

Lectura/Escritura

Cree un perfil de instancia del motor de IA durante la creación de pila durante las operaciones de puesta en marcha y recompilación

iam:CreateRole

Puesta en marcha

Lectura/Escritura

iam:CreateInstanceProfile

Puesta en marcha

Lectura/Escritura

iam:AddRoleToInstanceProfile

Puesta en marcha

Lectura/Escritura

iam:PutRolePolicy

Puesta en marcha

Lectura/Escritura

iam: GetRolePolicy

Puesta en marcha

Lectura/Escritura

iam:GetRole

Puesta en marcha

Lectura/Escritura

iam:TagRole

Puesta en marcha

Lectura/Escritura

iam:PassRole

Puesta en marcha

Lectura/Escritura

Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS

iam: Política de SimulatePrincipalPolicy

Puesta en marcha

Lectura/Escritura

Enumere los sistemas de archivos FSx para ONTAP durante el asistente para crear base de conocimientos

fsx:DescribeVolumes

Creación de la base de conocimientos

Lectura/Escritura

Enumera los volúmenes del sistema de archivos FSx para ONTAP durante el asistente para crear base de conocimientos

fsx:DescripciónFileSystems

Creación de la base de conocimientos

Lectura/Escritura

Gestionar las bases de conocimientos en el motor de IA durante las operaciones de recompilación

fsx:ListTagsForResource

Resolución de problemas

Lectura/Escritura

Enumere las máquinas virtuales de almacenamiento del sistema de archivos FSx para ONTAP durante el asistente de creación de base de conocimientos

fsx:DescribeStorageVirtualMachines

Puesta en marcha

Lectura/Escritura

Mueva la base de conocimientos a una nueva instancia

fsx:UntagResource

Resolución de problemas

Lectura/Escritura

Gestione la base de conocimientos en el motor de IA durante la recompilación

fsx:TagResource

Resolución de problemas

Lectura/Escritura

Guardar los secretos SSM (token ECR, credenciales CIFS, claves de las cuentas de servicio de inquilino) de una forma segura

ssm:getParameter

Puesta en marcha

Lectura/Escritura

ssm: Parámetro de PutParameter

Puesta en marcha

Lectura/Escritura

Envíe los registros del motor de IA al grupo de registros de Amazon CloudWatch durante las operaciones de implementación y reconstrucción

Registros:CreateLogGroup

Puesta en marcha

Lectura/Escritura

Logs:PutRetentionPolicy

Puesta en marcha

Lectura/Escritura

Envíe los registros del motor de IA al grupo de registros de Amazon CloudWatch

Logs:TagResource

Resolución de problemas

Lectura/Escritura

Obtener respuesta SSM de Amazon CloudWatch (cuando la respuesta es demasiado larga)

Registros:DescripbeLogStreams

Resolución de problemas

Lectura/Escritura

Obtén la respuesta SSM de Amazon CloudWatch

Logs:GetLogEvents

Resolución de problemas

Lectura/Escritura

Cree un grupo de registros de Amazon CloudWatch para los registros de base de Amazon durante la creación de la pila durante las operaciones de implementación y reconstrucción

Registros:CreateLogGroup

Puesta en marcha

Lectura/Escritura

Logs:PutRetentionPolicy

Puesta en marcha

Lectura/Escritura

Logs:TagResource

Puesta en marcha

Lectura/Escritura

Envía registros de Bedrock a Amazon CloudWatch

Bedrock:PutModelInvocationLoggingConfiguration

Resolución de problemas

Lectura/Escritura

Cree la función que permita enviar registros de Amazon Bedrock a Amazon CloudWatch

iam: AttachRolePolicy

Resolución de problemas

Lectura/Escritura

Cree la función que permita enviar registros de Amazon Bedrock a Amazon CloudWatch

iam:PassRole

Resolución de problemas

Lectura/Escritura

Cree la función que permita enviar registros de Amazon Bedrock a Amazon CloudWatch

iam:createPolicy

Resolución de problemas

Lectura/Escritura

Listar perfiles de inferencia para el modelo

Bedrock:ListInferenceProfiles

Resolución de problemas

Lectura/Escritura

Permisos para cargas de trabajo de VMware

Las políticas de IAM para cargas de trabajo de VMware proporcionan los permisos que la fábrica de cargas de trabajo para VMware necesita para gestionar recursos y procesos dentro de tu entorno de nube pública en función del modo operativo en el que operes.

Seleccione el modo operativo para ver las políticas de IAM necesarias:

Políticas de IAM para cargas de trabajo de VMware
Modo de solo lectura
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ssm:GetParametersByPath",
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}
Modo de lectura/escritura
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fsx:CreateFileSystem",
        "fsx:DescribeFileSystems",
        "fsx:CreateStorageVirtualMachine",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:CreateVolume",
        "fsx:DescribeVolumes",
        "fsx:TagResource",
        "sns:Publish",
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases",
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:CreateGrant"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:RunInstances",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:CreateSecurityGroup",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParametersByPath",
        "ssm:GetParameters"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

En la siguiente tabla se ofrece información sobre los permisos para las cargas de trabajo de VMware.

Tabla de permisos para cargas de trabajo de VMware
Específico Acción Donde se utiliza Modo

Asocie grupos de seguridad y modifique reglas para los nodos aprovisionados

ec2:AuthorizeSecurityGroupIngress

Puesta en marcha

Lectura/Escritura

Cree volúmenes de EBS

ec2:CreateVolume

Puesta en marcha

Lectura/Escritura

Etiquete valores personalizados para los recursos de FSx para NetApp ONTAP creados por las cargas de trabajo de VMware

fsx:TagResource

Puesta en marcha

Lectura/Escritura

Cree y valide la plantilla de CloudFormation

Cloudformation:CreateStack

Puesta en marcha

Lectura/Escritura

Gestionar etiquetas y seguridad de red en las instancias creadas

ec2:CreateSecurityGroup

Puesta en marcha

Lectura/Escritura

Inicie las instancias creadas

ec2:RunInstances

Puesta en marcha

Lectura/Escritura

Obtenga los detalles de las instancias de EC2

ec2:DescribInstances

Puesta en marcha

Lectura/Escritura

Muestre las imágenes durante la creación de la pila durante las operaciones de despliegue y reconstrucción

ec2:DescribeImages

Puesta en marcha

Lectura/Escritura

Obtenga los VPC en el entorno seleccionado para completar el formulario de implementación

ec2:DescribeVpcs

  • Puesta en marcha

  • Inventario

  • Solo lectura

  • Lectura/Escritura

Obtener las subredes del entorno seleccionado para completar el formulario de despliegue

ec2:DescribeSubnets

  • Puesta en marcha

  • Inventario

  • Solo lectura

  • Lectura/Escritura

Obtener los grupos de seguridad del entorno seleccionado para completar el formulario de implementación

ec2:DescribeSecurityGroups

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtener las zonas de disponibilidad en el entorno seleccionado

EC2:DescripciónAvailabilityZones

  • Puesta en marcha

  • Inventario

  • Solo lectura

  • Lectura/Escritura

Obtén las regiones con soporte de Amazon FSx para NetApp ONTAP

ec2:regiones describidas

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtener alias de claves KMS para utilizar para el cifrado de Amazon FSx para NetApp ONTAP

Kms:ListAliases

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtenga las claves KMS para utilizar para el cifrado de Amazon FSx para NetApp ONTAP

Km:ListKeys

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Obtener detalles de caducidad de claves KMS que se utilizarán para el cifrado de Amazon FSx para NetApp ONTAP

Km:DescripbeKey

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

La consulta basada en SSM se utiliza para obtener la lista actualizada de regiones soportadas por Amazon FSx para NetApp ONTAP

ssm:GetParametersByPath

Puesta en marcha

  • Solo lectura

  • Lectura/Escritura

Cree los recursos de Amazon FSx para NetApp ONTAP necesarios para el aprovisionamiento

fsx:CreateFileSystem

Puesta en marcha

Lectura/Escritura

fsx:CreateStorageVirtualMachine

Puesta en marcha

Lectura/Escritura

fsx:CreateVolume

  • Puesta en marcha

  • Operaciones de gestión

Lectura/Escritura

Obtén los detalles de Amazon FSx para NetApp ONTAP

fsx:describe*

  • Puesta en marcha

  • Inventario

  • Operaciones de gestión

  • Explora el ahorro

Lectura/Escritura

fsx:List*

  • Puesta en marcha

  • Inventario

Lectura/Escritura

Obtenga los detalles clave de KMS y utilícelos para el cifrado de Amazon FSx para NetApp ONTAP

Kms:CreateGrant

Puesta en marcha

Lectura/Escritura

Kms:describir*

Puesta en marcha

Lectura/Escritura

Kms:Lista*

Puesta en marcha

Lectura/Escritura

Km:descifrar

Puesta en marcha

Lectura/Escritura

Km:GenerateDataKey

Puesta en marcha

Lectura/Escritura

Enumere los temas de SNS del cliente y publique en el SNS de backend de WLMVMC, así como en el SNS del cliente, si se selecciona

sns: Publicar

Puesta en marcha

Lectura/Escritura

Se usa para buscar la lista más reciente de regiones de AWS admitidas por Amazon FSx para NetApp ONTAP

ssm:GET*

  • Puesta en marcha

  • Operaciones de gestión

Lectura/Escritura

Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS

iam: Política de SimulatePrincipalPolicy

Puesta en marcha

Lectura/Escritura

El almacén de parámetros de SSM se utiliza para guardar las credenciales de Amazon FSx para NetApp ONTAP

ssm:getParameter

  • Puesta en marcha

  • Operaciones de gestión

  • Inventario

Lectura/Escritura

ssm: PutParameters

  • Puesta en marcha

  • Inventario

Lectura/Escritura

ssm: Parámetro de PutParameter

  • Puesta en marcha

  • Operaciones de gestión

Lectura/Escritura

ssm:DeleteParameters

  • Puesta en marcha

  • Operaciones de gestión

Lectura/Escritura

Registro de cambios

A medida que se añadan y eliminen permisos, los anotaremos en las secciones siguientes.

29 de junio de 2025

El siguiente permiso ahora está disponible en modo de solo lectura para bases de datos: cloudwatch:GetMetricData .

3 de junio de 2025

El siguiente permiso ahora está disponible en modo lectura/escritura para GenAI: s3:ListAllMyBuckets .

4 de mayo de 2025

El siguiente permiso ahora está disponible en modo lectura/escritura para GenAI: qbusiness:ListApplications .

Los siguientes permisos ahora están disponibles en modo de solo lectura para bases de datos:

  • logs:GetLogEvents

  • logs:DescribeLogGroups

El siguiente permiso ahora está disponible en modo lectura/escritura para bases de datos:
logs:PutRetentionPolicy .

2 de abril de 2025

El siguiente permiso ahora está disponible en modo de solo lectura para bases de datos: ssm:DescribeInstanceInformation .

30 de marzo de 2025

Actualización de permisos de carga de trabajo de GenAI

Los siguientes permisos ahora están disponibles en modo lectura/escritura para GenAI:

  • bedrock:PutModelInvocationLoggingConfiguration

  • iam:AttachRolePolicy

  • iam:PassRole

  • iam:createPolicy

  • bedrock:ListInferenceProfiles

Se ha eliminado el siguiente permiso del modo lectura/escritura para GenAI: Bedrock:GetFoundationModel .

iam:SimulatePrincipalPolicy actualización de permisos

El iam:SimulatePrincipalPolicy permiso forma parte de todas las políticas de permisos de carga de trabajo si habilita la comprobación automática de permisos al agregar credenciales de cuenta de AWS adicionales o agregar una nueva capacidad de carga de trabajo desde la consola de fábrica de cargas de trabajo. El permiso simula operaciones de carga de trabajo y comprueba si tiene los permisos de la cuenta de AWS necesarios antes de implementar recursos de fábrica de cargas de trabajo. Al activar esta comprobación, se reduce el tiempo y el esfuerzo que puede necesitar para limpiar los recursos de las operaciones fallidas y para agregar permisos faltantes.

2 de marzo de 2025

El siguiente permiso ahora está disponible en modo lectura/escritura para GenAI: bedrock:GetFoundationModel .

3 de febrero de 2025

El siguiente permiso ahora está disponible en modo de solo lectura para bases de datos: iam:SimulatePrincipalPolicy .