Permisos para NetApp Workload Factory
Sugerir cambios
PDF
Para utilizar las funciones y los servicios de NetApp Workload Factory, deberá proporcionar permisos para que Workload Factory pueda realizar operaciones en su entorno de nube.
Por qué usar permisos
Cuando proporciona permisos de modo solo lectura o lectura/escritura, Workload Factory adjunta una política a la instancia con permisos para administrar recursos y procesos dentro de esa cuenta de AWS. Esto permite que Workload Factory ejecute diversas operaciones, desde el descubrimiento de sus entornos de almacenamiento hasta la implementación de recursos de AWS, como sistemas de archivos en la gestión de almacenamiento o bases de conocimiento para cargas de trabajo de GenAI.
Por ejemplo, para las cargas de trabajo de bases de datos, cuando se le otorgan a Workload Factory los permisos necesarios, escanea todas las instancias de EC2 en una cuenta y región determinadas, y filtra todas las máquinas basadas en Windows. Si el agente de AWS Systems Manager (SSM) está instalado y ejecutándose en el host y la red de System Manager está configurada correctamente, Workload Factory puede acceder a la máquina Windows y verificar si el software de SQL Server está instalado o no.
Permisos por carga de trabajo
Cada carga de trabajo utiliza permisos para realizar determinadas tareas en Workload Factory. Desplácese hasta la carga de trabajo que utiliza para ver la lista de permisos, su propósito, dónde se utilizan y qué modos los admiten.
Permisos para almacenamiento
Las políticas de IAM disponibles para almacenamiento proporcionan los permisos que Workload Factory necesita para administrar recursos y procesos dentro de su entorno de nube pública en función del modo operativo en el que opera.
Seleccione el modo operativo para ver las políticas de IAM necesarias:
Políticas de IAM para almacenamiento
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:Describe*",
"fsx:ListTagsForResource",
"ec2:Describe*",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:*",
"ec2:Describe*",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"iam:CreateServiceLinkedRole",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"kms:CreateGrant",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"iam:SimulatePrincipalPolicy",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
}
]
}La siguiente tabla muestra los permisos para Storage.
Tabla de permisos para almacenamiento
| Específico | Acción | Donde se utiliza | Modo |
|---|---|---|---|
Crea un sistema de archivos FSx for ONTAP |
fsx:CreateFileSystem* |
Puesta en marcha |
Lectura/Escritura |
Cree un grupo de seguridad para un sistema de archivos FSx for ONTAP |
ec2:CreateSecurityGroup |
Puesta en marcha |
Lectura/Escritura |
Agregue etiquetas a un grupo de seguridad para un sistema de archivos FSx para ONTAP |
ec2:CreateTags |
Puesta en marcha |
Lectura/Escritura |
Autorizar la salida e ingreso de grupos de seguridad para un sistema de archivos FSx para ONTAP |
ec2:AuthorizeSecurityGroupEgress |
Puesta en marcha |
Lectura/Escritura |
ec2:AuthorizeSecurityGroupIngress |
Puesta en marcha |
Lectura/Escritura |
|
El rol otorgado proporciona comunicación entre FSx para ONTAP y otros servicios de AWS |
iam:CreateServiceLinkedIn |
Puesta en marcha |
Lectura/Escritura |
Consulta los detalles que necesitas para rellenar el formulario de puesta en marcha del sistema de archivos FSx para ONTAP |
ec2:DescribeVpcs |
|
|
ec2:DescribeSubnets |
|
|
|
ec2:regiones describidas |
|
|
|
ec2:DescribeSecurityGroups |
|
|
|
ec2:DescribeRouteTables |
|
|
|
ec2:DescribeNetworkinterfaces |
|
|
|
EC2:DescripbeVolumeStatus |
|
|
|
Obtén los detalles clave de KMS y utilízalos para el cifrado FSx para ONTAP |
Kms:CreateGrant |
Puesta en marcha |
Lectura/Escritura |
Kms:describir* |
Puesta en marcha |
|
|
Kms:Lista* |
Puesta en marcha |
|
|
Obtenga detalles de volumen para las instancias de EC2 |
ec2:DescribeVolumes |
|
|
Obtenga detalles para las instancias de EC2 |
ec2:DescribInstances |
Explora el ahorro |
|
Describa Elastic File System en la calculadora de ahorro |
ElasticfileSystem:describe* |
Explora el ahorro |
Solo lectura |
Enumera las etiquetas de los recursos de FSx for ONTAP |
fsx:ListTagsForResource |
Inventario |
|
Gestionar la salida y el ingreso de grupos de seguridad para un sistema de archivos FSx para ONTAP |
ec2:RevokeSecurityGroupIngress |
Operaciones de gestión |
Lectura/Escritura |
ec2:DeleteSecurityGroup |
Operaciones de gestión |
Lectura/Escritura |
|
Cree, vea y gestione recursos del sistema de archivos FSx para ONTAP |
fsx:CreateVolume* |
Operaciones de gestión |
Lectura/Escritura |
fsx:TagResource* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:CreateStorageVirtualMachine* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:DeleteFileSystem* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:DeleteStorageVirtualMachine* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:DescripciónFileSystems* |
Inventario |
|
|
fsx:DescripciónStorageVirtualMachines* |
Inventario |
|
|
fsx:UpdateFileSystem* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:UpdateStorageVirtualMachine* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:DescribeVolumes* |
Inventario |
|
|
fsx:UpdateVolume* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:DeleteVolume* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:UntagResource* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:DescribeBackups* |
Operaciones de gestión |
|
|
fsx:CreateBackup* |
Operaciones de gestión |
Lectura/Escritura |
|
fsx:CreateVolumeFromBackup* |
Operaciones de gestión |
Lectura/Escritura |
|
Informar de las métricas de CloudWatch |
Cloudwatch:PutMetricData |
Operaciones de gestión |
Lectura/Escritura |
Obtenga métricas de volumen y sistema de archivos |
Cloudwatch:GetMetricData |
Operaciones de gestión |
|
Cloudwatch:GetMetricStatistics |
Operaciones de gestión |
|
Permisos para cargas de trabajo de bases de datos
Las políticas de IAM disponibles para las cargas de trabajo de bases de datos proporcionan los permisos que Workload Factory necesita para administrar recursos y procesos dentro de su entorno de nube pública en función del modo operativo en el que opera.
Seleccione el modo operativo para ver las políticas de IAM necesarias:
Políticas de IAM para cargas de trabajo de bases de datos
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource"
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeAccountLimits",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ds:DescribeDirectories",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeAddresses",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeLaunchTemplates",
"ec2:RunInstances",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:UpdateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:UpdateVolume",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:DescribeFileSystemAliases",
"fsx:DescribeBackups",
"fsx:ListTagsForResource",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:DescribeCustomKeyStores",
"kms:ListAliases",
"kms:ListKeys",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"logs:PutRetentionPolicy",
"servicequotas:ListServiceQuotas",
"sns:ListTopics",
"sns:Publish",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstancePatchStates",
"ssm:DescribePatchBaselines",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:GetConnectionStatus",
"ssm:ListCommands",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:SendCommand",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}En la siguiente tabla se muestran los permisos para las cargas de trabajo de la base de datos.
Tabla de permisos para cargas de trabajo de base de datos
| Específico | Acción | Donde se utiliza | Modo |
|---|---|---|---|
Obtenga estadísticas métricas para FSx para ONTAP, EBS y FSx para Windows File Server y para recomendaciones de optimización de cómputo |
Cloudwatch:GetMetricStatistics |
|
|
Recopile métricas de rendimiento guardadas en Amazon CloudWatch desde nodos SQL registrados. Los datos se generan en gráficos de tendencias de rendimiento en la pantalla de administración de instancias para las instancias SQL registradas. |
Cloudwatch:GetMetricData |
Inventario |
Solo lectura |
Listar y definir disparadores para eventos |
sns:ListTopics |
Puesta en marcha |
|
Obtenga detalles para las instancias de EC2 |
ec2:DescribInstances |
|
|
ec2:DescribeKeyPairs |
Puesta en marcha |
|
|
ec2:DescribeNetworkinterfaces |
Puesta en marcha |
|
|
EC2:DescripciónTipos de InstanceTipos |
|
|
|
Obtén los detalles que necesitas para rellenar el formulario de puesta en marcha de FSx para ONTAP |
ec2:DescribeVpcs |
|
|
ec2:DescribeSubnets |
|
|
|
ec2:DescribeSecurityGroups |
Puesta en marcha |
|
|
ec2:DescribeImages |
Puesta en marcha |
|
|
ec2:regiones describidas |
Puesta en marcha |
|
|
ec2:DescribeRouteTables |
|
|
|
Obtenga cualquier extremo de VPC existente para determinar si es necesario crear nuevos extremos antes de las implementaciones |
ec2:DescribeVpcEndpoints |
|
|
Cree puntos finales de VPC si no existen para los servicios requeridos independientemente de la conectividad de red pública en las instancias de EC2 |
EC2:CreateVpcEndpoint |
Puesta en marcha |
Lectura/Escritura |
Obtener tipos de instancias disponibles en la región para los nodos de validación (T2.micro/T3.micro) |
EC2:DescripciónInstanceTypeOfferings |
Puesta en marcha |
|
Obtenga detalles de snapshot de cada volumen de EBS adjunto para calcular los precios y el ahorro |
ec2:DescribSnapshots |
Explora el ahorro |
|
Obtén detalles de cada volumen de EBS adjunto para calcular los precios y el ahorro |
ec2:DescribeVolumes |
|
|
Obtenga información clave de KMS para el cifrado del sistema de archivos FSx para ONTAP |
Kms:ListAliases |
Puesta en marcha |
|
Km:ListKeys |
Puesta en marcha |
|
|
Km:DescripbeKey |
Puesta en marcha |
|
|
Obtenga una lista de pilas de CloudFormation que se ejecutan en el entorno para comprobar el límite de cuota |
Cloudformation:ListStacks |
Puesta en marcha |
|
Compruebe los límites de la cuenta para los recursos antes de activar el despliegue |
Formación de nubes:DescribeAccountLimits |
Puesta en marcha |
|
Obtenga una lista de directorios activos gestionados por AWS en la región |
ds:DescripbeDirectories |
Puesta en marcha |
|
Obtén listas y detalles de volúmenes, backups, SVM, sistemas de archivos en AZs y etiquetas para el sistema de archivos FSx para ONTAP |
fsx:DescribeVolumes |
|
|
fsx:DescripbeBackups |
|
|
|
fsx:DescribeStorageVirtualMachines |
|
|
|
fsx:DescripciónFileSystems |
|
|
|
fsx:ListTagsForResource |
Gestionar operaciones |
|
|
Obtenga los límites de cuotas de servicio para CloudFormation y VPC |
ServiceQuotas:ListServiceQuotas |
Puesta en marcha |
|
Utilice la consulta basada en SSM para obtener la lista actualizada de regiones soportadas por FSx para ONTAP |
ssm:GetParametersByPath |
Puesta en marcha |
|
Sondee la respuesta de SSM después de enviar el comando para gestionar las operaciones posteriores al despliegue |
ssm:GetCommandInvocation |
|
|
Envíe comandos sobre SSM a instancias EC2 |
ssm:SendCommand |
|
|
Obtener el estado de conectividad de SSM en las instancias posteriores al despliegue |
ssm:GetConnectionStatus |
|
|
Recuperar el estado de asociación de SSM para un grupo de instancias EC2 gestionadas (nodos SQL) |
ssm:Descripción InstanceInformation |
Inventario |
Lea |
Obtenga la lista de líneas base de parches disponibles para la evaluación de parches del sistema operativo |
ssm:DescripciónPatchBaselines |
Optimización |
|
Obtener el estado de aplicación de parches en las instancias de Windows EC2 para la evaluación de parches del sistema operativo |
ssm:DescripciónInstancePatchStates |
Optimización |
|
Enumere los comandos ejecutados por AWS Patch Manager en las instancias EC2 para la gestión de parches del sistema operativo |
ssm: ListCommands |
Optimización |
|
Compruebe si la cuenta está inscrita en AWS Compute Optimizer |
Compute-Optimizer:GetEnrollmentStatus |
|
Lectura/Escritura |
Actualice una preferencia de recomendación existente en AWS Compute Optimizer para adaptar las sugerencias para las cargas de trabajo de SQL Server |
Compute-Optimizer:PutRecommendationPreferences |
|
Lectura/Escritura |
Obtener preferencias de recomendación que están en vigor para un recurso determinado de AWS Compute Optimizer |
Compute-Optimizer:GetEffectiveRecommendationPreferences |
|
Lectura/Escritura |
Obtenga recomendaciones que AWS Compute Optimizer genera para las instancias de Amazon Elastic Compute Cloud (Amazon EC2) |
Compute-Optimizer:GetEC2InstanceRecommendations |
|
Lectura/Escritura |
Compruebe la asociación de instancias a grupos de escala automática |
escala automática:DescripciónAutoScalingGroups |
|
Lectura/Escritura |
escala automática:DescripciónAutoScalingInstances |
|
Lectura/Escritura |
|
Obtenga, enumere, cree y elimine parámetros de SSM para las credenciales de usuario de AD, FSx para ONTAP y SQL utilizadas durante la implementación o administradas en su cuenta de AWS |
ssm:getParameter 1 |
|
|
ssm:GetParameters 1 |
Gestionar operaciones |
|
|
ssm:PutParameter 1 |
|
|
|
ssm:DeleteParameters 1 |
Gestionar operaciones |
|
|
Asocie recursos de red a nodos SQL y nodos de validación, y agregue IP secundarias adicionales a nodos SQL |
EC2:AllocateAddress 1 |
Puesta en marcha |
Lectura/Escritura |
EC2:AllocateHosts 1 |
Puesta en marcha |
Lectura/Escritura |
|
EC2:AssignPrivateIpAddresses 1 |
Puesta en marcha |
Lectura/Escritura |
|
EC2:AssociateAddress 1 |
Puesta en marcha |
Lectura/Escritura |
|
EC2:AssociateRouteTable 1 |
Puesta en marcha |
Lectura/Escritura |
|
EC2:AssociateSubnetCidrBlock 1 |
Puesta en marcha |
Lectura/Escritura |
|
EC2:AssociateVpcCidrBlock 1 |
Puesta en marcha |
Lectura/Escritura |
|
EC2:AttachInternetGateway 1 |
Puesta en marcha |
Lectura/Escritura |
|
EC2:AttachNetworkInterface 1 |
Puesta en marcha |
Lectura/Escritura |
|
Conecte los volúmenes de EBS necesarios a los nodos SQL para la puesta en marcha |
ec2:AttachVolume |
Puesta en marcha |
Lectura/Escritura |
Asocie grupos de seguridad y modifique reglas para los nodos aprovisionados |
ec2:AuthorizeSecurityGroupEgress |
Puesta en marcha |
Lectura/Escritura |
ec2:AuthorizeSecurityGroupIngress |
Puesta en marcha |
Lectura/Escritura |
|
Cree los volúmenes de EBS necesarios para los nodos SQL para la puesta en marcha |
ec2:CreateVolume |
Puesta en marcha |
Lectura/Escritura |
Elimine los nodos de validación temporales creados del tipo T2.micro y para la reversión o el reintento de EC2 nodos SQL fallidos |
ec2:DeleteNetworkInterface |
Puesta en marcha |
Lectura/Escritura |
ec2:DeleteSecurityGroup |
Puesta en marcha |
Lectura/Escritura |
|
ec2:DeleteTags |
Puesta en marcha |
Lectura/Escritura |
|
ec2:DeleteVolume |
Puesta en marcha |
Lectura/Escritura |
|
EC2:DetachNetworkInterface |
Puesta en marcha |
Lectura/Escritura |
|
ec2:DetachVolume |
Puesta en marcha |
Lectura/Escritura |
|
EC2:DisasociateAddress |
Puesta en marcha |
Lectura/Escritura |
|
ec2:DisasociateIamInstanceProfile |
Puesta en marcha |
Lectura/Escritura |
|
EC2:DisAssociateRouteTable |
Puesta en marcha |
Lectura/Escritura |
|
EC2:DisasociateSubnetCidrBlock |
Puesta en marcha |
Lectura/Escritura |
|
EC2:DisasociateVpcCidrBlock |
Puesta en marcha |
Lectura/Escritura |
|
Modificar atributos para instancias SQL creadas. Solo se aplica a los nombres que comienzan con WLMDB. |
ec2:ModificyInstanceAttribute |
Puesta en marcha |
Lectura/Escritura |
EC2:ModifyInstanceColocación |
Puesta en marcha |
Lectura/Escritura |
|
ec2:ModificyNetworkInterfaceAttribute |
Puesta en marcha |
Lectura/Escritura |
|
EC2:ModifySubnetAttribute |
Puesta en marcha |
Lectura/Escritura |
|
ec2:ModifiyVolume |
Puesta en marcha |
Lectura/Escritura |
|
ec2:ModifyVolumeAttribute |
Puesta en marcha |
Lectura/Escritura |
|
EC2:ModifyVpcAttribute |
Puesta en marcha |
Lectura/Escritura |
|
Desasociar y destruir instancias de validación |
EC2:Release Address |
Puesta en marcha |
Lectura/Escritura |
EC2:ReplaceRoute |
Puesta en marcha |
Lectura/Escritura |
|
EC2:ReplaceRouteTableAssociation |
Puesta en marcha |
Lectura/Escritura |
|
ec2:RevokeSecurityGroupEgress |
Puesta en marcha |
Lectura/Escritura |
|
ec2:RevokeSecurityGroupIngress |
Puesta en marcha |
Lectura/Escritura |
|
Inicie las instancias desplegadas |
ec2:StartuStarInstances |
Puesta en marcha |
Lectura/Escritura |
Pare las instancias desplegadas |
ec2:StopInstances |
Puesta en marcha |
Lectura/Escritura |
Etiquete valores personalizados para los recursos de Amazon FSx for NetApp ONTAP creados por WLMDB para obtener detalles de facturación durante la gestión de recursos |
fsx:TagResource 1 |
|
Lectura/Escritura |
Cree y valide la plantilla de CloudFormation para el despliegue |
Cloudformation:CreateStack |
Puesta en marcha |
Lectura/Escritura |
Cloudformation:DescribeStackEvents |
Puesta en marcha |
Lectura/Escritura |
|
Cloudformation:Describacks |
Puesta en marcha |
Lectura/Escritura |
|
Cloudformation:ListStacks |
Puesta en marcha |
Lectura/Escritura |
|
Cloudformation:ValidateTemplate |
Puesta en marcha |
Lectura/Escritura |
|
Recuperar directorios disponibles en la región |
ds:DescripbeDirectories |
Puesta en marcha |
Lectura/Escritura |
Agregue reglas para el grupo de seguridad asociado a las instancias EC2 provisionadas |
ec2:AuthorizeSecurityGroupEgress |
Puesta en marcha |
Lectura/Escritura |
ec2:AuthorizeSecurityGroupIngress |
Puesta en marcha |
Lectura/Escritura |
|
Cree plantillas de pila anidadas para reintentos y rollback |
EC2:CreateLaunchTemplate |
Puesta en marcha |
Lectura/Escritura |
EC2:CreateLaunchTemplateVersion |
Puesta en marcha |
Lectura/Escritura |
|
Gestionar etiquetas y seguridad de red en las instancias creadas |
ec2:CreateNetworkInterface |
Puesta en marcha |
Lectura/Escritura |
ec2:CreateSecurityGroup |
Puesta en marcha |
Lectura/Escritura |
|
ec2:CreateTags |
Puesta en marcha |
Lectura/Escritura |
|
Suprima el grupo de seguridad creado temporalmente para los nodos de validación |
ec2:DeleteSecurityGroup |
Puesta en marcha |
Lectura/Escritura |
Obtener detalles de instancia para el provisionamiento |
ec2:DescribeDirecciones |
Puesta en marcha |
Lectura/Escritura |
ec2:DescribeLaunchTemplates |
Puesta en marcha |
Lectura/Escritura |
|
Inicie las instancias creadas |
ec2:RunInstances |
Puesta en marcha |
Lectura/Escritura |
Crear FSx para los recursos de ONTAP necesarios para aprovisionamiento. Para los sistemas FSx para ONTAP existentes, se crea un nuevo SVM para alojar los volúmenes de SQL. |
fsx:CreateFileSystem |
Puesta en marcha |
Lectura/Escritura |
fsx:CreateStorageVirtualMachine |
Puesta en marcha |
Lectura/Escritura |
|
fsx:CreateVolume |
|
Lectura/Escritura |
|
Obtén más información sobre FSx para ONTAP |
fsx:DescribeFileSystemAliases |
Puesta en marcha |
Lectura/Escritura |
Cambie el tamaño de FSx para el sistema de archivos ONTAP para solucionar el margen adicional del sistema de archivos |
fsx:UpdateFilesystem |
Optimización |
Lectura/Escritura |
Cambie el tamaño de los volúmenes para corregir los tamaños de los registros y las unidades de TempDB |
fsx:UpdateVolume |
Optimización |
Lectura/Escritura |
Obtén los detalles clave de KMS y utilízalos para el cifrado FSx para ONTAP |
Kms:CreateGrant |
Puesta en marcha |
Lectura/Escritura |
kms:DescribeCustomKeyStores |
Puesta en marcha |
Lectura/Escritura |
|
Km:GenerateDataKey |
Puesta en marcha |
Lectura/Escritura |
|
Cree registros de CloudWatch para la validación y el aprovisionamiento de scripts que se ejecutan en instancias EC2 |
Registros:CreateLogGroup |
Puesta en marcha |
Lectura/Escritura |
Registros:CreateLogStream |
Puesta en marcha |
Lectura/Escritura |
|
Registros:DescripbeLogStreams |
|
Lectura/Escritura |
|
registros:Obtener campos del grupo de registros |
Puesta en marcha |
Lectura/Escritura |
|
registros:ObtenerRegistro |
Puesta en marcha |
Lectura/Escritura |
|
Logs:ListLogDeliveries |
Puesta en marcha |
Lectura/Escritura |
|
Logs:PutLogEvents |
|
Lectura/Escritura |
|
Logs:TagResource |
Puesta en marcha |
Lectura/Escritura |
|
Workload Factory cambia a los registros de Amazon CloudWatch para la instancia de SQL al detectar un truncamiento de la salida de SSM |
Logs:GetLogEvents |
|
|
Permitir que Workload Factory obtenga grupos de registros actuales y verificar que la retención esté configurada para los grupos de registros creados por Workload Factory |
Logs:DescripbeLogGroups |
|
Solo lectura |
Permitir que Workload Factory establezca una política de retención de un día para los grupos de registros creados por Workload Factory para evitar la acumulación innecesaria de flujos de registros para las salidas del comando SSM |
Logs:PutRetentionPolicy |
|
|
Cree secretos en una cuenta de usuario para las credenciales proporcionadas para SQL, el dominio y FSx para ONTAP |
ServiceQuotas:ListServiceQuotas |
Puesta en marcha |
Lectura/Escritura |
Enumere los temas de SNS del cliente y publique en el SNS de backend de WLMDB, así como en el SNS del cliente, si está seleccionado |
sns:ListTopics |
Puesta en marcha |
Lectura/Escritura |
sns: Publicar |
Puesta en marcha |
Lectura/Escritura |
|
Permisos SSM necesarios para ejecutar el script de detección en instancias SQL aprovisionadas y para obtener la lista más reciente de regiones AWS compatibles con FSx para ONTAP. |
ssm:PutComplianceItems |
Puesta en marcha |
Lectura/Escritura |
ssm:PutConfigurePackageResult |
Puesta en marcha |
Lectura/Escritura |
|
ssm: Inventario de PutInventory |
Puesta en marcha |
Lectura/Escritura |
|
ssm:SendCommand |
|
Lectura/Escritura |
|
ssm: UpdateAssociationStatus |
Puesta en marcha |
Lectura/Escritura |
|
ssm:UpdateInstanceAssociationStatus |
Puesta en marcha |
Lectura/Escritura |
|
ssm:UpdateInstanceInformation |
Puesta en marcha |
Lectura/Escritura |
|
ssmmessages:CrearCanalDeControl |
Puesta en marcha |
Lectura/Escritura |
|
ssmmessages:CrearCanalDeDatos |
Puesta en marcha |
Lectura/Escritura |
|
ssmmessages:Abrir canal de control |
Puesta en marcha |
Lectura/Escritura |
|
mensajes ssmmessages:Canal de datos abiertos |
Puesta en marcha |
Lectura/Escritura |
|
Guardar credenciales para FSX para ONTAP, Active Directory y el usuario SQL (solo para la autenticación de usuario SQL) |
ssm:getParameter 1 |
|
Lectura/Escritura |
ssm:GetParameters 1 |
|
Lectura/Escritura |
|
ssm:PutParameter 1 |
|
Lectura/Escritura |
|
ssm:DeleteParameters 1 |
|
Lectura/Escritura |
|
La pila de CloudFormation de señales se ha producido correctamente o ha fallado. |
Formación de nubes:SignalResource 1 |
Puesta en marcha |
Lectura/Escritura |
Agregue el rol EC2 creado por la plantilla al perfil de instancia de EC2 para permitir que los scripts de EC2 accedan a los recursos necesarios para el despliegue. |
iam:AddRoleToInstanceProfile |
Puesta en marcha |
Lectura/Escritura |
Cree un perfil de instancia para EC2 y adjunte el rol EC2 creado. |
iam:CreateInstanceProfile |
Puesta en marcha |
Lectura/Escritura |
Cree un rol EC2 a través de una plantilla con los permisos enumerados a continuación |
iam:CreateRole |
Puesta en marcha |
Lectura/Escritura |
Crear rol vinculado al servicio EC2 |
iam:CreateServiceLinkedRole 2 |
Puesta en marcha |
Lectura/Escritura |
Suprimir perfil de instancia creado durante el despliegue específicamente para los nodos de validación |
iam:DeleteInstanceProfile |
Puesta en marcha |
Lectura/Escritura |
Obtenga los detalles del rol y la política para determinar las brechas en los permisos y validarlas para la implementación |
iam: GetPolicy |
Puesta en marcha |
Lectura/Escritura |
iam:GetPolicyVersion |
Puesta en marcha |
Lectura/Escritura |
|
iam:GetRole |
Puesta en marcha |
Lectura/Escritura |
|
iam: GetRolePolicy |
Puesta en marcha |
Lectura/Escritura |
|
iam: GetUser |
Puesta en marcha |
Lectura/Escritura |
|
Transfiera el rol creado a la instancia EC2 |
iam:PassRole 3 |
Puesta en marcha |
Lectura/Escritura |
Agregue una política con los permisos necesarios al rol EC2 creado |
iam:PutRolePolicy |
Puesta en marcha |
Lectura/Escritura |
Separe el rol del perfil de instancia de EC2 aprovisionado |
iam:RemoveRoleFromInstanceProfile |
Puesta en marcha |
Lectura/Escritura |
Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS |
iam: Política de SimulatePrincipalPolicy |
Puesta en marcha |
|
-
El permiso está restringido a los recursos que comienzan con WLMDB.
-
«iam:CreateServiceLinkedRole» limitado por «iam:AWSServiceName»: «ec2.amazonaws.com"*
-
“iam:PassRole” limitado por “iam:PassedToService”: “ec2.amazonaws.com"*
Permisos para cargas de trabajo de GenAI
Las políticas de IAM para cargas de trabajo de VMware proporcionan los permisos que Workload Factory for VMware necesita para administrar recursos y procesos dentro de su entorno de nube pública en función del modo operativo en el que opera.
Las políticas de IAM de GenAI solo están disponibles en modo de lectura/escritura:
Políticas de IAM para las cargas de trabajo de GenAI
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}En la siguiente tabla se ofrecen detalles sobre los permisos para las cargas de trabajo de GenAI.
Tabla de permisos para cargas de trabajo de GenAI
| Específico | Acción | Donde se utiliza | Modo |
|---|---|---|---|
Cree una pila de formación de cloud del motor de IA durante las operaciones de puesta en marcha y recompilación |
Cloudformation:CreateStack |
Puesta en marcha |
Lectura/Escritura |
Cree la pila de formación de cloud del motor de IA |
Cloudformation:Describacks |
Puesta en marcha |
Lectura/Escritura |
Enumere las regiones del asistente de despliegue del motor AI |
ec2:regiones describidas |
Puesta en marcha |
Lectura/Escritura |
Mostrar etiquetas de motor AI |
ec2:etiquetas a describTags |
Puesta en marcha |
Lectura/Escritura |
Lista de depósitos S3 |
s3:ListAllMyBuckets |
Puesta en marcha |
Lectura/Escritura |
Enumere los extremos de VPC antes de crear la pila del motor de AI |
EC2:CreateVpcEndpoint |
Puesta en marcha |
Lectura/Escritura |
Cree un grupo de seguridad del motor de IA durante la creación de la pila del motor de IA durante las operaciones de implementación y reconstrucción |
ec2:CreateSecurityGroup |
Puesta en marcha |
Lectura/Escritura |
Etiquete los recursos creados por la creación de pila de motores de IA durante las operaciones de implementación y recompilación |
ec2:CreateTags |
Puesta en marcha |
Lectura/Escritura |
Publique eventos cifrados en el backend WLMAI desde la pila del motor AI |
Km:GenerateDataKey |
Puesta en marcha |
Lectura/Escritura |
Km:descifrar |
Puesta en marcha |
Lectura/Escritura |
|
Publique eventos y recursos personalizados en el backend WLMAI desde la pila ai-engine |
sns: Publicar |
Puesta en marcha |
Lectura/Escritura |
Mostrar los PC virtuales durante el asistente de despliegue del motor AI |
ec2:DescribeVpcs |
Puesta en marcha |
Lectura/Escritura |
Muestra las subredes del asistente de despliegue del motor AI |
ec2:DescribeSubnets |
Puesta en marcha |
Lectura/Escritura |
Obtenga tablas de ruta durante la puesta en marcha y recompilación del motor de IA |
ec2:DescribeRouteTables |
Puesta en marcha |
Lectura/Escritura |
Enumere los pares de claves durante el asistente de implementación del motor de IA |
ec2:DescribeKeyPairs |
Puesta en marcha |
Lectura/Escritura |
Enumerar los grupos de seguridad durante la creación de la pila del motor AI (para buscar grupos de seguridad en los extremos privados) |
ec2:DescribeSecurityGroups |
Puesta en marcha |
Lectura/Escritura |
Consigue extremos de VPC para determinar si se deben crear alguno durante la puesta en marcha del motor de IA |
ec2:DescribeVpcEndpoints |
Puesta en marcha |
Lectura/Escritura |
Enumere las aplicaciones de Amazon Q Business |
Qbusiness:ListApplications |
Puesta en marcha |
Lectura/Escritura |
Enumere las instancias para averiguar el estado del motor de IA |
ec2:DescribInstances |
Resolución de problemas |
Lectura/Escritura |
Enumera imágenes durante la creación de la pila del motor de IA durante las operaciones de implementación y recompilación |
ec2:DescribeImages |
Puesta en marcha |
Lectura/Escritura |
Cree y actualice la instancia de IA y el grupo de seguridad de punto final privado durante la creación de la pila de instancias de AI durante las operaciones de despliegue y reconstrucción |
ec2:RevokeSecurityGroupEgress |
Puesta en marcha |
Lectura/Escritura |
ec2:RevokeSecurityGroupIngress |
Puesta en marcha |
Lectura/Escritura |
|
Ejecutar el motor de IA durante la creación de pilas de formación de nube durante las operaciones de puesta en marcha y recompilación |
ec2:RunInstances |
Puesta en marcha |
Lectura/Escritura |
Asocie grupos de seguridad y modifique las reglas del motor de IA durante la creación de la pila durante las operaciones de puesta en marcha y recompilación |
ec2:AuthorizeSecurityGroupEgress |
Puesta en marcha |
Lectura/Escritura |
ec2:AuthorizeSecurityGroupIngress |
Puesta en marcha |
Lectura/Escritura |
|
Inicie una solicitud de chat para uno de los modelos básicos |
Bedrock:InvokeModelWithResponseStream |
Puesta en marcha |
Lectura/Escritura |
Iniciar solicitud de chat/inserción para modelos de base |
Bedrock:InvokeModel |
Puesta en marcha |
Lectura/Escritura |
Muestra los modelos de base disponibles en una región |
Bedrock:ListFoundationModels |
Puesta en marcha |
Lectura/Escritura |
Obtenga información sobre un modelo de fundación |
Bedrock:GetFoundationModel |
Puesta en marcha |
Lectura/Escritura |
Verifique el acceso al modelo de base |
Bedrock:GetFoundationModelAvailability |
Puesta en marcha |
Lectura/Escritura |
Verifique la necesidad de crear un grupo de registros de Amazon CloudWatch durante las operaciones de despliegue y reconstrucción |
Logs:DescripbeLogGroups |
Puesta en marcha |
Lectura/Escritura |
Obtén regiones que dan soporte a FSx y Amazon Bedrock durante el asistente del motor de IA |
ssm:GetParametersByPath |
Puesta en marcha |
Lectura/Escritura |
Obtenga la imagen más reciente de Amazon Linux para la puesta en marcha del motor de IA durante las operaciones de puesta en marcha y recompilación |
ssm: GetParameters |
Puesta en marcha |
Lectura/Escritura |
Obtenga la respuesta SSM del comando enviado al motor AI |
ssm:GetCommandInvocation |
Puesta en marcha |
Lectura/Escritura |
Compruebe la conexión del SSM al motor AI |
ssm:SendCommand |
Puesta en marcha |
Lectura/Escritura |
ssm:GetConnectionStatus |
Puesta en marcha |
Lectura/Escritura |
|
Cree un perfil de instancia del motor de IA durante la creación de pila durante las operaciones de puesta en marcha y recompilación |
iam:CreateRole |
Puesta en marcha |
Lectura/Escritura |
iam:CreateInstanceProfile |
Puesta en marcha |
Lectura/Escritura |
|
iam:AddRoleToInstanceProfile |
Puesta en marcha |
Lectura/Escritura |
|
iam:PutRolePolicy |
Puesta en marcha |
Lectura/Escritura |
|
iam: GetRolePolicy |
Puesta en marcha |
Lectura/Escritura |
|
iam:GetRole |
Puesta en marcha |
Lectura/Escritura |
|
iam:TagRole |
Puesta en marcha |
Lectura/Escritura |
|
iam:PassRole |
Puesta en marcha |
Lectura/Escritura |
|
Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS |
iam: Política de SimulatePrincipalPolicy |
Puesta en marcha |
Lectura/Escritura |
Enumere los sistemas de archivos FSx para ONTAP durante el asistente para crear base de conocimientos |
fsx:DescribeVolumes |
Creación de la base de conocimientos |
Lectura/Escritura |
Enumera los volúmenes del sistema de archivos FSx para ONTAP durante el asistente para crear base de conocimientos |
fsx:DescripciónFileSystems |
Creación de la base de conocimientos |
Lectura/Escritura |
Gestionar las bases de conocimientos en el motor de IA durante las operaciones de recompilación |
fsx:ListTagsForResource |
Resolución de problemas |
Lectura/Escritura |
Enumere las máquinas virtuales de almacenamiento del sistema de archivos FSx para ONTAP durante el asistente de creación de base de conocimientos |
fsx:DescribeStorageVirtualMachines |
Puesta en marcha |
Lectura/Escritura |
Mueva la base de conocimientos a una nueva instancia |
fsx:UntagResource |
Resolución de problemas |
Lectura/Escritura |
Gestione la base de conocimientos en el motor de IA durante la recompilación |
fsx:TagResource |
Resolución de problemas |
Lectura/Escritura |
Guardar los secretos SSM (token ECR, credenciales CIFS, claves de las cuentas de servicio de inquilino) de una forma segura |
ssm:getParameter |
Puesta en marcha |
Lectura/Escritura |
ssm: Parámetro de PutParameter |
Puesta en marcha |
Lectura/Escritura |
|
Envíe los registros del motor de IA al grupo de registros de Amazon CloudWatch durante las operaciones de implementación y reconstrucción |
Registros:CreateLogGroup |
Puesta en marcha |
Lectura/Escritura |
Logs:PutRetentionPolicy |
Puesta en marcha |
Lectura/Escritura |
|
Envíe los registros del motor de IA al grupo de registros de Amazon CloudWatch |
Logs:TagResource |
Resolución de problemas |
Lectura/Escritura |
Obtener respuesta SSM de Amazon CloudWatch (cuando la respuesta es demasiado larga) |
Registros:DescripbeLogStreams |
Resolución de problemas |
Lectura/Escritura |
Obtén la respuesta SSM de Amazon CloudWatch |
Logs:GetLogEvents |
Resolución de problemas |
Lectura/Escritura |
Cree un grupo de registros de Amazon CloudWatch para los registros de base de Amazon durante la creación de la pila durante las operaciones de implementación y reconstrucción |
Registros:CreateLogGroup |
Puesta en marcha |
Lectura/Escritura |
Logs:PutRetentionPolicy |
Puesta en marcha |
Lectura/Escritura |
|
Logs:TagResource |
Puesta en marcha |
Lectura/Escritura |
|
Listar perfiles de inferencia para el modelo |
Bedrock:ListInferenceProfiles |
Resolución de problemas |
Lectura/Escritura |
Permisos para cargas de trabajo de VMware
Las políticas de IAM para cargas de trabajo de VMware proporcionan los permisos que Workload Factory for VMware necesita para administrar recursos y procesos dentro de su entorno de nube pública en función del modo operativo en el que opera.
Seleccione el modo operativo para ver las políticas de IAM necesarias:
Políticas de IAM para cargas de trabajo de VMware
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ssm:GetParametersByPath",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}En la siguiente tabla se ofrece información sobre los permisos para las cargas de trabajo de VMware.
Tabla de permisos para cargas de trabajo de VMware
| Específico | Acción | Donde se utiliza | Modo |
|---|---|---|---|
Asocie grupos de seguridad y modifique reglas para los nodos aprovisionados |
ec2:AuthorizeSecurityGroupIngress |
Puesta en marcha |
Lectura/Escritura |
Cree volúmenes de EBS |
ec2:CreateVolume |
Puesta en marcha |
Lectura/Escritura |
Etiquete valores personalizados para los recursos de FSx para NetApp ONTAP creados por las cargas de trabajo de VMware |
fsx:TagResource |
Puesta en marcha |
Lectura/Escritura |
Cree y valide la plantilla de CloudFormation |
Cloudformation:CreateStack |
Puesta en marcha |
Lectura/Escritura |
Gestionar etiquetas y seguridad de red en las instancias creadas |
ec2:CreateSecurityGroup |
Puesta en marcha |
Lectura/Escritura |
Inicie las instancias creadas |
ec2:RunInstances |
Puesta en marcha |
Lectura/Escritura |
Obtenga los detalles de las instancias de EC2 |
ec2:DescribInstances |
Puesta en marcha |
Lectura/Escritura |
Muestre las imágenes durante la creación de la pila durante las operaciones de despliegue y reconstrucción |
ec2:DescribeImages |
Puesta en marcha |
Lectura/Escritura |
Obtenga los VPC en el entorno seleccionado para completar el formulario de implementación |
ec2:DescribeVpcs |
|
|
Obtener las subredes del entorno seleccionado para completar el formulario de despliegue |
ec2:DescribeSubnets |
|
|
Obtener los grupos de seguridad del entorno seleccionado para completar el formulario de implementación |
ec2:DescribeSecurityGroups |
Puesta en marcha |
|
Obtener las zonas de disponibilidad en el entorno seleccionado |
EC2:DescripciónAvailabilityZones |
|
|
Obtén las regiones con soporte de Amazon FSx para NetApp ONTAP |
ec2:regiones describidas |
Puesta en marcha |
|
Obtener alias de claves KMS para utilizar para el cifrado de Amazon FSx para NetApp ONTAP |
Kms:ListAliases |
Puesta en marcha |
|
Obtenga las claves KMS para utilizar para el cifrado de Amazon FSx para NetApp ONTAP |
Km:ListKeys |
Puesta en marcha |
|
Obtener detalles de caducidad de claves KMS que se utilizarán para el cifrado de Amazon FSx para NetApp ONTAP |
Km:DescripbeKey |
Puesta en marcha |
|
La consulta basada en SSM se utiliza para obtener la lista actualizada de regiones soportadas por Amazon FSx para NetApp ONTAP |
ssm:GetParametersByPath |
Puesta en marcha |
|
Cree los recursos de Amazon FSx para NetApp ONTAP necesarios para el aprovisionamiento |
fsx:CreateFileSystem |
Puesta en marcha |
Lectura/Escritura |
fsx:CreateStorageVirtualMachine |
Puesta en marcha |
Lectura/Escritura |
|
fsx:CreateVolume |
|
Lectura/Escritura |
|
Obtén los detalles de Amazon FSx para NetApp ONTAP |
fsx:describe* |
|
Lectura/Escritura |
fsx:List* |
|
Lectura/Escritura |
|
Obtenga los detalles clave de KMS y utilícelos para el cifrado de Amazon FSx para NetApp ONTAP |
Kms:CreateGrant |
Puesta en marcha |
Lectura/Escritura |
Kms:describir* |
Puesta en marcha |
Lectura/Escritura |
|
Kms:Lista* |
Puesta en marcha |
Lectura/Escritura |
|
Km:descifrar |
Puesta en marcha |
Lectura/Escritura |
|
Km:GenerateDataKey |
Puesta en marcha |
Lectura/Escritura |
|
Enumere los temas de SNS del cliente y publique en el SNS de backend de WLMVMC, así como en el SNS del cliente, si se selecciona |
sns: Publicar |
Puesta en marcha |
Lectura/Escritura |
Se usa para buscar la lista más reciente de regiones de AWS admitidas por Amazon FSx para NetApp ONTAP |
ssm:GET* |
|
Lectura/Escritura |
Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS |
iam: Política de SimulatePrincipalPolicy |
Puesta en marcha |
Lectura/Escritura |
El almacén de parámetros de SSM se utiliza para guardar las credenciales de Amazon FSx para NetApp ONTAP |
ssm:getParameter |
|
Lectura/Escritura |
ssm: PutParameters |
|
Lectura/Escritura |
|
ssm: Parámetro de PutParameter |
|
Lectura/Escritura |
|
ssm:DeleteParameters |
|
Lectura/Escritura |
Registro de cambios
A medida que se añadan y eliminen permisos, los anotaremos en las secciones siguientes.
5 de octubre de 2025
Los siguientes permisos se eliminaron de GenAI y ahora son manejados por el motor GenAI:
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
29 de junio de 2025
El siguiente permiso ahora está disponible en modo de solo lectura para bases de datos: cloudwatch:GetMetricData .
3 de junio de 2025
El siguiente permiso ahora está disponible en modo lectura/escritura para GenAI: s3:ListAllMyBuckets .
4 de mayo de 2025
El siguiente permiso ahora está disponible en modo lectura/escritura para GenAI: qbusiness:ListApplications .
Los siguientes permisos ahora están disponibles en modo de solo lectura para bases de datos:
-
logs:GetLogEvents -
logs:DescribeLogGroups
El siguiente permiso ahora está disponible en modo lectura/escritura para bases de datos:
logs:PutRetentionPolicy .
2 de abril de 2025
El siguiente permiso ahora está disponible en modo de solo lectura para bases de datos: ssm:DescribeInstanceInformation .
30 de marzo de 2025
Actualización de permisos de carga de trabajo de GenAI
Los siguientes permisos ahora están disponibles en modo lectura/escritura para GenAI:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
Se ha eliminado el siguiente permiso del modo lectura/escritura para GenAI: Bedrock:GetFoundationModel .
iam:SimulatePrincipalPolicy actualización de permisos
El iam:SimulatePrincipalPolicy El permiso es parte de todas las políticas de permisos de carga de trabajo si habilita la verificación automática de permisos al agregar credenciales de cuenta de AWS adicionales o agregar una nueva capacidad de carga de trabajo desde la consola de Workload Factory. El permiso simula operaciones de carga de trabajo y verifica si tiene los permisos de cuenta de AWS necesarios antes de implementar recursos desde Workload Factory. Habilitar esta verificación reduce el tiempo y el esfuerzo que podría necesitar para limpiar recursos de operaciones fallidas y agregar permisos faltantes.
2 de marzo de 2025
El siguiente permiso ahora está disponible en modo lectura/escritura para GenAI: bedrock:GetFoundationModel .
3 de febrero de 2025
El siguiente permiso ahora está disponible en modo de solo lectura para bases de datos: iam:SimulatePrincipalPolicy .