Permisos para NetApp Workload Factory
Sugerir cambios
PDF
Para utilizar las funciones y los servicios de NetApp Workload Factory, deberá proporcionar permisos para que Workload Factory pueda realizar operaciones en su entorno de nube.
Por qué usar permisos
Cuando otorgas permisos, Workload Factory adjunta una política a la instancia con permisos para administrar recursos y procesos dentro de esa cuenta de AWS. Esto permite a Workload Factory ejecutar diversas operaciones, desde el descubrimiento de sus entornos de almacenamiento hasta la implementación de recursos de AWS, como sistemas de archivos en la administración del almacenamiento o bases de conocimiento para cargas de trabajo de GenAI.
Por ejemplo, para las cargas de trabajo de bases de datos, cuando se le otorgan a Workload Factory los permisos necesarios, escanea todas las instancias de EC2 en una cuenta y región determinadas, y filtra todas las máquinas basadas en Windows. Si el agente de AWS Systems Manager (SSM) está instalado y ejecutándose en el host y la red de System Manager está configurada correctamente, Workload Factory puede acceder a la máquina Windows y verificar si el software de SQL Server está instalado o no.
Permisos por carga de trabajo
Cada carga de trabajo utiliza permisos para realizar ciertas tareas en Workload Factory. Los permisos se agrupan en políticas de permisos predefinidas. Desplácese hasta la carga de trabajo que utiliza para obtener información sobre las políticas de permisos, un JSON copiable para las políticas de permisos y una tabla que enumera todos los permisos, su propósito, dónde se utilizan y qué políticas de permisos los admiten.
Permisos para almacenamiento
Las políticas de IAM disponibles para Storage proporcionan los permisos que Workload Factory necesita para administrar recursos y procesos dentro de su entorno de nube pública.
El almacenamiento ofrece las siguientes políticas de permisos para elegir:
-
Visualización, planificación y análisis: Visualice los sistemas de archivos FSx para ONTAP , conozca el estado del sistema, obtenga un análisis bien diseñado para sus sistemas y explore las posibilidades de ahorro.
-
Operaciones y corrección: Realice tareas operativas como ajustar la capacidad del sistema de archivos y solucionar problemas en las configuraciones de su sistema de archivos.
-
Creación y eliminación de sistemas de archivos: Crear y eliminar sistemas de archivos FSx para ONTAP y máquinas virtuales de almacenamiento.
Consulte las políticas IAM requeridas:
Políticas de IAM para almacenamiento
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:ListTagsForResource",
"fsx:DescribeBackups",
"fsx:DescribeSharedVpcConfiguration",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"elasticfilesystem:DescribeFileSystems",
"ce:GetCostAndUsage",
"ce:GetTags",
"ce:GetCostAndUsageWithResources",
"ce:GetCostForecast",
"ce:GetUsageForecast"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolume",
"fsx:DeleteVolume",
"fsx:UpdateFileSystem",
"fsx:UpdateStorageVirtualMachine",
"fsx:UpdateVolume",
"fsx:CreateBackup",
"fsx:CreateVolumeFromBackup",
"fsx:DeleteBackup",
"fsx:TagResource",
"fsx:UntagResource",
"bedrock:InvokeModelWithResponseStream",
"bedrock:ListInferenceProfiles",
"bedrock:GetInferenceProfile"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:DeleteFileSystem",
"fsx:DeleteStorageVirtualMachine",
"fsx:TagResource",
"fsx:UntagResource",
"kms:CreateGrant",
"iam:CreateServiceLinkedRole",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVolumeStatus",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}La siguiente tabla muestra los permisos para Storage.
Tabla de permisos para almacenamiento
| Específico | Acción | Donde se utiliza | Política de permisos |
|---|---|---|---|
Crea un sistema de archivos FSx for ONTAP |
fsx:CreateFileSystem |
Puesta en marcha |
Creación y eliminación de archivos |
Cree un grupo de seguridad para un sistema de archivos FSx for ONTAP |
ec2:CreateSecurityGroup |
Puesta en marcha |
Creación y eliminación de archivos |
Agregue etiquetas a un grupo de seguridad para un sistema de archivos FSx para ONTAP |
ec2:CreateTags |
Puesta en marcha |
Creación y eliminación de archivos |
Autorizar la salida e ingreso de grupos de seguridad para un sistema de archivos FSx para ONTAP |
ec2:AuthorizeSecurityGroupEgress |
Puesta en marcha |
Creación y eliminación de archivos |
ec2:AuthorizeSecurityGroupIngress |
Puesta en marcha |
Creación y eliminación de archivos |
|
El rol otorgado proporciona comunicación entre FSx para ONTAP y otros servicios de AWS |
iam:CreateServiceLinkedIn |
Puesta en marcha |
Creación y eliminación de archivos |
Consulta los detalles que necesitas para rellenar el formulario de puesta en marcha del sistema de archivos FSx para ONTAP |
ec2:DescribeVpcs |
|
Creación y eliminación de archivos |
ec2:DescribeSubnets |
|
Creación y eliminación de archivos |
|
ec2:DescribeSecurityGroups |
|
Creación y eliminación de archivos |
|
ec2:DescribeRouteTables |
|
Creación y eliminación de archivos |
|
ec2:DescribeNetworkinterfaces |
|
Creación y eliminación de archivos |
|
EC2:DescripbeVolumeStatus |
|
Creación y eliminación de archivos |
|
Obtén los detalles clave de KMS y utilízalos para el cifrado FSx para ONTAP |
Kms:CreateGrant |
Puesta en marcha |
Creación y eliminación de archivos |
Km:DescripbeKey |
Puesta en marcha |
Creación y eliminación de archivos |
|
Km:ListKeys |
Puesta en marcha |
Creación y eliminación de archivos |
|
Kms:ListAliases |
Puesta en marcha |
Creación y eliminación de archivos |
|
Obtenga detalles de volumen para las instancias de EC2 |
ec2:DescribeVolumes |
|
Visualización, planificación y análisis |
Obtenga detalles para las instancias de EC2 |
ec2:DescribInstances |
Explora el ahorro |
Visualización, planificación y análisis |
Describa Elastic File System en la calculadora de ahorro |
Sistema de archivos elástico: Describir sistemas de archivos |
Explora el ahorro |
Visualización, planificación y análisis |
Enumera las etiquetas de los recursos de FSx for ONTAP |
fsx:ListTagsForResource |
Inventario |
Visualización, planificación y análisis |
Gestionar la salida y el ingreso de grupos de seguridad para un sistema de archivos FSx para ONTAP |
ec2:RevokeSecurityGroupIngress |
Operaciones de gestión |
Creación y eliminación de archivos |
ec2:DeleteSecurityGroup |
Operaciones de gestión |
Creación y eliminación de archivos |
|
Cree, vea y gestione recursos del sistema de archivos FSx para ONTAP |
fsx:CreateVolume |
Operaciones de gestión |
Operaciones y remediación |
fsx:TagResource |
Operaciones de gestión |
Operaciones y remediación |
|
fsx:CreateStorageVirtualMachine |
Operaciones de gestión |
Creación y eliminación de archivos |
|
fsx:Eliminar sistema de archivos |
Operaciones de gestión |
Creación y eliminación de archivos |
|
fsx:EliminarMáquinaVirtualDeAlmacenamiento |
Operaciones de gestión |
Visualización, planificación y análisis |
|
fsx:DescripciónFileSystems |
Inventario |
Visualización, planificación y análisis |
|
fsx:DescribeStorageVirtualMachines |
Inventario |
Visualización, planificación y análisis |
|
fsx:DescribeSharedVpcConfiguration |
Inventario |
Visualización, planificación y análisis |
|
fsx:Actualizar sistema de archivos |
Operaciones de gestión |
Operaciones y remediación |
|
fsx:ActualizarMáquinaVirtualDeAlmacenamiento |
Operaciones de gestión |
Operaciones y remediación |
|
fsx:DescribeVolumes |
Inventario |
Visualización, planificación y análisis |
|
fsx:UpdateVolume |
Operaciones de gestión |
Operaciones y remediación |
|
fsx:Eliminar volumen |
Operaciones de gestión |
Operaciones y remediación |
|
fsx:UntagResource |
Operaciones de gestión |
Operaciones y remediación |
|
fsx:DescripbeBackups |
Operaciones de gestión |
Visualización, planificación y análisis |
|
fsx:CrearCopiaDeSeguridad |
Operaciones de gestión |
Operaciones y remediación |
|
fsx:CrearVolumenDesdeCopiaDeSeguridad |
Operaciones de gestión |
Operaciones y remediación |
|
Obtenga métricas de volumen y sistema de archivos |
Cloudwatch:GetMetricData |
Operaciones de gestión |
Visualización, planificación y análisis |
Cloudwatch:GetMetricStatistics |
Operaciones de gestión |
Visualización, planificación y análisis |
|
Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS |
iam: Política de SimulatePrincipalPolicy |
Puesta en marcha |
Todo |
Permisos para cargas de trabajo de bases de datos
Las políticas de IAM disponibles para las cargas de trabajo de bases de datos proporcionan los permisos que Workload Factory necesita para administrar los recursos y procesos dentro de su entorno de nube pública.
Las bases de datos ofrecen las siguientes políticas de permisos para elegir:
-
Visualización, planificación y análisis: Consulte el inventario de recursos de la base de datos, conozca el estado de sus recursos, revise el análisis de arquitectura óptima para sus configuraciones de base de datos y explore ahorros, obtenga análisis de registros de errores y explore ahorros.
-
Operaciones y corrección: Realice tareas operativas para los recursos de su base de datos y solucione problemas de configuración de la base de datos y del sistema de almacenamiento de archivos FSx para ONTAP subyacente.
-
Creación de hosts de base de datos: Implemente los hosts de base de datos y el FSx subyacente para el almacenamiento del sistema de archivos ONTAP de acuerdo con las mejores prácticas.
Seleccione el modo operativo para ver las políticas de IAM necesarias:
Políticas de IAM para cargas de trabajo de bases de datos
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource",
"logs:DescribeLogGroups",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
}
]
}[
{
"Sid": "FSxRemediation",
"Effect": "Allow",
"Action": [
"fsx:UpdateFileSystem",
"fsx:UpdateVolume"
],
"Resource": "*"
},
{
"Sid": "EC2Remediation",
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:ModifyInstanceAttribute",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
}
]{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CreationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ValidateTemplate",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:RunInstances",
"ec2:DescribeTags",
"ec2:DescribeLaunchTemplates",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:DescribeFileSystemAliases",
"kms:CreateGrant",
"kms:DescribeCustomKeyStores",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"sns:Publish",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
}
]
}En la siguiente tabla se muestran los permisos para las cargas de trabajo de la base de datos.
Tabla de permisos para cargas de trabajo de base de datos
| Específico | Acción | Donde se utiliza | Política de permisos |
|---|---|---|---|
Obtenga estadísticas métricas para FSx para ONTAP, EBS y FSx para Windows File Server y para recomendaciones de optimización de cómputo |
Cloudwatch:GetMetricStatistics |
|
Visualización, planificación y análisis |
Recopile métricas de rendimiento guardadas en Amazon CloudWatch desde nodos SQL registrados. Los datos se generan en gráficos de tendencias de rendimiento en la pantalla de administración de instancias para las instancias SQL registradas. |
Cloudwatch:GetMetricData |
Inventario |
Visualización, planificación y análisis |
Obtenga detalles para las instancias de EC2 |
ec2:DescribInstances |
|
Visualización, planificación y análisis |
ec2:DescribeKeyPairs |
Puesta en marcha |
Visualización, planificación y análisis |
|
ec2:DescribeNetworkinterfaces |
Puesta en marcha |
Visualización, planificación y análisis |
|
EC2:DescripciónTipos de InstanceTipos |
|
Visualización, planificación y análisis |
|
Obtén los detalles que necesitas para rellenar el formulario de puesta en marcha de FSx para ONTAP |
ec2:DescribeVpcs |
|
Visualización, planificación y análisis |
ec2:DescribeSubnets |
|
Visualización, planificación y análisis |
|
ec2:DescribeSecurityGroups |
Puesta en marcha |
Visualización, planificación y análisis |
|
ec2:DescribeImages |
Puesta en marcha |
Visualización, planificación y análisis |
|
ec2:regiones describidas |
Puesta en marcha |
Visualización, planificación y análisis |
|
ec2:DescribeRouteTables |
|
Visualización, planificación y análisis |
|
Obtenga cualquier extremo de VPC existente para determinar si es necesario crear nuevos extremos antes de las implementaciones |
ec2:DescribeVpcEndpoints |
|
Visualización, planificación y análisis |
Cree puntos finales de VPC si no existen para los servicios requeridos independientemente de la conectividad de red pública en las instancias de EC2 |
EC2:CreateVpcEndpoint |
Puesta en marcha |
Creación de host de base de datos |
Obtener tipos de instancias disponibles en la región para los nodos de validación (T2.micro/T3.micro) |
EC2:DescripciónInstanceTypeOfferings |
Puesta en marcha |
Visualización, planificación y análisis |
Obtenga detalles de snapshot de cada volumen de EBS adjunto para calcular los precios y el ahorro |
ec2:DescribSnapshots |
Explora el ahorro |
Visualización, planificación y análisis |
Obtén detalles de cada volumen de EBS adjunto para calcular los precios y el ahorro |
ec2:DescribeVolumes |
|
Visualización, planificación y análisis |
Obtenga información clave de KMS para el cifrado del sistema de archivos FSx para ONTAP |
Kms:ListAliases |
Puesta en marcha |
Visualización, planificación y análisis |
Km:ListKeys |
Puesta en marcha |
Visualización, planificación y análisis |
|
Km:DescripbeKey |
Puesta en marcha |
Visualización, planificación y análisis |
|
Obtenga una lista de pilas de CloudFormation que se ejecutan en el entorno para comprobar el límite de cuota |
Cloudformation:ListStacks |
Puesta en marcha |
Visualización, planificación y análisis |
Compruebe los límites de la cuenta para los recursos antes de activar el despliegue |
Formación de nubes:DescribeAccountLimits |
Puesta en marcha |
Visualización, planificación y análisis |
Obtenga una lista de directorios activos gestionados por AWS en la región |
ds:DescripbeDirectories |
Puesta en marcha |
Visualización, planificación y análisis |
Obtén listas y detalles de volúmenes, backups, SVM, sistemas de archivos en AZs y etiquetas para el sistema de archivos FSx para ONTAP |
fsx:DescribeVolumes |
|
Visualización, planificación y análisis |
fsx:DescripbeBackups |
|
Visualización, planificación y análisis |
|
fsx:DescribeStorageVirtualMachines |
|
Visualización, planificación y análisis |
|
fsx:DescripciónFileSystems |
|
Visualización, planificación y análisis |
|
fsx:ListTagsForResource |
Gestionar operaciones |
Visualización, planificación y análisis |
|
Obtenga los límites de cuota de servicio para CloudFormation y VPC / Cree secretos en una cuenta de usuario para las credenciales proporcionadas para SQL, dominio y FSx para ONTAP |
ServiceQuotas:ListServiceQuotas |
Puesta en marcha |
Visualización, planificación y análisis |
Utilice la consulta basada en SSM para obtener la lista actualizada de regiones soportadas por FSx para ONTAP |
ssm:GetParametersByPath |
Puesta en marcha |
Visualización, planificación y análisis |
Sondee la respuesta de SSM después de enviar el comando para gestionar las operaciones posteriores al despliegue |
ssm:GetCommandInvocation |
|
Visualización, planificación y análisis |
Enviar comandos a través de SSM a instancias EC2 para su detección y gestión. |
ssm:SendCommand |
|
Visualización, planificación y análisis |
Obtener el estado de conectividad de SSM en las instancias posteriores al despliegue |
ssm:GetConnectionStatus |
|
Visualización, planificación y análisis |
Recuperar el estado de asociación de SSM para un grupo de instancias EC2 gestionadas (nodos SQL) |
ssm:Descripción InstanceInformation |
Inventario |
Visualización, planificación y análisis |
Obtenga la lista de líneas base de parches disponibles para la evaluación de parches del sistema operativo |
ssm:DescripciónPatchBaselines |
Optimización |
Visualización, planificación y análisis |
Obtener el estado de aplicación de parches en las instancias de Windows EC2 para la evaluación de parches del sistema operativo |
ssm:DescripciónInstancePatchStates |
Optimización |
Visualización, planificación y análisis |
Enumere los comandos ejecutados por AWS Patch Manager en las instancias EC2 para la gestión de parches del sistema operativo |
ssm: ListCommands |
Optimización |
Visualización, planificación y análisis |
Compruebe si la cuenta está inscrita en AWS Compute Optimizer |
Compute-Optimizer:GetEnrollmentStatus |
|
Creación de host de base de datos |
Actualice una preferencia de recomendación existente en AWS Compute Optimizer para adaptar las sugerencias para las cargas de trabajo de SQL Server |
Compute-Optimizer:PutRecommendationPreferences |
|
Creación de host de base de datos |
Obtener preferencias de recomendación que están en vigor para un recurso determinado de AWS Compute Optimizer |
Compute-Optimizer:GetEffectiveRecommendationPreferences |
|
Creación de host de base de datos |
Obtenga recomendaciones que AWS Compute Optimizer genera para las instancias de Amazon Elastic Compute Cloud (Amazon EC2) |
Compute-Optimizer:GetEC2InstanceRecommendations |
|
Creación de host de base de datos |
Compruebe la asociación de instancias a grupos de escala automática |
escala automática:DescripciónAutoScalingGroups |
|
Creación de host de base de datos |
escala automática:DescripciónAutoScalingInstances |
|
Creación de host de base de datos |
|
Obtenga, enumere, cree y elimine parámetros de SSM para las credenciales de usuario de AD, FSx para ONTAP y SQL utilizadas durante la implementación o administradas en su cuenta de AWS |
ssm:getParameter 1 |
|
Visualización, planificación y análisis |
ssm:GetParameters 1 |
|
Visualización, planificación y análisis |
|
ssm:PutParameter 1 |
|
Visualización, planificación y análisis |
|
ssm:DeleteParameters 1 |
|
Visualización, planificación y análisis |
|
Asocie recursos de red a nodos SQL y nodos de validación, y agregue IP secundarias adicionales a nodos SQL |
EC2:AllocateAddress 1 |
Puesta en marcha |
Creación de host de base de datos |
EC2:AllocateHosts 1 |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:AssignPrivateIpAddresses 1 |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:AssociateAddress 1 |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:AssociateRouteTable 1 |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:AssociateSubnetCidrBlock 1 |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:AssociateVpcCidrBlock 1 |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:AttachInternetGateway 1 |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:AttachNetworkInterface 1 |
Puesta en marcha |
Creación de host de base de datos |
|
Conecte los volúmenes de EBS necesarios a los nodos SQL para la puesta en marcha |
ec2:AttachVolume |
Puesta en marcha |
Creación de host de base de datos |
Adjunte grupos de seguridad y modifique reglas a las instancias EC2 aprovisionadas. |
ec2:AuthorizeSecurityGroupEgress |
Puesta en marcha |
Creación de host de base de datos |
ec2:AuthorizeSecurityGroupIngress |
Puesta en marcha |
Creación de host de base de datos |
|
Cree los volúmenes de EBS necesarios para los nodos SQL para la puesta en marcha |
ec2:CreateVolume |
Puesta en marcha |
Creación de host de base de datos |
Elimine los nodos de validación temporales creados del tipo T2.micro y para la reversión o el reintento de EC2 nodos SQL fallidos |
ec2:DeleteNetworkInterface |
Puesta en marcha |
Creación de host de base de datos |
ec2:DeleteSecurityGroup |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:DeleteTags |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:DeleteVolume |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:DetachNetworkInterface |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:DetachVolume |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:DisasociateAddress |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:DisasociateIamInstanceProfile |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:DisAssociateRouteTable |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:DisasociateSubnetCidrBlock |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:DisasociateVpcCidrBlock |
Puesta en marcha |
Creación de host de base de datos |
|
Modificar atributos para instancias SQL creadas. Solo se aplica a los nombres que comienzan con WLMDB. |
ec2:ModificyInstanceAttribute |
Puesta en marcha |
Operaciones y remediación |
EC2:ModifyInstanceColocación |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:ModificyNetworkInterfaceAttribute |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:ModifySubnetAttribute |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:ModifiyVolume |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:ModifyVolumeAttribute |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:ModifyVpcAttribute |
Puesta en marcha |
Creación de host de base de datos |
|
Desasociar y destruir instancias de validación |
EC2:Release Address |
Puesta en marcha |
Creación de host de base de datos |
EC2:ReplaceRoute |
Puesta en marcha |
Creación de host de base de datos |
|
EC2:ReplaceRouteTableAssociation |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:RevokeSecurityGroupEgress |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:RevokeSecurityGroupIngress |
Puesta en marcha |
Creación de host de base de datos |
|
Inicie las instancias desplegadas |
ec2:StartuStarInstances |
Puesta en marcha |
Operaciones y remediación |
Pare las instancias desplegadas |
ec2:StopInstances |
Puesta en marcha |
Operaciones y remediación |
Etiquete valores personalizados para los recursos de Amazon FSx for NetApp ONTAP creados por WLMDB para obtener detalles de facturación durante la gestión de recursos |
fsx:TagResource 1 |
|
Creación de host de base de datos |
Cree y valide la plantilla de CloudFormation para el despliegue |
Cloudformation:CreateStack |
Puesta en marcha |
Creación de host de base de datos |
Cloudformation:DescribeStackEvents |
Puesta en marcha |
Creación de host de base de datos |
|
Cloudformation:Describacks |
Puesta en marcha |
Creación de host de base de datos |
|
Cloudformation:ListStacks |
Puesta en marcha |
Visualización, planificación y análisis |
|
Cloudformation:ValidateTemplate |
Puesta en marcha |
Creación de host de base de datos |
|
Cree plantillas de pila anidadas para reintentos y rollback |
EC2:CreateLaunchTemplate |
Puesta en marcha |
Creación de host de base de datos |
EC2:CreateLaunchTemplateVersion |
Puesta en marcha |
Creación de host de base de datos |
|
Gestionar etiquetas y seguridad de red en las instancias creadas |
ec2:CreateNetworkInterface |
Puesta en marcha |
Creación de host de base de datos |
ec2:CreateSecurityGroup |
Puesta en marcha |
Creación de host de base de datos |
|
ec2:CreateTags |
Puesta en marcha |
Creación de host de base de datos |
|
Obtener detalles de instancia para el provisionamiento |
ec2:DescribeDirecciones |
Puesta en marcha |
Visualización, planificación y análisis |
ec2:DescribeLaunchTemplates |
Puesta en marcha |
Visualización, planificación y análisis |
|
Inicie las instancias creadas |
ec2:RunInstances |
Puesta en marcha |
Creación de host de base de datos |
Crear FSx para los recursos de ONTAP necesarios para aprovisionamiento. Para los sistemas FSx para ONTAP existentes, se crea un nuevo SVM para alojar los volúmenes de SQL. |
fsx:CreateFileSystem |
Puesta en marcha |
Creación de host de base de datos |
fsx:CreateStorageVirtualMachine |
Puesta en marcha |
Creación de host de base de datos |
|
fsx:CreateVolume |
|
Creación de host de base de datos |
|
Obtén más información sobre FSx para ONTAP |
fsx:DescribeFileSystemAliases |
Puesta en marcha |
Creación de host de base de datos |
Cambie el tamaño de FSx para el sistema de archivos ONTAP para solucionar el margen adicional del sistema de archivos |
fsx:UpdateFilesystem |
Optimización |
Operaciones y remediación |
Cambie el tamaño de los volúmenes para corregir los tamaños de los registros y las unidades de TempDB |
fsx:UpdateVolume |
Optimización |
Operaciones y remediación |
Obtén los detalles clave de KMS y utilízalos para el cifrado FSx para ONTAP |
Kms:CreateGrant |
Puesta en marcha |
Creación de host de base de datos |
kms:DescribeCustomKeyStores |
Puesta en marcha |
Creación de host de base de datos |
|
Km:GenerateDataKey |
Puesta en marcha |
Creación de host de base de datos |
|
Cree registros de CloudWatch para la validación y el aprovisionamiento de scripts que se ejecutan en instancias EC2 |
Registros:CreateLogGroup |
Puesta en marcha |
Creación de host de base de datos |
Registros:CreateLogStream |
Puesta en marcha |
Creación de host de base de datos |
|
registros:Obtener campos del grupo de registros |
Puesta en marcha |
Creación de host de base de datos |
|
registros:ObtenerRegistro |
Puesta en marcha |
Creación de host de base de datos |
|
Logs:ListLogDeliveries |
Puesta en marcha |
Creación de host de base de datos |
|
Logs:PutLogEvents |
|
Creación de host de base de datos |
|
Logs:TagResource |
Puesta en marcha |
Creación de host de base de datos |
|
Workload Factory cambia a los registros de Amazon CloudWatch para la instancia de SQL al detectar un truncamiento de la salida de SSM |
Logs:GetLogEvents |
|
Visualización, planificación y análisis |
Permitir que Workload Factory obtenga grupos de registros actuales y verificar que la retención esté configurada para los grupos de registros creados por Workload Factory |
Logs:DescripbeLogGroups |
|
Visualización, planificación y análisis |
Permitir que Workload Factory establezca una política de retención de un día para los grupos de registros creados por Workload Factory para evitar la acumulación innecesaria de flujos de registros para las salidas del comando SSM |
Logs:PutRetentionPolicy |
|
Visualización, planificación y análisis |
Enumere los temas de SNS del cliente y publique en el SNS de backend de WLMDB, así como en el SNS del cliente, si está seleccionado |
sns:ListTopics |
Puesta en marcha |
Visualización, planificación y análisis |
sns: Publicar |
Puesta en marcha |
Creación de host de base de datos |
|
Permisos SSM necesarios para ejecutar el script de detección en instancias SQL aprovisionadas y para obtener la lista más reciente de regiones AWS compatibles con FSx para ONTAP. |
ssm:PutComplianceItems |
Puesta en marcha |
Creación de host de base de datos |
ssm:PutConfigurePackageResult |
Puesta en marcha |
Creación de host de base de datos |
|
ssm: Inventario de PutInventory |
Puesta en marcha |
Creación de host de base de datos |
|
ssm: UpdateAssociationStatus |
Puesta en marcha |
Creación de host de base de datos |
|
ssm:UpdateInstanceAssociationStatus |
Puesta en marcha |
Creación de host de base de datos |
|
ssm:UpdateInstanceInformation |
Puesta en marcha |
Creación de host de base de datos |
|
ssmmessages:CrearCanalDeControl |
Puesta en marcha |
Creación de host de base de datos |
|
ssmmessages:CrearCanalDeDatos |
Puesta en marcha |
Creación de host de base de datos |
|
ssmmessages:Abrir canal de control |
Puesta en marcha |
Creación de host de base de datos |
|
mensajes ssmmessages:Canal de datos abiertos |
Puesta en marcha |
Creación de host de base de datos |
|
La pila de CloudFormation de señales se ha producido correctamente o ha fallado. |
Formación de nubes:SignalResource 1 |
Puesta en marcha |
Creación de host de base de datos |
Agregue el rol EC2 creado por la plantilla al perfil de instancia de EC2 para permitir que los scripts de EC2 accedan a los recursos necesarios para el despliegue. |
iam:AddRoleToInstanceProfile |
Puesta en marcha |
Creación de host de base de datos |
Cree un perfil de instancia para EC2 y adjunte el rol EC2 creado. |
iam:CreateInstanceProfile |
Puesta en marcha |
Creación de host de base de datos |
Cree un rol EC2 a través de una plantilla con los permisos enumerados a continuación |
iam:CreateRole |
Puesta en marcha |
Creación de host de base de datos |
Crear rol vinculado al servicio EC2 |
iam:CreateServiceLinkedRole 2 |
Puesta en marcha |
Creación de host de base de datos |
Suprimir perfil de instancia creado durante el despliegue específicamente para los nodos de validación |
iam:DeleteInstanceProfile |
Puesta en marcha |
Creación de host de base de datos |
Obtenga los detalles del rol y la política para determinar las brechas en los permisos y validarlas para la implementación |
iam: GetPolicy |
Puesta en marcha |
Creación de host de base de datos |
iam:GetPolicyVersion |
Puesta en marcha |
Creación de host de base de datos |
|
iam:GetRole |
Puesta en marcha |
Creación de host de base de datos |
|
iam: GetRolePolicy |
Puesta en marcha |
Creación de host de base de datos |
|
iam: GetUser |
Puesta en marcha |
Creación de host de base de datos |
|
Transfiera el rol creado a la instancia EC2 |
iam:PassRole 3 |
Puesta en marcha |
Creación de host de base de datos |
Agregue una política con los permisos necesarios al rol EC2 creado |
iam:PutRolePolicy |
Puesta en marcha |
Creación de host de base de datos |
Separe el rol del perfil de instancia de EC2 aprovisionado |
iam:RemoveRoleFromInstanceProfile |
Puesta en marcha |
Creación de host de base de datos |
Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS |
iam: Política de SimulatePrincipalPolicy |
Puesta en marcha |
Todo |
Obtenga los modelos base disponibles para el análisis de registros de errores. |
Bedrock:GetFoundationModelAvailability |
Análisis del registro de errores |
Visualización, planificación y análisis |
Enumera los perfiles de interfaz disponibles en Amazon Bedrock para el análisis de registros de errores. |
Bedrock:ListInferenceProfiles |
Análisis del registro de errores |
Visualización, planificación y análisis |
-
El permiso está restringido a los recursos que comienzan con WLMDB.
-
«iam:CreateServiceLinkedRole» limitado por «iam:AWSServiceName»: «ec2.amazonaws.com"*
-
“iam:PassRole” limitado por “iam:PassedToService”: “ec2.amazonaws.com"*
Permisos para cargas de trabajo de GenAI
Las políticas de IAM para cargas de trabajo de VMware proporcionan los permisos que Workload Factory for VMware necesita para administrar recursos y procesos dentro de su entorno de nube pública en función del modo operativo en el que opera.
Las políticas de IAM de GenAI solo están disponibles con permisos de lectura/escritura:
-
Lectura/Escritura: ejecuta y automatiza operaciones en AWS en su nombre junto con las credenciales asignadas que tienen los permisos necesarios y validados para la ejecución.
Políticas de IAM para las cargas de trabajo de GenAI
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}En la siguiente tabla se ofrecen detalles sobre los permisos para las cargas de trabajo de GenAI.
Tabla de permisos para cargas de trabajo de GenAI
| Específico | Acción | Donde se utiliza | Política de permisos |
|---|---|---|---|
Cree una pila de formación de cloud del motor de IA durante las operaciones de puesta en marcha y recompilación |
Cloudformation:CreateStack |
Puesta en marcha |
Lectura/Escritura |
Cree la pila de formación de cloud del motor de IA |
Cloudformation:Describacks |
Puesta en marcha |
Lectura/Escritura |
Enumere las regiones del asistente de despliegue del motor AI |
ec2:regiones describidas |
Puesta en marcha |
Lectura/Escritura |
Mostrar etiquetas de motor AI |
ec2:etiquetas a describTags |
Puesta en marcha |
Lectura/Escritura |
Lista de depósitos S3 |
s3:ListAllMyBuckets |
Puesta en marcha |
Lectura/Escritura |
Enumere los extremos de VPC antes de crear la pila del motor de AI |
EC2:CreateVpcEndpoint |
Puesta en marcha |
Lectura/Escritura |
Cree un grupo de seguridad del motor de IA durante la creación de la pila del motor de IA durante las operaciones de implementación y reconstrucción |
ec2:CreateSecurityGroup |
Puesta en marcha |
Lectura/Escritura |
Etiquete los recursos creados por la creación de pila de motores de IA durante las operaciones de implementación y recompilación |
ec2:CreateTags |
Puesta en marcha |
Lectura/Escritura |
Publique eventos cifrados en el backend WLMAI desde la pila del motor AI |
Km:GenerateDataKey |
Puesta en marcha |
Lectura/Escritura |
Km:descifrar |
Puesta en marcha |
Lectura/Escritura |
|
Publique eventos y recursos personalizados en el backend WLMAI desde la pila ai-engine |
sns: Publicar |
Puesta en marcha |
Lectura/Escritura |
Mostrar los PC virtuales durante el asistente de despliegue del motor AI |
ec2:DescribeVpcs |
Puesta en marcha |
Lectura/Escritura |
Muestra las subredes del asistente de despliegue del motor AI |
ec2:DescribeSubnets |
Puesta en marcha |
Lectura/Escritura |
Obtenga tablas de ruta durante la puesta en marcha y recompilación del motor de IA |
ec2:DescribeRouteTables |
Puesta en marcha |
Lectura/Escritura |
Enumere los pares de claves durante el asistente de implementación del motor de IA |
ec2:DescribeKeyPairs |
Puesta en marcha |
Lectura/Escritura |
Enumerar los grupos de seguridad durante la creación de la pila del motor AI (para buscar grupos de seguridad en los extremos privados) |
ec2:DescribeSecurityGroups |
Puesta en marcha |
Lectura/Escritura |
Consigue extremos de VPC para determinar si se deben crear alguno durante la puesta en marcha del motor de IA |
ec2:DescribeVpcEndpoints |
Puesta en marcha |
Lectura/Escritura |
Enumere las aplicaciones de Amazon Q Business |
Qbusiness:ListApplications |
Puesta en marcha |
Lectura/Escritura |
Enumere las instancias para averiguar el estado del motor de IA |
ec2:DescribInstances |
Resolución de problemas |
Lectura/Escritura |
Enumera imágenes durante la creación de la pila del motor de IA durante las operaciones de implementación y recompilación |
ec2:DescribeImages |
Puesta en marcha |
Lectura/Escritura |
Cree y actualice la instancia de IA y el grupo de seguridad de punto final privado durante la creación de la pila de instancias de AI durante las operaciones de despliegue y reconstrucción |
ec2:RevokeSecurityGroupEgress |
Puesta en marcha |
Lectura/Escritura |
ec2:RevokeSecurityGroupIngress |
Puesta en marcha |
Lectura/Escritura |
|
Ejecutar el motor de IA durante la creación de pilas de formación de nube durante las operaciones de puesta en marcha y recompilación |
ec2:RunInstances |
Puesta en marcha |
Lectura/Escritura |
Asocie grupos de seguridad y modifique las reglas del motor de IA durante la creación de la pila durante las operaciones de puesta en marcha y recompilación |
ec2:AuthorizeSecurityGroupEgress |
Puesta en marcha |
Lectura/Escritura |
ec2:AuthorizeSecurityGroupIngress |
Puesta en marcha |
Lectura/Escritura |
|
Inicie una solicitud de chat para uno de los modelos básicos |
Bedrock:InvokeModelWithResponseStream |
Puesta en marcha |
Lectura/Escritura |
Iniciar solicitud de chat/inserción para modelos de base |
Bedrock:InvokeModel |
Puesta en marcha |
Lectura/Escritura |
Muestra los modelos de base disponibles en una región |
Bedrock:ListFoundationModels |
Puesta en marcha |
Lectura/Escritura |
Obtenga información sobre un modelo de fundación |
Bedrock:GetFoundationModel |
Puesta en marcha |
Lectura/Escritura |
Verifique el acceso al modelo de base |
Bedrock:GetFoundationModelAvailability |
Puesta en marcha |
Lectura/Escritura |
Verifique la necesidad de crear un grupo de registros de Amazon CloudWatch durante las operaciones de despliegue y reconstrucción |
Logs:DescripbeLogGroups |
Puesta en marcha |
Lectura/Escritura |
Obtén regiones que dan soporte a FSx y Amazon Bedrock durante el asistente del motor de IA |
ssm:GetParametersByPath |
Puesta en marcha |
Lectura/Escritura |
Obtenga la imagen más reciente de Amazon Linux para la puesta en marcha del motor de IA durante las operaciones de puesta en marcha y recompilación |
ssm: GetParameters |
Puesta en marcha |
Lectura/Escritura |
Obtenga la respuesta SSM del comando enviado al motor AI |
ssm:GetCommandInvocation |
Puesta en marcha |
Lectura/Escritura |
Compruebe la conexión del SSM al motor AI |
ssm:SendCommand |
Puesta en marcha |
Lectura/Escritura |
ssm:GetConnectionStatus |
Puesta en marcha |
Lectura/Escritura |
|
Cree un perfil de instancia del motor de IA durante la creación de pila durante las operaciones de puesta en marcha y recompilación |
iam:CreateRole |
Puesta en marcha |
Lectura/Escritura |
iam:CreateInstanceProfile |
Puesta en marcha |
Lectura/Escritura |
|
iam:AddRoleToInstanceProfile |
Puesta en marcha |
Lectura/Escritura |
|
iam:PutRolePolicy |
Puesta en marcha |
Lectura/Escritura |
|
iam: GetRolePolicy |
Puesta en marcha |
Lectura/Escritura |
|
iam:GetRole |
Puesta en marcha |
Lectura/Escritura |
|
iam:TagRole |
Puesta en marcha |
Lectura/Escritura |
|
iam:PassRole |
Puesta en marcha |
Lectura/Escritura |
|
Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS |
iam: Política de SimulatePrincipalPolicy |
Puesta en marcha |
Lectura/Escritura |
Enumere los sistemas de archivos FSx para ONTAP durante el asistente para crear base de conocimientos |
fsx:DescribeVolumes |
Creación de la base de conocimientos |
Lectura/Escritura |
Enumera los volúmenes del sistema de archivos FSx para ONTAP durante el asistente para crear base de conocimientos |
fsx:DescripciónFileSystems |
Creación de la base de conocimientos |
Lectura/Escritura |
Gestionar las bases de conocimientos en el motor de IA durante las operaciones de recompilación |
fsx:ListTagsForResource |
Resolución de problemas |
Lectura/Escritura |
Enumere las máquinas virtuales de almacenamiento del sistema de archivos FSx para ONTAP durante el asistente de creación de base de conocimientos |
fsx:DescribeStorageVirtualMachines |
Puesta en marcha |
Lectura/Escritura |
Mueva la base de conocimientos a una nueva instancia |
fsx:UntagResource |
Resolución de problemas |
Lectura/Escritura |
Gestione la base de conocimientos en el motor de IA durante la recompilación |
fsx:TagResource |
Resolución de problemas |
Lectura/Escritura |
Guardar los secretos SSM (token ECR, credenciales CIFS, claves de las cuentas de servicio de inquilino) de una forma segura |
ssm:getParameter |
Puesta en marcha |
Lectura/Escritura |
ssm: Parámetro de PutParameter |
Puesta en marcha |
Lectura/Escritura |
|
Envíe los registros del motor de IA al grupo de registros de Amazon CloudWatch durante las operaciones de implementación y reconstrucción |
Registros:CreateLogGroup |
Puesta en marcha |
Lectura/Escritura |
Logs:PutRetentionPolicy |
Puesta en marcha |
Lectura/Escritura |
|
Envíe los registros del motor de IA al grupo de registros de Amazon CloudWatch |
Logs:TagResource |
Resolución de problemas |
Lectura/Escritura |
Obtener respuesta SSM de Amazon CloudWatch (cuando la respuesta es demasiado larga) |
Registros:DescripbeLogStreams |
Resolución de problemas |
Lectura/Escritura |
Obtén la respuesta SSM de Amazon CloudWatch |
Logs:GetLogEvents |
Resolución de problemas |
Lectura/Escritura |
Cree un grupo de registros de Amazon CloudWatch para los registros de base de Amazon durante la creación de la pila durante las operaciones de implementación y reconstrucción |
Registros:CreateLogGroup |
Puesta en marcha |
Lectura/Escritura |
Logs:PutRetentionPolicy |
Puesta en marcha |
Lectura/Escritura |
|
Logs:TagResource |
Puesta en marcha |
Lectura/Escritura |
|
Listar perfiles de inferencia para el modelo |
Bedrock:ListInferenceProfiles |
Resolución de problemas |
Lectura/Escritura |
Permisos para cargas de trabajo de VMware
Las cargas de trabajo de VMware tienen las siguientes políticas de permisos para elegir:
-
Visualización, planificación y análisis: Consulte el inventario de entornos de virtualización de EVS, obtenga un análisis bien diseñado para sus sistemas y explore las posibilidades de ahorro.
-
Implementación y conectividad del almacenamiento de datos: Implemente las configuraciones de máquinas virtuales recomendadas en clústeres de Amazon EVS, Amazon EC2 o VMware Cloud on AWS vSphere y utilice sistemas de archivos Amazon FSx for NetApp ONTAP personalizados como almacenes de datos externos.
Seleccione la política de permisos para ver las políticas de IAM necesarias:
Políticas de IAM para cargas de trabajo de VMware
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeDhcpOptions",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"secretsmanager:ListSecrets",
"evs:ListEnvironments",
"evs:GetEnvironment",
"evs:ListEnvironmentVlans"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}En la siguiente tabla se ofrece información sobre los permisos para las cargas de trabajo de VMware.
Tabla de permisos para cargas de trabajo de VMware
| Específico | Acción | Donde se utiliza | Política de permisos |
|---|---|---|---|
Asocie grupos de seguridad y modifique reglas para los nodos aprovisionados |
ec2:AuthorizeSecurityGroupIngress |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
Cree volúmenes de EBS |
fsx:CreateVolume |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
Etiquete valores personalizados para los recursos de FSx para NetApp ONTAP creados por las cargas de trabajo de VMware |
fsx:TagResource |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
Cree y valide la plantilla de CloudFormation |
Cloudformation:CreateStack |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
Gestionar etiquetas y seguridad de red en las instancias creadas |
ec2:CreateSecurityGroup |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
Inicie las instancias creadas |
ec2:RunInstances |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
Obtenga los detalles de las instancias de EC2 |
ec2:DescribInstances |
Inventario |
Despliegue y conectividad del almacenamiento de datos |
Muestre las imágenes durante la creación de la pila durante las operaciones de despliegue y reconstrucción |
ec2:DescribeImages |
Inventario |
Despliegue y conectividad del almacenamiento de datos |
Ver detalles de configuración de los conjuntos de opciones DHCP asociados con las VPC |
ec2:DescribeDhcpOptions |
Inventario |
Visualización, planificación y análisis |
Obtenga los VPC en el entorno seleccionado para completar el formulario de implementación |
ec2:DescribeVpcs |
|
Visualización, planificación y análisis |
Obtener las subredes del entorno seleccionado para completar el formulario de despliegue |
ec2:DescribeSubnets |
|
Visualización, planificación y análisis |
Obtener los grupos de seguridad del entorno seleccionado para completar el formulario de implementación |
ec2:DescribeSecurityGroups |
Puesta en marcha |
Visualización, planificación y análisis |
Obtener las zonas de disponibilidad en el entorno seleccionado |
EC2:DescripciónAvailabilityZones |
|
Visualización, planificación y análisis |
Obtén las regiones con soporte de Amazon FSx para NetApp ONTAP |
ec2:regiones describidas |
Puesta en marcha |
Visualización, planificación y análisis |
Obtener alias de claves KMS para utilizar para el cifrado de Amazon FSx para NetApp ONTAP |
Kms:ListAliases |
Puesta en marcha |
Visualización, planificación y análisis |
Obtenga las claves KMS para utilizar para el cifrado de Amazon FSx para NetApp ONTAP |
Km:ListKeys |
Puesta en marcha |
Visualización, planificación y análisis |
Obtener detalles de caducidad de claves KMS que se utilizarán para el cifrado de Amazon FSx para NetApp ONTAP |
Km:DescripbeKey |
Puesta en marcha |
Visualización, planificación y análisis |
Enumera los secretos en AWS Secrets Manager |
gestor de secretos: Listar secretos |
Inventario |
Visualización, planificación y análisis |
Obtén una lista de entornos de Amazon EVS |
evs:ListEnvironments |
Inventario |
Visualización, planificación y análisis |
Obtenga información detallada sobre un entorno específico de Amazon EVS. |
evs:ObtenerEntorno |
Inventario |
Visualización, planificación y análisis |
Enumera las VLAN asociadas a un entorno de Amazon EVS. |
evs:ListEnvironmentVlans |
Inventario |
Visualización, planificación y análisis |
Cree los recursos de Amazon FSx para NetApp ONTAP necesarios para el aprovisionamiento |
fsx:CreateFileSystem |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
fsx:CreateStorageVirtualMachine |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
|
fsx:CreateVolume |
|
Despliegue y conectividad del almacenamiento de datos |
|
Obtén los detalles de Amazon FSx para NetApp ONTAP |
fsx:describe* |
|
Despliegue y conectividad del almacenamiento de datos |
Obtenga los detalles clave de KMS y utilícelos para el cifrado de Amazon FSx para NetApp ONTAP |
Kms:CreateGrant |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
Kms:describir* |
Puesta en marcha |
Visualización, planificación y análisis |
|
Kms:Lista* |
Puesta en marcha |
Visualización, planificación y análisis |
|
Km:descifrar |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
|
Km:GenerateDataKey |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
|
Enumere los temas de SNS del cliente y publique en el SNS de backend de WLMVMC, así como en el SNS del cliente, si se selecciona |
sns: Publicar |
Puesta en marcha |
Despliegue y conectividad del almacenamiento de datos |
Simule operaciones de carga de trabajo para validar los permisos disponibles y compárelos con los permisos necesarios para la cuenta de AWS |
iam: Política de SimulatePrincipalPolicy |
Puesta en marcha |
|
Registro de cambios
A medida que se añadan y eliminen permisos, los anotaremos en las secciones siguientes.
2 de noviembre de 2025
Las políticas de permisos "solo lectura" y "lectura/escritura" se han reemplazado en las cargas de trabajo de almacenamiento, bases de datos y VMware para proporcionar mayor granularidad y flexibilidad en la asignación de permisos.
5 de octubre de 2025
Los siguientes permisos se eliminaron de GenAI y ahora son manejados por el motor GenAI:
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
29 de junio de 2025
El siguiente permiso ahora está disponible en modo de solo lectura para bases de datos: cloudwatch:GetMetricData .
3 de junio de 2025
El siguiente permiso ahora está disponible en modo lectura/escritura para GenAI: s3:ListAllMyBuckets .
4 de mayo de 2025
El siguiente permiso ahora está disponible en modo lectura/escritura para GenAI: qbusiness:ListApplications .
Los siguientes permisos ahora están disponibles en modo de solo lectura para bases de datos:
-
logs:GetLogEvents -
logs:DescribeLogGroups
El siguiente permiso ahora está disponible en modo lectura/escritura para bases de datos:
logs:PutRetentionPolicy .
2 de abril de 2025
El siguiente permiso ahora está disponible en modo de solo lectura para bases de datos: ssm:DescribeInstanceInformation .
30 de marzo de 2025
Actualización de permisos de carga de trabajo de GenAI
Los siguientes permisos ahora están disponibles en modo lectura/escritura para GenAI:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
Se ha eliminado el siguiente permiso del modo lectura/escritura para GenAI: Bedrock:GetFoundationModel .
iam:SimulatePrincipalPolicy actualización de permisos
El iam:SimulatePrincipalPolicy El permiso es parte de todas las políticas de permisos de carga de trabajo si habilita la verificación automática de permisos al agregar credenciales de cuenta de AWS adicionales o agregar una nueva capacidad de carga de trabajo desde la consola de Workload Factory. El permiso simula operaciones de carga de trabajo y verifica si tiene los permisos de cuenta de AWS necesarios antes de implementar recursos desde Workload Factory. Habilitar esta verificación reduce el tiempo y el esfuerzo que podría necesitar para limpiar recursos de operaciones fallidas y agregar permisos faltantes.
2 de marzo de 2025
El siguiente permiso ahora está disponible en modo lectura/escritura para GenAI: bedrock:GetFoundationModel .
3 de febrero de 2025
El siguiente permiso ahora está disponible en modo de solo lectura para bases de datos: iam:SimulatePrincipalPolicy .