Autorisations pour NetApp Workload Factory
Suggérer des modifications
PDF
Pour utiliser les fonctionnalités et services de NetApp Workload Factory, vous devez fournir des autorisations afin que Workload Factory puisse effectuer des opérations dans votre environnement cloud.
Pourquoi utiliser des autorisations
Lorsque vous accordez des autorisations, Workload Factory associe à l'instance une stratégie lui permettant de gérer les ressources et les processus au sein de ce compte AWS. Cela permet à Workload Factory d'exécuter diverses opérations, depuis la découverte de vos environnements de stockage jusqu'au déploiement de ressources AWS telles que des systèmes de fichiers dans la gestion du stockage ou des bases de connaissances pour les charges de travail GenAI.
Pour les charges de travail de base de données, par exemple, lorsque Workload Factory reçoit les autorisations requises, il analyse toutes les instances EC2 dans un compte et une région donnés et filtre toutes les machines Windows. Si l'agent AWS Systems Manager (SSM) est installé et en cours d'exécution sur l'hôte et que la mise en réseau de System Manager est correctement configurée, Workload Factory peut accéder à la machine Windows et vérifier si le logiciel SQL Server est installé ou non.
Autorisations par charge de travail
Chaque charge de travail utilise des autorisations pour effectuer certaines tâches dans Workload Factory. Les autorisations sont regroupées en politiques d'autorisation définies. Faites défiler jusqu'à la charge de travail que vous utilisez pour en savoir plus sur les politiques d'autorisation, le JSON copiable pour les politiques d'autorisation et un tableau qui répertorie toutes les autorisations, leur objectif, où elles sont utilisées et quelles politiques d'autorisation les prennent en charge.
Autorisations de stockage
Les politiques IAM disponibles pour le stockage fournissent les autorisations dont Workload Factory a besoin pour gérer les ressources et les processus au sein de votre environnement de cloud public.
Le stockage propose les politiques d'autorisation suivantes :
-
Visualisation, planification et analyse : visualisez les systèmes de fichiers FSx pour ONTAP , informez-vous sur l’état du système, obtenez une analyse détaillée de vos systèmes et explorez les économies possibles.
-
Opérations et correction : Effectuez des tâches opérationnelles telles que l’ajustement de la capacité du système de fichiers et la résolution des problèmes liés à la configuration de votre système de fichiers.
-
Création et suppression de systèmes de fichiers : Créez et supprimez des systèmes de fichiers FSx pour ONTAP et des machines virtuelles de stockage.
Consultez les politiques IAM requises :
Règles IAM pour le stockage
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:ListTagsForResource",
"fsx:DescribeBackups",
"fsx:DescribeSharedVpcConfiguration",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"elasticfilesystem:DescribeFileSystems",
"ce:GetCostAndUsage",
"ce:GetTags",
"ce:GetCostAndUsageWithResources",
"ce:GetCostForecast",
"ce:GetUsageForecast"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolume",
"fsx:DeleteVolume",
"fsx:UpdateFileSystem",
"fsx:UpdateStorageVirtualMachine",
"fsx:UpdateVolume",
"fsx:CreateBackup",
"fsx:CreateVolumeFromBackup",
"fsx:DeleteBackup",
"fsx:TagResource",
"fsx:UntagResource",
"bedrock:InvokeModelWithResponseStream",
"bedrock:ListInferenceProfiles",
"bedrock:GetInferenceProfile"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:DeleteFileSystem",
"fsx:DeleteStorageVirtualMachine",
"fsx:TagResource",
"fsx:UntagResource",
"kms:CreateGrant",
"iam:CreateServiceLinkedRole",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVolumeStatus",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Le tableau suivant affiche les autorisations pour le stockage.
Tableau des autorisations pour le stockage
| Objectif | Action | Cas d'utilisation | Politique d'autorisation |
|---|---|---|---|
Créez un système de fichiers FSX pour ONTAP |
fsx:CreateFileSystem |
Déploiement |
Création et suppression de systèmes de fichiers |
Créez un groupe de sécurité pour un système de fichiers FSX pour ONTAP |
ec2:CreateSecurityGroup |
Déploiement |
Création et suppression de systèmes de fichiers |
Ajoutez des balises à un groupe de sécurité pour un système de fichiers FSX pour ONTAP |
ec2:CreateTags |
Déploiement |
Création et suppression de systèmes de fichiers |
Autoriser la sortie et l'entrée de groupe de sécurité pour un système de fichiers FSX pour ONTAP |
ec2:AuthoreSecurityGroupEgress |
Déploiement |
Création et suppression de systèmes de fichiers |
ec2:AuthoreSecurityGroupIngress |
Déploiement |
Création et suppression de systèmes de fichiers |
|
Le rôle attribué permet la communication entre FSX pour ONTAP et d'autres services AWS |
iam:CreateServiceLinkedRole |
Déploiement |
Création et suppression de systèmes de fichiers |
Obtenez des détails pour remplir le formulaire de déploiement du système de fichiers FSX pour ONTAP |
ec2 : descriptif |
|
Création et suppression de systèmes de fichiers |
ec2:DescribeSubnets |
|
Création et suppression de systèmes de fichiers |
|
ec2:descriptifs des groupes de sécurité |
|
Création et suppression de systèmes de fichiers |
|
ec2:DescribeRoutetables |
|
Création et suppression de systèmes de fichiers |
|
ec2:DescribeNetworkinterfaces |
|
Création et suppression de systèmes de fichiers |
|
ec2:DescribeVolumeStatus |
|
Création et suppression de systèmes de fichiers |
|
Obtenez des détails de clé KMS et utilisez-les pour le chiffrement FSX for ONTAP |
Kms:CreateGrant |
Déploiement |
Création et suppression de systèmes de fichiers |
Km:DescribeKey |
Déploiement |
Création et suppression de systèmes de fichiers |
|
Km:ListKeys |
Déploiement |
Création et suppression de systèmes de fichiers |
|
Kms:Listalas |
Déploiement |
Création et suppression de systèmes de fichiers |
|
Obtenez les détails des volumes des instances EC2 |
ec2:Describvolumes |
|
Vue, planification et analyse |
Obtenez les détails des instances EC2 |
ec2:descriptifs |
Découvrez les économies |
Vue, planification et analyse |
Décrivez Elastic File System dans le calculateur d'économies |
Elasticfilesystem:DescribeFileSystems |
Découvrez les économies |
Vue, planification et analyse |
Répertoriez les balises des ressources FSX pour ONTAP |
fsx:ListTagsForResource |
Inventaire |
Vue, planification et analyse |
Gestion des entrées et sorties de groupes de sécurité pour un système de fichiers FSX pour ONTAP |
ec2 : RevokeSecurityGroupIngress |
Les opérations de gestion |
Création et suppression de systèmes de fichiers |
ec2:DeleteSecurityGroup |
Les opérations de gestion |
Création et suppression de systèmes de fichiers |
|
Créez, affichez et gérez les ressources du système de fichiers FSX pour ONTAP |
fsx:CreateVolume |
Les opérations de gestion |
Opérations et assainissement |
fsx:TagResource |
Les opérations de gestion |
Opérations et assainissement |
|
fsx:CreateStorageVirtualmachine |
Les opérations de gestion |
Création et suppression de systèmes de fichiers |
|
fsx:Supprimer le système de fichiers |
Les opérations de gestion |
Création et suppression de systèmes de fichiers |
|
fsx:SupprimerStorageVirtualMachine |
Les opérations de gestion |
Vue, planification et analyse |
|
fsx:DescribeFileSystems |
Inventaire |
Vue, planification et analyse |
|
fsx:DescribeStockVirtualMachines |
Inventaire |
Vue, planification et analyse |
|
fsx:DescribeSharedVpcConfiguration |
Inventaire |
Vue, planification et analyse |
|
fsx:Mise à jour du système de fichiers |
Les opérations de gestion |
Opérations et assainissement |
|
fsx:UpdateStorageVirtualMachine |
Les opérations de gestion |
Opérations et assainissement |
|
fsx:Describevolumes |
Inventaire |
Vue, planification et analyse |
|
fsx:UpdateVolume |
Les opérations de gestion |
Opérations et assainissement |
|
fsx:SupprimerVolume |
Les opérations de gestion |
Opérations et assainissement |
|
fsx:UntagResource |
Les opérations de gestion |
Opérations et assainissement |
|
fsx:DescribeBackups |
Les opérations de gestion |
Vue, planification et analyse |
|
fsx:Créer une sauvegarde |
Les opérations de gestion |
Opérations et assainissement |
|
fsx:Créer un volume à partir d'une sauvegarde |
Les opérations de gestion |
Opérations et assainissement |
|
Obtenez des metrics de système de fichiers et de volume |
cloudwatch:GetMetricData |
Les opérations de gestion |
Vue, planification et analyse |
cloudwatch:GetMetricStatistics |
Les opérations de gestion |
Vue, planification et analyse |
|
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises |
iam:SimulatePrincipalPolicy |
Déploiement |
Tous |
Autorisations pour les charges de travail de la base de données
Les politiques IAM disponibles pour les charges de travail de base de données fournissent les autorisations dont Workload Factory a besoin pour gérer les ressources et les processus au sein de votre environnement de cloud public.
Les bases de données proposent les politiques d'autorisation suivantes :
-
Visualisation, planification et analyse : Consultez l’inventaire des ressources de la base de données, informez-vous sur l’état de vos ressources, examinez l’analyse de l’architecture de vos configurations de base de données et explorez les économies possibles, obtenez une analyse du journal des erreurs et explorez les économies.
-
Opérations et correction : Effectuez les tâches opérationnelles pour vos ressources de base de données et corrigez les problèmes liés aux configurations de base de données et au système de stockage de fichiers FSx sous-jacent pour ONTAP .
-
Création d'hôtes de base de données : Déployez les hôtes de base de données et le système de stockage de fichiers FSx sous-jacent pour ONTAP conformément aux meilleures pratiques.
Sélectionnez votre mode opérationnel pour afficher les politiques IAM requises :
Politiques IAM pour les charges de travail de base de données
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource",
"logs:DescribeLogGroups",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
}
]
}[
{
"Sid": "FSxRemediation",
"Effect": "Allow",
"Action": [
"fsx:UpdateFileSystem",
"fsx:UpdateVolume"
],
"Resource": "*"
},
{
"Sid": "EC2Remediation",
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:ModifyInstanceAttribute",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
}
]{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CreationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ValidateTemplate",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:RunInstances",
"ec2:DescribeTags",
"ec2:DescribeLaunchTemplates",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:DescribeFileSystemAliases",
"kms:CreateGrant",
"kms:DescribeCustomKeyStores",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"sns:Publish",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
}
]
}Le tableau suivant affiche les autorisations pour les charges de travail de la base de données.
Tableau des autorisations pour les charges de travail de la base de données
| Objectif | Action | Cas d'utilisation | Politique d'autorisation |
|---|---|---|---|
Obtenez des statistiques métriques pour FSx pour ONTAP, EBS et FSx pour Windows File Server et pour des recommandations d'optimisation de calcul |
cloudwatch:GetMetricStatistics |
|
Vue, planification et analyse |
Collectez les indicateurs de performances enregistrés dans Amazon CloudWatch à partir des nœuds SQL enregistrés. Les données sont générées dans les graphiques de tendances de performances sur l'écran de gestion des instances pour les instances SQL enregistrées. |
cloudwatch:GetMetricData |
Inventaire |
Vue, planification et analyse |
Obtenez les détails des instances EC2 |
ec2:descriptifs |
|
Vue, planification et analyse |
ec2:Décrivez des Keypaires |
Déploiement |
Vue, planification et analyse |
|
ec2:DescribeNetworkinterfaces |
Déploiement |
Vue, planification et analyse |
|
ec2:DescribeInstanceTypes |
|
Vue, planification et analyse |
|
Remplissez le formulaire de déploiement FSX pour ONTAP |
ec2 : descriptif |
|
Vue, planification et analyse |
ec2:DescribeSubnets |
|
Vue, planification et analyse |
|
ec2:descriptifs des groupes de sécurité |
Déploiement |
Vue, planification et analyse |
|
ec2:descriptifs |
Déploiement |
Vue, planification et analyse |
|
ec2:régions descriptives |
Déploiement |
Vue, planification et analyse |
|
ec2:DescribeRoutetables |
|
Vue, planification et analyse |
|
Procurez-vous des terminaux VPC existants pour déterminer si de nouveaux terminaux doivent être créés avant les déploiements |
ec2:DescribeVpcEndpoints |
|
Vue, planification et analyse |
Créez des terminaux VPC s'ils n'existent pas pour les services requis, quelle que soit la connectivité du réseau public sur les instances EC2 |
ec2:CreateVpcEndpoint |
Déploiement |
Création d'un hôte de base de données |
Obtenir les types d'instances disponibles dans la région pour les nœuds de validation (t2.micro/t3.micro) |
ec2:DécribeInstanceTypeOfferings |
Déploiement |
Vue, planification et analyse |
Obtenez les détails des copies Snapshot de chaque volume EBS associé à des fins d'estimation de la tarification et des économies |
ec2:snapshots descriptifs |
Découvrez les économies |
Vue, planification et analyse |
Découvrez en détail chaque volume EBS attaché pour estimer la tarification et les économies |
ec2:Describvolumes |
|
Vue, planification et analyse |
Obtenez des détails de clé KMS pour FSX for ONTAP File System Encryption |
Kms:Listalas |
Déploiement |
Vue, planification et analyse |
Km:ListKeys |
Déploiement |
Vue, planification et analyse |
|
Km:DescribeKey |
Déploiement |
Vue, planification et analyse |
|
Obtenez la liste des piles CloudFormation exécutées dans l'environnement pour vérifier la limite de quota |
Cloudformation:ListSacks |
Déploiement |
Vue, planification et analyse |
Vérifiez les limites des comptes pour les ressources avant de déclencher le déploiement |
Cloudformation:DescribeAccountLimits |
Déploiement |
Vue, planification et analyse |
Obtenez la liste des Active Directory gérés par AWS dans la région |
ds:DescribeDirectories |
Déploiement |
Vue, planification et analyse |
Obtenez des listes et des détails sur les volumes, les sauvegardes, les SVM, les systèmes de fichiers dans les zones de disponibilité des fichiers et les balises pour le système de fichiers FSX pour ONTAP |
fsx:Describevolumes |
|
Vue, planification et analyse |
fsx:DescribeBackups |
|
Vue, planification et analyse |
|
fsx:DescribeStockVirtualMachines |
|
Vue, planification et analyse |
|
fsx:DescribeFileSystems |
|
Vue, planification et analyse |
|
fsx:ListTagsForResource |
Gérez les opérations |
Vue, planification et analyse |
|
Obtenez les limites de quota de service pour CloudFormation et VPC / Créez des secrets dans un compte utilisateur pour les informations d'identification fournies pour SQL, le domaine et FSx pour ONTAP |
Servicecotas:ListServiceQuotas |
Déploiement |
Vue, planification et analyse |
Utilisez la requête SSM pour obtenir la liste mise à jour des régions FSX pour ONTAP prises en charge |
ssm:GetParametersByPath |
Déploiement |
Vue, planification et analyse |
Interroger la réponse SSM après l'envoi de la commande pour gérer les opérations après le déploiement |
ssm:GetCommandInvocation |
|
Vue, planification et analyse |
Envoyer des commandes via SSM aux instances EC2 pour la découverte et la gestion |
ssm:SendCommand |
|
Vue, planification et analyse |
Obtenir l'état de connectivité SSM sur les instances après le déploiement |
ssm:GetConnectionStatus |
|
Vue, planification et analyse |
Extraire l'état d'association SSM pour un groupe d'instances EC2 gérées (nœuds SQL) |
ssm:DescribeInstanceinformation |
Inventaire |
Vue, planification et analyse |
Obtenez la liste des lignes de base de correctifs disponibles pour l'évaluation des correctifs du système d'exploitation |
ssm:DescribePatchBasines |
Optimisation |
Vue, planification et analyse |
Obtenez l'état des correctifs sur les instances Windows EC2 pour l'évaluation des correctifs du système d'exploitation |
ssm:DescribeInstancePatchStates |
Optimisation |
Vue, planification et analyse |
Répertoriez les commandes exécutées par AWS Patch Manager sur les instances EC2 pour la gestion des correctifs du système d'exploitation |
ssm:ListCommands |
Optimisation |
Vue, planification et analyse |
Vérifiez si le compte est inscrit à AWS Compute Optimizer |
Optimiseur-calcul:GetInscriptStatus |
|
Création d'un hôte de base de données |
Mettez à jour une préférence de recommandation existante dans AWS Compute Optimizer afin d'adapter les suggestions aux charges de travail SQL Server |
Compute-Optimizer:PutrecommandationPreferences |
|
Création d'un hôte de base de données |
Obtenir les préférences de recommandation en vigueur pour une ressource donnée à partir d'AWS Compute Optimizer |
Compute-Optimizer:GetEffectiveRecommandation Preferences |
|
Création d'un hôte de base de données |
Recommandations générées par AWS Compute Optimizer pour les instances Amazon Elastic Compute Cloud (Amazon EC2 |
Compute-Optimizer:GetEC2InstanceRecommendations |
|
Création d'un hôte de base de données |
Vérifiez l'association de l'instance aux groupes de mise à l'échelle automatique |
Mise à l'échelle automatique:DescribeAutoScalingGroups |
|
Création d'un hôte de base de données |
Mise à l'échelle automatique:DescribeAutoScatingInstances |
|
Création d'un hôte de base de données |
|
Obtenez, répertoriez, créez et supprimez les paramètres SSM pour les informations d'identification d'utilisateur AD, FSX pour ONTAP et SQL utilisées lors du déploiement ou gérées dans votre compte AWS |
ssm:getParameter 1 |
|
Vue, planification et analyse |
ssm:GetParameters 1 |
|
Vue, planification et analyse |
|
ssm:PutParameter 1 |
|
Vue, planification et analyse |
|
ssm:DeleteParameters 1 |
|
Vue, planification et analyse |
|
Associez des ressources réseau aux nœuds SQL et aux nœuds de validation, et ajoutez des adresses IP secondaires supplémentaires aux nœuds SQL |
ec2:AllocateAddress 1 |
Déploiement |
Création d'un hôte de base de données |
ec2:AllocateHosts 1 |
Déploiement |
Création d'un hôte de base de données |
|
ec2:AssignPrivateIpAddresses 1 |
Déploiement |
Création d'un hôte de base de données |
|
ec2:adresse associate1 |
Déploiement |
Création d'un hôte de base de données |
|
ec2:AssociateRouteTable 1 |
Déploiement |
Création d'un hôte de base de données |
|
ec2:AssociateSubnetCidrBlock 1 |
Déploiement |
Création d'un hôte de base de données |
|
ec2:AssociateVpcCidrBlock 1 |
Déploiement |
Création d'un hôte de base de données |
|
ec2:AttachInternetGateway 1 |
Déploiement |
Création d'un hôte de base de données |
|
ec2:AttachNetworkinterface 1 |
Déploiement |
Création d'un hôte de base de données |
|
Reliez les volumes EBS nécessaires aux nœuds SQL pour le déploiement |
ec2 : AttachVolume |
Déploiement |
Création d'un hôte de base de données |
Associez des groupes de sécurité et modifiez les règles aux instances EC2 provisionnées. |
ec2:AuthoreSecurityGroupEgress |
Déploiement |
Création d'un hôte de base de données |
ec2:AuthoreSecurityGroupIngress |
Déploiement |
Création d'un hôte de base de données |
|
Créez des volumes EBS requis pour les nœuds SQL pour le déploiement |
ec2 : CreateVolume |
Déploiement |
Création d'un hôte de base de données |
Supprimez les nœuds de validation temporaires créés de type t2.micro et pour la restauration ou la nouvelle tentative des nœuds SQL EC2 défaillants |
ec2:DeleteNetworkinterface |
Déploiement |
Création d'un hôte de base de données |
ec2:DeleteSecurityGroup |
Déploiement |
Création d'un hôte de base de données |
|
ec2:DeleteTags |
Déploiement |
Création d'un hôte de base de données |
|
ec2:DeleteVolume |
Déploiement |
Création d'un hôte de base de données |
|
ec2:DetachNetworkinterface |
Déploiement |
Création d'un hôte de base de données |
|
ec2 : DetachVolume |
Déploiement |
Création d'un hôte de base de données |
|
ec2:DisassociateAddress |
Déploiement |
Création d'un hôte de base de données |
|
ec2:DisassociateIamInstanceProfile |
Déploiement |
Création d'un hôte de base de données |
|
ec2:DisassociateRouteTable |
Déploiement |
Création d'un hôte de base de données |
|
ec2:DisassociateSubnetCidrBlock |
Déploiement |
Création d'un hôte de base de données |
|
ec2:DisassociateVpcCidrBlock |
Déploiement |
Création d'un hôte de base de données |
|
Modifier les attributs des instances SQL créées. Applicable uniquement aux noms commençant par WLMDB. |
ec2:ModimodificaceAttribute |
Déploiement |
Opérations et assainissement |
ec2:ModifyInstanceplacement |
Déploiement |
Création d'un hôte de base de données |
|
ec2:ModilyNetworkInterfaceAttribute |
Déploiement |
Création d'un hôte de base de données |
|
ec2:ModifySubnetAttribute |
Déploiement |
Création d'un hôte de base de données |
|
ec2 : Modifier le volume |
Déploiement |
Création d'un hôte de base de données |
|
ec2:ModimodityVolumeAttribute |
Déploiement |
Création d'un hôte de base de données |
|
ec2:ModifyVpcAttribute |
Déploiement |
Création d'un hôte de base de données |
|
Dissocier et détruire les instances de validation |
ec2:adresse de version |
Déploiement |
Création d'un hôte de base de données |
ec2:ReplaceRoute |
Déploiement |
Création d'un hôte de base de données |
|
ec2:ReplaceRouteTableAssociation |
Déploiement |
Création d'un hôte de base de données |
|
ec2 : RevokeSecurityGroupEgress |
Déploiement |
Création d'un hôte de base de données |
|
ec2 : RevokeSecurityGroupIngress |
Déploiement |
Création d'un hôte de base de données |
|
Démarrez les instances déployées |
ec2:déclarations de début |
Déploiement |
Opérations et assainissement |
Arrêtez les instances déployées |
ec2:StopInances |
Déploiement |
Opérations et assainissement |
Balisez les valeurs personnalisées pour les ressources Amazon FSX pour NetApp ONTAP créées par WLMDB pour obtenir des détails de facturation lors de la gestion des ressources |
fsx:TagResource 1 |
|
Création d'un hôte de base de données |
Créez et validez le modèle CloudFormation pour le déploiement |
Cloudformation:CreateStack |
Déploiement |
Création d'un hôte de base de données |
Cloudformation:DescribeStackEvents |
Déploiement |
Création d'un hôte de base de données |
|
Cloudformation:DescribeSacks |
Déploiement |
Création d'un hôte de base de données |
|
Cloudformation:ListSacks |
Déploiement |
Vue, planification et analyse |
|
Déformation:ValidéeTemplate |
Déploiement |
Création d'un hôte de base de données |
|
Créez des modèles de pile imbriqués pour réessayer et restaurer |
ec2:CreateLaunchTemplate |
Déploiement |
Création d'un hôte de base de données |
ec2:CreateLaunchTemplateVersion |
Déploiement |
Création d'un hôte de base de données |
|
Gérer les balises et la sécurité du réseau sur les instances créées |
ec2:CreateNetworkinterface |
Déploiement |
Création d'un hôte de base de données |
ec2:CreateSecurityGroup |
Déploiement |
Création d'un hôte de base de données |
|
ec2:CreateTags |
Déploiement |
Création d'un hôte de base de données |
|
Consultez les détails de l'instance pour le provisionnement |
ec2:Décrire les adresses |
Déploiement |
Vue, planification et analyse |
ec2 : Décrire les modèles de lancement |
Déploiement |
Vue, planification et analyse |
|
Démarrez les instances créées |
ec2:RunInstances |
Déploiement |
Création d'un hôte de base de données |
Créez les ressources FSX pour ONTAP requises pour le provisionnement. Pour les systèmes FSX for ONTAP existants, un nouveau SVM est créé pour héberger les volumes SQL. |
fsx:CreateFileSystem |
Déploiement |
Création d'un hôte de base de données |
fsx:CreateStorageVirtualmachine |
Déploiement |
Création d'un hôte de base de données |
|
fsx:CreateVolume |
|
Création d'un hôte de base de données |
|
Découvrez les détails de FSX pour ONTAP |
fsx:Décrire les alias du système de fichiers |
Déploiement |
Création d'un hôte de base de données |
Redimensionnez le système de fichiers FSX pour ONTAP pour optimiser la marge du système de fichiers |
fsx:système de fichiers de mise à jour |
Optimisation |
Opérations et assainissement |
Redimensionnez les volumes pour corriger la taille des lecteurs du journal et de la base de données de temps |
fsx:UpdateVolume |
Optimisation |
Opérations et assainissement |
Obtenez des détails de clé KMS et utilisez-les pour le chiffrement FSX for ONTAP |
Kms:CreateGrant |
Déploiement |
Création d'un hôte de base de données |
kms : Décrire les magasins de clés personnalisés |
Déploiement |
Création d'un hôte de base de données |
|
Km:GenerateDataKey |
Déploiement |
Création d'un hôte de base de données |
|
Créez des journaux CloudWatch pour les scripts de validation et de provisionnement s'exécutant sur les instances EC2 |
Journaux:CreateLogGroup |
Déploiement |
Création d'un hôte de base de données |
Journaux:CreateLogStream |
Déploiement |
Création d'un hôte de base de données |
|
journaux : GetLogGroupFields |
Déploiement |
Création d'un hôte de base de données |
|
journaux : GetLogRecord |
Déploiement |
Création d'un hôte de base de données |
|
Journaux:ListLogDeliveries |
Déploiement |
Création d'un hôte de base de données |
|
Journaux:PutLogEvents |
|
Création d'un hôte de base de données |
|
Journaux:TagResource |
Déploiement |
Création d'un hôte de base de données |
|
Workload Factory bascule vers les journaux Amazon CloudWatch pour l'instance SQL en cas de troncature de sortie SSM |
Journaux:GetLogEvents |
|
Vue, planification et analyse |
Autoriser Workload Factory à obtenir les groupes de journaux actuels et vérifier que la conservation est définie pour les groupes de journaux créés par Workload Factory |
Journaux:DescribeLogGroups |
|
Vue, planification et analyse |
Autoriser Workload Factory à définir une politique de conservation d'un jour pour les groupes de journaux créés par Workload Factory afin d'éviter l'accumulation inutile de flux de journaux pour les sorties de commande SSM |
Journaux:PutRetentionPolicy |
|
Vue, planification et analyse |
Dressez la liste des sujets SNS des clients et publiez-les sur le service SNS backend WLMDB ainsi que sur le service SNS des clients si cette option est sélectionnée |
sns:ListTopics |
Déploiement |
Vue, planification et analyse |
sns:publier |
Déploiement |
Création d'un hôte de base de données |
|
Autorisations SSM requises pour exécuter le script de découverte sur les instances SQL provisionnées et pour récupérer la dernière liste des régions AWS prises en charge par FSX pour ONTAP. |
ssm:PutCompianceItems |
Déploiement |
Création d'un hôte de base de données |
ssm:PutConfigurePackageResult |
Déploiement |
Création d'un hôte de base de données |
|
ssm:PutInventory |
Déploiement |
Création d'un hôte de base de données |
|
ssm:UpdateAssociationStatus |
Déploiement |
Création d'un hôte de base de données |
|
ssm:UpdateInstanceAssociationStatus |
Déploiement |
Création d'un hôte de base de données |
|
ssm:UpdateInstanceinformation |
Déploiement |
Création d'un hôte de base de données |
|
ssmmessages:Créer un canal de contrôle |
Déploiement |
Création d'un hôte de base de données |
|
ssmmessages : Créer un canal de données |
Déploiement |
Création d'un hôte de base de données |
|
ssmmessages : OpenControlChannel |
Déploiement |
Création d'un hôte de base de données |
|
ssmmessages : OpenDataChannel |
Déploiement |
Création d'un hôte de base de données |
|
Pile de signal CloudFormation en cas de succès ou d'échec. |
Formation du nuage:SignalResource 1 |
Déploiement |
Création d'un hôte de base de données |
Ajoutez le rôle EC2 créé par le modèle au profil d'instance d'EC2 pour permettre aux scripts sur EC2 d'accéder aux ressources requises pour le déploiement. |
iam:AddRoleToInstanceProfile |
Déploiement |
Création d'un hôte de base de données |
Créez un profil d'instance pour EC2 et associez le rôle EC2 créé. |
iam:CreateInstanceProfile |
Déploiement |
Création d'un hôte de base de données |
Créez un rôle EC2 via un modèle avec les autorisations répertoriées ci-dessous |
iam:CreateRole |
Déploiement |
Création d'un hôte de base de données |
Créer un rôle lié au service EC2 |
iam:CreateServiceLinkedRole 2 |
Déploiement |
Création d'un hôte de base de données |
Supprimez le profil d'instance créé lors du déploiement, spécifiquement pour les nœuds de validation |
iam:DeleteInstanceProfile |
Déploiement |
Création d'un hôte de base de données |
Obtenez les détails du rôle et de la stratégie pour déterminer les écarts d'autorisation et les valider pour le déploiement |
iam:GetPolicy |
Déploiement |
Création d'un hôte de base de données |
iam:GetPolicyVersion |
Déploiement |
Création d'un hôte de base de données |
|
iam:GetRole |
Déploiement |
Création d'un hôte de base de données |
|
iam:GetRolePolicy |
Déploiement |
Création d'un hôte de base de données |
|
iam:GetUser |
Déploiement |
Création d'un hôte de base de données |
|
Transmettre le rôle créé à l'instance EC2 |
iam:PassRole 3 |
Déploiement |
Création d'un hôte de base de données |
Ajoutez une règle avec les autorisations requises au rôle EC2 créé |
iam:PutRolePolicy |
Déploiement |
Création d'un hôte de base de données |
Détacher le rôle du profil d'instance EC2 provisionné |
iam:RemoveRoleFromInstanceProfile |
Déploiement |
Création d'un hôte de base de données |
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises |
iam:SimulatePrincipalPolicy |
Déploiement |
Tous |
Obtenez les modèles de base disponibles pour l'analyse des journaux d'erreurs. |
Bedrock:GetFoundationModelAvailability |
Analyse du journal des erreurs |
Vue, planification et analyse |
Liste des profils d'interface disponibles dans Amazon Bedrock pour l'analyse des journaux d'erreurs |
Bedrock:ListeInferenceProfiles |
Analyse du journal des erreurs |
Vue, planification et analyse |
-
L'autorisation est limitée aux ressources commençant par WLMDB.
-
"iam:CreateServiceLinkedRole" limité par "iam:AWSServiceName": "ec2.amazonaws.com"*
-
"iam:PassRole" limité par "iam:PassedToService": "ec2.amazonaws.com"*
Autorisations pour les workloads GenAI
Les stratégies IAM pour les charges de travail VMware fournissent les autorisations dont Workload Factory for VMware a besoin pour gérer les ressources et les processus au sein de votre environnement de cloud public en fonction du mode opérationnel dans lequel vous opérez.
Les politiques IAM de GenAI ne sont disponibles qu'avec les autorisations de lecture/écriture :
-
Lecture/Écriture : exécute et automatise les opérations dans AWS en votre nom, avec les informations d’identification attribuées qui disposent des autorisations nécessaires et validées pour l’exécution.
Règles IAM pour les workloads GenAI
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Le tableau suivant fournit des détails sur les autorisations pour les charges de travail GenAI.
Tableau des autorisations pour les charges de travail GenAI
| Objectif | Action | Cas d'utilisation | Politique d'autorisation |
|---|---|---|---|
Créez une pile de formation cloud pour les moteurs d'IA pendant les opérations de déploiement et de reconstruction |
Cloudformation:CreateStack |
Déploiement |
Lecture/écriture |
Créez la pile de formation cloud du moteur d'IA |
Cloudformation:DescribeSacks |
Déploiement |
Lecture/écriture |
Répertoriez les régions de l'assistant de déploiement de moteur ai |
ec2:régions descriptives |
Déploiement |
Lecture/écriture |
Afficher les balises du moteur ai |
ec2:Etiquettes descriptives |
Déploiement |
Lecture/écriture |
Lister les buckets S3 |
s3:ListAllMyseaux |
Déploiement |
Lecture/écriture |
Répertoriez les terminaux VPC avant la création de la pile du moteur d'IA |
ec2:CreateVpcEndpoint |
Déploiement |
Lecture/écriture |
Créez un groupe de sécurité de moteur d'IA lors des opérations de déploiement et de reconstruction lors de la création de la pile du moteur d'IA |
ec2:CreateSecurityGroup |
Déploiement |
Lecture/écriture |
Balisez les ressources créées par la création d'une pile de moteur d'IA pendant les opérations de déploiement et de reconstruction |
ec2:CreateTags |
Déploiement |
Lecture/écriture |
Publier des événements cryptés sur le back-end WLMAI à partir de la pile de moteur ai |
Km:GenerateDataKey |
Déploiement |
Lecture/écriture |
Km:déchiffrer |
Déploiement |
Lecture/écriture |
|
Publier des événements et des ressources personnalisées sur le backend WLMAI à partir de la pile ai-Engine |
sns:publier |
Déploiement |
Lecture/écriture |
Répertorier les VPC pendant l'assistant de déploiement du moteur d'IA |
ec2 : descriptif |
Déploiement |
Lecture/écriture |
Répertoriez les sous-réseaux dans l'assistant de déploiement du moteur ai |
ec2:DescribeSubnets |
Déploiement |
Lecture/écriture |
Obtenez des tables de routage lors du déploiement et de la reconstruction d'un moteur d'IA |
ec2:DescribeRoutetables |
Déploiement |
Lecture/écriture |
Répertoriez les paires de clés pendant l'assistant de déploiement de moteur d'IA |
ec2:Décrivez des Keypaires |
Déploiement |
Lecture/écriture |
Liste des groupes de sécurité lors de la création de la pile du moteur d'IA (pour rechercher les groupes de sécurité sur les terminaux privés) |
ec2:descriptifs des groupes de sécurité |
Déploiement |
Lecture/écriture |
Procurez-vous des terminaux VPC pour déterminer si un doit être créé pendant le déploiement du moteur d'IA |
ec2:DescribeVpcEndpoints |
Déploiement |
Lecture/écriture |
Répertoriez les applications Amazon Q Business |
Qbusiness:ListApplications |
Déploiement |
Lecture/écriture |
Répertoriez les instances pour connaître l'état du moteur ai |
ec2:descriptifs |
Dépannage |
Lecture/écriture |
Répertoriez les images lors de la création de la pile du moteur d'IA pendant les opérations de déploiement et de reconstruction |
ec2:descriptifs |
Déploiement |
Lecture/écriture |
Créez et mettez à jour l'instance d'IA et le groupe de sécurité de terminal privé lors de la création de la pile d'instance d'IA lors des opérations de déploiement et de reconstruction |
ec2 : RevokeSecurityGroupEgress |
Déploiement |
Lecture/écriture |
ec2 : RevokeSecurityGroupIngress |
Déploiement |
Lecture/écriture |
|
Exécutez le moteur d'IA lors de la création de la pile dans le cloud pendant les opérations de déploiement et de reconstruction |
ec2:RunInstances |
Déploiement |
Lecture/écriture |
Associez un groupe de sécurité et modifiez les règles du moteur d'IA lors de la création de la pile lors des opérations de déploiement et de reconstruction |
ec2:AuthoreSecurityGroupEgress |
Déploiement |
Lecture/écriture |
ec2:AuthoreSecurityGroupIngress |
Déploiement |
Lecture/écriture |
|
Lancez une demande de discussion sur l'un des modèles de base |
Bedrock:InvoieModelWithResponseStream |
Déploiement |
Lecture/écriture |
Commencez la discussion/l'intégration de la demande pour les modèles de base |
Bedrock:modèle de facturation |
Déploiement |
Lecture/écriture |
Affiche les modèles de base disponibles dans une région |
Bedrock:ListFoundationModels |
Déploiement |
Lecture/écriture |
Obtenez des informations sur un modèle de base |
Bedrock:GetFoundationModel |
Déploiement |
Lecture/écriture |
Vérifiez l'accès au modèle de base |
Bedrock:GetFoundationModelAvailability |
Déploiement |
Lecture/écriture |
Vérifiez qu'il est nécessaire de créer un groupe de journaux Amazon CloudWatch pendant les opérations de déploiement et de reconstruction |
Journaux:DescribeLogGroups |
Déploiement |
Lecture/écriture |
Obtenez des régions qui prennent en charge FSX et Amazon Bedrock pendant l'assistant du moteur d'IA |
ssm:GetParametersByPath |
Déploiement |
Lecture/écriture |
Obtenez la dernière image Amazon Linux pour le déploiement du moteur d'IA lors des opérations de déploiement et de reconstruction |
ssm:GetParameters |
Déploiement |
Lecture/écriture |
Obtenir la réponse SSM de la commande envoyée au moteur ai |
ssm:GetCommandInvocation |
Déploiement |
Lecture/écriture |
Vérifier la connexion SSM au moteur ai |
ssm:SendCommand |
Déploiement |
Lecture/écriture |
ssm:GetConnectionStatus |
Déploiement |
Lecture/écriture |
|
Créez un profil d'instance de moteur d'IA lors de la création de la pile lors des opérations de déploiement et de reconstruction |
iam:CreateRole |
Déploiement |
Lecture/écriture |
iam:CreateInstanceProfile |
Déploiement |
Lecture/écriture |
|
iam:AddRoleToInstanceProfile |
Déploiement |
Lecture/écriture |
|
iam:PutRolePolicy |
Déploiement |
Lecture/écriture |
|
iam:GetRolePolicy |
Déploiement |
Lecture/écriture |
|
iam:GetRole |
Déploiement |
Lecture/écriture |
|
iam:TagRole |
Déploiement |
Lecture/écriture |
|
iam:PassRole |
Déploiement |
Lecture/écriture |
|
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises |
iam:SimulatePrincipalPolicy |
Déploiement |
Lecture/écriture |
Répertoriez les systèmes de fichiers FSX pour ONTAP au cours de l'assistant de création de la base de connaissances |
fsx:Describevolumes |
Création d'une base de connaissances |
Lecture/écriture |
Répertoriez les volumes du système de fichiers FSX pour ONTAP au cours de l'assistant « Créer une base de connaissances » |
fsx:DescribeFileSystems |
Création d'une base de connaissances |
Lecture/écriture |
Gérer les bases de connaissances sur le moteur d'IA pendant les opérations de reconstruction |
fsx:ListTagsForResource |
Dépannage |
Lecture/écriture |
Répertoriez les machines virtuelles de stockage du système de fichiers FSX pour ONTAP au cours de l'assistant « Créer une base de connaissances » |
fsx:DescribeStockVirtualMachines |
Déploiement |
Lecture/écriture |
Déplacez la base de connaissances vers une nouvelle instance |
fsx:UntagResource |
Dépannage |
Lecture/écriture |
Gérez la base de connaissances sur le moteur d'IA pendant la reconstruction |
fsx:TagResource |
Dépannage |
Lecture/écriture |
Enregistrez les secrets SSM (jeton ECR, informations d'identification CIFS, clés de compte de service de location) de manière sécurisée |
ssm:getParameter |
Déploiement |
Lecture/écriture |
ssm:PutParameter |
Déploiement |
Lecture/écriture |
|
Envoyez les journaux du moteur d'IA au groupe de journaux Amazon CloudWatch pendant les opérations de déploiement et de reconstruction |
Journaux:CreateLogGroup |
Déploiement |
Lecture/écriture |
Journaux:PutRetentionPolicy |
Déploiement |
Lecture/écriture |
|
Envoyez les journaux du moteur d'IA au groupe de journaux Amazon CloudWatch |
Journaux:TagResource |
Dépannage |
Lecture/écriture |
Obtenir la réponse SSM d'Amazon CloudWatch (lorsque la réponse est trop longue) |
Journaux:DescribeLogStreams |
Dépannage |
Lecture/écriture |
Obtenez la réponse SSM d'Amazon CloudWatch |
Journaux:GetLogEvents |
Dépannage |
Lecture/écriture |
Créez un groupe de journaux Amazon CloudWatch pour les journaux Amazon Bedrock lors de la création de la pile lors des opérations de déploiement et de reconstruction |
Journaux:CreateLogGroup |
Déploiement |
Lecture/écriture |
Journaux:PutRetentionPolicy |
Déploiement |
Lecture/écriture |
|
Journaux:TagResource |
Déploiement |
Lecture/écriture |
|
Liste des profils d'inférence pour le modèle |
Bedrock:ListeInferenceProfiles |
Dépannage |
Lecture/écriture |
Autorisations pour les workloads VMware
VMware Workloads propose les politiques d'autorisation suivantes :
-
Visualisation, planification et analyse : Consultez l’inventaire des environnements de virtualisation EVS, obtenez une analyse détaillée de vos systèmes et explorez les économies possibles.
-
Déploiement et connectivité des banques de données : Déployez les configurations de machines virtuelles recommandées sur les clusters Amazon EVS, Amazon EC2 ou VMware Cloud on AWS vSphere et utilisez des systèmes de fichiers Amazon FSx for NetApp ONTAP comme banques de données externes.
Sélectionnez la stratégie d'autorisation pour afficher les stratégies IAM requises :
Règles IAM pour workloads VMware
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeDhcpOptions",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"secretsmanager:ListSecrets",
"evs:ListEnvironments",
"evs:GetEnvironment",
"evs:ListEnvironmentVlans"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Le tableau suivant fournit des détails sur les autorisations pour les charges de travail VMware.
Tableau des autorisations pour les workloads VMware
| Objectif | Action | Cas d'utilisation | Politique d'autorisation |
|---|---|---|---|
Associez des groupes de sécurité et modifiez les règles pour les nœuds provisionnés |
ec2:AuthoreSecurityGroupIngress |
Déploiement |
Déploiement et connectivité du datastore |
Création de volumes EBS |
fsx:CreateVolume |
Déploiement |
Déploiement et connectivité du datastore |
Balisez les valeurs personnalisées des ressources FSX pour NetApp ONTAP créées par les workloads VMware |
fsx:TagResource |
Déploiement |
Déploiement et connectivité du datastore |
Créez et validez le modèle CloudFormation |
Cloudformation:CreateStack |
Déploiement |
Déploiement et connectivité du datastore |
Gérer les balises et la sécurité du réseau sur les instances créées |
ec2:CreateSecurityGroup |
Déploiement |
Déploiement et connectivité du datastore |
Démarrez les instances créées |
ec2:RunInstances |
Déploiement |
Déploiement et connectivité du datastore |
Consultez les détails de l'instance EC2 |
ec2:descriptifs |
Inventaire |
Déploiement et connectivité du datastore |
Répertoriez les images pendant la création de la pile pendant les opérations de déploiement et de reconstruction |
ec2:descriptifs |
Inventaire |
Déploiement et connectivité du datastore |
Afficher les détails de configuration des ensembles d'options DHCP associés aux VPC |
ec2 : Décrire les options DHCP |
Inventaire |
Vue, planification et analyse |
Obtenir les VPC dans l'environnement sélectionné pour remplir le formulaire de déploiement |
ec2 : descriptif |
|
Vue, planification et analyse |
Obtenez les sous-réseaux dans l'environnement sélectionné pour remplir le formulaire de déploiement |
ec2:DescribeSubnets |
|
Vue, planification et analyse |
Demandez aux groupes de sécurité de l'environnement sélectionné de remplir le formulaire de déploiement |
ec2:descriptifs des groupes de sécurité |
Déploiement |
Vue, planification et analyse |
Obtenez les zones de disponibilité dans un environnement sélectionné |
ec2:DescribeAvailabilityzones |
|
Vue, planification et analyse |
Obtenez les régions avec la prise en charge d'Amazon FSX pour NetApp ONTAP |
ec2:régions descriptives |
Déploiement |
Vue, planification et analyse |
Obtenez les alias de clés KMS à utiliser pour le cryptage Amazon FSX for NetApp ONTAP |
Kms:Listalas |
Déploiement |
Vue, planification et analyse |
Obtenez des clés KMS à utiliser pour Amazon FSX for NetApp ONTAP Encryption |
Km:ListKeys |
Déploiement |
Vue, planification et analyse |
Obtenez les détails d'expiration des clés KMS à utiliser pour le chiffrement Amazon FSX for NetApp ONTAP |
Km:DescribeKey |
Déploiement |
Vue, planification et analyse |
Lister les secrets dans AWS Secrets Manager |
gestionnaire de secrets : Lister les secrets |
Inventaire |
Vue, planification et analyse |
Obtenez une liste des environnements d'Amazon EVS |
evs:ListEnvironments |
Inventaire |
Vue, planification et analyse |
Obtenez des informations détaillées sur un environnement Amazon EVS spécifique |
evs:GetEnvironment |
Inventaire |
Vue, planification et analyse |
Lister les VLAN associés à un environnement Amazon EVS |
evs:ListEnvironmentVlans |
Inventaire |
Vue, planification et analyse |
Créez des ressources Amazon FSX pour NetApp ONTAP requises pour le provisionnement |
fsx:CreateFileSystem |
Déploiement |
Déploiement et connectivité du datastore |
fsx:CreateStorageVirtualmachine |
Déploiement |
Déploiement et connectivité du datastore |
|
fsx:CreateVolume |
|
Déploiement et connectivité du datastore |
|
Découvrez les détails sur Amazon FSX pour NetApp ONTAP |
fsx:décrire* |
|
Déploiement et connectivité du datastore |
Obtenez des détails de clés KMS et utilisez-les pour le chiffrement Amazon FSX for NetApp ONTAP |
Kms:CreateGrant |
Déploiement |
Déploiement et connectivité du datastore |
Km:décrire* |
Déploiement |
Vue, planification et analyse |
|
Km:liste* |
Déploiement |
Vue, planification et analyse |
|
Km:déchiffrer |
Déploiement |
Déploiement et connectivité du datastore |
|
Km:GenerateDataKey |
Déploiement |
Déploiement et connectivité du datastore |
|
Répertoriez les sujets SNS des clients et publiez-les sur le service SNS back-end de WLMVMC ainsi que sur le service SNS des clients si cette option est sélectionnée |
sns:publier |
Déploiement |
Déploiement et connectivité du datastore |
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises |
iam:SimulatePrincipalPolicy |
Déploiement |
|
Journal des modifications
Lorsque des autorisations sont ajoutées et supprimées, nous les noterons dans les sections ci-dessous.
2 novembre 2025
Les politiques d'autorisation « lecture seule » et « lecture/écriture » ont été remplacées dans les charges de travail de stockage, de base de données et VMware afin d'offrir une plus grande granularité et une plus grande flexibilité dans l'attribution des autorisations.
5 octobre 2025
Les autorisations suivantes ont été supprimées de GenAI et sont désormais gérées par le moteur GenAI :
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
29 juin 2025
L'autorisation suivante est désormais disponible en mode lecture seule pour les bases de données : cloudwatch:GetMetricData .
3 juin 2025
L'autorisation suivante est désormais disponible en mode lecture/écriture pour GenAI : s3:ListAllMyBuckets .
4 mai 2025
L'autorisation suivante est désormais disponible en mode lecture/écriture pour GenAI : qbusiness:ListApplications .
Les autorisations suivantes sont désormais disponibles en mode lecture seule pour les bases de données :
-
logs:GetLogEvents -
logs:DescribeLogGroups
L'autorisation suivante est désormais disponible en mode lecture/écriture pour les bases de données :
logs:PutRetentionPolicy .
2 avril 2025
L'autorisation suivante est désormais disponible en mode lecture seule pour les bases de données : ssm:DescribeInstanceInformation .
30 mars 2025
Mise à jour des autorisations de charge de travail GenAI
Les autorisations suivantes sont désormais disponibles en mode lecture/écriture pour GenAI :
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
L'autorisation suivante a été supprimée du mode lecture/écriture pour GenAI : Bedrock:GetFoundationModel .
iam:mise à jour des autorisations SimulatePrincipalPolicy
Le iam:SimulatePrincipalPolicy L'autorisation fait partie de toutes les stratégies d'autorisation de charge de travail si vous activez la vérification automatique des autorisations lors de l'ajout d'informations d'identification de compte AWS supplémentaires ou de l'ajout d'une nouvelle capacité de charge de travail à partir de la console Workload Factory. L'autorisation simule les opérations de charge de travail et vérifie si vous disposez des autorisations de compte AWS requises avant de déployer des ressources à partir de Workload Factory. L'activation de cette vérification réduit le temps et les efforts dont vous pourriez avoir besoin pour nettoyer les ressources des opérations ayant échoué et pour ajouter les autorisations manquantes.
2 mars 2025
L'autorisation suivante est désormais disponible en mode lecture/écriture pour GenAI : bedrock:GetFoundationModel .
3 février 2025
L'autorisation suivante est désormais disponible en mode lecture seule pour les bases de données : iam:SimulatePrincipalPolicy .