Autorisations pour l'usine de workloads BlueXP
Suggérer des modifications
PDF
Pour utiliser les fonctionnalités et les services d'usine des workloads BlueXP , vous devez fournir des autorisations afin que l'usine de workloads puisse exécuter des opérations dans votre environnement cloud.
Pourquoi utiliser des autorisations
Lorsque vous fournissez des autorisations en mode lecture seule ou lecture/écriture, Workload Factory attache une stratégie à l'instance avec des autorisations pour gérer les ressources et les processus au sein de ce compte AWS. Ainsi, l'usine de workloads peut exécuter diverses opérations depuis la découverte de vos environnements de stockage jusqu'au déploiement des ressources AWS, telles que les systèmes de fichiers dans des bases de connaissances ou de gestion du stockage pour les charges de travail GenAI.
Pour les charges de travail de base de données, par exemple, lorsque l'usine de workloads est accordée avec les autorisations requises, il analyse toutes les instances EC2 d'un compte et d'une région donnés et filtre tous les serveurs Windows. Si l'agent AWS Systems Manager (SSM) est installé et exécuté sur l'hôte et que la mise en réseau de System Manager est configurée correctement, l'usine de la charge de travail peut accéder à la machine Windows et vérifier si le logiciel SQL Server est installé ou non.
Autorisations par charge de travail
Chaque charge de travail utilise des autorisations pour effectuer certaines tâches en usine. Faites défiler jusqu'à la charge de travail que vous utilisez pour afficher la liste des autorisations, leur objectif, leur emplacement d'utilisation et les modes qui les prennent en charge.
Autorisations de stockage
Les politiques IAM disponibles pour le stockage fournissent les autorisations dont l'usine de workloads a besoin pour gérer les ressources et les processus au sein de votre environnement de cloud public en fonction du mode opérationnel dans lequel vous travaillez.
Sélectionnez votre mode opérationnel pour afficher les politiques IAM requises :
Règles IAM pour le stockage
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:Describe*",
"fsx:ListTagsForResource",
"ec2:Describe*",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:*",
"ec2:Describe*",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"iam:CreateServiceLinkedRole",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"kms:CreateGrant",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"iam:SimulatePrincipalPolicy",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
}
]
}Le tableau suivant affiche les autorisations pour le stockage.
Tableau des autorisations pour le stockage
| Objectif | Action | Cas d'utilisation | Mode |
|---|---|---|---|
Créez un système de fichiers FSX pour ONTAP |
fsx:CreateFileSystem* |
Déploiement |
Lecture/écriture |
Créez un groupe de sécurité pour un système de fichiers FSX pour ONTAP |
ec2:CreateSecurityGroup |
Déploiement |
Lecture/écriture |
Ajoutez des balises à un groupe de sécurité pour un système de fichiers FSX pour ONTAP |
ec2:CreateTags |
Déploiement |
Lecture/écriture |
Autoriser la sortie et l'entrée de groupe de sécurité pour un système de fichiers FSX pour ONTAP |
ec2:AuthoreSecurityGroupEgress |
Déploiement |
Lecture/écriture |
ec2:AuthoreSecurityGroupIngress |
Déploiement |
Lecture/écriture |
|
Le rôle attribué permet la communication entre FSX pour ONTAP et d'autres services AWS |
iam:CreateServiceLinkedRole |
Déploiement |
Lecture/écriture |
Obtenez des détails pour remplir le formulaire de déploiement du système de fichiers FSX pour ONTAP |
ec2 : descriptif |
|
|
ec2:DescribeSubnets |
|
|
|
ec2:régions descriptives |
|
|
|
ec2:descriptifs des groupes de sécurité |
|
|
|
ec2:DescribeRoutetables |
|
|
|
ec2:DescribeNetworkinterfaces |
|
|
|
ec2:DescribeVolumeStatus |
|
|
|
Obtenez des détails de clé KMS et utilisez-les pour le chiffrement FSX for ONTAP |
Kms:CreateGrant |
Déploiement |
Lecture/écriture |
Km:décrire* |
Déploiement |
|
|
Km:liste* |
Déploiement |
|
|
Obtenez les détails des volumes des instances EC2 |
ec2:Describvolumes |
|
|
Obtenez les détails des instances EC2 |
ec2:descriptifs |
Découvrez les économies |
|
Décrivez Elastic File System dans le calculateur d'économies |
Élastickfilesystem:description* |
Découvrez les économies |
Lecture seule |
Répertoriez les balises des ressources FSX pour ONTAP |
fsx:ListTagsForResource |
Inventaire |
|
Gestion des entrées et sorties de groupes de sécurité pour un système de fichiers FSX pour ONTAP |
ec2 : RevokeSecurityGroupIngress |
Les opérations de gestion |
Lecture/écriture |
ec2:DeleteSecurityGroup |
Les opérations de gestion |
Lecture/écriture |
|
Créez, affichez et gérez les ressources du système de fichiers FSX pour ONTAP |
fsx:CreateVolume* |
Les opérations de gestion |
Lecture/écriture |
fsx:TagResource* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:CreateStorageVirtualmachine* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:DeleteFileSystem* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:DeleteStorageVirtualmachine* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:DescribeFileSystems* |
Inventaire |
|
|
fsx:DécribStockVirtualMachines* |
Inventaire |
|
|
fsx:UpdateFileSystem* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:UpdateStorageVirtualmachine* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:Describevolumes* |
Inventaire |
|
|
fsx:UpdateVolume* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:DeleteVolume* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:UntagResource* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:DescribeBackups* |
Les opérations de gestion |
|
|
fsx:CreateBackup* |
Les opérations de gestion |
Lecture/écriture |
|
fsx:CreateVolumeFromBackup* |
Les opérations de gestion |
Lecture/écriture |
|
Génération de rapports de metrics CloudWatch |
cloudwatch : PutMetricData |
Les opérations de gestion |
Lecture/écriture |
Obtenez des metrics de système de fichiers et de volume |
cloudwatch:GetMetricData |
Les opérations de gestion |
|
cloudwatch:GetMetricStatistics |
Les opérations de gestion |
|
Autorisations pour les charges de travail de la base de données
Les politiques IAM disponibles pour les charges de travail de base de données fournissent les autorisations dont Workload Factory a besoin pour gérer les ressources et les processus au sein de votre environnement de cloud public en fonction du mode opérationnel dans lequel vous opérez.
Sélectionnez votre mode opérationnel pour afficher les politiques IAM requises :
Politiques IAM pour les charges de travail de base de données
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource"
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeAccountLimits",
"cloudwatch:GetMetricStatistics",
"ds:DescribeDirectories",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:Describe*",
"ec2:Get*",
"ec2:RunInstances",
"ec2:ModifyVpcAttribute",
"ec2messages:*",
"fsx:CreateFileSystem",
"fsx:UpdateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:UpdateVolume",
"fsx:Describe*",
"fsx:List*",
"kms:CreateGrant",
"kms:Describe*",
"kms:List*",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLog*",
"logs:GetLog*",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"logs:PutRetentionPolicy",
"servicequotas:ListServiceQuotas",
"sns:ListTopics",
"sns:Publish",
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:SendCommand",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:*",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole",
"iam:DeleteInstanceProfile",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": "*"
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Le tableau suivant affiche les autorisations pour les charges de travail de la base de données.
Tableau des autorisations pour les charges de travail de la base de données
| Objectif | Action | Cas d'utilisation | Mode |
|---|---|---|---|
Obtenez des statistiques métriques pour FSx pour ONTAP, EBS et FSx pour Windows File Server et pour des recommandations d'optimisation de calcul |
cloudwatch:GetMetricStatistics |
|
|
Collectez les indicateurs de performances enregistrés dans Amazon CloudWatch à partir des nœuds SQL enregistrés. Les données sont générées dans les graphiques de tendances de performances sur l'écran de gestion des instances pour les instances SQL enregistrées. |
cloudwatch:GetMetricData |
Inventaire |
Lecture seule |
Répertoriez et définissez les déclencheurs des événements |
sns:ListTopics |
Déploiement |
|
Obtenez les détails des instances EC2 |
ec2:descriptifs |
|
|
ec2:Décrivez des Keypaires |
Déploiement |
|
|
ec2:DescribeNetworkinterfaces |
Déploiement |
|
|
ec2:DescribeInstanceTypes |
|
|
|
Remplissez le formulaire de déploiement FSX pour ONTAP |
ec2 : descriptif |
|
|
ec2:DescribeSubnets |
|
|
|
ec2:descriptifs des groupes de sécurité |
Déploiement |
|
|
ec2:descriptifs |
Déploiement |
|
|
ec2:régions descriptives |
Déploiement |
|
|
ec2:DescribeRoutetables |
|
|
|
Procurez-vous des terminaux VPC existants pour déterminer si de nouveaux terminaux doivent être créés avant les déploiements |
ec2:DescribeVpcEndpoints |
|
|
Créez des terminaux VPC s'ils n'existent pas pour les services requis, quelle que soit la connectivité du réseau public sur les instances EC2 |
ec2:CreateVpcEndpoint |
Déploiement |
Lecture/écriture |
Obtenir les types d'instances disponibles dans la région pour les nœuds de validation (t2.micro/t3.micro) |
ec2:DécribeInstanceTypeOfferings |
Déploiement |
|
Obtenez les détails des copies Snapshot de chaque volume EBS associé à des fins d'estimation de la tarification et des économies |
ec2:snapshots descriptifs |
Découvrez les économies |
|
Découvrez en détail chaque volume EBS attaché pour estimer la tarification et les économies |
ec2:Describvolumes |
|
|
Obtenez des détails de clé KMS pour FSX for ONTAP File System Encryption |
Kms:Listalas |
Déploiement |
|
Km:ListKeys |
Déploiement |
|
|
Km:DescribeKey |
Déploiement |
|
|
Obtenez la liste des piles CloudFormation exécutées dans l'environnement pour vérifier la limite de quota |
Cloudformation:ListSacks |
Déploiement |
|
Vérifiez les limites des comptes pour les ressources avant de déclencher le déploiement |
Cloudformation:DescribeAccountLimits |
Déploiement |
|
Obtenez la liste des Active Directory gérés par AWS dans la région |
ds:DescribeDirectories |
Déploiement |
|
Obtenez des listes et des détails sur les volumes, les sauvegardes, les SVM, les systèmes de fichiers dans les zones de disponibilité des fichiers et les balises pour le système de fichiers FSX pour ONTAP |
fsx:Describevolumes |
|
|
fsx:DescribeBackups |
|
|
|
fsx:DescribeStockVirtualMachines |
|
|
|
fsx:DescribeFileSystems |
|
|
|
fsx:ListTagsForResource |
Gérez les opérations |
|
|
Obtenez les limites de quota de service pour CloudFormation et VPC |
Servicecotas:ListServiceQuotas |
Déploiement |
|
Utilisez la requête SSM pour obtenir la liste mise à jour des régions FSX pour ONTAP prises en charge |
ssm:GetParametersByPath |
Déploiement |
|
Interroger la réponse SSM après l'envoi de la commande pour gérer les opérations après le déploiement |
ssm:GetCommandInvocation |
|
|
Envoyer des commandes via SSM aux instances EC2 |
ssm:SendCommand |
|
|
Obtenir l'état de connectivité SSM sur les instances après le déploiement |
ssm:GetConnectionStatus |
|
|
Extraire l'état d'association SSM pour un groupe d'instances EC2 gérées (nœuds SQL) |
ssm:DescribeInstanceinformation |
Inventaire |
Lecture |
Obtenez la liste des lignes de base de correctifs disponibles pour l'évaluation des correctifs du système d'exploitation |
ssm:DescribePatchBasines |
Optimisation |
|
Obtenez l'état des correctifs sur les instances Windows EC2 pour l'évaluation des correctifs du système d'exploitation |
ssm:DescribeInstancePatchStates |
Optimisation |
|
Répertoriez les commandes exécutées par AWS Patch Manager sur les instances EC2 pour la gestion des correctifs du système d'exploitation |
ssm:ListCommands |
Optimisation |
|
Vérifiez si le compte est inscrit à AWS Compute Optimizer |
Optimiseur-calcul:GetInscriptStatus |
|
Lecture/écriture |
Mettez à jour une préférence de recommandation existante dans AWS Compute Optimizer afin d'adapter les suggestions aux charges de travail SQL Server |
Compute-Optimizer:PutrecommandationPreferences |
|
Lecture/écriture |
Obtenir les préférences de recommandation en vigueur pour une ressource donnée à partir d'AWS Compute Optimizer |
Compute-Optimizer:GetEffectiveRecommandation Preferences |
|
Lecture/écriture |
Recommandations générées par AWS Compute Optimizer pour les instances Amazon Elastic Compute Cloud (Amazon EC2 |
Compute-Optimizer:GetEC2InstanceRecommendations |
|
Lecture/écriture |
Vérifiez l'association de l'instance aux groupes de mise à l'échelle automatique |
Mise à l'échelle automatique:DescribeAutoScalingGroups |
|
Lecture/écriture |
Mise à l'échelle automatique:DescribeAutoScatingInstances |
|
Lecture/écriture |
|
Obtenez, répertoriez, créez et supprimez les paramètres SSM pour les informations d'identification d'utilisateur AD, FSX pour ONTAP et SQL utilisées lors du déploiement ou gérées dans votre compte AWS |
ssm:getParameter 1 |
|
|
ssm:GetParameters 1 |
Gérez les opérations |
|
|
ssm:PutParameter 1 |
|
|
|
ssm:DeleteParameters 1 |
Gérez les opérations |
|
|
Associez des ressources réseau aux nœuds SQL et aux nœuds de validation, et ajoutez des adresses IP secondaires supplémentaires aux nœuds SQL |
ec2:AllocateAddress 1 |
Déploiement |
Lecture/écriture |
ec2:AllocateHosts 1 |
Déploiement |
Lecture/écriture |
|
ec2:AssignPrivateIpAddresses 1 |
Déploiement |
Lecture/écriture |
|
ec2:adresse associate1 |
Déploiement |
Lecture/écriture |
|
ec2:AssociateRouteTable 1 |
Déploiement |
Lecture/écriture |
|
ec2:AssociateSubnetCidrBlock 1 |
Déploiement |
Lecture/écriture |
|
ec2:AssociateVpcCidrBlock 1 |
Déploiement |
Lecture/écriture |
|
ec2:AttachInternetGateway 1 |
Déploiement |
Lecture/écriture |
|
ec2:AttachNetworkinterface 1 |
Déploiement |
Lecture/écriture |
|
Reliez les volumes EBS nécessaires aux nœuds SQL pour le déploiement |
ec2 : AttachVolume |
Déploiement |
Lecture/écriture |
Associez des groupes de sécurité et modifiez les règles pour les nœuds provisionnés |
ec2:AuthoreSecurityGroupEgress |
Déploiement |
Lecture/écriture |
ec2:AuthoreSecurityGroupIngress |
Déploiement |
Lecture/écriture |
|
Créez des volumes EBS requis pour les nœuds SQL pour le déploiement |
ec2 : CreateVolume |
Déploiement |
Lecture/écriture |
Supprimez les nœuds de validation temporaires créés de type t2.micro et pour la restauration ou la nouvelle tentative des nœuds SQL EC2 défaillants |
ec2:DeleteNetworkinterface |
Déploiement |
Lecture/écriture |
ec2:DeleteSecurityGroup |
Déploiement |
Lecture/écriture |
|
ec2:DeleteTags |
Déploiement |
Lecture/écriture |
|
ec2:DeleteVolume |
Déploiement |
Lecture/écriture |
|
ec2:DetachNetworkinterface |
Déploiement |
Lecture/écriture |
|
ec2 : DetachVolume |
Déploiement |
Lecture/écriture |
|
ec2:DisassociateAddress |
Déploiement |
Lecture/écriture |
|
ec2:DisassociateIamInstanceProfile |
Déploiement |
Lecture/écriture |
|
ec2:DisassociateRouteTable |
Déploiement |
Lecture/écriture |
|
ec2:DisassociateSubnetCidrBlock |
Déploiement |
Lecture/écriture |
|
ec2:DisassociateVpcCidrBlock |
Déploiement |
Lecture/écriture |
|
Modifier les attributs des instances SQL créées. Applicable uniquement aux noms commençant par WLMDB. |
ec2:ModimodificaceAttribute |
Déploiement |
Lecture/écriture |
ec2:ModifyInstanceplacement |
Déploiement |
Lecture/écriture |
|
ec2:ModilyNetworkInterfaceAttribute |
Déploiement |
Lecture/écriture |
|
ec2:ModifySubnetAttribute |
Déploiement |
Lecture/écriture |
|
ec2 : Modifier le volume |
Déploiement |
Lecture/écriture |
|
ec2:ModimodityVolumeAttribute |
Déploiement |
Lecture/écriture |
|
ec2:ModifyVpcAttribute |
Déploiement |
Lecture/écriture |
|
Dissocier et détruire les instances de validation |
ec2:adresse de version |
Déploiement |
Lecture/écriture |
ec2:ReplaceRoute |
Déploiement |
Lecture/écriture |
|
ec2:ReplaceRouteTableAssociation |
Déploiement |
Lecture/écriture |
|
ec2 : RevokeSecurityGroupEgress |
Déploiement |
Lecture/écriture |
|
ec2 : RevokeSecurityGroupIngress |
Déploiement |
Lecture/écriture |
|
Démarrez les instances déployées |
ec2:déclarations de début |
Déploiement |
Lecture/écriture |
Arrêtez les instances déployées |
ec2:StopInances |
Déploiement |
Lecture/écriture |
Balisez les valeurs personnalisées pour les ressources Amazon FSX pour NetApp ONTAP créées par WLMDB pour obtenir des détails de facturation lors de la gestion des ressources |
fsx:TagResource 1 |
|
Lecture/écriture |
Créez et validez le modèle CloudFormation pour le déploiement |
Cloudformation:CreateStack |
Déploiement |
Lecture/écriture |
Cloudformation:DescribeStackEvents |
Déploiement |
Lecture/écriture |
|
Cloudformation:DescribeSacks |
Déploiement |
Lecture/écriture |
|
Cloudformation:ListSacks |
Déploiement |
Lecture/écriture |
|
Déformation:ValidéeTemplate |
Déploiement |
Lecture/écriture |
|
Extraire les répertoires disponibles dans la région |
ds:DescribeDirectories |
Déploiement |
Lecture/écriture |
Ajoutez des règles pour le groupe de sécurité rattaché aux instances EC2 provisionnées |
ec2:AuthoreSecurityGroupEgress |
Déploiement |
Lecture/écriture |
ec2:AuthoreSecurityGroupIngress |
Déploiement |
Lecture/écriture |
|
Créez des modèles de pile imbriqués pour réessayer et restaurer |
ec2:CreateLaunchTemplate |
Déploiement |
Lecture/écriture |
ec2:CreateLaunchTemplateVersion |
Déploiement |
Lecture/écriture |
|
Gérer les balises et la sécurité du réseau sur les instances créées |
ec2:CreateNetworkinterface |
Déploiement |
Lecture/écriture |
ec2:CreateSecurityGroup |
Déploiement |
Lecture/écriture |
|
ec2:CreateTags |
Déploiement |
Lecture/écriture |
|
Supprimez le groupe de sécurité créé temporairement pour les nœuds de validation |
ec2:DeleteSecurityGroup |
Déploiement |
Lecture/écriture |
Consultez les détails de l'instance pour le provisionnement |
ec2:décrire* |
|
Lecture/écriture |
ec2:GET* |
|
Lecture/écriture |
|
Démarrez les instances créées |
ec2:RunInstances |
Déploiement |
Lecture/écriture |
System Manager utilise le terminal du service de livraison des messages AWS pour les opérations d'API |
ec2messages:* |
|
Lecture/écriture |
Créez les ressources FSX pour ONTAP requises pour le provisionnement. Pour les systèmes FSX for ONTAP existants, un nouveau SVM est créé pour héberger les volumes SQL. |
fsx:CreateFileSystem |
Déploiement |
Lecture/écriture |
fsx:CreateStorageVirtualmachine |
Déploiement |
Lecture/écriture |
|
fsx:CreateVolume |
|
Lecture/écriture |
|
Découvrez les détails de FSX pour ONTAP |
fsx:décrire* |
|
Lecture/écriture |
fsx:liste* |
|
Lecture/écriture |
|
Redimensionnez le système de fichiers FSX pour ONTAP pour optimiser la marge du système de fichiers |
fsx:système de fichiers de mise à jour |
Optimisation |
Lecture/écriture |
Redimensionnez les volumes pour corriger la taille des lecteurs du journal et de la base de données de temps |
fsx:UpdateVolume |
Optimisation |
Lecture/écriture |
Obtenez des détails de clé KMS et utilisez-les pour le chiffrement FSX for ONTAP |
Kms:CreateGrant |
Déploiement |
Lecture/écriture |
Km:décrire* |
Déploiement |
Lecture/écriture |
|
Km:liste* |
Déploiement |
Lecture/écriture |
|
Km:GenerateDataKey |
Déploiement |
Lecture/écriture |
|
Créez des journaux CloudWatch pour les scripts de validation et de provisionnement s'exécutant sur les instances EC2 |
Journaux:CreateLogGroup |
Déploiement |
Lecture/écriture |
Journaux:CreateLogStream |
Déploiement |
Lecture/écriture |
|
Journaux:DescribeLog* |
Déploiement |
Lecture/écriture |
|
Journaux:getlog* |
Déploiement |
Lecture/écriture |
|
Journaux:ListLogDeliveries |
Déploiement |
Lecture/écriture |
|
Journaux:PutLogEvents |
|
Lecture/écriture |
|
Journaux:TagResource |
Déploiement |
Lecture/écriture |
|
L'usine de charge de travail passe aux journaux Amazon CloudWatch pour l'instance SQL lorsqu'une troncature de sortie SSM se produit |
Journaux:GetLogEvents |
|
|
Autoriser l'usine de la charge de travail à obtenir les groupes de journaux actuels et vérifier que la rétention est définie pour les groupes de journaux créés par l'usine de la charge de travail |
Journaux:DescribeLogGroups |
|
Lecture seule |
Permettre à l'usine de charge de travail de définir une stratégie de conservation d'un jour pour les groupes de journaux créés par l'usine de charge de travail afin d'éviter l'accumulation inutile de flux de journaux pour les sorties de commande SSM |
Journaux:PutRetentionPolicy |
|
|
Créez des secrets dans un compte utilisateur pour les informations d'identification fournies pour SQL, Domain et FSX pour ONTAP |
Servicecotas:ListServiceQuotas |
Déploiement |
Lecture/écriture |
Dressez la liste des sujets SNS des clients et publiez-les sur le service SNS backend WLMDB ainsi que sur le service SNS des clients si cette option est sélectionnée |
sns:ListTopics |
Déploiement |
Lecture/écriture |
sns:publier |
Déploiement |
Lecture/écriture |
|
Autorisations SSM requises pour exécuter le script de découverte sur les instances SQL provisionnées et pour récupérer la dernière liste des régions AWS prises en charge par FSX pour ONTAP. |
ssm:décrire* |
Déploiement |
Lecture/écriture |
ssm:GET* |
|
Lecture/écriture |
|
ssm:liste* |
Déploiement |
Lecture/écriture |
|
ssm:PutCompianceItems |
Déploiement |
Lecture/écriture |
|
ssm:PutConfigurePackageResult |
Déploiement |
Lecture/écriture |
|
ssm:PutInventory |
Déploiement |
Lecture/écriture |
|
ssm:SendCommand |
|
Lecture/écriture |
|
ssm:UpdateAssociationStatus |
Déploiement |
Lecture/écriture |
|
ssm:UpdateInstanceAssociationStatus |
Déploiement |
Lecture/écriture |
|
ssm:UpdateInstanceinformation |
Déploiement |
Lecture/écriture |
|
ssmmessages:* |
|
Lecture/écriture |
|
Enregistrer les informations d'identification pour FSX pour ONTAP, Active Directory et l'utilisateur SQL (uniquement pour l'authentification utilisateur SQL) |
ssm:getParameter 1 |
|
Lecture/écriture |
ssm:GetParameters 1 |
|
Lecture/écriture |
|
ssm:PutParameter 1 |
|
Lecture/écriture |
|
ssm:DeleteParameters 1 |
|
Lecture/écriture |
|
Pile de signal CloudFormation en cas de succès ou d'échec. |
Formation du nuage:SignalResource 1 |
Déploiement |
Lecture/écriture |
Ajoutez le rôle EC2 créé par le modèle au profil d'instance d'EC2 pour permettre aux scripts sur EC2 d'accéder aux ressources requises pour le déploiement. |
iam:AddRoleToInstanceProfile |
Déploiement |
Lecture/écriture |
Créez un profil d'instance pour EC2 et associez le rôle EC2 créé. |
iam:CreateInstanceProfile |
Déploiement |
Lecture/écriture |
Créez un rôle EC2 via un modèle avec les autorisations répertoriées ci-dessous |
iam:CreateRole |
Déploiement |
Lecture/écriture |
Créer un rôle lié au service EC2 |
iam:CreateServiceLinkedRole 2 |
Déploiement |
Lecture/écriture |
Supprimez le profil d'instance créé lors du déploiement, spécifiquement pour les nœuds de validation |
iam:DeleteInstanceProfile |
Déploiement |
Lecture/écriture |
Obtenez les détails du rôle et de la stratégie pour déterminer les écarts d'autorisation et les valider pour le déploiement |
iam:GetPolicy |
Déploiement |
Lecture/écriture |
iam:GetPolicyVersion |
Déploiement |
Lecture/écriture |
|
iam:GetRole |
Déploiement |
Lecture/écriture |
|
iam:GetRolePolicy |
Déploiement |
Lecture/écriture |
|
iam:GetUser |
Déploiement |
Lecture/écriture |
|
Transmettre le rôle créé à l'instance EC2 |
iam:PassRole 3 |
Déploiement |
Lecture/écriture |
Ajoutez une règle avec les autorisations requises au rôle EC2 créé |
iam:PutRolePolicy |
Déploiement |
Lecture/écriture |
Détacher le rôle du profil d'instance EC2 provisionné |
iam:RemoveRoleFromInstanceProfile |
Déploiement |
Lecture/écriture |
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises |
iam:SimulatePrincipalPolicy |
Déploiement |
|
-
L'autorisation est limitée aux ressources commençant par WLMDB.
-
"iam:CreateServiceLinkedRole" limité par "iam:AWSServiceName": "ec2.amazonaws.com"*
-
"iam:PassRole" limité par "iam:PassedToService": "ec2.amazonaws.com"*
Autorisations pour les workloads GenAI
Les règles IAM pour les workloads VMware fournissent les autorisations dont l'usine de workloads VMware a besoin pour gérer les ressources et les processus dans votre environnement de cloud public en fonction du mode opérationnel dans lequel vous travaillez.
Les politiques IAM GenAI ne sont disponibles qu'en mode lecture/écriture :
Règles IAM pour les workloads GenAI
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Le tableau suivant fournit des détails sur les autorisations pour les charges de travail GenAI.
Tableau des autorisations pour les charges de travail GenAI
| Objectif | Action | Cas d'utilisation | Mode |
|---|---|---|---|
Créez une pile de formation cloud pour les moteurs d'IA pendant les opérations de déploiement et de reconstruction |
Cloudformation:CreateStack |
Déploiement |
Lecture/écriture |
Créez la pile de formation cloud du moteur d'IA |
Cloudformation:DescribeSacks |
Déploiement |
Lecture/écriture |
Répertoriez les régions de l'assistant de déploiement de moteur ai |
ec2:régions descriptives |
Déploiement |
Lecture/écriture |
Afficher les balises du moteur ai |
ec2:Etiquettes descriptives |
Déploiement |
Lecture/écriture |
Lister les buckets S3 |
s3:ListAllMyseaux |
Déploiement |
Lecture/écriture |
Répertoriez les terminaux VPC avant la création de la pile du moteur d'IA |
ec2:CreateVpcEndpoint |
Déploiement |
Lecture/écriture |
Créez un groupe de sécurité de moteur d'IA lors des opérations de déploiement et de reconstruction lors de la création de la pile du moteur d'IA |
ec2:CreateSecurityGroup |
Déploiement |
Lecture/écriture |
Balisez les ressources créées par la création d'une pile de moteur d'IA pendant les opérations de déploiement et de reconstruction |
ec2:CreateTags |
Déploiement |
Lecture/écriture |
Publier des événements cryptés sur le back-end WLMAI à partir de la pile de moteur ai |
Km:GenerateDataKey |
Déploiement |
Lecture/écriture |
Km:déchiffrer |
Déploiement |
Lecture/écriture |
|
Publier des événements et des ressources personnalisées sur le backend WLMAI à partir de la pile ai-Engine |
sns:publier |
Déploiement |
Lecture/écriture |
Répertorier les VPC pendant l'assistant de déploiement du moteur d'IA |
ec2 : descriptif |
Déploiement |
Lecture/écriture |
Répertoriez les sous-réseaux dans l'assistant de déploiement du moteur ai |
ec2:DescribeSubnets |
Déploiement |
Lecture/écriture |
Obtenez des tables de routage lors du déploiement et de la reconstruction d'un moteur d'IA |
ec2:DescribeRoutetables |
Déploiement |
Lecture/écriture |
Répertoriez les paires de clés pendant l'assistant de déploiement de moteur d'IA |
ec2:Décrivez des Keypaires |
Déploiement |
Lecture/écriture |
Liste des groupes de sécurité lors de la création de la pile du moteur d'IA (pour rechercher les groupes de sécurité sur les terminaux privés) |
ec2:descriptifs des groupes de sécurité |
Déploiement |
Lecture/écriture |
Procurez-vous des terminaux VPC pour déterminer si un doit être créé pendant le déploiement du moteur d'IA |
ec2:DescribeVpcEndpoints |
Déploiement |
Lecture/écriture |
Répertoriez les applications Amazon Q Business |
Qbusiness:ListApplications |
Déploiement |
Lecture/écriture |
Répertoriez les instances pour connaître l'état du moteur ai |
ec2:descriptifs |
Dépannage |
Lecture/écriture |
Répertoriez les images lors de la création de la pile du moteur d'IA pendant les opérations de déploiement et de reconstruction |
ec2:descriptifs |
Déploiement |
Lecture/écriture |
Créez et mettez à jour l'instance d'IA et le groupe de sécurité de terminal privé lors de la création de la pile d'instance d'IA lors des opérations de déploiement et de reconstruction |
ec2 : RevokeSecurityGroupEgress |
Déploiement |
Lecture/écriture |
ec2 : RevokeSecurityGroupIngress |
Déploiement |
Lecture/écriture |
|
Exécutez le moteur d'IA lors de la création de la pile dans le cloud pendant les opérations de déploiement et de reconstruction |
ec2:RunInstances |
Déploiement |
Lecture/écriture |
Associez un groupe de sécurité et modifiez les règles du moteur d'IA lors de la création de la pile lors des opérations de déploiement et de reconstruction |
ec2:AuthoreSecurityGroupEgress |
Déploiement |
Lecture/écriture |
ec2:AuthoreSecurityGroupIngress |
Déploiement |
Lecture/écriture |
|
Interrogation de l'état de la journalisation d'Amazon Bedrock / Amazon CloudWatch pendant le déploiement du moteur d'IA |
Bedrock:GetModelInvocationLoggingConfiguration |
Déploiement |
Lecture/écriture |
Lancez une demande de discussion sur l'un des modèles de base |
Bedrock:InvoieModelWithResponseStream |
Déploiement |
Lecture/écriture |
Commencez la discussion/l'intégration de la demande pour les modèles de base |
Bedrock:modèle de facturation |
Déploiement |
Lecture/écriture |
Affiche les modèles de base disponibles dans une région |
Bedrock:ListFoundationModels |
Déploiement |
Lecture/écriture |
Obtenez des informations sur un modèle de base |
Bedrock:GetFoundationModel |
Déploiement |
Lecture/écriture |
Vérifiez l'accès au modèle de base |
Bedrock:GetFoundationModelAvailability |
Déploiement |
Lecture/écriture |
Vérifiez qu'il est nécessaire de créer un groupe de journaux Amazon CloudWatch pendant les opérations de déploiement et de reconstruction |
Journaux:DescribeLogGroups |
Déploiement |
Lecture/écriture |
Obtenez des régions qui prennent en charge FSX et Amazon Bedrock pendant l'assistant du moteur d'IA |
ssm:GetParametersByPath |
Déploiement |
Lecture/écriture |
Obtenez la dernière image Amazon Linux pour le déploiement du moteur d'IA lors des opérations de déploiement et de reconstruction |
ssm:GetParameters |
Déploiement |
Lecture/écriture |
Obtenir la réponse SSM de la commande envoyée au moteur ai |
ssm:GetCommandInvocation |
Déploiement |
Lecture/écriture |
Vérifier la connexion SSM au moteur ai |
ssm:SendCommand |
Déploiement |
Lecture/écriture |
ssm:GetConnectionStatus |
Déploiement |
Lecture/écriture |
|
Créez un profil d'instance de moteur d'IA lors de la création de la pile lors des opérations de déploiement et de reconstruction |
iam:CreateRole |
Déploiement |
Lecture/écriture |
iam:CreateInstanceProfile |
Déploiement |
Lecture/écriture |
|
iam:AddRoleToInstanceProfile |
Déploiement |
Lecture/écriture |
|
iam:PutRolePolicy |
Déploiement |
Lecture/écriture |
|
iam:GetRolePolicy |
Déploiement |
Lecture/écriture |
|
iam:GetRole |
Déploiement |
Lecture/écriture |
|
iam:TagRole |
Déploiement |
Lecture/écriture |
|
iam:PassRole |
Déploiement |
Lecture/écriture |
|
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises |
iam:SimulatePrincipalPolicy |
Déploiement |
Lecture/écriture |
Répertoriez les systèmes de fichiers FSX pour ONTAP au cours de l'assistant de création de la base de connaissances |
fsx:Describevolumes |
Création d'une base de connaissances |
Lecture/écriture |
Répertoriez les volumes du système de fichiers FSX pour ONTAP au cours de l'assistant « Créer une base de connaissances » |
fsx:DescribeFileSystems |
Création d'une base de connaissances |
Lecture/écriture |
Gérer les bases de connaissances sur le moteur d'IA pendant les opérations de reconstruction |
fsx:ListTagsForResource |
Dépannage |
Lecture/écriture |
Répertoriez les machines virtuelles de stockage du système de fichiers FSX pour ONTAP au cours de l'assistant « Créer une base de connaissances » |
fsx:DescribeStockVirtualMachines |
Déploiement |
Lecture/écriture |
Déplacez la base de connaissances vers une nouvelle instance |
fsx:UntagResource |
Dépannage |
Lecture/écriture |
Gérez la base de connaissances sur le moteur d'IA pendant la reconstruction |
fsx:TagResource |
Dépannage |
Lecture/écriture |
Enregistrez les secrets SSM (jeton ECR, informations d'identification CIFS, clés de compte de service de location) de manière sécurisée |
ssm:getParameter |
Déploiement |
Lecture/écriture |
ssm:PutParameter |
Déploiement |
Lecture/écriture |
|
Envoyez les journaux du moteur d'IA au groupe de journaux Amazon CloudWatch pendant les opérations de déploiement et de reconstruction |
Journaux:CreateLogGroup |
Déploiement |
Lecture/écriture |
Journaux:PutRetentionPolicy |
Déploiement |
Lecture/écriture |
|
Envoyez les journaux du moteur d'IA au groupe de journaux Amazon CloudWatch |
Journaux:TagResource |
Dépannage |
Lecture/écriture |
Obtenir la réponse SSM d'Amazon CloudWatch (lorsque la réponse est trop longue) |
Journaux:DescribeLogStreams |
Dépannage |
Lecture/écriture |
Obtenez la réponse SSM d'Amazon CloudWatch |
Journaux:GetLogEvents |
Dépannage |
Lecture/écriture |
Créez un groupe de journaux Amazon CloudWatch pour les journaux Amazon Bedrock lors de la création de la pile lors des opérations de déploiement et de reconstruction |
Journaux:CreateLogGroup |
Déploiement |
Lecture/écriture |
Journaux:PutRetentionPolicy |
Déploiement |
Lecture/écriture |
|
Journaux:TagResource |
Déploiement |
Lecture/écriture |
|
Envoyez des journaux de Bedrock à Amazon CloudWatch |
Bedrock:PutModelInvocationLoggingConfiguration |
Dépannage |
Lecture/écriture |
Créez le rôle qui permet d'envoyer des journaux Amazon Bedrock à Amazon CloudWatch |
iam:AttachRolePolicy |
Dépannage |
Lecture/écriture |
Créez le rôle qui permet d'envoyer des journaux Amazon Bedrock à Amazon CloudWatch |
iam:PassRole |
Dépannage |
Lecture/écriture |
Créez le rôle qui permet d'envoyer des journaux Amazon Bedrock à Amazon CloudWatch |
iam:createPolicy |
Dépannage |
Lecture/écriture |
Liste des profils d'inférence pour le modèle |
Bedrock:ListeInferenceProfiles |
Dépannage |
Lecture/écriture |
Autorisations pour les workloads VMware
Les règles IAM pour les workloads VMware fournissent les autorisations dont l'usine de workloads VMware a besoin pour gérer les ressources et les processus dans votre environnement de cloud public en fonction du mode opérationnel dans lequel vous travaillez.
Sélectionnez votre mode opérationnel pour afficher les politiques IAM requises :
Règles IAM pour workloads VMware
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ssm:GetParametersByPath",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Le tableau suivant fournit des détails sur les autorisations pour les charges de travail VMware.
Tableau des autorisations pour les workloads VMware
| Objectif | Action | Cas d'utilisation | Mode |
|---|---|---|---|
Associez des groupes de sécurité et modifiez les règles pour les nœuds provisionnés |
ec2:AuthoreSecurityGroupIngress |
Déploiement |
Lecture/écriture |
Création de volumes EBS |
ec2 : CreateVolume |
Déploiement |
Lecture/écriture |
Balisez les valeurs personnalisées des ressources FSX pour NetApp ONTAP créées par les workloads VMware |
fsx:TagResource |
Déploiement |
Lecture/écriture |
Créez et validez le modèle CloudFormation |
Cloudformation:CreateStack |
Déploiement |
Lecture/écriture |
Gérer les balises et la sécurité du réseau sur les instances créées |
ec2:CreateSecurityGroup |
Déploiement |
Lecture/écriture |
Démarrez les instances créées |
ec2:RunInstances |
Déploiement |
Lecture/écriture |
Consultez les détails de l'instance EC2 |
ec2:descriptifs |
Déploiement |
Lecture/écriture |
Répertoriez les images pendant la création de la pile pendant les opérations de déploiement et de reconstruction |
ec2:descriptifs |
Déploiement |
Lecture/écriture |
Obtenir les VPC dans l'environnement sélectionné pour remplir le formulaire de déploiement |
ec2 : descriptif |
|
|
Obtenez les sous-réseaux dans l'environnement sélectionné pour remplir le formulaire de déploiement |
ec2:DescribeSubnets |
|
|
Demandez aux groupes de sécurité de l'environnement sélectionné de remplir le formulaire de déploiement |
ec2:descriptifs des groupes de sécurité |
Déploiement |
|
Obtenez les zones de disponibilité dans un environnement sélectionné |
ec2:DescribeAvailabilityzones |
|
|
Obtenez les régions avec la prise en charge d'Amazon FSX pour NetApp ONTAP |
ec2:régions descriptives |
Déploiement |
|
Obtenez les alias de clés KMS à utiliser pour le cryptage Amazon FSX for NetApp ONTAP |
Kms:Listalas |
Déploiement |
|
Obtenez des clés KMS à utiliser pour Amazon FSX for NetApp ONTAP Encryption |
Km:ListKeys |
Déploiement |
|
Obtenez les détails d'expiration des clés KMS à utiliser pour le chiffrement Amazon FSX for NetApp ONTAP |
Km:DescribeKey |
Déploiement |
|
La requête SSM permet d'obtenir la liste actualisée des régions Amazon FSX pour NetApp ONTAP prises en charge |
ssm:GetParametersByPath |
Déploiement |
|
Créez des ressources Amazon FSX pour NetApp ONTAP requises pour le provisionnement |
fsx:CreateFileSystem |
Déploiement |
Lecture/écriture |
fsx:CreateStorageVirtualmachine |
Déploiement |
Lecture/écriture |
|
fsx:CreateVolume |
|
Lecture/écriture |
|
Découvrez les détails sur Amazon FSX pour NetApp ONTAP |
fsx:décrire* |
|
Lecture/écriture |
fsx:liste* |
|
Lecture/écriture |
|
Obtenez des détails de clés KMS et utilisez-les pour le chiffrement Amazon FSX for NetApp ONTAP |
Kms:CreateGrant |
Déploiement |
Lecture/écriture |
Km:décrire* |
Déploiement |
Lecture/écriture |
|
Km:liste* |
Déploiement |
Lecture/écriture |
|
Km:déchiffrer |
Déploiement |
Lecture/écriture |
|
Km:GenerateDataKey |
Déploiement |
Lecture/écriture |
|
Répertoriez les sujets SNS des clients et publiez-les sur le service SNS back-end de WLMVMC ainsi que sur le service SNS des clients si cette option est sélectionnée |
sns:publier |
Déploiement |
Lecture/écriture |
Permet de récupérer la dernière liste de régions AWS prises en charge par Amazon FSX pour NetApp ONTAP |
ssm:GET* |
|
Lecture/écriture |
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises |
iam:SimulatePrincipalPolicy |
Déploiement |
Lecture/écriture |
Le magasin de paramètres SSM est utilisé pour enregistrer les informations d'identification d'Amazon FSX pour NetApp ONTAP |
ssm:getParameter |
|
Lecture/écriture |
ssm:PutParameters |
|
Lecture/écriture |
|
ssm:PutParameter |
|
Lecture/écriture |
|
ssm:DeleteParameters |
|
Lecture/écriture |
Journal des modifications
Lorsque des autorisations sont ajoutées et supprimées, nous les noterons dans les sections ci-dessous.
29 juin 2025
L'autorisation suivante est désormais disponible en mode lecture seule pour les bases de données : cloudwatch:GetMetricData .
3 juin 2025
L'autorisation suivante est désormais disponible en mode lecture/écriture pour GenAI : s3:ListAllMyBuckets .
4 mai 2025
L'autorisation suivante est désormais disponible en mode lecture/écriture pour GenAI : qbusiness:ListApplications .
Les autorisations suivantes sont désormais disponibles en mode lecture seule pour les bases de données :
-
logs:GetLogEvents -
logs:DescribeLogGroups
L'autorisation suivante est désormais disponible en mode lecture/écriture pour les bases de données :
logs:PutRetentionPolicy .
2 avril 2025
L'autorisation suivante est désormais disponible en mode lecture seule pour les bases de données : ssm:DescribeInstanceInformation .
30 mars 2025
Mise à jour des autorisations de charge de travail GenAI
Les autorisations suivantes sont désormais disponibles en mode lecture/écriture pour GenAI :
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
L'autorisation suivante a été supprimée du mode lecture/écriture pour GenAI : Bedrock:GetFoundationModel .
iam:mise à jour des autorisations SimulatePrincipalPolicy
`iam:SimulatePrincipalPolicy`L'autorisation fait partie de toutes les stratégies d'autorisation de workload si vous activez la vérification automatique des autorisations lors de l'ajout d'informations d'identification de compte AWS supplémentaires ou de l'ajout de nouvelles fonctionnalités de workload à partir de la console d'usine des workloads. L'autorisation simule les opérations de workload et vérifie si vous disposez des autorisations de compte AWS requises avant de déployer des ressources à partir de l'usine de workloads. L'activation de cette vérification réduit le temps et les efforts nécessaires pour nettoyer les ressources des opérations ayant échoué et pour ajouter des autorisations manquantes.
2 mars 2025
L'autorisation suivante est désormais disponible en mode lecture/écriture pour GenAI : bedrock:GetFoundationModel .
3 février 2025
L'autorisation suivante est désormais disponible en mode lecture seule pour les bases de données : iam:SimulatePrincipalPolicy .