La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Autorisations pour l'usine de workloads BlueXP

04/02/2025 Contributeurs

Pour utiliser les fonctionnalités et les services d'usine des workloads BlueXP , vous devez fournir des autorisations afin que l'usine de workloads puisse exécuter des opérations dans votre environnement cloud.

Pourquoi utiliser des autorisations

Lorsque vous fournissez des autorisations de mode lecture ou automatisation, la fabrique de workloads associe une règle à l'instance avec des autorisations pour gérer les ressources et les processus au sein de ce compte AWS. Ainsi, l'usine de workloads peut exécuter diverses opérations depuis la découverte de vos environnements de stockage jusqu'au déploiement des ressources AWS, telles que les systèmes de fichiers dans des bases de connaissances ou de gestion du stockage pour les charges de travail GenAI.

Pour les charges de travail de base de données, par exemple, lorsque l'usine de workloads est accordée avec les autorisations requises, il analyse toutes les instances EC2 d'un compte et d'une région donnés et filtre tous les serveurs Windows. Si l'agent AWS Systems Manager (SSM) est installé et exécuté sur l'hôte et que la mise en réseau de System Manager est configurée correctement, l'usine de la charge de travail peut accéder à la machine Windows et vérifier si le logiciel SQL Server est installé ou non.

Autorisations par charge de travail

Chaque charge de travail utilise des autorisations pour effectuer certaines tâches en usine. Faites défiler jusqu'à la charge de travail que vous utilisez pour afficher la liste des autorisations, leur objectif, leur emplacement d'utilisation et les modes qui les prennent en charge.

Autorisations de stockage

Les politiques IAM disponibles pour le stockage fournissent les autorisations dont l'usine de workloads a besoin pour gérer les ressources et les processus au sein de votre environnement de cloud public en fonction du mode opérationnel dans lequel vous travaillez.

Sélectionnez votre mode opérationnel pour afficher les politiques IAM requises :

Règles IAM pour le stockage

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:Describe*",
        "fsx:ListTagsForResource",
        "ec2:Describe*",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Le tableau suivant affiche les autorisations pour le stockage.

Tableau des autorisations pour le stockage

Objectif	Action	Cas d'utilisation	Mode
Créez un système de fichiers FSX pour ONTAP	fsx:CreateFileSystem*	Déploiement	Automatiser
Créez un groupe de sécurité pour un système de fichiers FSX pour ONTAP	ec2:CreateSecurityGroup	Déploiement	Automatiser
Ajoutez des balises à un groupe de sécurité pour un système de fichiers FSX pour ONTAP	ec2:CreateTags	Déploiement	Automatiser
Autoriser la sortie et l'entrée de groupe de sécurité pour un système de fichiers FSX pour ONTAP	ec2:AuthoreSecurityGroupEgress	Déploiement	Automatiser
ec2:AuthoreSecurityGroupIngress	Déploiement	Automatiser
Le rôle attribué permet la communication entre FSX pour ONTAP et d'autres services AWS	iam:CreateServiceLinkedRole	Déploiement	Automatiser
Obtenez des détails pour remplir le formulaire de déploiement du système de fichiers FSX pour ONTAP	ec2 : descriptif	Déploiement Découvrez les économies	Lecture Automatiser
ec2:DescribeSubnets	Déploiement Découvrez les économies	Lecture Automatiser
ec2:régions descriptives	Déploiement Découvrez les économies	Lecture Automatiser
ec2:descriptifs des groupes de sécurité	Déploiement Découvrez les économies	Lecture Automatiser
ec2:DescribeRoutetables	Déploiement Découvrez les économies	Lecture Automatiser
ec2:DescribeNetworkinterfaces	Déploiement Découvrez les économies	Lecture Automatiser
ec2:DescribeVolumeStatus	Déploiement Découvrez les économies	Lecture Automatiser
Obtenez des détails de clé KMS et utilisez-les pour le chiffrement FSX for ONTAP	Kms:CreateGrant	Déploiement	Automatiser
Km:décrire*	Déploiement	Lecture Automatiser
Km:liste*	Déploiement	Lecture Automatiser
Obtenez les détails des volumes des instances EC2	ec2:Describvolumes	Inventaire Découvrez les économies	Lecture Automatiser
Obtenez les détails des instances EC2	ec2:descriptifs	Découvrez les économies	Lecture Automatiser
Décrivez Elastic File System dans le calculateur d'économies	Élastickfilesystem:description*	Découvrez les économies	Lecture
Répertoriez les balises des ressources FSX pour ONTAP	fsx:ListTagsForResource	Inventaire	Lecture Automatiser
Gestion des entrées et sorties de groupes de sécurité pour un système de fichiers FSX pour ONTAP	ec2 : RevokeSecurityGroupIngress	Les opérations de gestion	Automatiser
ec2:DeleteSecurityGroup	Les opérations de gestion	Automatiser
Créez, affichez et gérez les ressources du système de fichiers FSX pour ONTAP	fsx:CreateVolume*	Les opérations de gestion	Automatiser
fsx:TagResource*	Les opérations de gestion	Automatiser
fsx:CreateStorageVirtualmachine*	Les opérations de gestion	Automatiser
fsx:DeleteFileSystem*	Les opérations de gestion	Automatiser
fsx:DeleteStorageVirtualmachine*	Les opérations de gestion	Automatiser
fsx:DescribeFileSystems*	Inventaire	Lecture Automatiser
fsx:DécribStockVirtualMachines*	Inventaire	Lecture Automatiser
fsx:UpdateFileSystem*	Les opérations de gestion	Automatiser
fsx:UpdateStorageVirtualmachine*	Les opérations de gestion	Automatiser
fsx:Describevolumes*	Inventaire	Lecture Automatiser
fsx:UpdateVolume*	Les opérations de gestion	Automatiser
fsx:DeleteVolume*	Les opérations de gestion	Automatiser
fsx:UntagResource*	Les opérations de gestion	Automatiser
fsx:DescribeBackups*	Les opérations de gestion	Lecture Automatiser
fsx:CreateBackup*	Les opérations de gestion	Automatiser
fsx:CreateVolumeFromBackup*	Les opérations de gestion	Automatiser
Génération de rapports de metrics CloudWatch	cloudwatch : PutMetricData	Les opérations de gestion	Automatiser
Obtenez des metrics de système de fichiers et de volume	cloudwatch:GetMetricData	Les opérations de gestion	Lecture Automatiser
cloudwatch:GetMetricStatistics	Les opérations de gestion	Lecture Automatiser

Objectif

Action

Cas d'utilisation

Mode

Créez un système de fichiers FSX pour ONTAP

fsx:CreateFileSystem*

Déploiement

Automatiser

Créez un groupe de sécurité pour un système de fichiers FSX pour ONTAP

ec2:CreateSecurityGroup

Déploiement

Automatiser

Ajoutez des balises à un groupe de sécurité pour un système de fichiers FSX pour ONTAP

ec2:CreateTags

Déploiement

Automatiser

Autoriser la sortie et l'entrée de groupe de sécurité pour un système de fichiers FSX pour ONTAP

ec2:AuthoreSecurityGroupEgress

Déploiement

Automatiser

ec2:AuthoreSecurityGroupIngress

Déploiement

Automatiser

Le rôle attribué permet la communication entre FSX pour ONTAP et d'autres services AWS

iam:CreateServiceLinkedRole

Déploiement

Automatiser

Obtenez des détails pour remplir le formulaire de déploiement du système de fichiers FSX pour ONTAP

ec2 : descriptif

Déploiement
Découvrez les économies

Lecture
Automatiser

ec2:DescribeSubnets

Déploiement
Découvrez les économies

Lecture
Automatiser

ec2:régions descriptives

Déploiement
Découvrez les économies

Lecture
Automatiser

ec2:descriptifs des groupes de sécurité

Déploiement
Découvrez les économies

Lecture
Automatiser

ec2:DescribeRoutetables

Déploiement
Découvrez les économies

Lecture
Automatiser

ec2:DescribeNetworkinterfaces

Déploiement
Découvrez les économies

Lecture
Automatiser

ec2:DescribeVolumeStatus

Déploiement
Découvrez les économies

Lecture
Automatiser

Obtenez des détails de clé KMS et utilisez-les pour le chiffrement FSX for ONTAP

Kms:CreateGrant

Déploiement

Automatiser

Km:décrire*

Déploiement

Lecture
Automatiser

Km:liste*

Déploiement

Lecture
Automatiser

Obtenez les détails des volumes des instances EC2

ec2:Describvolumes

Inventaire
Découvrez les économies

Lecture
Automatiser

Obtenez les détails des instances EC2

ec2:descriptifs

Découvrez les économies

Lecture
Automatiser

Décrivez Elastic File System dans le calculateur d'économies

Élastickfilesystem:description*

Découvrez les économies

Lecture

Répertoriez les balises des ressources FSX pour ONTAP

fsx:ListTagsForResource

Inventaire

Lecture
Automatiser

Gestion des entrées et sorties de groupes de sécurité pour un système de fichiers FSX pour ONTAP

ec2 : RevokeSecurityGroupIngress

Les opérations de gestion

Automatiser

ec2:DeleteSecurityGroup

Les opérations de gestion

Automatiser

Créez, affichez et gérez les ressources du système de fichiers FSX pour ONTAP

fsx:CreateVolume*

Les opérations de gestion

Automatiser

fsx:TagResource*

Les opérations de gestion

Automatiser

fsx:CreateStorageVirtualmachine*

Les opérations de gestion

Automatiser

fsx:DeleteFileSystem*

Les opérations de gestion

Automatiser

fsx:DeleteStorageVirtualmachine*

Les opérations de gestion

Automatiser

fsx:DescribeFileSystems*

Inventaire

Lecture
Automatiser

fsx:DécribStockVirtualMachines*

Inventaire

Lecture
Automatiser

fsx:UpdateFileSystem*

Les opérations de gestion

Automatiser

fsx:UpdateStorageVirtualmachine*

Les opérations de gestion

Automatiser

fsx:Describevolumes*

Inventaire

Lecture
Automatiser

fsx:UpdateVolume*

Les opérations de gestion

Automatiser

fsx:DeleteVolume*

Les opérations de gestion

Automatiser

fsx:UntagResource*

Les opérations de gestion

Automatiser

fsx:DescribeBackups*

Les opérations de gestion

Lecture
Automatiser

fsx:CreateBackup*

Les opérations de gestion

Automatiser

fsx:CreateVolumeFromBackup*

Les opérations de gestion

Automatiser

Génération de rapports de metrics CloudWatch

cloudwatch : PutMetricData

Les opérations de gestion

Automatiser

Obtenez des metrics de système de fichiers et de volume

cloudwatch:GetMetricData

Les opérations de gestion

Lecture
Automatiser

cloudwatch:GetMetricStatistics

Les opérations de gestion

Lecture
Automatiser

Autorisations pour les workloads de bases de données

Les règles IAM disponibles pour les workloads de bases de données fournissent les autorisations dont l'usine de workloads a besoin pour gérer les ressources et les processus dans votre environnement de cloud public en fonction du mode opérationnel dans lequel vous travaillez.

Sélectionnez votre mode opérationnel pour afficher les politiques IAM requises :

Règles IAM pour les workloads de bases de données

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CommonGroup",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "sns:ListTopics",
        "ec2:DescribeInstances",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeImages",
        "ec2:DescribeRegions",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes",
        "ec2:DescribeAddresses",
        "kms:ListAliases",
        "kms:ListKeys",
        "kms:DescribeKey",
        "cloudformation:ListStacks",
        "cloudformation:DescribeAccountLimits",
        "ds:DescribeDirectories",
        "fsx:DescribeVolumes",
        "fsx:DescribeBackups",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:DescribeFileSystems",
        "servicequotas:ListServiceQuotas",
        "ssm:GetParametersByPath",
        "ssm:GetCommandInvocation",
        "ssm:SendCommand",
        "ssm:GetConnectionStatus",
        "ssm:DescribePatchBaselines",
        "ssm:DescribeInstancePatchStates",
        "ssm:ListCommands",
        "ssm:DescribeInstanceInformation",
        "fsx:ListTagsForResource"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:GetParameters",
        "ssm:PutParameter",
        "ssm:DeleteParameters"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Le tableau suivant affiche les autorisations pour les charges de travail de la base de données.

Tableau des autorisations pour les charges de travail de la base de données

Objectif	Action	Cas d'utilisation	Mode
Obtenez des statistiques de metrics pour FSX for ONTAP, EBS et FSX for Windows File Server	cloudwatch:GetMetricStatistics	Inventaire Découvrez les économies	Lecture Automatiser
Répertoriez et définissez les déclencheurs des événements	sns:ListTopics	Déploiement	Lecture Automatiser
Obtenez les détails des instances EC2	ec2:descriptifs	Inventaire Découvrez les économies	Lecture Automatiser
ec2:Décrivez des Keypaires	Déploiement	Lecture Automatiser
ec2:DescribeNetworkinterfaces	Déploiement	Lecture Automatiser
ec2:DescribeInstanceTypes	Déploiement Découvrez les économies	Lecture Automatiser
Remplissez le formulaire de déploiement FSX pour ONTAP	ec2 : descriptif	Déploiement Inventaire	Lecture Automatiser
ec2:DescribeSubnets	Déploiement Inventaire	Lecture Automatiser
ec2:descriptifs des groupes de sécurité	Déploiement	Lecture Automatiser
ec2:descriptifs	Déploiement	Lecture Automatiser
ec2:régions descriptives	Déploiement	Lecture Automatiser
ec2:DescribeRoutetables	Déploiement Inventaire	Lecture Automatiser
Procurez-vous des terminaux VPC existants pour déterminer si de nouveaux terminaux doivent être créés avant les déploiements	ec2:DescribeVpcEndpoints	Déploiement Inventaire	Lecture Automatiser
Créez des terminaux VPC s'ils n'existent pas pour les services requis, quelle que soit la connectivité du réseau public sur les instances EC2	ec2:CreateVpcEndpoint	Déploiement	Automatiser
Obtenir les types d'instances disponibles dans la région pour les nœuds de validation (t2.micro/t3.micro)	ec2:DécribeInstanceTypeOfferings	Déploiement	Lecture Automatiser
Obtenez les détails des copies Snapshot de chaque volume EBS associé à des fins d'estimation de la tarification et des économies	ec2:snapshots descriptifs	Découvrez les économies	Lecture Automatiser
Découvrez en détail chaque volume EBS attaché pour estimer la tarification et les économies	ec2:Describvolumes	Inventaire Découvrez les économies	Lecture Automatiser
Obtenez des détails de clé KMS pour FSX for ONTAP File System Encryption	Kms:Listalas	Déploiement	Lecture Automatiser
Km:ListKeys	Déploiement	Lecture Automatiser
Km:DescribeKey	Déploiement	Lecture Automatiser
Obtenez la liste des piles CloudFormation exécutées dans l'environnement pour vérifier la limite de quota	Cloudformation:ListSacks	Déploiement	Lecture Automatiser
Vérifiez les limites des comptes pour les ressources avant de déclencher le déploiement	Cloudformation:DescribeAccountLimits	Déploiement	Lecture Automatiser
Obtenez la liste des Active Directory gérés par AWS dans la région	ds:DescribeDirectories	Déploiement	Lecture Automatiser
Obtenez des listes et des détails sur les volumes, les sauvegardes, les SVM, les systèmes de fichiers dans les zones de disponibilité des fichiers et les balises pour le système de fichiers FSX pour ONTAP	fsx:Describevolumes	Inventaire Découvrez les économies	Lecture Automatiser
fsx:DescribeBackups	Inventaire Découvrez les économies	Lecture Automatiser
fsx:DescribeStockVirtualMachines	Déploiement Gérez les opérations Inventaire	Lecture Automatiser
fsx:DescribeFileSystems	Déploiement Gérez les opérations Inventaire Découvrez les économies	Lecture Automatiser
fsx:ListTagsForResource	Gérez les opérations	Lecture Automatiser
Obtenez les limites de quota de service pour CloudFormation et VPC	Servicecotas:ListServiceQuotas	Déploiement	Lecture Automatiser
Utilisez la requête SSM pour obtenir la liste mise à jour des régions FSX pour ONTAP prises en charge	ssm:GetParametersByPath	Déploiement	Lecture Automatiser
Interroger la réponse SSM après l'envoi de la commande pour gérer les opérations après le déploiement	ssm:GetCommandInvocation	Gérez les opérations Inventaire Découvrez les économies Optimisation	Lecture Automatiser
Envoyer des commandes via SSM aux instances EC2	ssm:SendCommand	Gérez les opérations Inventaire Découvrez les économies Optimisation	Lecture Automatiser
Obtenir l'état de connectivité SSM sur les instances après le déploiement	ssm:GetConnectionStatus	Gérez les opérations Inventaire Optimisation	Lecture Automatiser
Extraire l'état d'association SSM pour un groupe d'instances EC2 gérées (nœuds SQL)	ssm:DescribeInstanceinformation	Inventaire	Lecture
Obtenez la liste des lignes de base de correctifs disponibles pour l'évaluation des correctifs du système d'exploitation	ssm:DescribePatchBasines	Optimisation	Lecture Automatiser
Obtenez l'état des correctifs sur les instances Windows EC2 pour l'évaluation des correctifs du système d'exploitation	ssm:DescribeInstancePatchStates	Optimisation	Lecture Automatiser
Répertoriez les commandes exécutées par AWS Patch Manager sur les instances EC2 pour la gestion des correctifs du système d'exploitation	ssm:ListCommands	Optimisation	Lecture Automatiser
Vérifiez si le compte est inscrit à AWS Compute Optimizer	Optimiseur-calcul:GetInscriptStatus	Découvrez les économies Optimisation	Automatiser
Mettez à jour une préférence de recommandation existante dans AWS Compute Optimizer afin d'adapter les suggestions aux charges de travail SQL Server	Compute-Optimizer:PutrecommandationPreferences	Découvrez les économies Optimisation	Automatiser
Obtenir les préférences de recommandation en vigueur pour une ressource donnée à partir d'AWS Compute Optimizer	Compute-Optimizer:GetEffectiveRecommandation Preferences	Découvrez les économies Optimisation	Automatiser
Recommandations générées par AWS Compute Optimizer pour les instances Amazon Elastic Compute Cloud (Amazon EC2	Compute-Optimizer:GetEC2InstanceRecommendations	Découvrez les économies Optimisation	Automatiser
Vérifiez l'association de l'instance aux groupes de mise à l'échelle automatique	Mise à l'échelle automatique:DescribeAutoScalingGroups	Découvrez les économies Optimisation	Automatiser
Mise à l'échelle automatique:DescribeAutoScatingInstances	Découvrez les économies Optimisation	Automatiser
Obtenez, répertoriez, créez et supprimez les paramètres SSM pour les informations d'identification d'utilisateur AD, FSX pour ONTAP et SQL utilisées lors du déploiement ou gérées dans votre compte AWS	ssm:getParameter ¹	Déploiement Gérez les opérations	Lecture Automatiser
ssm:GetParameters ¹	Gérez les opérations	Lecture Automatiser
ssm:PutParameter ¹	Déploiement Gérez les opérations	Lecture Automatiser
ssm:DeleteParameters ¹	Gérez les opérations	Lecture Automatiser
Associez des ressources réseau aux nœuds SQL et aux nœuds de validation, et ajoutez des adresses IP secondaires supplémentaires aux nœuds SQL	ec2:AllocateAddress ¹	Déploiement	Automatiser
ec2:AllocateHosts ¹	Déploiement	Automatiser
ec2:AssignPrivateIpAddresses ¹	Déploiement	Automatiser
ec2:adresse associate¹	Déploiement	Automatiser
ec2:AssociateRouteTable ¹	Déploiement	Automatiser
ec2:AssociateSubnetCidrBlock ¹	Déploiement	Automatiser
ec2:AssociateVpcCidrBlock ¹	Déploiement	Automatiser
ec2:AttachInternetGateway ¹	Déploiement	Automatiser
ec2:AttachNetworkinterface ¹	Déploiement	Automatiser
Reliez les volumes EBS nécessaires aux nœuds SQL pour le déploiement	ec2 : AttachVolume	Déploiement	Automatiser
Associez des groupes de sécurité et modifiez les règles pour les nœuds provisionnés	ec2:AuthoreSecurityGroupEgress	Déploiement	Automatiser
ec2:AuthoreSecurityGroupIngress	Déploiement	Automatiser
Créez des volumes EBS requis pour les nœuds SQL pour le déploiement	ec2 : CreateVolume	Déploiement	Automatiser
Supprimez les nœuds de validation temporaires créés de type t2.micro et pour la restauration ou la nouvelle tentative des nœuds SQL EC2 défaillants	ec2:DeleteNetworkinterface	Déploiement	Automatiser
ec2:DeleteSecurityGroup	Déploiement	Automatiser
ec2:DeleteTags	Déploiement	Automatiser
ec2:DeleteVolume	Déploiement	Automatiser
ec2:DetachNetworkinterface	Déploiement	Automatiser
ec2 : DetachVolume	Déploiement	Automatiser
ec2:DisassociateAddress	Déploiement	Automatiser
ec2:DisassociateIamInstanceProfile	Déploiement	Automatiser
ec2:DisassociateRouteTable	Déploiement	Automatiser
ec2:DisassociateSubnetCidrBlock	Déploiement	Automatiser
ec2:DisassociateVpcCidrBlock	Déploiement	Automatiser
Modifier les attributs des instances SQL créées. Applicable uniquement aux noms commençant par WLMDB.	ec2:ModimodificaceAttribute	Déploiement	Automatiser
ec2:ModifyInstanceplacement	Déploiement	Automatiser
ec2:ModilyNetworkInterfaceAttribute	Déploiement	Automatiser
ec2:ModifySubnetAttribute	Déploiement	Automatiser
ec2 : Modifier le volume	Déploiement	Automatiser
ec2:ModimodityVolumeAttribute	Déploiement	Automatiser
ec2:ModifyVpcAttribute	Déploiement	Automatiser
Dissocier et détruire les instances de validation	ec2:adresse de version	Déploiement	Automatiser
ec2:ReplaceRoute	Déploiement	Automatiser
ec2:ReplaceRouteTableAssociation	Déploiement	Automatiser
ec2 : RevokeSecurityGroupEgress	Déploiement	Automatiser
ec2 : RevokeSecurityGroupIngress	Déploiement	Automatiser
Démarrez les instances déployées	ec2:déclarations de début	Déploiement	Automatiser
Arrêtez les instances déployées	ec2:StopInances	Déploiement	Automatiser
Balisez les valeurs personnalisées pour les ressources Amazon FSX pour NetApp ONTAP créées par WLMDB pour obtenir des détails de facturation lors de la gestion des ressources	fsx:TagResource ¹	Déploiement Gérez les opérations	Automatiser
Créez et validez le modèle CloudFormation pour le déploiement	Cloudformation:CreateStack	Déploiement	Automatiser
Cloudformation:DescribeStackEvents	Déploiement	Automatiser
Cloudformation:DescribeSacks	Déploiement	Automatiser
Cloudformation:ListSacks	Déploiement	Automatiser
Déformation:ValidéeTemplate	Déploiement	Automatiser
Récupérer les metrics pour l'optimisation du calcul	cloudwatch:GetMetricStatistics	Découvrez les économies	Automatiser
Extraire les répertoires disponibles dans la région	ds:DescribeDirectories	Déploiement	Automatiser
Ajoutez des règles pour le groupe de sécurité rattaché aux instances EC2 provisionnées	ec2:AuthoreSecurityGroupEgress	Déploiement	Automatiser
ec2:AuthoreSecurityGroupIngress	Déploiement	Automatiser
Créez des modèles de pile imbriqués pour réessayer et restaurer	ec2:CreateLaunchTemplate	Déploiement	Automatiser
ec2:CreateLaunchTemplateVersion	Déploiement	Automatiser
Gérer les balises et la sécurité du réseau sur les instances créées	ec2:CreateNetworkinterface	Déploiement	Automatiser
ec2:CreateSecurityGroup	Déploiement	Automatiser
ec2:CreateTags	Déploiement	Automatiser
Supprimez le groupe de sécurité créé temporairement pour les nœuds de validation	ec2:DeleteSecurityGroup	Déploiement	Automatiser
Consultez les détails de l'instance pour le provisionnement	ec2:décrire*	Déploiement Inventaire Découvrez les économies	Automatiser
ec2:GET*	Déploiement Inventaire Découvrez les économies	Automatiser
Démarrez les instances créées	ec2:RunInstances	Déploiement	Automatiser
System Manager utilise le terminal du service de livraison des messages AWS pour les opérations d'API	ec2messages:*	Déploiement *Inventaire	Automatiser
Créez les ressources FSX pour ONTAP requises pour le provisionnement. Pour les systèmes FSX for ONTAP existants, un nouveau SVM est créé pour héberger les volumes SQL.	fsx:CreateFileSystem	Déploiement	Automatiser
fsx:CreateStorageVirtualmachine	Déploiement	Automatiser
fsx:CreateVolume	Déploiement Gérez les opérations	Automatiser
Découvrez les détails de FSX pour ONTAP	fsx:décrire*	Déploiement Inventaire Gérez les opérations Découvrez les économies	Automatiser
fsx:liste*	Déploiement Inventaire	Automatiser
Redimensionnez le système de fichiers FSX pour ONTAP pour optimiser la marge du système de fichiers	fsx:système de fichiers de mise à jour	Optimisation	Automatiser
Redimensionnez les volumes pour corriger la taille des lecteurs du journal et de la base de données de temps	fsx:UpdateVolume	Optimisation	Automatiser
Obtenez des détails de clé KMS et utilisez-les pour le chiffrement FSX for ONTAP	Kms:CreateGrant	Déploiement	Automatiser
Km:décrire*	Déploiement	Automatiser
Km:liste*	Déploiement	Automatiser
Km:GenerateDataKey	Déploiement	Automatiser
Créez des journaux CloudWatch pour les scripts de validation et de provisionnement s'exécutant sur les instances EC2	Journaux:CreateLogGroup	Déploiement	Automatiser
Journaux:CreateLogStream	Déploiement	Automatiser
Journaux:DescribeLog*	Déploiement	Automatiser
Journaux:getlog*	Déploiement	Automatiser
Journaux:ListLogDeliveries	Déploiement	Automatiser
Journaux:PutLogEvents	Déploiement Gérez les opérations	Automatiser
Journaux:TagResource	Déploiement	Automatiser
Créez des secrets dans un compte utilisateur pour les informations d'identification fournies pour SQL, Domain et FSX pour ONTAP	Servicecotas:ListServiceQuotas	Déploiement	Automatiser
Dressez la liste des sujets SNS des clients et publiez-les sur le service SNS backend WLMDB ainsi que sur le service SNS des clients si cette option est sélectionnée	sns:ListTopics	Déploiement	Automatiser
sns:publier	Déploiement	Automatiser
Autorisations SSM requises pour exécuter le script de découverte sur les instances SQL provisionnées et pour récupérer la dernière liste des régions AWS prises en charge par FSX pour ONTAP.	ssm:décrire*	Déploiement	Automatiser
ssm:GET*	Déploiement Gérez les opérations	Automatiser
ssm:liste*	Déploiement	Automatiser
ssm:PutCompianceItems	Déploiement	Automatiser
ssm:PutConfigurePackageResult	Déploiement	Automatiser
ssm:PutInventory	Déploiement	Automatiser
ssm:SendCommand	Déploiement Inventaire Gérez les opérations	Automatiser
ssm:UpdateAssociationStatus	Déploiement	Automatiser
ssm:UpdateInstanceAssociationStatus	Déploiement	Automatiser
ssm:UpdateInstanceinformation	Déploiement	Automatiser
ssmmessages:*	Déploiement Inventaire Gérez les opérations	Automatiser
Enregistrer les informations d'identification pour FSX pour ONTAP, Active Directory et l'utilisateur SQL (uniquement pour l'authentification utilisateur SQL)	ssm:getParameter ¹	Déploiement Gérez les opérations Inventaire	Automatiser
ssm:GetParameters ¹	Déploiement Inventaire	Automatiser
ssm:PutParameter ¹	Déploiement Gérez les opérations	Automatiser
ssm:DeleteParameters ¹	Déploiement Gérez les opérations	Automatiser
Pile de signal CloudFormation en cas de succès ou d'échec.	Formation du nuage:SignalResource ¹	Déploiement	Automatiser
Ajoutez le rôle EC2 créé par le modèle au profil d'instance d'EC2 pour permettre aux scripts sur EC2 d'accéder aux ressources requises pour le déploiement.	iam:AddRoleToInstanceProfile	Déploiement	Automatiser
Créez un profil d'instance pour EC2 et associez le rôle EC2 créé.	iam:CreateInstanceProfile	Déploiement	Automatiser
Créez un rôle EC2 via un modèle avec les autorisations répertoriées ci-dessous	iam:CreateRole	Déploiement	Automatiser
Créer un rôle lié au service EC2	iam:CreateServiceLinkedRole ²	Déploiement	Automatiser
Supprimez le profil d'instance créé lors du déploiement, spécifiquement pour les nœuds de validation	iam:DeleteInstanceProfile	Déploiement	Automatiser
Obtenez les détails du rôle et de la stratégie pour déterminer les écarts d'autorisation et les valider pour le déploiement	iam:GetPolicy	Déploiement	Automatiser
iam:GetPolicyVersion	Déploiement	Automatiser
iam:GetRole	Déploiement	Automatiser
iam:GetRolePolicy	Déploiement	Automatiser
iam:GetUser	Déploiement	Automatiser
Transmettre le rôle créé à l'instance EC2	iam:PassRole ³	Déploiement	Automatiser
Ajoutez une règle avec les autorisations requises au rôle EC2 créé	iam:PutRolePolicy	Déploiement	Automatiser
Détacher le rôle du profil d'instance EC2 provisionné	iam:RemoveRoleFromInstanceProfile	Déploiement	Automatiser
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises	iam:SimulatePrincipalPolicy	Déploiement	Lecture Automatiser

Objectif

Action

Cas d'utilisation

Mode

Obtenez des statistiques de metrics pour FSX for ONTAP, EBS et FSX for Windows File Server

cloudwatch:GetMetricStatistics

Inventaire
Découvrez les économies

Lecture
Automatiser

Répertoriez et définissez les déclencheurs des événements

sns:ListTopics

Déploiement

Lecture
Automatiser

Obtenez les détails des instances EC2

ec2:descriptifs

Inventaire
Découvrez les économies

Lecture
Automatiser

ec2:Décrivez des Keypaires

Déploiement

Lecture
Automatiser

ec2:DescribeNetworkinterfaces

Déploiement

Lecture
Automatiser

ec2:DescribeInstanceTypes

Déploiement
Découvrez les économies

Lecture
Automatiser

Remplissez le formulaire de déploiement FSX pour ONTAP

ec2 : descriptif

Déploiement
Inventaire

Lecture
Automatiser

ec2:DescribeSubnets

Déploiement
Inventaire

Lecture
Automatiser

ec2:descriptifs des groupes de sécurité

Déploiement

Lecture
Automatiser

ec2:descriptifs

Déploiement

Lecture
Automatiser

ec2:régions descriptives

Déploiement

Lecture
Automatiser

ec2:DescribeRoutetables

Déploiement
Inventaire

Lecture
Automatiser

Procurez-vous des terminaux VPC existants pour déterminer si de nouveaux terminaux doivent être créés avant les déploiements

ec2:DescribeVpcEndpoints

Déploiement
Inventaire

Lecture
Automatiser

Créez des terminaux VPC s'ils n'existent pas pour les services requis, quelle que soit la connectivité du réseau public sur les instances EC2

ec2:CreateVpcEndpoint

Déploiement

Automatiser

Obtenir les types d'instances disponibles dans la région pour les nœuds de validation (t2.micro/t3.micro)

ec2:DécribeInstanceTypeOfferings

Déploiement

Lecture
Automatiser

Obtenez les détails des copies Snapshot de chaque volume EBS associé à des fins d'estimation de la tarification et des économies

ec2:snapshots descriptifs

Découvrez les économies

Lecture
Automatiser

Découvrez en détail chaque volume EBS attaché pour estimer la tarification et les économies

ec2:Describvolumes

Inventaire
Découvrez les économies

Lecture
Automatiser

Obtenez des détails de clé KMS pour FSX for ONTAP File System Encryption

Kms:Listalas

Déploiement

Lecture
Automatiser

Km:ListKeys

Déploiement

Lecture
Automatiser

Km:DescribeKey

Déploiement

Lecture
Automatiser

Obtenez la liste des piles CloudFormation exécutées dans l'environnement pour vérifier la limite de quota

Cloudformation:ListSacks

Déploiement

Lecture
Automatiser

Vérifiez les limites des comptes pour les ressources avant de déclencher le déploiement

Cloudformation:DescribeAccountLimits

Déploiement

Lecture
Automatiser

Obtenez la liste des Active Directory gérés par AWS dans la région

ds:DescribeDirectories

Déploiement

Lecture
Automatiser

Obtenez des listes et des détails sur les volumes, les sauvegardes, les SVM, les systèmes de fichiers dans les zones de disponibilité des fichiers et les balises pour le système de fichiers FSX pour ONTAP

fsx:Describevolumes

Inventaire
Découvrez les économies

Lecture
Automatiser

fsx:DescribeBackups

Inventaire
Découvrez les économies

Lecture
Automatiser

fsx:DescribeStockVirtualMachines

Déploiement
Gérez les opérations
Inventaire

Lecture
Automatiser

fsx:DescribeFileSystems

Déploiement
Gérez les opérations
Inventaire
Découvrez les économies

Lecture
Automatiser

fsx:ListTagsForResource

Gérez les opérations

Lecture
Automatiser

Obtenez les limites de quota de service pour CloudFormation et VPC

Servicecotas:ListServiceQuotas

Déploiement

Lecture
Automatiser

Utilisez la requête SSM pour obtenir la liste mise à jour des régions FSX pour ONTAP prises en charge

ssm:GetParametersByPath

Déploiement

Lecture
Automatiser

Interroger la réponse SSM après l'envoi de la commande pour gérer les opérations après le déploiement

ssm:GetCommandInvocation

Gérez les opérations
Inventaire
Découvrez les économies
Optimisation

Lecture
Automatiser

Envoyer des commandes via SSM aux instances EC2

ssm:SendCommand

Gérez les opérations
Inventaire
Découvrez les économies
Optimisation

Lecture
Automatiser

Obtenir l'état de connectivité SSM sur les instances après le déploiement

ssm:GetConnectionStatus

Gérez les opérations
Inventaire
Optimisation

Lecture
Automatiser

Extraire l'état d'association SSM pour un groupe d'instances EC2 gérées (nœuds SQL)

ssm:DescribeInstanceinformation

Inventaire

Lecture

Obtenez la liste des lignes de base de correctifs disponibles pour l'évaluation des correctifs du système d'exploitation

ssm:DescribePatchBasines

Optimisation

Lecture
Automatiser

Obtenez l'état des correctifs sur les instances Windows EC2 pour l'évaluation des correctifs du système d'exploitation

ssm:DescribeInstancePatchStates

Optimisation

Lecture
Automatiser

Répertoriez les commandes exécutées par AWS Patch Manager sur les instances EC2 pour la gestion des correctifs du système d'exploitation

ssm:ListCommands

Optimisation

Lecture
Automatiser

Vérifiez si le compte est inscrit à AWS Compute Optimizer

Optimiseur-calcul:GetInscriptStatus

Découvrez les économies
Optimisation

Automatiser

Mettez à jour une préférence de recommandation existante dans AWS Compute Optimizer afin d'adapter les suggestions aux charges de travail SQL Server

Compute-Optimizer:PutrecommandationPreferences

Découvrez les économies
Optimisation

Automatiser

Obtenir les préférences de recommandation en vigueur pour une ressource donnée à partir d'AWS Compute Optimizer

Compute-Optimizer:GetEffectiveRecommandation Preferences

Découvrez les économies
Optimisation

Automatiser

Recommandations générées par AWS Compute Optimizer pour les instances Amazon Elastic Compute Cloud (Amazon EC2

Compute-Optimizer:GetEC2InstanceRecommendations

Découvrez les économies
Optimisation

Automatiser

Vérifiez l'association de l'instance aux groupes de mise à l'échelle automatique

Mise à l'échelle automatique:DescribeAutoScalingGroups

Découvrez les économies
Optimisation

Automatiser

Mise à l'échelle automatique:DescribeAutoScatingInstances

Découvrez les économies
Optimisation

Automatiser

Obtenez, répertoriez, créez et supprimez les paramètres SSM pour les informations d'identification d'utilisateur AD, FSX pour ONTAP et SQL utilisées lors du déploiement ou gérées dans votre compte AWS

ssm:getParameter ¹

Déploiement
Gérez les opérations

Lecture
Automatiser

ssm:GetParameters ¹

Gérez les opérations

Lecture
Automatiser

ssm:PutParameter ¹

Déploiement
Gérez les opérations

Lecture
Automatiser

ssm:DeleteParameters ¹

Gérez les opérations

Lecture
Automatiser

Associez des ressources réseau aux nœuds SQL et aux nœuds de validation, et ajoutez des adresses IP secondaires supplémentaires aux nœuds SQL

ec2:AllocateAddress ¹

Déploiement

Automatiser

ec2:AllocateHosts ¹

Déploiement

Automatiser

ec2:AssignPrivateIpAddresses ¹

Déploiement

Automatiser

ec2:adresse associate¹

Déploiement

Automatiser

ec2:AssociateRouteTable ¹

Déploiement

Automatiser

ec2:AssociateSubnetCidrBlock ¹

Déploiement

Automatiser

ec2:AssociateVpcCidrBlock ¹

Déploiement

Automatiser

ec2:AttachInternetGateway ¹

Déploiement

Automatiser

ec2:AttachNetworkinterface ¹

Déploiement

Automatiser

Reliez les volumes EBS nécessaires aux nœuds SQL pour le déploiement

ec2 : AttachVolume

Déploiement

Automatiser

Associez des groupes de sécurité et modifiez les règles pour les nœuds provisionnés

ec2:AuthoreSecurityGroupEgress

Déploiement

Automatiser

ec2:AuthoreSecurityGroupIngress

Déploiement

Automatiser

Créez des volumes EBS requis pour les nœuds SQL pour le déploiement

ec2 : CreateVolume

Déploiement

Automatiser

Supprimez les nœuds de validation temporaires créés de type t2.micro et pour la restauration ou la nouvelle tentative des nœuds SQL EC2 défaillants

ec2:DeleteNetworkinterface

Déploiement

Automatiser

ec2:DeleteSecurityGroup

Déploiement

Automatiser

ec2:DeleteTags

Déploiement

Automatiser

ec2:DeleteVolume

Déploiement

Automatiser

ec2:DetachNetworkinterface

Déploiement

Automatiser

ec2 : DetachVolume

Déploiement

Automatiser

ec2:DisassociateAddress

Déploiement

Automatiser

ec2:DisassociateIamInstanceProfile

Déploiement

Automatiser

ec2:DisassociateRouteTable

Déploiement

Automatiser

ec2:DisassociateSubnetCidrBlock

Déploiement

Automatiser

ec2:DisassociateVpcCidrBlock

Déploiement

Automatiser

Modifier les attributs des instances SQL créées. Applicable uniquement aux noms commençant par WLMDB.

ec2:ModimodificaceAttribute

Déploiement

Automatiser

ec2:ModifyInstanceplacement

Déploiement

Automatiser

ec2:ModilyNetworkInterfaceAttribute

Déploiement

Automatiser

ec2:ModifySubnetAttribute

Déploiement

Automatiser

ec2 : Modifier le volume

Déploiement

Automatiser

ec2:ModimodityVolumeAttribute

Déploiement

Automatiser

ec2:ModifyVpcAttribute

Déploiement

Automatiser

Dissocier et détruire les instances de validation

ec2:adresse de version

Déploiement

Automatiser

ec2:ReplaceRoute

Déploiement

Automatiser

ec2:ReplaceRouteTableAssociation

Déploiement

Automatiser

ec2 : RevokeSecurityGroupEgress

Déploiement

Automatiser

ec2 : RevokeSecurityGroupIngress

Déploiement

Automatiser

Démarrez les instances déployées

ec2:déclarations de début

Déploiement

Automatiser

Arrêtez les instances déployées

ec2:StopInances

Déploiement

Automatiser

Balisez les valeurs personnalisées pour les ressources Amazon FSX pour NetApp ONTAP créées par WLMDB pour obtenir des détails de facturation lors de la gestion des ressources

fsx:TagResource ¹

Déploiement
Gérez les opérations

Automatiser

Créez et validez le modèle CloudFormation pour le déploiement

Cloudformation:CreateStack

Déploiement

Automatiser

Cloudformation:DescribeStackEvents

Déploiement

Automatiser

Cloudformation:DescribeSacks

Déploiement

Automatiser

Cloudformation:ListSacks

Déploiement

Automatiser

Déformation:ValidéeTemplate

Déploiement

Automatiser

Récupérer les metrics pour l'optimisation du calcul

cloudwatch:GetMetricStatistics

Découvrez les économies

Automatiser

Extraire les répertoires disponibles dans la région

ds:DescribeDirectories

Déploiement

Automatiser

Ajoutez des règles pour le groupe de sécurité rattaché aux instances EC2 provisionnées

ec2:AuthoreSecurityGroupEgress

Déploiement

Automatiser

ec2:AuthoreSecurityGroupIngress

Déploiement

Automatiser

Créez des modèles de pile imbriqués pour réessayer et restaurer

ec2:CreateLaunchTemplate

Déploiement

Automatiser

ec2:CreateLaunchTemplateVersion

Déploiement

Automatiser

Gérer les balises et la sécurité du réseau sur les instances créées

ec2:CreateNetworkinterface

Déploiement

Automatiser

ec2:CreateSecurityGroup

Déploiement

Automatiser

ec2:CreateTags

Déploiement

Automatiser

Supprimez le groupe de sécurité créé temporairement pour les nœuds de validation

ec2:DeleteSecurityGroup

Déploiement

Automatiser

Consultez les détails de l'instance pour le provisionnement

ec2:décrire*

Déploiement
Inventaire
Découvrez les économies

Automatiser

ec2:GET*

Déploiement
Inventaire
Découvrez les économies

Automatiser

Démarrez les instances créées

ec2:RunInstances

Déploiement

Automatiser

System Manager utilise le terminal du service de livraison des messages AWS pour les opérations d'API

ec2messages:*

Déploiement *Inventaire

Automatiser

Créez les ressources FSX pour ONTAP requises pour le provisionnement. Pour les systèmes FSX for ONTAP existants, un nouveau SVM est créé pour héberger les volumes SQL.

fsx:CreateFileSystem

Déploiement

Automatiser

fsx:CreateStorageVirtualmachine

Déploiement

Automatiser

fsx:CreateVolume

Déploiement
Gérez les opérations

Automatiser

Découvrez les détails de FSX pour ONTAP

fsx:décrire*

Déploiement
Inventaire
Gérez les opérations
Découvrez les économies

Automatiser

fsx:liste*

Déploiement
Inventaire

Automatiser

Redimensionnez le système de fichiers FSX pour ONTAP pour optimiser la marge du système de fichiers

fsx:système de fichiers de mise à jour

Optimisation

Automatiser

Redimensionnez les volumes pour corriger la taille des lecteurs du journal et de la base de données de temps

fsx:UpdateVolume

Optimisation

Automatiser

Obtenez des détails de clé KMS et utilisez-les pour le chiffrement FSX for ONTAP

Kms:CreateGrant

Déploiement

Automatiser

Km:décrire*

Déploiement

Automatiser

Km:liste*

Déploiement

Automatiser

Km:GenerateDataKey

Déploiement

Automatiser

Créez des journaux CloudWatch pour les scripts de validation et de provisionnement s'exécutant sur les instances EC2

Journaux:CreateLogGroup

Déploiement

Automatiser

Journaux:CreateLogStream

Déploiement

Automatiser

Journaux:DescribeLog*

Déploiement

Automatiser

Journaux:getlog*

Déploiement

Automatiser

Journaux:ListLogDeliveries

Déploiement

Automatiser

Journaux:PutLogEvents

Déploiement
Gérez les opérations

Automatiser

Journaux:TagResource

Déploiement

Automatiser

Créez des secrets dans un compte utilisateur pour les informations d'identification fournies pour SQL, Domain et FSX pour ONTAP

Servicecotas:ListServiceQuotas

Déploiement

Automatiser

Dressez la liste des sujets SNS des clients et publiez-les sur le service SNS backend WLMDB ainsi que sur le service SNS des clients si cette option est sélectionnée

sns:ListTopics

Déploiement

Automatiser

sns:publier

Déploiement

Automatiser

Autorisations SSM requises pour exécuter le script de découverte sur les instances SQL provisionnées et pour récupérer la dernière liste des régions AWS prises en charge par FSX pour ONTAP.

ssm:décrire*

Déploiement

Automatiser

ssm:GET*

Déploiement
Gérez les opérations

Automatiser

ssm:liste*

Déploiement

Automatiser

ssm:PutCompianceItems

Déploiement

Automatiser

ssm:PutConfigurePackageResult

Déploiement

Automatiser

ssm:PutInventory

Déploiement

Automatiser

ssm:SendCommand

Déploiement
Inventaire
Gérez les opérations

Automatiser

ssm:UpdateAssociationStatus

Déploiement

Automatiser

ssm:UpdateInstanceAssociationStatus

Déploiement

Automatiser

ssm:UpdateInstanceinformation

Déploiement

Automatiser

ssmmessages:*

Déploiement
Inventaire
Gérez les opérations

Automatiser

Enregistrer les informations d'identification pour FSX pour ONTAP, Active Directory et l'utilisateur SQL (uniquement pour l'authentification utilisateur SQL)

ssm:getParameter ¹

Déploiement
Gérez les opérations
Inventaire

Automatiser

ssm:GetParameters ¹

Déploiement
Inventaire

Automatiser

ssm:PutParameter ¹

Déploiement
Gérez les opérations

Automatiser

ssm:DeleteParameters ¹

Déploiement
Gérez les opérations

Automatiser

Pile de signal CloudFormation en cas de succès ou d'échec.

Formation du nuage:SignalResource ¹

Déploiement

Automatiser

Ajoutez le rôle EC2 créé par le modèle au profil d'instance d'EC2 pour permettre aux scripts sur EC2 d'accéder aux ressources requises pour le déploiement.

iam:AddRoleToInstanceProfile

Déploiement

Automatiser

Créez un profil d'instance pour EC2 et associez le rôle EC2 créé.

iam:CreateInstanceProfile

Déploiement

Automatiser

Créez un rôle EC2 via un modèle avec les autorisations répertoriées ci-dessous

iam:CreateRole

Déploiement

Automatiser

Créer un rôle lié au service EC2

iam:CreateServiceLinkedRole ²

Déploiement

Automatiser

Supprimez le profil d'instance créé lors du déploiement, spécifiquement pour les nœuds de validation

iam:DeleteInstanceProfile

Déploiement

Automatiser

Obtenez les détails du rôle et de la stratégie pour déterminer les écarts d'autorisation et les valider pour le déploiement

iam:GetPolicy

Déploiement

Automatiser

iam:GetPolicyVersion

Déploiement

Automatiser

iam:GetRole

Déploiement

Automatiser

iam:GetRolePolicy

Déploiement

Automatiser

iam:GetUser

Déploiement

Automatiser

Transmettre le rôle créé à l'instance EC2

iam:PassRole ³

Déploiement

Automatiser

Ajoutez une règle avec les autorisations requises au rôle EC2 créé

iam:PutRolePolicy

Déploiement

Automatiser

Détacher le rôle du profil d'instance EC2 provisionné

iam:RemoveRoleFromInstanceProfile

Déploiement

Automatiser

Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises

iam:SimulatePrincipalPolicy

Déploiement

Lecture
Automatiser

L'autorisation est limitée aux ressources commençant par WLMDB.
"iam:CreateServiceLinkedRole" limité par "iam:AWSServiceName": "ec2.amazonaws.com"*
"iam:PassRole" limité par "iam:PassedToService": "ec2.amazonaws.com"*

Autorisations pour les workloads GenAI

Les règles IAM pour les workloads VMware fournissent les autorisations dont l'usine de workloads VMware a besoin pour gérer les ressources et les processus dans votre environnement de cloud public en fonction du mode opérationnel dans lequel vous travaillez.

Les politiques IAM GenAI sont uniquement disponibles en mode fonctionnement :

Règles IAM pour les workloads GenAI

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudformationGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DescribeStacks"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
    },
    {
      "Sid": "EC2Group",
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
        }
      }
    },
    {
      "Sid": "EC2DescribeGroup",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeTags",
        "ec2:CreateVpcEndpoint",
        "ec2:CreateSecurityGroup",
        "ec2:CreateTags",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstances",
        "ec2:DescribeImages",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:RunInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup",
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:CreateInstanceProfile",
        "iam:AddRoleToInstanceProfile",
        "iam:PutRolePolicy",
        "iam:GetRolePolicy",
        "iam:GetRole",
        "iam:TagRole"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup2",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "FSXNGroup",
      "Effect": "Allow",
      "Action": [
        "fsx:DescribeVolumes",
        "fsx:DescribeFileSystems",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:ListTagsForResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "FSXNGroup2",
      "Effect": "Allow",
      "Action": [
        "fsx:UntagResource",
        "fsx:TagResource"
      ],
      "Resource": [
        "arn:aws:fsx:*:*:volume/*/*",
        "arn:aws:fsx:*:*:storage-virtual-machine/*/*"
      ]
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:PutParameter"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
    },
    {
      "Sid": "SSM",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "ssm:GetParametersByPath"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
    },
    {
      "Sid": "SSMMessages",
      "Effect": "Allow",
      "Action": [
        "ssm:GetCommandInvocation"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SSMCommandDocument",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand"
      ],
      "Resource": [
        "arn:aws:ssm:*:*:document/AWS-RunShellScript"
      ]
    },
    {
      "Sid": "SSMCommandInstance",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand",
        "ssm:GetConnectionStatus"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ],
      "Condition": {
        "StringLike": {
          "ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
        }
      }
    },
    {
      "Sid": "KMS",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SNS",
      "Effect": "Allow",
      "Action": [
        "sns:Publish"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchAiEngine",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource",
        "logs:DescribeLogStreams"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
    },
    {
      "Sid": "CloudWatchAiEngineLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
    },
    {
      "Sid": "BedrockGroup",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModelWithResponseStream",
        "bedrock:InvokeModel",
        "bedrock:ListFoundationModels",
        "bedrock:GetFoundationModelAvailability",
        "bedrock:GetModelInvocationLoggingConfiguration",
        "bedrock:PutModelInvocationLoggingConfiguration",
        "bedrock:ListInferenceProfiles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchBedrock",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
    },
    {
      "Sid": "BedrockLoggingAttachRole",
      "Effect": "Allow",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Le tableau suivant fournit des détails sur les autorisations pour les charges de travail GenAI.

Tableau des autorisations pour les charges de travail GenAI

Objectif	Action	Cas d'utilisation	Mode
Créez une pile de formation cloud pour les moteurs d'IA pendant les opérations de déploiement et de reconstruction	Cloudformation:CreateStack	Déploiement	Automatiser
Créez la pile de formation cloud du moteur d'IA	Cloudformation:DescribeSacks	Déploiement	Automatiser
Répertoriez les régions de l'assistant de déploiement de moteur ai	ec2:régions descriptives	Déploiement	Automatiser
Afficher les balises du moteur ai	ec2:Etiquettes descriptives	Déploiement	Automatiser
Répertoriez les terminaux VPC avant la création de la pile du moteur d'IA	ec2:CreateVpcEndpoint	Déploiement	Automatiser
Créez un groupe de sécurité de moteur d'IA lors des opérations de déploiement et de reconstruction lors de la création de la pile du moteur d'IA	ec2:CreateSecurityGroup	Déploiement	Automatiser
Balisez les ressources créées par la création d'une pile de moteur d'IA pendant les opérations de déploiement et de reconstruction	ec2:CreateTags	Déploiement	Automatiser
Publier des événements cryptés sur le back-end WLMAI à partir de la pile de moteur ai	Km:GenerateDataKey	Déploiement	Automatiser
Km:déchiffrer	Déploiement	Automatiser
Publier des événements et des ressources personnalisées sur le backend WLMAI à partir de la pile ai-Engine	sns:publier	Déploiement	Automatiser
Répertorier les VPC pendant l'assistant de déploiement du moteur d'IA	ec2 : descriptif	Déploiement	Automatiser
Répertoriez les sous-réseaux dans l'assistant de déploiement du moteur ai	ec2:DescribeSubnets	Déploiement	Automatiser
Obtenez des tables de routage lors du déploiement et de la reconstruction d'un moteur d'IA	ec2:DescribeRoutetables	Déploiement	Automatiser
Répertoriez les paires de clés pendant l'assistant de déploiement de moteur d'IA	ec2:Décrivez des Keypaires	Déploiement	Automatiser
Liste des groupes de sécurité lors de la création de la pile du moteur d'IA (pour rechercher les groupes de sécurité sur les terminaux privés)	ec2:descriptifs des groupes de sécurité	Déploiement	Automatiser
Procurez-vous des terminaux VPC pour déterminer si un doit être créé pendant le déploiement du moteur d'IA	ec2:DescribeVpcEndpoints	Déploiement	Automatiser
Répertoriez les instances pour connaître l'état du moteur ai	ec2:descriptifs	Dépannage	Automatiser
Répertoriez les images lors de la création de la pile du moteur d'IA pendant les opérations de déploiement et de reconstruction	ec2:descriptifs	Déploiement	Automatiser
Créez et mettez à jour l'instance d'IA et le groupe de sécurité de terminal privé lors de la création de la pile d'instance d'IA lors des opérations de déploiement et de reconstruction	ec2 : RevokeSecurityGroupEgress	Déploiement	Automatiser
ec2 : RevokeSecurityGroupIngress	Déploiement	Automatiser
Exécutez le moteur d'IA lors de la création de la pile dans le cloud pendant les opérations de déploiement et de reconstruction	ec2:RunInstances	Déploiement	Automatiser
Associez un groupe de sécurité et modifiez les règles du moteur d'IA lors de la création de la pile lors des opérations de déploiement et de reconstruction	ec2:AuthoreSecurityGroupEgress	Déploiement	Automatiser
ec2:AuthoreSecurityGroupIngress	Déploiement	Automatiser
Interrogation de l'état de la journalisation d'Amazon Bedrock / Amazon CloudWatch pendant le déploiement du moteur d'IA	Bedrock:GetModelInvocationLoggingConfiguration	Déploiement	Automatiser
Lancez une demande de discussion sur l'un des modèles de base	Bedrock:InvoieModelWithResponseStream	Déploiement	Automatiser
Commencez la discussion/l'intégration de la demande pour les modèles de base	Bedrock:modèle de facturation	Déploiement	Automatiser
Affiche les modèles de base disponibles dans une région	Bedrock:ListFoundationModels	Déploiement	Automatiser
Vérifiez l'accès au modèle de base	Bedrock:GetFoundationModelAvailability	Déploiement	Automatiser
Vérifiez qu'il est nécessaire de créer un groupe de journaux Amazon CloudWatch pendant les opérations de déploiement et de reconstruction	Journaux:DescribeLogGroups	Déploiement	Automatiser
Obtenez des régions qui prennent en charge FSX et Amazon Bedrock pendant l'assistant du moteur d'IA	ssm:GetParametersByPath	Déploiement	Automatiser
Obtenez la dernière image Amazon Linux pour le déploiement du moteur d'IA lors des opérations de déploiement et de reconstruction	ssm:GetParameters	Déploiement	Automatiser
Obtenir la réponse SSM de la commande envoyée au moteur ai	ssm:GetCommandInvocation	Déploiement	Automatiser
Vérifier la connexion SSM au moteur ai	ssm:SendCommand	Déploiement	Automatiser
ssm:GetConnectionStatus	Déploiement	Automatiser
Créez un profil d'instance de moteur d'IA lors de la création de la pile lors des opérations de déploiement et de reconstruction	iam:CreateRole	Déploiement	Automatiser
iam:CreateInstanceProfile	Déploiement	Automatiser
iam:AddRoleToInstanceProfile	Déploiement	Automatiser
iam:PutRolePolicy	Déploiement	Automatiser
iam:GetRolePolicy	Déploiement	Automatiser
iam:GetRole	Déploiement	Automatiser
iam:TagRole	Déploiement	Automatiser
iam:PassRole	Déploiement	Automatiser
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises	iam:SimulatePrincipalPolicy	Déploiement	Automatiser
Répertoriez les systèmes de fichiers FSX pour ONTAP au cours de l'assistant de création de la base de connaissances	fsx:Describevolumes	Création d'une base de connaissances	Automatiser
Répertoriez les volumes du système de fichiers FSX pour ONTAP au cours de l'assistant « Créer une base de connaissances »	fsx:DescribeFileSystems	Création d'une base de connaissances	Automatiser
Gérer les bases de connaissances sur le moteur d'IA pendant les opérations de reconstruction	fsx:ListTagsForResource	Dépannage	Automatiser
Répertoriez les machines virtuelles de stockage du système de fichiers FSX pour ONTAP au cours de l'assistant « Créer une base de connaissances »	fsx:DescribeStockVirtualMachines	Déploiement	Automatiser
Déplacez la base de connaissances vers une nouvelle instance	fsx:UntagResource	Dépannage	Automatiser
Gérez la base de connaissances sur le moteur d'IA pendant la reconstruction	fsx:TagResource	Dépannage	Automatiser
Enregistrez les secrets SSM (jeton ECR, informations d'identification CIFS, clés de compte de service de location) de manière sécurisée	ssm:getParameter	Déploiement	Automatiser
ssm:PutParameter	Déploiement	Automatiser
Envoyez les journaux du moteur d'IA au groupe de journaux Amazon CloudWatch pendant les opérations de déploiement et de reconstruction	Journaux:CreateLogGroup	Déploiement	Automatiser
Journaux:PutRetentionPolicy	Déploiement	Automatiser
Envoyez les journaux du moteur d'IA au groupe de journaux Amazon CloudWatch	Journaux:TagResource	Dépannage	Automatiser
Obtenir la réponse SSM d'Amazon CloudWatch (lorsque la réponse est trop longue)	Journaux:DescribeLogStreams	Dépannage	Automatiser
Obtenez la réponse SSM d'Amazon CloudWatch	Journaux:GetLogEvents	Dépannage	Automatiser
Créez un groupe de journaux Amazon CloudWatch pour les journaux Amazon Bedrock pendant la régénération de la pile lors des opérations de déploiement et de reconstruction	Journaux:CreateLogGroup	Déploiement	Automatiser
Journaux:PutRetentionPolicy	Déploiement	Automatiser
Journaux:TagResource	Déploiement	Automatiser
Envoyez des journaux de Bedrock à Amazon CloudWatch	Bedrock:PutModelInvocationLoggingConfiguration	Dépannage	Automatiser
Créez le rôle qui permet d'envoyer des journaux Amazon Bedrock à Amazon CloudWatch	iam:AttachRolePolicy	Dépannage	Automatiser
Créez le rôle qui permet d'envoyer des journaux Amazon Bedrock à Amazon CloudWatch	iam:PassRole	Dépannage	Automatiser
Créez le rôle qui permet d'envoyer des journaux Amazon Bedrock à Amazon CloudWatch	iam:createPolicy	Dépannage	Automatiser
Liste des profils d'inférence pour le modèle	Bedrock:ListeInferenceProfiles	Dépannage	Automatiser

Objectif

Action

Cas d'utilisation

Mode

Créez une pile de formation cloud pour les moteurs d'IA pendant les opérations de déploiement et de reconstruction

Cloudformation:CreateStack

Déploiement

Automatiser

Créez la pile de formation cloud du moteur d'IA

Cloudformation:DescribeSacks

Déploiement

Automatiser

Répertoriez les régions de l'assistant de déploiement de moteur ai

ec2:régions descriptives

Déploiement

Automatiser

Afficher les balises du moteur ai

ec2:Etiquettes descriptives

Déploiement

Automatiser

Répertoriez les terminaux VPC avant la création de la pile du moteur d'IA

ec2:CreateVpcEndpoint

Déploiement

Automatiser

Créez un groupe de sécurité de moteur d'IA lors des opérations de déploiement et de reconstruction lors de la création de la pile du moteur d'IA

ec2:CreateSecurityGroup

Déploiement

Automatiser

Balisez les ressources créées par la création d'une pile de moteur d'IA pendant les opérations de déploiement et de reconstruction

ec2:CreateTags

Déploiement

Automatiser

Publier des événements cryptés sur le back-end WLMAI à partir de la pile de moteur ai

Km:GenerateDataKey

Déploiement

Automatiser

Km:déchiffrer

Déploiement

Automatiser

Publier des événements et des ressources personnalisées sur le backend WLMAI à partir de la pile ai-Engine

sns:publier

Déploiement

Automatiser

Répertorier les VPC pendant l'assistant de déploiement du moteur d'IA

ec2 : descriptif

Déploiement

Automatiser

Répertoriez les sous-réseaux dans l'assistant de déploiement du moteur ai

ec2:DescribeSubnets

Déploiement

Automatiser

Obtenez des tables de routage lors du déploiement et de la reconstruction d'un moteur d'IA

ec2:DescribeRoutetables

Déploiement

Automatiser

Répertoriez les paires de clés pendant l'assistant de déploiement de moteur d'IA

ec2:Décrivez des Keypaires

Déploiement

Automatiser

Liste des groupes de sécurité lors de la création de la pile du moteur d'IA (pour rechercher les groupes de sécurité sur les terminaux privés)

ec2:descriptifs des groupes de sécurité

Déploiement

Automatiser

Procurez-vous des terminaux VPC pour déterminer si un doit être créé pendant le déploiement du moteur d'IA

ec2:DescribeVpcEndpoints

Déploiement

Automatiser

Répertoriez les instances pour connaître l'état du moteur ai

ec2:descriptifs

Dépannage

Automatiser

Répertoriez les images lors de la création de la pile du moteur d'IA pendant les opérations de déploiement et de reconstruction

ec2:descriptifs

Déploiement

Automatiser

Créez et mettez à jour l'instance d'IA et le groupe de sécurité de terminal privé lors de la création de la pile d'instance d'IA lors des opérations de déploiement et de reconstruction

ec2 : RevokeSecurityGroupEgress

Déploiement

Automatiser

ec2 : RevokeSecurityGroupIngress

Déploiement

Automatiser

Exécutez le moteur d'IA lors de la création de la pile dans le cloud pendant les opérations de déploiement et de reconstruction

ec2:RunInstances

Déploiement

Automatiser

Associez un groupe de sécurité et modifiez les règles du moteur d'IA lors de la création de la pile lors des opérations de déploiement et de reconstruction

ec2:AuthoreSecurityGroupEgress

Déploiement

Automatiser

ec2:AuthoreSecurityGroupIngress

Déploiement

Automatiser

Interrogation de l'état de la journalisation d'Amazon Bedrock / Amazon CloudWatch pendant le déploiement du moteur d'IA

Bedrock:GetModelInvocationLoggingConfiguration

Déploiement

Automatiser

Lancez une demande de discussion sur l'un des modèles de base

Bedrock:InvoieModelWithResponseStream

Déploiement

Automatiser

Commencez la discussion/l'intégration de la demande pour les modèles de base

Bedrock:modèle de facturation

Déploiement

Automatiser

Affiche les modèles de base disponibles dans une région

Bedrock:ListFoundationModels

Déploiement

Automatiser

Vérifiez l'accès au modèle de base

Bedrock:GetFoundationModelAvailability

Déploiement

Automatiser

Vérifiez qu'il est nécessaire de créer un groupe de journaux Amazon CloudWatch pendant les opérations de déploiement et de reconstruction

Journaux:DescribeLogGroups

Déploiement

Automatiser

Obtenez des régions qui prennent en charge FSX et Amazon Bedrock pendant l'assistant du moteur d'IA

ssm:GetParametersByPath

Déploiement

Automatiser

Obtenez la dernière image Amazon Linux pour le déploiement du moteur d'IA lors des opérations de déploiement et de reconstruction

ssm:GetParameters

Déploiement

Automatiser

Obtenir la réponse SSM de la commande envoyée au moteur ai

ssm:GetCommandInvocation

Déploiement

Automatiser

Vérifier la connexion SSM au moteur ai

ssm:SendCommand

Déploiement

Automatiser

ssm:GetConnectionStatus

Déploiement

Automatiser

Créez un profil d'instance de moteur d'IA lors de la création de la pile lors des opérations de déploiement et de reconstruction

iam:CreateRole

Déploiement

Automatiser

iam:CreateInstanceProfile

Déploiement

Automatiser

iam:AddRoleToInstanceProfile

Déploiement

Automatiser

iam:PutRolePolicy

Déploiement

Automatiser

iam:GetRolePolicy

Déploiement

Automatiser

iam:GetRole

Déploiement

Automatiser

iam:TagRole

Déploiement

Automatiser

iam:PassRole

Déploiement

Automatiser

Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises

iam:SimulatePrincipalPolicy

Déploiement

Automatiser

Répertoriez les systèmes de fichiers FSX pour ONTAP au cours de l'assistant de création de la base de connaissances

fsx:Describevolumes

Création d'une base de connaissances

Automatiser

Répertoriez les volumes du système de fichiers FSX pour ONTAP au cours de l'assistant « Créer une base de connaissances »

fsx:DescribeFileSystems

Création d'une base de connaissances

Automatiser

Gérer les bases de connaissances sur le moteur d'IA pendant les opérations de reconstruction

fsx:ListTagsForResource

Dépannage

Automatiser

Répertoriez les machines virtuelles de stockage du système de fichiers FSX pour ONTAP au cours de l'assistant « Créer une base de connaissances »

fsx:DescribeStockVirtualMachines

Déploiement

Automatiser

Déplacez la base de connaissances vers une nouvelle instance

fsx:UntagResource

Dépannage

Automatiser

Gérez la base de connaissances sur le moteur d'IA pendant la reconstruction

fsx:TagResource

Dépannage

Automatiser

Enregistrez les secrets SSM (jeton ECR, informations d'identification CIFS, clés de compte de service de location) de manière sécurisée

ssm:getParameter

Déploiement

Automatiser

ssm:PutParameter

Déploiement

Automatiser

Envoyez les journaux du moteur d'IA au groupe de journaux Amazon CloudWatch pendant les opérations de déploiement et de reconstruction

Journaux:CreateLogGroup

Déploiement

Automatiser

Journaux:PutRetentionPolicy

Déploiement

Automatiser

Envoyez les journaux du moteur d'IA au groupe de journaux Amazon CloudWatch

Journaux:TagResource

Dépannage

Automatiser

Obtenir la réponse SSM d'Amazon CloudWatch (lorsque la réponse est trop longue)

Journaux:DescribeLogStreams

Dépannage

Automatiser

Obtenez la réponse SSM d'Amazon CloudWatch

Journaux:GetLogEvents

Dépannage

Automatiser

Créez un groupe de journaux Amazon CloudWatch pour les journaux Amazon Bedrock pendant la régénération de la pile lors des opérations de déploiement et de reconstruction

Journaux:CreateLogGroup

Déploiement

Automatiser

Journaux:PutRetentionPolicy

Déploiement

Automatiser

Journaux:TagResource

Déploiement

Automatiser

Envoyez des journaux de Bedrock à Amazon CloudWatch

Bedrock:PutModelInvocationLoggingConfiguration

Dépannage

Automatiser

Créez le rôle qui permet d'envoyer des journaux Amazon Bedrock à Amazon CloudWatch

iam:AttachRolePolicy

Dépannage

Automatiser

Créez le rôle qui permet d'envoyer des journaux Amazon Bedrock à Amazon CloudWatch

iam:PassRole

Dépannage

Automatiser

Créez le rôle qui permet d'envoyer des journaux Amazon Bedrock à Amazon CloudWatch

iam:createPolicy

Dépannage

Automatiser

Liste des profils d'inférence pour le modèle

Bedrock:ListeInferenceProfiles

Dépannage

Automatiser

Autorisations pour les workloads VMware

Sélectionnez votre mode opérationnel pour afficher les politiques IAM requises :

Règles IAM pour workloads VMware

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ssm:GetParametersByPath",
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Le tableau suivant fournit des détails sur les autorisations pour les charges de travail VMware.

Tableau des autorisations pour les workloads VMware

Objectif	Action	Cas d'utilisation	Mode
Associez des groupes de sécurité et modifiez les règles pour les nœuds provisionnés	ec2:AuthoreSecurityGroupIngress	Déploiement	Automatiser
Création de volumes EBS	ec2 : CreateVolume	Déploiement	Automatiser
Balisez les valeurs personnalisées des ressources FSX pour NetApp ONTAP créées par les workloads VMware	fsx:TagResource	Déploiement	Automatiser
Créez et validez le modèle CloudFormation	Cloudformation:CreateStack	Déploiement	Automatiser
Gérer les balises et la sécurité du réseau sur les instances créées	ec2:CreateSecurityGroup	Déploiement	Automatiser
Démarrez les instances créées	ec2:RunInstances	Déploiement	Automatiser
Consultez les détails de l'instance EC2	ec2:descriptifs	Déploiement	Automatiser
Répertoriez les images pendant la création de la pile pendant les opérations de déploiement et de reconstruction	ec2:descriptifs	Déploiement	Automatiser
Obtenir les VPC dans l'environnement sélectionné pour remplir le formulaire de déploiement	ec2 : descriptif	Déploiement Inventaire	Lecture Automatiser
Obtenez les sous-réseaux dans l'environnement sélectionné pour remplir le formulaire de déploiement	ec2:DescribeSubnets	Déploiement Inventaire	Lecture Automatiser
Demandez aux groupes de sécurité de l'environnement sélectionné de remplir le formulaire de déploiement	ec2:descriptifs des groupes de sécurité	Déploiement	Lecture Automatiser
Obtenez les zones de disponibilité dans un environnement sélectionné	ec2:DescribeAvailabilityzones	Déploiement Inventaire	Lecture Automatiser
Obtenez les régions avec la prise en charge d'Amazon FSX pour NetApp ONTAP	ec2:régions descriptives	Déploiement	Lecture Automatiser
Obtenez les alias de clés KMS à utiliser pour le cryptage Amazon FSX for NetApp ONTAP	Kms:Listalas	Déploiement	Lecture Automatiser
Obtenez des clés KMS à utiliser pour Amazon FSX for NetApp ONTAP Encryption	Km:ListKeys	Déploiement	Lecture Automatiser
Obtenez les détails d'expiration des clés KMS à utiliser pour le chiffrement Amazon FSX for NetApp ONTAP	Km:DescribeKey	Déploiement	Lecture Automatiser
La requête SSM permet d'obtenir la liste actualisée des régions Amazon FSX pour NetApp ONTAP prises en charge	ssm:GetParametersByPath	Déploiement	Lecture Automatiser
Créez des ressources Amazon FSX pour NetApp ONTAP requises pour le provisionnement	fsx:CreateFileSystem	Déploiement	Automatiser
fsx:CreateStorageVirtualmachine	Déploiement	Automatiser
fsx:CreateVolume	Déploiement Les opérations de gestion	Automatiser
Découvrez les détails sur Amazon FSX pour NetApp ONTAP	fsx:décrire*	Déploiement Inventaire Les opérations de gestion Découvrez les économies	Automatiser
fsx:liste*	Déploiement Inventaire	Automatiser
Obtenez des détails de clés KMS et utilisez-les pour le chiffrement Amazon FSX for NetApp ONTAP	Kms:CreateGrant	Déploiement	Automatiser
Km:décrire*	Déploiement	Automatiser
Km:liste*	Déploiement	Automatiser
Km:déchiffrer	Déploiement	Automatiser
Km:GenerateDataKey	Déploiement	Automatiser
Répertoriez les sujets SNS des clients et publiez-les sur le service SNS back-end de WLMVMC ainsi que sur le service SNS des clients si cette option est sélectionnée	sns:publier	Déploiement	Automatiser
Permet de récupérer la dernière liste de régions AWS prises en charge par Amazon FSX pour NetApp ONTAP	ssm:GET*	Déploiement Les opérations de gestion	Automatiser
Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises	iam:SimulatePrincipalPolicy	Déploiement	Automatiser
Le magasin de paramètres SSM est utilisé pour enregistrer les informations d'identification d'Amazon FSX pour NetApp ONTAP	ssm:getParameter	Déploiement Les opérations de gestion Inventaire	Automatiser
ssm:PutParameters	Déploiement Inventaire	Automatiser
ssm:PutParameter	Déploiement Les opérations de gestion	Automatiser
ssm:DeleteParameters	Déploiement Les opérations de gestion	Automatiser

Objectif

Action

Cas d'utilisation

Mode

Associez des groupes de sécurité et modifiez les règles pour les nœuds provisionnés

ec2:AuthoreSecurityGroupIngress

Déploiement

Automatiser

Création de volumes EBS

ec2 : CreateVolume

Déploiement

Automatiser

Balisez les valeurs personnalisées des ressources FSX pour NetApp ONTAP créées par les workloads VMware

fsx:TagResource

Déploiement

Automatiser

Créez et validez le modèle CloudFormation

Cloudformation:CreateStack

Déploiement

Automatiser

Gérer les balises et la sécurité du réseau sur les instances créées

ec2:CreateSecurityGroup

Déploiement

Automatiser

Démarrez les instances créées

ec2:RunInstances

Déploiement

Automatiser

Consultez les détails de l'instance EC2

ec2:descriptifs

Déploiement

Automatiser

Répertoriez les images pendant la création de la pile pendant les opérations de déploiement et de reconstruction

ec2:descriptifs

Déploiement

Automatiser

Obtenir les VPC dans l'environnement sélectionné pour remplir le formulaire de déploiement

ec2 : descriptif

Déploiement
Inventaire

Lecture
Automatiser

Obtenez les sous-réseaux dans l'environnement sélectionné pour remplir le formulaire de déploiement

ec2:DescribeSubnets

Déploiement
Inventaire

Lecture
Automatiser

Demandez aux groupes de sécurité de l'environnement sélectionné de remplir le formulaire de déploiement

ec2:descriptifs des groupes de sécurité

Déploiement

Lecture
Automatiser

Obtenez les zones de disponibilité dans un environnement sélectionné

ec2:DescribeAvailabilityzones

Déploiement
Inventaire

Lecture
Automatiser

Obtenez les régions avec la prise en charge d'Amazon FSX pour NetApp ONTAP

ec2:régions descriptives

Déploiement

Lecture
Automatiser

Obtenez les alias de clés KMS à utiliser pour le cryptage Amazon FSX for NetApp ONTAP

Kms:Listalas

Déploiement

Lecture
Automatiser

Obtenez des clés KMS à utiliser pour Amazon FSX for NetApp ONTAP Encryption

Km:ListKeys

Déploiement

Lecture
Automatiser

Obtenez les détails d'expiration des clés KMS à utiliser pour le chiffrement Amazon FSX for NetApp ONTAP

Km:DescribeKey

Déploiement

Lecture
Automatiser

La requête SSM permet d'obtenir la liste actualisée des régions Amazon FSX pour NetApp ONTAP prises en charge

ssm:GetParametersByPath

Déploiement

Lecture
Automatiser

Créez des ressources Amazon FSX pour NetApp ONTAP requises pour le provisionnement

fsx:CreateFileSystem

Déploiement

Automatiser

fsx:CreateStorageVirtualmachine

Déploiement

Automatiser

fsx:CreateVolume

Déploiement
Les opérations de gestion

Automatiser

Découvrez les détails sur Amazon FSX pour NetApp ONTAP

fsx:décrire*

Déploiement
Inventaire
Les opérations de gestion
Découvrez les économies

Automatiser

fsx:liste*

Déploiement
Inventaire

Automatiser

Obtenez des détails de clés KMS et utilisez-les pour le chiffrement Amazon FSX for NetApp ONTAP

Kms:CreateGrant

Déploiement

Automatiser

Km:décrire*

Déploiement

Automatiser

Km:liste*

Déploiement

Automatiser

Km:déchiffrer

Déploiement

Automatiser

Km:GenerateDataKey

Déploiement

Automatiser

Répertoriez les sujets SNS des clients et publiez-les sur le service SNS back-end de WLMVMC ainsi que sur le service SNS des clients si cette option est sélectionnée

sns:publier

Déploiement

Automatiser

Permet de récupérer la dernière liste de régions AWS prises en charge par Amazon FSX pour NetApp ONTAP

ssm:GET*

Déploiement
Les opérations de gestion

Automatiser

Simulez les opérations de workload pour valider les autorisations disponibles et les comparer avec les autorisations de compte AWS requises

iam:SimulatePrincipalPolicy

Déploiement

Automatiser

Le magasin de paramètres SSM est utilisé pour enregistrer les informations d'identification d'Amazon FSX pour NetApp ONTAP

ssm:getParameter

Déploiement
Les opérations de gestion
Inventaire

Automatiser

ssm:PutParameters

Déploiement
Inventaire

Automatiser

ssm:PutParameter

Déploiement
Les opérations de gestion

Automatiser

ssm:DeleteParameters

Déploiement
Les opérations de gestion

Automatiser

Journal des modifications

Lorsque des autorisations sont ajoutées et supprimées, nous les noterons dans les sections ci-dessous.

2 avril 2025

L'autorisation suivante est maintenant disponible en read mode pour les bases de données : ssm:DescribeInstanceInformation.

30 mars 2025

Mise à jour des autorisations de charge de travail GenAI

Les autorisations suivantes sont désormais disponibles en automate mode pour GenAI :

bedrock:PutModelInvocationLoggingConfiguration
iam:AttachRolePolicy
iam:PassRole
iam:createPolicy
bedrock:ListInferenceProfiles

L'autorisation suivante a été supprimée de automate mode pour GenAI: Bedrock:GetFoundationModel.

iam:mise à jour des autorisations SimulatePrincipalPolicy

`iam:SimulatePrincipalPolicy`L'autorisation fait partie de toutes les stratégies d'autorisation de workload si vous activez la vérification automatique des autorisations lors de l'ajout d'informations d'identification de compte AWS supplémentaires ou de l'ajout de nouvelles fonctionnalités de workload à partir de la console d'usine des workloads. L'autorisation simule les opérations de workload et vérifie si vous disposez des autorisations de compte AWS requises avant de déployer des ressources à partir de l'usine de workloads. L'activation de cette vérification réduit le temps et les efforts nécessaires pour nettoyer les ressources des opérations ayant échoué et pour ajouter des autorisations manquantes.

2 mars 2025

L'autorisation suivante est maintenant disponible en automate mode pour GenAI: bedrock:GetFoundationModel.

3 février 2025

L'autorisation suivante est maintenant disponible en read mode pour les bases de données : iam:SimulatePrincipalPolicy.

Autorisations pour l'usine de workloads BlueXP

Creating your file...

Pourquoi utiliser des autorisations

Autorisations par charge de travail

Autorisations de stockage

Autorisations pour les workloads de bases de données

Autorisations pour les workloads GenAI

Autorisations pour les workloads VMware

Journal des modifications

2 avril 2025

30 mars 2025

Mise à jour des autorisations de charge de travail GenAI

iam:mise à jour des autorisations SimulatePrincipalPolicy

2 mars 2025

3 février 2025