Autorizzazioni per NetApp Workload Factory
Suggerisci modifiche
PDF
Per utilizzare le funzionalità e i servizi di NetApp Workload Factory, è necessario fornire le autorizzazioni necessarie affinché Workload Factory possa eseguire operazioni nel tuo ambiente cloud.
Perché utilizzare le autorizzazioni
Quando si forniscono le autorizzazioni, Workload Factory associa una policy all'istanza con le autorizzazioni per gestire risorse e processi all'interno di quell'account AWS. Ciò consente a Workload Factory di eseguire diverse operazioni, a partire dalla scoperta degli ambienti di storage fino alla distribuzione di risorse AWS, come file system nella gestione dello storage o knowledge base per carichi di lavoro GenAI.
Ad esempio, per i carichi di lavoro del database, quando a Workload Factory vengono concesse le autorizzazioni necessarie, vengono analizzate tutte le istanze EC2 in un determinato account e in una determinata regione e vengono filtrati tutti i computer basati su Windows. Se l'agente AWS Systems Manager (SSM) è installato e in esecuzione sull'host e la rete di System Manager è configurata correttamente, Workload Factory può accedere alla macchina Windows e verificare se il software SQL Server è installato o meno.
Autorizzazioni per carico di lavoro
Ogni carico di lavoro utilizza autorizzazioni per eseguire determinate attività in Workload Factory. Le autorizzazioni sono raggruppate in criteri di autorizzazione definiti. Scorri fino al carico di lavoro che utilizzi per scoprire di più sui criteri di autorizzazione, sul JSON copiabile per i criteri di autorizzazione e su una tabella che elenca tutti i permessi, il loro scopo, dove vengono utilizzati e quali criteri di autorizzazione li supportano.
Autorizzazioni per l'archiviazione
I criteri IAM disponibili per Storage forniscono le autorizzazioni di cui Workload Factory ha bisogno per gestire risorse e processi all'interno del tuo ambiente cloud pubblico.
L'archiviazione dispone delle seguenti policy di autorizzazione tra cui scegliere:
-
Visualizzazione, pianificazione e analisi: visualizza i file system FSx per ONTAP , scopri di più sullo stato del sistema, ottieni un'analisi ben progettata per i tuoi sistemi ed esplora i risparmi.
-
Operazioni e risoluzione: esegui attività operative come la regolazione della capacità del file system e la risoluzione dei problemi relativi alle configurazioni del file system.
-
Creazione ed eliminazione del file system: crea ed elimina FSx per i file system ONTAP e le VM di archiviazione.
Visualizza i criteri IAM richiesti:
Criteri IAM per l'archiviazione
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:ListTagsForResource",
"fsx:DescribeBackups",
"fsx:DescribeSharedVpcConfiguration",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"elasticfilesystem:DescribeFileSystems",
"ce:GetCostAndUsage",
"ce:GetTags",
"ce:GetCostAndUsageWithResources",
"ce:GetCostForecast",
"ce:GetUsageForecast"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolume",
"fsx:DeleteVolume",
"fsx:UpdateFileSystem",
"fsx:UpdateStorageVirtualMachine",
"fsx:UpdateVolume",
"fsx:CreateBackup",
"fsx:CreateVolumeFromBackup",
"fsx:DeleteBackup",
"fsx:TagResource",
"fsx:UntagResource",
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListInferenceProfiles",
"bedrock:GetInferenceProfile"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:DeleteFileSystem",
"fsx:DeleteStorageVirtualMachine",
"fsx:TagResource",
"fsx:UntagResource",
"kms:CreateGrant",
"iam:CreateServiceLinkedRole",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVolumeStatus",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Nella tabella seguente vengono visualizzate le autorizzazioni per l'archiviazione.
Tabella delle autorizzazioni per l'archiviazione
| Scopo | Azione | Dove usato | Politica di autorizzazione |
|---|---|---|---|
Crea un file system FSX per ONTAP |
fsx:CreateFileSystem |
Implementazione |
Creazione ed eliminazione del file system |
Creare un gruppo di sicurezza per un file system FSX per ONTAP |
ec2:CreateSecurityGroup |
Implementazione |
Creazione ed eliminazione del file system |
Aggiungere tag a un gruppo di sicurezza per un file system FSX per ONTAP |
ec2:CreateTag |
Implementazione |
Creazione ed eliminazione del file system |
Autorizzare l'uscita e l'ingresso dei gruppi di sicurezza per un file system FSX per ONTAP |
ec2:AuthorizeSecurityGroupErgress |
Implementazione |
Creazione ed eliminazione del file system |
ec2:AuthorizeSecurityGroupIngress |
Implementazione |
Creazione ed eliminazione del file system |
|
Il ruolo concesso fornisce la comunicazione tra FSX per ONTAP e altri servizi AWS |
iam:CreateServiceEnumerRole |
Implementazione |
Creazione ed eliminazione del file system |
Scopri come compilare il modulo di implementazione del file system FSX per ONTAP |
ec2:DescripteVpcs |
|
Creazione ed eliminazione del file system |
ec2:DescripteSubnet |
|
Creazione ed eliminazione del file system |
|
ec2:DescripteSecurityGroups |
|
Creazione ed eliminazione del file system |
|
ec2:DescripteRouteTable |
|
Creazione ed eliminazione del file system |
|
ec2:DescripteNetworkInterfaces |
|
Creazione ed eliminazione del file system |
|
EC2:DescribeVolumeStatus |
|
Creazione ed eliminazione del file system |
|
Ottieni dettagli chiave KMS e utilizza la crittografia per FSX for ONTAP |
Km: CreateGrant |
Implementazione |
Creazione ed eliminazione del file system |
Km: DescribeKey |
Implementazione |
Creazione ed eliminazione del file system |
|
Km:ListKeys |
Implementazione |
Creazione ed eliminazione del file system |
|
Km:ListAlias |
Implementazione |
Creazione ed eliminazione del file system |
|
Ottieni dettagli del volume per istanze EC2 |
ec2:DescripteVolumes |
|
Visualizzazione, pianificazione e analisi |
Ottieni dettagli per EC2 istanze |
ec2:DescripbeInstances |
Scopri i risparmi |
Visualizzazione, pianificazione e analisi |
Descrivi Elastic file System nel calcolatore del risparmio |
Elasticfilesystem:Descrivi i filesystem |
Scopri i risparmi |
Visualizzazione, pianificazione e analisi |
Elenca i tag per le risorse di FSX per ONTAP |
fsx:ListTagsForResource |
Inventario |
Visualizzazione, pianificazione e analisi |
Gestire l'uscita e l'ingresso dei gruppi di sicurezza per un file system FSX per ONTAP |
ec2:RevokeSecurityGroupIngress |
Operazioni di gestione |
Creazione ed eliminazione del file system |
ec2: Revoca SecurityGroupEgress |
Operazioni di gestione |
Creazione ed eliminazione del file system |
|
ec2:DeleteSecurityGroup |
Operazioni di gestione |
Creazione ed eliminazione del file system |
|
Crea, visualizza e gestisci risorse di file system FSX per ONTAP |
fsx:CreateVolume |
Operazioni di gestione |
Operazioni e bonifica |
FSX:TagResource |
Operazioni di gestione |
Operazioni e bonifica |
|
fsx:CreateStorageVirtualMachine |
Operazioni di gestione |
Creazione ed eliminazione del file system |
|
fsx:EliminaFileSystem |
Operazioni di gestione |
Creazione ed eliminazione del file system |
|
fsx:DeleteStorageVirtualMachine |
Operazioni di gestione |
Visualizzazione, pianificazione e analisi |
|
fsx:DescribeFileSystems |
Inventario |
Visualizzazione, pianificazione e analisi |
|
fsx:DescribeStorageVirtualMachines |
Inventario |
Visualizzazione, pianificazione e analisi |
|
fsx:DescribeSharedVpcConfiguration |
Inventario |
Visualizzazione, pianificazione e analisi |
|
fsx:AggiornaFileSystem |
Operazioni di gestione |
Operazioni e bonifica |
|
fsx:UpdateStorageVirtualMachine |
Operazioni di gestione |
Operazioni e bonifica |
|
fsx:DescribeVolumes |
Inventario |
Visualizzazione, pianificazione e analisi |
|
fsx:UpdateVolume |
Operazioni di gestione |
Operazioni e bonifica |
|
fsx:EliminaVolume |
Operazioni di gestione |
Operazioni e bonifica |
|
fsx:UntagResource |
Operazioni di gestione |
Operazioni e bonifica |
|
fsx:DescribeBackups |
Operazioni di gestione |
Visualizzazione, pianificazione e analisi |
|
fsx:CreaBackup |
Operazioni di gestione |
Operazioni e bonifica |
|
fsx:CreaVolumeDaBackup |
Operazioni di gestione |
Operazioni e bonifica |
|
fsx:EliminaBackup |
Operazioni di gestione |
Operazioni e bonifica |
|
Ottieni metriche su file system e volumi |
Cloudwatch:GetMetricData |
Operazioni di gestione |
Visualizzazione, pianificazione e analisi |
Cloudwatch:GetMetricStatistics |
Operazioni di gestione |
Visualizzazione, pianificazione e analisi |
|
Simula le operazioni del carico di lavoro per validare le autorizzazioni disponibili e confrontarle con le autorizzazioni necessarie per gli account AWS |
iam:SimulatePrincipalPolicy |
Implementazione |
Tutto |
Recupera FSx per gli eventi ONTAP EMS |
Bedrock:ListInferenceProfiles |
FSx per l'analisi ONTAP EMS |
Operazioni e bonifica |
bedrock:GetInferenceProfile |
FSx per l'analisi ONTAP EMS |
Operazioni e bonifica |
|
bedrock:InvokeModelWihResponseStream |
FSx per l'analisi ONTAP EMS |
Operazioni e bonifica |
|
Bedrock:InvokeModel |
FSx per l'analisi ONTAP EMS |
Operazioni e bonifica |
|
Ottieni dati sui costi e sull'utilizzo per i file system FSx for ONTAP da AWS Cost Explorer |
ce:GetCostAndUsage |
Analisi dei costi e dell'utilizzo |
Visualizzazione, pianificazione e analisi |
ce:OttieniTag |
Analisi dei costi e dell'utilizzo |
Visualizzazione, pianificazione e analisi |
Autorizzazioni per i carichi di lavoro del database
I criteri IAM disponibili per i carichi di lavoro del database forniscono le autorizzazioni di cui Workload Factory ha bisogno per gestire risorse e processi all'interno del tuo ambiente cloud pubblico.
I database dispongono delle seguenti policy di autorizzazione tra cui scegliere:
-
Visualizzazione, pianificazione e analisi: visualizza l'inventario delle risorse del database, scopri lo stato di salute delle tue risorse, esamina l'analisi ben progettata per le configurazioni del tuo database ed esplora i risparmi, ottieni l'analisi del registro degli errori ed esplora i risparmi.
-
Operazioni e risoluzione: esegui attività operative per le risorse del database e risolvi problemi per le configurazioni del database e per l'archiviazione del file system FSx for ONTAP sottostante.
-
Creazione dell'host del database: distribuire gli host del database e il file system FSx sottostante per l'archiviazione ONTAP secondo le best practice.
Selezionare la modalità operativa per visualizzare i criteri IAM richiesti:
Criteri IAM per i carichi di lavoro del database
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource",
"logs:DescribeLogGroups",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
}
]
}[
{
"Sid": "FSxRemediation",
"Effect": "Allow",
"Action": [
"fsx:UpdateFileSystem",
"fsx:UpdateVolume"
],
"Resource": "*"
},
{
"Sid": "EC2Remediation",
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:ModifyInstanceAttribute",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
}
]{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CreationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ValidateTemplate",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:RunInstances",
"ec2:DescribeTags",
"ec2:DescribeLaunchTemplates",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:DescribeFileSystemAliases",
"kms:CreateGrant",
"kms:DescribeCustomKeyStores",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"sns:Publish",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
}
]
}Nella tabella seguente vengono visualizzate le autorizzazioni per i carichi di lavoro del database.
Tabella delle autorizzazioni per i carichi di lavoro del database
| Scopo | Azione | Dove usato | Politica di autorizzazione |
|---|---|---|---|
Ottieni statistiche metriche per FSx per ONTAP, EBS e FSx per Windows File Server e per consigli sull'ottimizzazione del calcolo |
Cloudwatch:GetMetricStatistics |
|
Visualizzazione, pianificazione e analisi |
Raccogli i parametri delle prestazioni salvati su Amazon CloudWatch dai nodi SQL registrati. I dati vengono generati in grafici di tendenza delle prestazioni nella schermata di gestione delle istanze SQL registrate. |
Cloudwatch:GetMetricData |
Inventario |
Visualizzazione, pianificazione e analisi |
Ottieni dettagli per EC2 istanze |
ec2:DescripbeInstances |
|
Visualizzazione, pianificazione e analisi |
ec2:DescripteKeyPairs |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
ec2:DescripteNetworkInterfaces |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
EC2:DescribeInstanceTypes |
|
Visualizzazione, pianificazione e analisi |
|
Ottieni i dettagli da compilare nel modulo di distribuzione di FSX per ONTAP |
ec2:DescripteVpcs |
|
Visualizzazione, pianificazione e analisi |
ec2:DescripteSubnet |
|
Visualizzazione, pianificazione e analisi |
|
ec2:DescripteSecurityGroups |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
ec2:DescripteImages |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
ec2:DescripteRegions |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
ec2:DescripteRouteTable |
|
Visualizzazione, pianificazione e analisi |
|
Ottieni qualsiasi endpoint VPC esistente per determinare se è necessario creare nuovi endpoint prima delle implementazioni |
ec2:DescripteVpcEndpoint |
|
Visualizzazione, pianificazione e analisi |
Creare endpoint VPC se non esistono per i servizi richiesti indipendentemente dalla connettività di rete pubblica sulle istanze EC2 |
EC2:CreateVpcEndpoint |
Implementazione |
Creazione dell'host del database |
Ottieni tipi di istanza disponibili nella regione per i nodi di convalida (t2.micro/t3.micro) |
EC2:DescribeInstanceTypeOfferings |
Implementazione |
Visualizzazione, pianificazione e analisi |
Ottieni i dettagli snapshot di ogni volume EBS collegato per ottenere prezzi e stime di risparmio |
ec2:DescripteSnapshot |
Scopri i risparmi |
Visualizzazione, pianificazione e analisi |
Ottieni dettagli su ogni volume EBS collegato per ottenere prezzi e stime di risparmio |
ec2:DescripteVolumes |
|
Visualizzazione, pianificazione e analisi |
Ottieni i dettagli delle chiavi KMS per la crittografia del file system FSX per ONTAP |
Km:ListAlias |
Implementazione |
Visualizzazione, pianificazione e analisi |
Km:ListKeys |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
Km: DescribeKey |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
Ottenere l'elenco degli stack di CloudFormation in esecuzione nell'ambiente per controllare il limite di quota |
Cloudformation:ListStack |
Implementazione |
Visualizzazione, pianificazione e analisi |
Controllare i limiti degli account per le risorse prima di attivare la distribuzione |
Formazione del cloud:DescribeAccountLimits |
Implementazione |
Visualizzazione, pianificazione e analisi |
Ottieni un elenco delle Active Directory gestite da AWS nella regione |
ds:DescribeDirectories |
Implementazione |
Visualizzazione, pianificazione e analisi |
Ottieni elenchi e dettagli di volumi, backup, SVM, file system in zone e tag per FSX per il file system ONTAP |
fsx:DescribeVolumes |
|
Visualizzazione, pianificazione e analisi |
fsx:DescribeBackups |
|
Visualizzazione, pianificazione e analisi |
|
fsx:DescribeStorageVirtualMachines |
|
Visualizzazione, pianificazione e analisi |
|
fsx:DescribeFileSystems |
|
Visualizzazione, pianificazione e analisi |
|
fsx:ListTagsForResource |
Gestire le operazioni |
Visualizzazione, pianificazione e analisi |
|
Ottieni limiti di quota del servizio per CloudFormation e VPC / Crea segreti in un account utente per le credenziali fornite per SQL, dominio e FSx per ONTAP |
Services equotas:ListServiceQuotas |
Implementazione |
Visualizzazione, pianificazione e analisi |
Utilizzare la query basata su SSM per ottenere l'elenco aggiornato delle aree supportate da FSX per ONTAP |
ssm:GetParametersByPath |
Implementazione |
Visualizzazione, pianificazione e analisi |
Esegui il polling per la risposta SSM dopo l'invio del comando per gestire le operazioni dopo la distribuzione |
ssm:GetCommandInvocation |
|
Visualizzazione, pianificazione e analisi |
Invia comandi tramite SSM alle istanze EC2 per l'individuazione e la gestione |
ssm:SendCommand |
|
Visualizzazione, pianificazione e analisi |
Ottenere lo stato di connettività SSM sulle istanze dopo la distribuzione |
ssm:GetConnectionStatus |
|
Visualizzazione, pianificazione e analisi |
Recupero dello stato di associazione SSM per un gruppo di istanze EC2 gestite (nodi SQL) |
ssm:DescribeInstanceInformation |
Inventario |
Visualizzazione, pianificazione e analisi |
Consultare l'elenco delle linee di base delle patch disponibili per la valutazione delle patch del sistema operativo |
ssm:DescribePatchBaselines |
Ottimizzazione |
Visualizzazione, pianificazione e analisi |
Ottenere lo stato di applicazione delle patch nelle istanze di Windows EC2 per la valutazione delle patch del sistema operativo |
ssm:DescribeInstancePatchStates |
Ottimizzazione |
Visualizzazione, pianificazione e analisi |
Elenca comandi eseguiti da AWS Patch Manager su istanze EC2 per la gestione delle patch del sistema operativo |
ssm:ListCommander |
Ottimizzazione |
Visualizzazione, pianificazione e analisi |
Verifica se l'account è registrato in AWS Compute Optimizer |
Compute-Optimizer:GetEnrollmentStatus |
|
Creazione dell'host del database |
Aggiornare una preferenza di raccomandazione esistente in AWS Compute Optimizer per personalizzare i suggerimenti per i carichi di lavoro di SQL Server |
Compute-Optimizer:RecommendationPreferences |
|
Creazione dell'host del database |
AWS Compute Optimizer offre le preferenze dei consigli in vigore per una determinata risorsa |
Compute-Optimizer:GetEffectiveRecommendationPreferences |
|
Creazione dell'host del database |
Recupera consigli generati da AWS Compute Optimizer per le istanze di Amazon Elastic Compute Cloud (Amazon EC2) |
Compute-Optimizer:GetEC2InstanceRecommendations |
|
Creazione dell'host del database |
Controllare l'associazione di esempio ai gruppi di ridimensionamento automatico |
Ridimensionamento automatico:DescribeAutoScalingGroups |
|
Creazione dell'host del database |
Ridimensionamento automatico:DescribeAutoScalingInstances |
|
Creazione dell'host del database |
|
Ottieni, elenca, crea ed elimina i parametri SSM per le credenziali utente ad, FSX per ONTAP e SQL utilizzate durante l'implementazione o gestite nell'account AWS |
ssm:getParameter 1 |
|
Visualizzazione, pianificazione e analisi |
ssm:GetParameters 1 |
|
Visualizzazione, pianificazione e analisi |
|
ssm:PutParameter 1 |
|
Visualizzazione, pianificazione e analisi |
|
ssm:DeleteParameters 1 |
|
Visualizzazione, pianificazione e analisi |
|
Associare le risorse di rete ai nodi SQL e ai nodi di convalida e aggiungere ulteriori IP secondari ai nodi SQL |
EC2:AllocateAddress 1 |
Implementazione |
Creazione dell'host del database |
EC2:AllocateHosts 1 |
Implementazione |
Creazione dell'host del database |
|
EC2:AssignPrivateIpAddresses 1 |
Implementazione |
Creazione dell'host del database |
|
EC2:AssociateAddress 1 |
Implementazione |
Creazione dell'host del database |
|
EC2:AssociateRouteTable 1 |
Implementazione |
Creazione dell'host del database |
|
EC2:AssociateSubnetCidrBlock 1 |
Implementazione |
Creazione dell'host del database |
|
EC2:AssociateVpcCidrBlock 1 |
Implementazione |
Creazione dell'host del database |
|
EC2:AttachInternetGateway 1 |
Implementazione |
Creazione dell'host del database |
|
EC2:AttachNetworkInterface 1 |
Implementazione |
Creazione dell'host del database |
|
Possibilità di collegare i volumi EBS richiesti ai nodi SQL per l'implementazione |
ec2:AttachVolume |
Implementazione |
Creazione dell'host del database |
Collega gruppi di sicurezza e modifica le regole alle istanze EC2 fornite |
ec2:AuthorizeSecurityGroupErgress |
Implementazione |
Creazione dell'host del database |
ec2:AuthorizeSecurityGroupIngress |
Implementazione |
Creazione dell'host del database |
|
Creare volumi EBS richiesti ai nodi SQL per l'implementazione |
ec2:CreateVolume |
Implementazione |
Creazione dell'host del database |
Rimuovere i nodi di convalida temporanea creati di tipo t2.micro e per il rollback o il nuovo tentativo di nodi SQL EC2 non riusciti |
ec2:DeleteNetworkInterface |
Implementazione |
Creazione dell'host del database |
ec2:DeleteSecurityGroup |
Implementazione |
Creazione dell'host del database |
|
ec2:DeleteMags |
Implementazione |
Creazione dell'host del database |
|
ec2:DeleteVolume |
Implementazione |
Creazione dell'host del database |
|
EC2:DetachNetworkInterface |
Implementazione |
Creazione dell'host del database |
|
ec2:DetachVolume |
Implementazione |
Creazione dell'host del database |
|
EC2:DisassociateAddress |
Implementazione |
Creazione dell'host del database |
|
ec2:DisassociateIamInstanceProfile |
Implementazione |
Creazione dell'host del database |
|
EC2:DisassociateRouteTable |
Implementazione |
Creazione dell'host del database |
|
EC2:DisassociateSubnetCidrBlock |
Implementazione |
Creazione dell'host del database |
|
EC2:DisassociateVpcCidrBlock |
Implementazione |
Creazione dell'host del database |
|
Modificare gli attributi per le istanze SQL create. Applicabile solo ai nomi che iniziano con WLMDB. |
ec2:ModifyInstanceAttribute |
Implementazione |
Operazioni e bonifica |
EC2:ModifyInstancePlacement |
Implementazione |
Creazione dell'host del database |
|
ec2:ModifyNetworkInterfaceAttribute |
Implementazione |
Creazione dell'host del database |
|
EC2:ModifySubnetAttribute |
Implementazione |
Creazione dell'host del database |
|
ec2:ModifyVolume |
Implementazione |
Creazione dell'host del database |
|
ec2:ModifyVolumeAttribute |
Implementazione |
Creazione dell'host del database |
|
EC2:ModifyVpcAttribute |
Implementazione |
Creazione dell'host del database |
|
Dissociare e distruggere le istanze di convalida |
EC2:ReleaseAddress |
Implementazione |
Creazione dell'host del database |
EC2:ReplaceRoute |
Implementazione |
Creazione dell'host del database |
|
EC2:ReplaceRouteTableAssociation |
Implementazione |
Creazione dell'host del database |
|
ec2:RevokeSecurityGroupErgress |
Implementazione |
Creazione dell'host del database |
|
ec2:RevokeSecurityGroupIngress |
Implementazione |
Creazione dell'host del database |
|
Avviare le istanze distribuite |
ec2:StartInstances |
Implementazione |
Operazioni e bonifica |
Arrestare le istanze distribuite |
ec2:StopInstances |
Implementazione |
Operazioni e bonifica |
Contrassegnare i valori personalizzati per le risorse Amazon FSX per NetApp ONTAP create da WLMDB per ottenere i dettagli di fatturazione durante la gestione delle risorse |
fsx:TagResource 1 |
|
Creazione dell'host del database |
Creare e convalidare il modello CloudFormation per la distribuzione |
Cloud formation: CreateStack |
Implementazione |
Creazione dell'host del database |
Cloudformation:DescripbeStackEvents |
Implementazione |
Creazione dell'host del database |
|
Cloudformation:DescripteStack |
Implementazione |
Creazione dell'host del database |
|
Cloudformation:ListStack |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
Cloud formation:ValidateTemplate |
Implementazione |
Creazione dell'host del database |
|
Creare modelli di stack nidificati per riprovare e ripristinare |
EC2:CreateLaunchTemplate |
Implementazione |
Creazione dell'host del database |
EC2:CreateLaunchTemplateVersion |
Implementazione |
Creazione dell'host del database |
|
Gestire i tag e la sicurezza di rete sulle istanze create |
ec2:CreateNetworkInterface |
Implementazione |
Creazione dell'host del database |
ec2:CreateSecurityGroup |
Implementazione |
Creazione dell'host del database |
|
ec2:CreateTag |
Implementazione |
Creazione dell'host del database |
|
Ottieni dettagli delle istanze per il provisioning |
ec2:DescriviIndirizzi |
Implementazione |
Visualizzazione, pianificazione e analisi |
ec2:DescribeLaunchTemplates |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
Avviare le istanze create |
ec2:RunInstances |
Implementazione |
Creazione dell'host del database |
Crea risorse FSX per ONTAP richieste per il provisioning. Per i sistemi esistenti di FSX per ONTAP, viene creata una nuova SVM per ospitare i volumi SQL. |
fsx:CreateFileSystem |
Implementazione |
Creazione dell'host del database |
fsx:CreateStorageVirtualMachine |
Implementazione |
Creazione dell'host del database |
|
fsx:CreateVolume |
|
Creazione dell'host del database |
|
Ottieni i dettagli di FSX per ONTAP |
fsx:DescribeFileSystemAliases |
Implementazione |
Creazione dell'host del database |
Ridimensiona FSX per il file system ONTAP per rimediare allo spazio a disposizione del file system |
fsx:Updatefilesystem |
Ottimizzazione |
Operazioni e bonifica |
Ridimensionamento dei volumi per correggere le dimensioni dei dischi di log e TempDB |
fsx:UpdateVolume |
Ottimizzazione |
Operazioni e bonifica |
Ottieni dettagli chiave KMS e utilizza la crittografia per FSX for ONTAP |
Km: CreateGrant |
Implementazione |
Creazione dell'host del database |
kms:DescribeCustomKeyStores |
Implementazione |
Creazione dell'host del database |
|
Km:GenerateDataKey |
Implementazione |
Creazione dell'host del database |
|
Creare log di CloudWatch per la convalida e il provisioning di script in esecuzione su istanze EC2 |
Registri:CreateLogGroup |
Implementazione |
Creazione dell'host del database |
Registri:CreateLogStream |
Implementazione |
Creazione dell'host del database |
|
registri:GetLogGroupFields |
Implementazione |
Creazione dell'host del database |
|
registri:GetLogRecord |
Implementazione |
Creazione dell'host del database |
|
Registri:ListLogDeliveries |
Implementazione |
Creazione dell'host del database |
|
Registri:PutLogEvents |
|
Creazione dell'host del database |
|
Registri:TagResource |
Implementazione |
Creazione dell'host del database |
|
Workload Factory passa ai log di Amazon CloudWatch per l'istanza SQL quando rileva un troncamento dell'output SSM |
Registri:GetLogEvents |
|
Visualizzazione, pianificazione e analisi |
Consenti a Workload Factory di ottenere i gruppi di log correnti e verifica che la conservazione sia impostata per i gruppi di log creati da Workload Factory |
Registri:DescribeLogGroups |
|
Visualizzazione, pianificazione e analisi |
Consenti a Workload Factory di impostare un criterio di conservazione di un giorno per i gruppi di log creati da Workload Factory per evitare un accumulo non necessario di flussi di log per gli output dei comandi SSM |
Registri:PutRetentionPolicy |
|
Visualizzazione, pianificazione e analisi |
Elencare gli argomenti SNS dei clienti e pubblicarli su SNS back-end WLMDB e SNS dei clienti, se selezionati |
sns:ListTopics |
Implementazione |
Visualizzazione, pianificazione e analisi |
sns: Pubblica |
Implementazione |
Creazione dell'host del database |
|
Autorizzazioni SSM richieste per eseguire lo script di rilevamento sulle istanze SQL sottoposte a provisioning e per recuperare l'elenco più recente delle regioni AWS supportate da FSX per ONTAP. |
ssm: PutComplianceItems |
Implementazione |
Creazione dell'host del database |
ssm:PutConfigurePackageResult |
Implementazione |
Creazione dell'host del database |
|
ssm:PutInventory |
Implementazione |
Creazione dell'host del database |
|
ssm:UpdateAssociationStatus |
Implementazione |
Creazione dell'host del database |
|
ssm:UpdateInstanceAssociationStatus |
Implementazione |
Creazione dell'host del database |
|
ssm:UpdateInstanceInformation |
Implementazione |
Creazione dell'host del database |
|
ssmmessages:CreateControlChannel |
Implementazione |
Creazione dell'host del database |
|
ssmmessages:CreateDataChannel |
Implementazione |
Creazione dell'host del database |
|
ssmmessages:OpenControlChannel |
Implementazione |
Creazione dell'host del database |
|
ssmmessages:OpenDataChannel |
Implementazione |
Creazione dell'host del database |
|
Segnala lo stack CloudFormation in caso di successo o errore. |
Formazione del cloud:SignalResource 1 |
Implementazione |
Creazione dell'host del database |
Aggiungere il ruolo EC2 creato da modello al profilo di istanza di EC2 per consentire agli script di EC2 di accedere alle risorse necessarie per la distribuzione. |
iam:AddRoleToInstanceProfile |
Implementazione |
Creazione dell'host del database |
Creare un profilo di istanza per EC2 e allegare il ruolo EC2 creato. |
iam:CreateInstanceProfile |
Implementazione |
Creazione dell'host del database |
Creare un ruolo EC2 tramite il modello con le autorizzazioni elencate di seguito |
iam: CreateRole |
Implementazione |
Creazione dell'host del database |
Creare un ruolo collegato al servizio EC2 |
iam:CreateServiceEnumerRole 2 |
Implementazione |
Creazione dell'host del database |
Eliminare il profilo di istanza creato durante la distribuzione specificamente per i nodi di convalida |
iam:DeleteInstanceProfile |
Implementazione |
Creazione dell'host del database |
Ottieni i dettagli del ruolo e della policy per determinare eventuali lacune nelle autorizzazioni e convalidare per la distribuzione |
iam:GetPolicy |
Implementazione |
Creazione dell'host del database |
iam:GetPolicyVersion |
Implementazione |
Creazione dell'host del database |
|
iam: GetRole |
Implementazione |
Creazione dell'host del database |
|
iam:GetRolePolicy |
Implementazione |
Creazione dell'host del database |
|
iam:GetUser |
Implementazione |
Creazione dell'host del database |
|
Passare il ruolo creato all'istanza EC2 |
iam:PassRole 3 |
Implementazione |
Creazione dell'host del database |
Aggiungere policy con autorizzazioni richieste al ruolo EC2 creato |
iam:PutRolePolicy |
Implementazione |
Creazione dell'host del database |
Scollega il ruolo dal profilo di istanza EC2 di cui è stato eseguito il provisioning |
iam:RemoveRoleFromInstanceProfile |
Implementazione |
Creazione dell'host del database |
Simula le operazioni del carico di lavoro per validare le autorizzazioni disponibili e confrontarle con le autorizzazioni necessarie per gli account AWS |
iam:SimulatePrincipalPolicy |
Implementazione |
Tutto |
Ottieni i modelli di base disponibili per l'analisi del registro degli errori |
Bedrock:GetFoundationModelAvailability |
Analisi del registro degli errori |
Visualizzazione, pianificazione e analisi |
Elenca i profili di interfaccia disponibili in Amazon Bedrock per l'analisi del registro degli errori |
Bedrock:ListInferenceProfiles |
Analisi del registro degli errori |
Visualizzazione, pianificazione e analisi |
-
L'autorizzazione è limitata alle risorse che iniziano con WLMDB.
-
"iam:CreateServiceEnumerRole" limitato da "iam:AWSServiceName": "ec2.amazonaws.com"*
-
"iam:PassRole" limitata da "iam:PassedToService": "ec2.amazonaws.com"*
Autorizzazioni per i carichi di lavoro Genai
I criteri IAM per i carichi di lavoro VMware forniscono le autorizzazioni di cui Workload Factory per VMware ha bisogno per gestire risorse e processi all'interno dell'ambiente cloud pubblico in base alla modalità operativa in cui si opera.
I criteri GenAI IAM sono disponibili solo con autorizzazioni di lettura/scrittura:
-
Lettura/Scrittura: esegue e automatizza le operazioni in AWS per tuo conto insieme alle credenziali assegnate che dispongono delle autorizzazioni necessarie e convalidate per l'esecuzione.
Policy IAM per i carichi di lavoro Genai
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}La tabella seguente fornisce dettagli sulle autorizzazioni per i carichi di lavoro GenAI.
Tabella delle autorizzazioni per i carichi di lavoro Genai
| Scopo | Azione | Dove usato | Politica di autorizzazione |
|---|---|---|---|
Crea uno stack di formazione cloud per un motore ai durante le operazioni di implementazione e ricostruzione |
Cloud formation: CreateStack |
Implementazione |
Lettura/scrittura |
Creare lo stack di formazione del cloud del motore ai |
Cloudformation:DescripteStack |
Implementazione |
Lettura/scrittura |
Elencare le regioni per la procedura guidata di implementazione del motore ai |
ec2:DescripteRegions |
Implementazione |
Lettura/scrittura |
Visualizzare le etichette del motore ai |
ec2:DescripteTag |
Implementazione |
Lettura/scrittura |
Elenca i bucket S3 |
s3:ListAllMyBucket |
Implementazione |
Lettura/scrittura |
Elenca gli endpoint VPC prima della creazione dello stack del motore ai |
EC2:CreateVpcEndpoint |
Implementazione |
Lettura/scrittura |
Creare un gruppo di sicurezza del motore ai durante la creazione dello stack del motore ai durante le operazioni di implementazione e ricostruzione |
ec2:CreateSecurityGroup |
Implementazione |
Lettura/scrittura |
Contrassegnare le risorse create dalla creazione di stack del motore ai durante le operazioni di implementazione e ricostruzione |
ec2:CreateTag |
Implementazione |
Lettura/scrittura |
Pubblicare gli eventi crittografati nel backend WLmai dallo stack del motore ai |
Km:GenerateDataKey |
Implementazione |
Lettura/scrittura |
Km:decrittografia |
Implementazione |
Lettura/scrittura |
|
Pubblicare eventi e risorse personalizzate sul backend WLmai dallo stack ai-Engine |
sns: Pubblica |
Implementazione |
Lettura/scrittura |
Elenca i VPC durante l'implementazione guidata del motore ai |
ec2:DescripteVpcs |
Implementazione |
Lettura/scrittura |
Elencare le subnet nella procedura guidata di implementazione del motore ai |
ec2:DescripteSubnet |
Implementazione |
Lettura/scrittura |
Ottenere tabelle di routing durante la distribuzione e la ricostruzione del motore ai |
ec2:DescripteRouteTable |
Implementazione |
Lettura/scrittura |
Elenca le coppie di chiavi durante l'implementazione guidata del motore ai |
ec2:DescripteKeyPairs |
Implementazione |
Lettura/scrittura |
Elencare i gruppi di sicurezza durante la creazione dello stack del motore ai (per trovare gruppi di sicurezza sugli endpoint privati) |
ec2:DescripteSecurityGroups |
Implementazione |
Lettura/scrittura |
Ottieni endpoint VPC per determinare se crearne uno durante l'implementazione del motore ai |
ec2:DescripteVpcEndpoint |
Implementazione |
Lettura/scrittura |
Elencare le applicazioni aziendali Amazon Q |
Qbusiness:ListApplications |
Implementazione |
Lettura/scrittura |
Elencare le istanze per scoprire lo stato del motore ai |
ec2:DescripbeInstances |
Risoluzione dei problemi |
Lettura/scrittura |
Elenca le immagini durante la creazione dello stack del motore ai durante le operazioni di implementazione e ricostruzione |
ec2:DescripteImages |
Implementazione |
Lettura/scrittura |
Creare e aggiornare l'istanza ai e il gruppo di sicurezza dell'endpoint privato durante la creazione dello stack dell'istanza ai durante le operazioni di distribuzione e ricostruzione |
ec2:RevokeSecurityGroupErgress |
Implementazione |
Lettura/scrittura |
ec2:RevokeSecurityGroupIngress |
Implementazione |
Lettura/scrittura |
|
Esegui un motore ai durante la creazione di uno stack di formazione del cloud durante le operazioni di implementazione e ricostruzione |
ec2:RunInstances |
Implementazione |
Lettura/scrittura |
Collegare il gruppo di sicurezza e modificare le regole per il motore ai durante la creazione dello stack durante le operazioni di distribuzione e ricostruzione |
ec2:AuthorizeSecurityGroupErgress |
Implementazione |
Lettura/scrittura |
ec2:AuthorizeSecurityGroupIngress |
Implementazione |
Lettura/scrittura |
|
Avviare una richiesta di chat su uno dei modelli di base |
Bedrock:InvokeModelWithResponseStream |
Implementazione |
Lettura/scrittura |
Inizia la richiesta di chat/integrazione per i modelli di base |
Bedrock:InvokeModel |
Implementazione |
Lettura/scrittura |
Mostra i modelli di base disponibili in una regione |
Bedrock:ListFoundationModels |
Implementazione |
Lettura/scrittura |
Ottieni informazioni su un modello di base |
Bedrock:GetFoundationModel |
Implementazione |
Lettura/scrittura |
Verifica dell'accesso al modello di base |
Bedrock:GetFoundationModelAvailability |
Implementazione |
Lettura/scrittura |
Verifica la necessità di creare un gruppo di log Amazon CloudWatch durante le operazioni di distribuzione e ricostruzione |
Registri:DescribeLogGroups |
Implementazione |
Lettura/scrittura |
Ottieni regioni che supportano FSX e Amazon Bedrock durante la procedura guidata del motore di ai |
ssm:GetParametersByPath |
Implementazione |
Lettura/scrittura |
Ottieni l'ultima immagine di Amazon Linux per l'implementazione del motore ai durante le operazioni di implementazione e ricostruzione |
ssm:GetParameters |
Implementazione |
Lettura/scrittura |
Ottenere la risposta SSM dal comando inviato al motore ai |
ssm:GetCommandInvocation |
Implementazione |
Lettura/scrittura |
Controllare il collegamento SSM al motore ai |
ssm:SendCommand |
Implementazione |
Lettura/scrittura |
ssm:GetConnectionStatus |
Implementazione |
Lettura/scrittura |
|
Creare un profilo di istanza del motore ai durante la creazione dello stack durante le operazioni di implementazione e ricostruzione |
iam: CreateRole |
Implementazione |
Lettura/scrittura |
iam:CreateInstanceProfile |
Implementazione |
Lettura/scrittura |
|
iam:AddRoleToInstanceProfile |
Implementazione |
Lettura/scrittura |
|
iam:PutRolePolicy |
Implementazione |
Lettura/scrittura |
|
iam:GetRolePolicy |
Implementazione |
Lettura/scrittura |
|
iam: GetRole |
Implementazione |
Lettura/scrittura |
|
iam: TagRole |
Implementazione |
Lettura/scrittura |
|
iam: PassRole |
Implementazione |
Lettura/scrittura |
|
Simula le operazioni del carico di lavoro per validare le autorizzazioni disponibili e confrontarle con le autorizzazioni necessarie per gli account AWS |
iam:SimulatePrincipalPolicy |
Implementazione |
Lettura/scrittura |
Elenca file system FSX per ONTAP durante la procedura guidata "Crea knowledgebase" |
fsx:DescribeVolumes |
Creazione di una Knowledge base |
Lettura/scrittura |
Elencare FSX per i volumi del file system ONTAP durante la procedura guidata "Crea knowledgebase" |
fsx:DescribeFileSystems |
Creazione di una Knowledge base |
Lettura/scrittura |
Gestire knowledge base sul motore ai durante le operazioni di ricostruzione |
fsx:ListTagsForResource |
Risoluzione dei problemi |
Lettura/scrittura |
Elenca FSX per le macchine virtuali di storage del file system ONTAP durante la procedura guidata "Crea knowledgebase" |
fsx:DescribeStorageVirtualMachines |
Implementazione |
Lettura/scrittura |
Spostare la knowledgebase in una nuova istanza |
fsx:UntagResource |
Risoluzione dei problemi |
Lettura/scrittura |
Gestire la knowledgebase sul motore ai durante la ricostruzione |
FSX:TagResource |
Risoluzione dei problemi |
Lettura/scrittura |
Salvare i segreti SSM (token ECR, credenziali CIFS, chiavi degli account del servizio di locazione) in modo sicuro |
ssm:getParameter |
Implementazione |
Lettura/scrittura |
ssm: Parametro di PutMeter |
Implementazione |
Lettura/scrittura |
|
Invia i log del motore ai al gruppo di log di Amazon CloudWatch durante le operazioni di implementazione e ricostruzione |
Registri:CreateLogGroup |
Implementazione |
Lettura/scrittura |
Registri:PutRetentionPolicy |
Implementazione |
Lettura/scrittura |
|
Inviare i registri del motore ai al gruppo di log di Amazon CloudWatch |
Registri:TagResource |
Risoluzione dei problemi |
Lettura/scrittura |
Ottieni la risposta SSM da Amazon CloudWatch (quando la risposta è troppo lunga) |
Registri:DescribeLogStreams |
Risoluzione dei problemi |
Lettura/scrittura |
Ottieni la risposta SSM da Amazon CloudWatch |
Registri:GetLogEvents |
Risoluzione dei problemi |
Lettura/scrittura |
Creare un gruppo di log Amazon CloudWatch per i registri Amazon Bedrock durante la creazione dello stack durante le operazioni di distribuzione e ricostruzione |
Registri:CreateLogGroup |
Implementazione |
Lettura/scrittura |
Registri:PutRetentionPolicy |
Implementazione |
Lettura/scrittura |
|
Registri:TagResource |
Implementazione |
Lettura/scrittura |
|
Elenca profili di deduzione per il modello |
Bedrock:ListInferenceProfiles |
Risoluzione dei problemi |
Lettura/scrittura |
Autorizzazioni per i carichi di lavoro VMware
Per i carichi di lavoro VMware è possibile scegliere tra le seguenti policy di autorizzazione:
-
Visualizzazione, pianificazione e analisi: visualizza l'inventario degli ambienti di virtualizzazione EVS, ottieni un'analisi ben progettata per i tuoi sistemi ed esplora i risparmi.
-
Distribuzione e connettività del datastore: distribuisci i layout VM consigliati sui cluster Amazon EVS, Amazon EC2 o VMware Cloud su AWS vSphere e utilizza i file system Amazon FSx for NetApp ONTAP personalizzati come datastore esterni.
Selezionare la policy di autorizzazione per visualizzare le policy IAM richieste:
Criteri IAM per i carichi di lavoro VMware
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeDhcpOptions",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"secretsmanager:ListSecrets",
"evs:ListEnvironments",
"evs:GetEnvironment",
"evs:ListEnvironmentVlans"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Nella tabella seguente vengono forniti dettagli sulle autorizzazioni per i carichi di lavoro VMware.
Tabella delle autorizzazioni per i carichi di lavoro VMware
| Scopo | Azione | Dove usato | Politica di autorizzazione |
|---|---|---|---|
Collegare i gruppi di sicurezza e modificare le regole per i nodi sottoposti a provisioning |
ec2:AuthorizeSecurityGroupIngress |
Implementazione |
Distribuzione e connettività del datastore |
Creare volumi EBS |
fsx:CreateVolume |
Implementazione |
Distribuzione e connettività del datastore |
Contrassegna i valori personalizzati per le risorse FSX per NetApp ONTAP create da carichi di lavoro VMware |
FSX:TagResource |
Implementazione |
Distribuzione e connettività del datastore |
Creare e convalidare il modello CloudFormation |
Cloud formation: CreateStack |
Implementazione |
Distribuzione e connettività del datastore |
Gestire i tag e la sicurezza di rete sulle istanze create |
ec2:CreateSecurityGroup |
Implementazione |
Distribuzione e connettività del datastore |
Avviare le istanze create |
ec2:RunInstances |
Implementazione |
Distribuzione e connettività del datastore |
Ottieni dettagli sull'istanza di EC2 |
ec2:DescripbeInstances |
Inventario |
Distribuzione e connettività del datastore |
Elencare le immagini durante la creazione dello stack durante le operazioni di distribuzione e ricostruzione |
ec2:DescripteImages |
Inventario |
Distribuzione e connettività del datastore |
Visualizza i dettagli di configurazione dei set di opzioni DHCP associati alle VPC |
ec2:DescriviDhcpOptions |
Inventario |
Visualizzazione, pianificazione e analisi |
Scaricare i VPC nell'ambiente selezionato per completare il modulo di distribuzione |
ec2:DescripteVpcs |
|
Visualizzazione, pianificazione e analisi |
Ottenere le subnet nell'ambiente selezionato per completare il modulo di distribuzione |
ec2:DescripteSubnet |
|
Visualizzazione, pianificazione e analisi |
Ottenere i gruppi di protezione nell'ambiente selezionato per completare il modulo di distribuzione |
ec2:DescripteSecurityGroups |
Implementazione |
Visualizzazione, pianificazione e analisi |
Ottieni le zone di disponibilità in un ambiente selezionato |
EC2:DescribeAvailabilityZones |
|
Visualizzazione, pianificazione e analisi |
Ottieni le regioni con il supporto di Amazon FSX per NetApp ONTAP |
ec2:DescripteRegions |
Implementazione |
Visualizzazione, pianificazione e analisi |
Ottieni gli alias delle chiavi KMS da utilizzare per la crittografia Amazon FSX per NetApp ONTAP |
Km:ListAlias |
Implementazione |
Visualizzazione, pianificazione e analisi |
Ottieni le chiavi KMS da utilizzare per la crittografia di Amazon FSX per NetApp ONTAP |
Km:ListKeys |
Implementazione |
Visualizzazione, pianificazione e analisi |
Ottieni i dettagli sulla scadenza delle chiavi KMS da utilizzare per la crittografia di Amazon FSX per NetApp ONTAP |
Km: DescribeKey |
Implementazione |
Visualizzazione, pianificazione e analisi |
Elenca i segreti in AWS Secrets Manager |
secretmanager:ListSecrets |
Inventario |
Visualizzazione, pianificazione e analisi |
Ottieni un elenco di ambienti da Amazon EVS |
evs:ListEnvironments |
Inventario |
Visualizzazione, pianificazione e analisi |
Ottieni informazioni dettagliate su uno specifico ambiente Amazon EVS |
evs:GetEnvironment |
Inventario |
Visualizzazione, pianificazione e analisi |
Elenca le VLAN associate a un ambiente Amazon EVS |
evs:ListEnvironmentVlans |
Inventario |
Visualizzazione, pianificazione e analisi |
Crea le risorse Amazon FSX per NetApp ONTAP necessarie per il provisioning |
fsx:CreateFileSystem |
Implementazione |
Distribuzione e connettività del datastore |
fsx:CreateStorageVirtualMachine |
Implementazione |
Distribuzione e connettività del datastore |
|
fsx:CreateVolume |
|
Distribuzione e connettività del datastore |
|
Ottieni i dettagli di Amazon FSX per NetApp ONTAP |
fsx:descrivere* |
|
Distribuzione e connettività del datastore |
Ottieni i dettagli chiave del KMS e utilizza la crittografia per Amazon FSX per NetApp ONTAP |
Km: CreateGrant |
Implementazione |
Distribuzione e connettività del datastore |
Km:descrivere* |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
Km: Elenco* |
Implementazione |
Visualizzazione, pianificazione e analisi |
|
Km:decrittografia |
Implementazione |
Distribuzione e connettività del datastore |
|
Km:GenerateDataKey |
Implementazione |
Distribuzione e connettività del datastore |
|
Elencare gli argomenti SNS dei clienti e pubblicarli su SNS back-end WLMVMC e SNS dei clienti, se selezionati |
sns: Pubblica |
Implementazione |
Distribuzione e connettività del datastore |
Simula le operazioni del carico di lavoro per validare le autorizzazioni disponibili e confrontarle con le autorizzazioni necessarie per gli account AWS |
iam:SimulatePrincipalPolicy |
Implementazione |
|
Registro delle modifiche
Man mano che le autorizzazioni vengono aggiunte e rimosse, le annoteremo nelle sezioni seguenti.
27 novembre 2025
Sono state aggiunte le seguenti autorizzazioni al carico di lavoro Archiviazione:
-
bedrock:ListInferenceProfiles -
bedrock:GetInferenceProfile -
bedrock:InvokeModelWithResponseStream -
bedrock:InvokeModel
2 novembre 2025
I criteri di autorizzazione "sola lettura" e "lettura/scrittura" sono stati sostituiti nei carichi di lavoro di archiviazione, database e VMware per garantire maggiore granularità e flessibilità nell'assegnazione delle autorizzazioni.
5 ottobre 2025
Le seguenti autorizzazioni sono state rimosse da GenAI e ora sono gestite dal motore GenAI:
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
29 giugno 2025
La seguente autorizzazione è ora disponibile in modalità sola lettura per i database: cloudwatch:GetMetricData .
3 giugno 2025
La seguente autorizzazione è ora disponibile in modalità lettura/scrittura per GenAI: s3:ListAllMyBuckets .
4 maggio 2025
La seguente autorizzazione è ora disponibile in modalità lettura/scrittura per GenAI: qbusiness:ListApplications .
Le seguenti autorizzazioni sono ora disponibili in modalità sola lettura per i database:
-
logs:GetLogEvents -
logs:DescribeLogGroups
La seguente autorizzazione è ora disponibile in modalità lettura/scrittura per i database:
logs:PutRetentionPolicy .
2 aprile 2025
La seguente autorizzazione è ora disponibile in modalità sola lettura per i database: ssm:DescribeInstanceInformation .
30 marzo 2025
Aggiornamento delle autorizzazioni del carico di lavoro Genai
Le seguenti autorizzazioni sono ora disponibili in modalità lettura/scrittura per GenAI:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
La seguente autorizzazione è stata rimossa dalla modalità lettura/scrittura per GenAI: Bedrock:GetFoundationModel .
iam:aggiornamento delle autorizzazioni di SimulatePrincipalPolicy
IL iam:SimulatePrincipalPolicy l'autorizzazione fa parte di tutte le policy di autorizzazione del carico di lavoro se si abilita il controllo automatico delle autorizzazioni quando si aggiungono ulteriori credenziali dell'account AWS o si aggiunge una nuova funzionalità del carico di lavoro dalla console Workload Factory. L'autorizzazione simula le operazioni del carico di lavoro e verifica se si dispone delle autorizzazioni necessarie per l'account AWS prima di distribuire le risorse da Workload Factory. L'abilitazione di questo controllo riduce il tempo e lo sforzo necessari per ripulire le risorse dalle operazioni non riuscite e per aggiungere autorizzazioni mancanti.
2 marzo 2025
La seguente autorizzazione è ora disponibile in modalità lettura/scrittura per GenAI: bedrock:GetFoundationModel .
3 febbraio 2025
La seguente autorizzazione è ora disponibile in modalità sola lettura per i database: iam:SimulatePrincipalPolicy .