Autorizzazioni per la fabbrica del carico di lavoro BlueXP
Suggerisci modifiche
PDF
Per utilizzare i servizi e le funzionalità di fabbrica dei carichi di lavoro BlueXP , dovrai fornire le autorizzazioni necessarie affinché la fabbrica dei carichi di lavoro possa eseguire le operazioni nell'ambiente cloud.
Perché utilizzare le autorizzazioni
Quando si forniscono autorizzazioni in modalità sola lettura o lettura/scrittura, Workload Factory associa una policy all'istanza con le autorizzazioni per gestire risorse e processi all'interno di quell'account AWS. Ciò consente a workload factory di eseguire diverse operazioni a partire dal rilevamento degli ambienti storage, fino all'implementazione di risorse AWS, come file system nella gestione dello storage o knowledge base per i workload Genai.
Per i carichi di lavoro del database, ad esempio, quando viene concessa la fabbrica del carico di lavoro con le autorizzazioni richieste, analizza tutte le EC2 istanze di un determinato account e area e filtra tutte le macchine basate su Windows. Se AWS Systems Manager (SSM) Agent è installato e in esecuzione sull'host e la rete di System Manager è configurata correttamente, workload Factory può accedere al computer Windows e verificare se il software SQL Server è installato o meno.
Autorizzazioni per carico di lavoro
Ogni carico di lavoro utilizza le autorizzazioni per eseguire determinati task in fabbrica dei carichi di lavoro. Scorri fino al carico di lavoro utilizzato per visualizzare l'elenco delle autorizzazioni, il loro scopo, il luogo in cui vengono utilizzate e le modalità che le supportano.
Autorizzazioni per l'archiviazione
I criteri IAM disponibili per lo storage forniscono le autorizzazioni necessarie alla fabbrica dei carichi di lavoro per gestire le risorse e i processi nell'ambiente di cloud pubblico in base alla modalità operativa in cui operi.
Selezionare la modalità operativa per visualizzare i criteri IAM richiesti:
Criteri IAM per l'archiviazione
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:Describe*",
"fsx:ListTagsForResource",
"ec2:Describe*",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:*",
"ec2:Describe*",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"iam:CreateServiceLinkedRole",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"kms:CreateGrant",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"iam:SimulatePrincipalPolicy",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
}
]
}Nella tabella seguente vengono visualizzate le autorizzazioni per l'archiviazione.
Tabella delle autorizzazioni per l'archiviazione
| Scopo | Azione | Dove usato | Modalità |
|---|---|---|---|
Crea un file system FSX per ONTAP |
fsx:CreateFileSystem* |
Implementazione |
Lettura/scrittura |
Creare un gruppo di sicurezza per un file system FSX per ONTAP |
ec2:CreateSecurityGroup |
Implementazione |
Lettura/scrittura |
Aggiungere tag a un gruppo di sicurezza per un file system FSX per ONTAP |
ec2:CreateTag |
Implementazione |
Lettura/scrittura |
Autorizzare l'uscita e l'ingresso dei gruppi di sicurezza per un file system FSX per ONTAP |
ec2:AuthorizeSecurityGroupErgress |
Implementazione |
Lettura/scrittura |
ec2:AuthorizeSecurityGroupIngress |
Implementazione |
Lettura/scrittura |
|
Il ruolo concesso fornisce la comunicazione tra FSX per ONTAP e altri servizi AWS |
iam:CreateServiceEnumerRole |
Implementazione |
Lettura/scrittura |
Scopri come compilare il modulo di implementazione del file system FSX per ONTAP |
ec2:DescripteVpcs |
|
|
ec2:DescripteSubnet |
|
|
|
ec2:DescripteRegions |
|
|
|
ec2:DescripteSecurityGroups |
|
|
|
ec2:DescripteRouteTable |
|
|
|
ec2:DescripteNetworkInterfaces |
|
|
|
EC2:DescribeVolumeStatus |
|
|
|
Ottieni dettagli chiave KMS e utilizza la crittografia per FSX for ONTAP |
Km: CreateGrant |
Implementazione |
Lettura/scrittura |
Km:descrivere* |
Implementazione |
|
|
Km: Elenco* |
Implementazione |
|
|
Ottieni dettagli del volume per istanze EC2 |
ec2:DescripteVolumes |
|
|
Ottieni dettagli per EC2 istanze |
ec2:DescripbeInstances |
Scopri i risparmi |
|
Descrivi Elastic file System nel calcolatore del risparmio |
Elasticfilesystem:description* |
Scopri i risparmi |
Sola lettura |
Elenca i tag per le risorse di FSX per ONTAP |
fsx:ListTagsForResource |
Inventario |
|
Gestire l'uscita e l'ingresso dei gruppi di sicurezza per un file system FSX per ONTAP |
ec2:RevokeSecurityGroupIngress |
Operazioni di gestione |
Lettura/scrittura |
ec2:DeleteSecurityGroup |
Operazioni di gestione |
Lettura/scrittura |
|
Crea, visualizza e gestisci risorse di file system FSX per ONTAP |
fsx:CreateVolume* |
Operazioni di gestione |
Lettura/scrittura |
fsx:TagResource* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:CreateStorageVirtualMachine* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:DeleteFileSystem* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:DeleteStorageVirtualMachine* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:DescribeFileSystems* |
Inventario |
|
|
fsx:DescribeStorageVirtualMachines* |
Inventario |
|
|
fsx:UpdateFileSystem* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:UpdateStorageVirtualMachine* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:DescribeVolumes* |
Inventario |
|
|
fsx:UpdateVolume* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:DeleteVolume* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:UntagResource* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:DescribeBackups* |
Operazioni di gestione |
|
|
fsx:CreateBackup* |
Operazioni di gestione |
Lettura/scrittura |
|
fsx:CreateVolumeFromBackup* |
Operazioni di gestione |
Lettura/scrittura |
|
Segnala le metriche di CloudWatch |
Cloudwatch:PutMetricData |
Operazioni di gestione |
Lettura/scrittura |
Ottieni metriche su file system e volumi |
Cloudwatch:GetMetricData |
Operazioni di gestione |
|
Cloudwatch:GetMetricStatistics |
Operazioni di gestione |
|
Autorizzazioni per i carichi di lavoro del database
I criteri IAM disponibili per i carichi di lavoro del database forniscono le autorizzazioni di cui la fabbrica dei carichi di lavoro ha bisogno per gestire risorse e processi all'interno dell'ambiente cloud pubblico in base alla modalità operativa in cui si opera.
Selezionare la modalità operativa per visualizzare i criteri IAM richiesti:
Criteri IAM per i carichi di lavoro del database
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource"
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeAccountLimits",
"cloudwatch:GetMetricStatistics",
"ds:DescribeDirectories",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:Describe*",
"ec2:Get*",
"ec2:RunInstances",
"ec2:ModifyVpcAttribute",
"ec2messages:*",
"fsx:CreateFileSystem",
"fsx:UpdateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:UpdateVolume",
"fsx:Describe*",
"fsx:List*",
"kms:CreateGrant",
"kms:Describe*",
"kms:List*",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLog*",
"logs:GetLog*",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"logs:PutRetentionPolicy",
"servicequotas:ListServiceQuotas",
"sns:ListTopics",
"sns:Publish",
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:SendCommand",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:*",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole",
"iam:DeleteInstanceProfile",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": "*"
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Nella tabella seguente vengono visualizzate le autorizzazioni per i carichi di lavoro del database.
Tabella delle autorizzazioni per i carichi di lavoro del database
| Scopo | Azione | Dove usato | Modalità |
|---|---|---|---|
Ottieni statistiche metriche per FSx per ONTAP, EBS e FSx per Windows File Server e per consigli sull'ottimizzazione del calcolo |
Cloudwatch:GetMetricStatistics |
|
|
Raccogli i parametri delle prestazioni salvati su Amazon CloudWatch dai nodi SQL registrati. I dati vengono generati in grafici di tendenza delle prestazioni nella schermata di gestione delle istanze SQL registrate. |
Cloudwatch:GetMetricData |
Inventario |
Sola lettura |
Elencare e impostare i trigger per gli eventi |
sns:ListTopics |
Implementazione |
|
Ottieni dettagli per EC2 istanze |
ec2:DescripbeInstances |
|
|
ec2:DescripteKeyPairs |
Implementazione |
|
|
ec2:DescripteNetworkInterfaces |
Implementazione |
|
|
EC2:DescribeInstanceTypes |
|
|
|
Ottieni i dettagli da compilare nel modulo di distribuzione di FSX per ONTAP |
ec2:DescripteVpcs |
|
|
ec2:DescripteSubnet |
|
|
|
ec2:DescripteSecurityGroups |
Implementazione |
|
|
ec2:DescripteImages |
Implementazione |
|
|
ec2:DescripteRegions |
Implementazione |
|
|
ec2:DescripteRouteTable |
|
|
|
Ottieni qualsiasi endpoint VPC esistente per determinare se è necessario creare nuovi endpoint prima delle implementazioni |
ec2:DescripteVpcEndpoint |
|
|
Creare endpoint VPC se non esistono per i servizi richiesti indipendentemente dalla connettività di rete pubblica sulle istanze EC2 |
EC2:CreateVpcEndpoint |
Implementazione |
Lettura/scrittura |
Ottieni tipi di istanza disponibili nella regione per i nodi di convalida (t2.micro/t3.micro) |
EC2:DescribeInstanceTypeOfferings |
Implementazione |
|
Ottieni i dettagli snapshot di ogni volume EBS collegato per ottenere prezzi e stime di risparmio |
ec2:DescripteSnapshot |
Scopri i risparmi |
|
Ottieni dettagli su ogni volume EBS collegato per ottenere prezzi e stime di risparmio |
ec2:DescripteVolumes |
|
|
Ottieni i dettagli delle chiavi KMS per la crittografia del file system FSX per ONTAP |
Km:ListAlias |
Implementazione |
|
Km:ListKeys |
Implementazione |
|
|
Km: DescribeKey |
Implementazione |
|
|
Ottenere l'elenco degli stack di CloudFormation in esecuzione nell'ambiente per controllare il limite di quota |
Cloudformation:ListStack |
Implementazione |
|
Controllare i limiti degli account per le risorse prima di attivare la distribuzione |
Formazione del cloud:DescribeAccountLimits |
Implementazione |
|
Ottieni un elenco delle Active Directory gestite da AWS nella regione |
ds:DescribeDirectories |
Implementazione |
|
Ottieni elenchi e dettagli di volumi, backup, SVM, file system in zone e tag per FSX per il file system ONTAP |
fsx:DescribeVolumes |
|
|
fsx:DescribeBackups |
|
|
|
fsx:DescribeStorageVirtualMachines |
|
|
|
fsx:DescribeFileSystems |
|
|
|
fsx:ListTagsForResource |
Gestire le operazioni |
|
|
Ottieni i limiti di quota del servizio per CloudFormation e VPC |
Services equotas:ListServiceQuotas |
Implementazione |
|
Utilizzare la query basata su SSM per ottenere l'elenco aggiornato delle aree supportate da FSX per ONTAP |
ssm:GetParametersByPath |
Implementazione |
|
Esegui il polling per la risposta SSM dopo l'invio del comando per gestire le operazioni dopo la distribuzione |
ssm:GetCommandInvocation |
|
|
Invia comandi tramite SSM a istanze EC2 |
ssm:SendCommand |
|
|
Ottenere lo stato di connettività SSM sulle istanze dopo la distribuzione |
ssm:GetConnectionStatus |
|
|
Recupero dello stato di associazione SSM per un gruppo di istanze EC2 gestite (nodi SQL) |
ssm:DescribeInstanceInformation |
Inventario |
Leggi |
Consultare l'elenco delle linee di base delle patch disponibili per la valutazione delle patch del sistema operativo |
ssm:DescribePatchBaselines |
Ottimizzazione |
|
Ottenere lo stato di applicazione delle patch nelle istanze di Windows EC2 per la valutazione delle patch del sistema operativo |
ssm:DescribeInstancePatchStates |
Ottimizzazione |
|
Elenca comandi eseguiti da AWS Patch Manager su istanze EC2 per la gestione delle patch del sistema operativo |
ssm:ListCommander |
Ottimizzazione |
|
Verifica se l'account è registrato in AWS Compute Optimizer |
Compute-Optimizer:GetEnrollmentStatus |
|
Lettura/scrittura |
Aggiornare una preferenza di raccomandazione esistente in AWS Compute Optimizer per personalizzare i suggerimenti per i carichi di lavoro di SQL Server |
Compute-Optimizer:RecommendationPreferences |
|
Lettura/scrittura |
AWS Compute Optimizer offre le preferenze dei consigli in vigore per una determinata risorsa |
Compute-Optimizer:GetEffectiveRecommendationPreferences |
|
Lettura/scrittura |
Recupera consigli generati da AWS Compute Optimizer per le istanze di Amazon Elastic Compute Cloud (Amazon EC2) |
Compute-Optimizer:GetEC2InstanceRecommendations |
|
Lettura/scrittura |
Controllare l'associazione di esempio ai gruppi di ridimensionamento automatico |
Ridimensionamento automatico:DescribeAutoScalingGroups |
|
Lettura/scrittura |
Ridimensionamento automatico:DescribeAutoScalingInstances |
|
Lettura/scrittura |
|
Ottieni, elenca, crea ed elimina i parametri SSM per le credenziali utente ad, FSX per ONTAP e SQL utilizzate durante l'implementazione o gestite nell'account AWS |
ssm:getParameter 1 |
|
|
ssm:GetParameters 1 |
Gestire le operazioni |
|
|
ssm:PutParameter 1 |
|
|
|
ssm:DeleteParameters 1 |
Gestire le operazioni |
|
|
Associare le risorse di rete ai nodi SQL e ai nodi di convalida e aggiungere ulteriori IP secondari ai nodi SQL |
EC2:AllocateAddress 1 |
Implementazione |
Lettura/scrittura |
EC2:AllocateHosts 1 |
Implementazione |
Lettura/scrittura |
|
EC2:AssignPrivateIpAddresses 1 |
Implementazione |
Lettura/scrittura |
|
EC2:AssociateAddress 1 |
Implementazione |
Lettura/scrittura |
|
EC2:AssociateRouteTable 1 |
Implementazione |
Lettura/scrittura |
|
EC2:AssociateSubnetCidrBlock 1 |
Implementazione |
Lettura/scrittura |
|
EC2:AssociateVpcCidrBlock 1 |
Implementazione |
Lettura/scrittura |
|
EC2:AttachInternetGateway 1 |
Implementazione |
Lettura/scrittura |
|
EC2:AttachNetworkInterface 1 |
Implementazione |
Lettura/scrittura |
|
Possibilità di collegare i volumi EBS richiesti ai nodi SQL per l'implementazione |
ec2:AttachVolume |
Implementazione |
Lettura/scrittura |
Collegare i gruppi di sicurezza e modificare le regole per i nodi sottoposti a provisioning |
ec2:AuthorizeSecurityGroupErgress |
Implementazione |
Lettura/scrittura |
ec2:AuthorizeSecurityGroupIngress |
Implementazione |
Lettura/scrittura |
|
Creare volumi EBS richiesti ai nodi SQL per l'implementazione |
ec2:CreateVolume |
Implementazione |
Lettura/scrittura |
Rimuovere i nodi di convalida temporanea creati di tipo t2.micro e per il rollback o il nuovo tentativo di nodi SQL EC2 non riusciti |
ec2:DeleteNetworkInterface |
Implementazione |
Lettura/scrittura |
ec2:DeleteSecurityGroup |
Implementazione |
Lettura/scrittura |
|
ec2:DeleteMags |
Implementazione |
Lettura/scrittura |
|
ec2:DeleteVolume |
Implementazione |
Lettura/scrittura |
|
EC2:DetachNetworkInterface |
Implementazione |
Lettura/scrittura |
|
ec2:DetachVolume |
Implementazione |
Lettura/scrittura |
|
EC2:DisassociateAddress |
Implementazione |
Lettura/scrittura |
|
ec2:DisassociateIamInstanceProfile |
Implementazione |
Lettura/scrittura |
|
EC2:DisassociateRouteTable |
Implementazione |
Lettura/scrittura |
|
EC2:DisassociateSubnetCidrBlock |
Implementazione |
Lettura/scrittura |
|
EC2:DisassociateVpcCidrBlock |
Implementazione |
Lettura/scrittura |
|
Modificare gli attributi per le istanze SQL create. Applicabile solo ai nomi che iniziano con WLMDB. |
ec2:ModifyInstanceAttribute |
Implementazione |
Lettura/scrittura |
EC2:ModifyInstancePlacement |
Implementazione |
Lettura/scrittura |
|
ec2:ModifyNetworkInterfaceAttribute |
Implementazione |
Lettura/scrittura |
|
EC2:ModifySubnetAttribute |
Implementazione |
Lettura/scrittura |
|
ec2:ModifyVolume |
Implementazione |
Lettura/scrittura |
|
ec2:ModifyVolumeAttribute |
Implementazione |
Lettura/scrittura |
|
EC2:ModifyVpcAttribute |
Implementazione |
Lettura/scrittura |
|
Dissociare e distruggere le istanze di convalida |
EC2:ReleaseAddress |
Implementazione |
Lettura/scrittura |
EC2:ReplaceRoute |
Implementazione |
Lettura/scrittura |
|
EC2:ReplaceRouteTableAssociation |
Implementazione |
Lettura/scrittura |
|
ec2:RevokeSecurityGroupErgress |
Implementazione |
Lettura/scrittura |
|
ec2:RevokeSecurityGroupIngress |
Implementazione |
Lettura/scrittura |
|
Avviare le istanze distribuite |
ec2:StartInstances |
Implementazione |
Lettura/scrittura |
Arrestare le istanze distribuite |
ec2:StopInstances |
Implementazione |
Lettura/scrittura |
Contrassegnare i valori personalizzati per le risorse Amazon FSX per NetApp ONTAP create da WLMDB per ottenere i dettagli di fatturazione durante la gestione delle risorse |
fsx:TagResource 1 |
|
Lettura/scrittura |
Creare e convalidare il modello CloudFormation per la distribuzione |
Cloud formation: CreateStack |
Implementazione |
Lettura/scrittura |
Cloudformation:DescripbeStackEvents |
Implementazione |
Lettura/scrittura |
|
Cloudformation:DescripteStack |
Implementazione |
Lettura/scrittura |
|
Cloudformation:ListStack |
Implementazione |
Lettura/scrittura |
|
Cloud formation:ValidateTemplate |
Implementazione |
Lettura/scrittura |
|
Recuperare le directory disponibili nella regione |
ds:DescribeDirectories |
Implementazione |
Lettura/scrittura |
Aggiungere le regole per il gruppo di protezione collegato alle istanze EC2 con provisioning |
ec2:AuthorizeSecurityGroupErgress |
Implementazione |
Lettura/scrittura |
ec2:AuthorizeSecurityGroupIngress |
Implementazione |
Lettura/scrittura |
|
Creare modelli di stack nidificati per riprovare e ripristinare |
EC2:CreateLaunchTemplate |
Implementazione |
Lettura/scrittura |
EC2:CreateLaunchTemplateVersion |
Implementazione |
Lettura/scrittura |
|
Gestire i tag e la sicurezza di rete sulle istanze create |
ec2:CreateNetworkInterface |
Implementazione |
Lettura/scrittura |
ec2:CreateSecurityGroup |
Implementazione |
Lettura/scrittura |
|
ec2:CreateTag |
Implementazione |
Lettura/scrittura |
|
Eliminare il gruppo di protezione creato temporaneamente per i nodi di convalida |
ec2:DeleteSecurityGroup |
Implementazione |
Lettura/scrittura |
Ottieni dettagli delle istanze per il provisioning |
EC2:descrivere* |
|
Lettura/scrittura |
EC2:Get* |
|
Lettura/scrittura |
|
Avviare le istanze create |
ec2:RunInstances |
Implementazione |
Lettura/scrittura |
Systems Manager utilizza l'endpoint del servizio di consegna dei messaggi AWS per le operazioni API |
ec2messages:* |
|
Lettura/scrittura |
Crea risorse FSX per ONTAP richieste per il provisioning. Per i sistemi esistenti di FSX per ONTAP, viene creata una nuova SVM per ospitare i volumi SQL. |
fsx:CreateFileSystem |
Implementazione |
Lettura/scrittura |
fsx:CreateStorageVirtualMachine |
Implementazione |
Lettura/scrittura |
|
fsx:CreateVolume |
|
Lettura/scrittura |
|
Ottieni i dettagli di FSX per ONTAP |
fsx:descrivere* |
|
Lettura/scrittura |
fsx: Elenco* |
|
Lettura/scrittura |
|
Ridimensiona FSX per il file system ONTAP per rimediare allo spazio a disposizione del file system |
fsx:Updatefilesystem |
Ottimizzazione |
Lettura/scrittura |
Ridimensionamento dei volumi per correggere le dimensioni dei dischi di log e TempDB |
fsx:UpdateVolume |
Ottimizzazione |
Lettura/scrittura |
Ottieni dettagli chiave KMS e utilizza la crittografia per FSX for ONTAP |
Km: CreateGrant |
Implementazione |
Lettura/scrittura |
Km:descrivere* |
Implementazione |
Lettura/scrittura |
|
Km: Elenco* |
Implementazione |
Lettura/scrittura |
|
Km:GenerateDataKey |
Implementazione |
Lettura/scrittura |
|
Creare log di CloudWatch per la convalida e il provisioning di script in esecuzione su istanze EC2 |
Registri:CreateLogGroup |
Implementazione |
Lettura/scrittura |
Registri:CreateLogStream |
Implementazione |
Lettura/scrittura |
|
Registri:DescribeLog* |
Implementazione |
Lettura/scrittura |
|
Registri:GetLog* |
Implementazione |
Lettura/scrittura |
|
Registri:ListLogDeliveries |
Implementazione |
Lettura/scrittura |
|
Registri:PutLogEvents |
|
Lettura/scrittura |
|
Registri:TagResource |
Implementazione |
Lettura/scrittura |
|
Workload Factory passa ai registri di Amazon CloudWatch per l'istanza SQL in caso di troncamento dell'output SSM |
Registri:GetLogEvents |
|
|
Consentire a workload Factory di ottenere gli attuali gruppi di log e verificare che sia stata impostata la conservazione per i gruppi di log creati da workload Factory |
Registri:DescribeLogGroups |
|
Sola lettura |
Consentire a workload Factory di impostare un criterio di conservazione di un giorno per i gruppi di log creati da workload Factory per evitare l'accumulo non necessario di flussi di log per gli output dei comandi SSM |
Registri:PutRetentionPolicy |
|
|
Creare segreti in un account utente per le credenziali fornite per SQL, dominio e FSX per ONTAP |
Services equotas:ListServiceQuotas |
Implementazione |
Lettura/scrittura |
Elencare gli argomenti SNS dei clienti e pubblicarli su SNS back-end WLMDB e SNS dei clienti, se selezionati |
sns:ListTopics |
Implementazione |
Lettura/scrittura |
sns: Pubblica |
Implementazione |
Lettura/scrittura |
|
Autorizzazioni SSM richieste per eseguire lo script di rilevamento sulle istanze SQL sottoposte a provisioning e per recuperare l'elenco più recente delle regioni AWS supportate da FSX per ONTAP. |
ssm:descrivere* |
Implementazione |
Lettura/scrittura |
ssm:Get* |
|
Lettura/scrittura |
|
ssm:elenco* |
Implementazione |
Lettura/scrittura |
|
ssm: PutComplianceItems |
Implementazione |
Lettura/scrittura |
|
ssm:PutConfigurePackageResult |
Implementazione |
Lettura/scrittura |
|
ssm:PutInventory |
Implementazione |
Lettura/scrittura |
|
ssm:SendCommand |
|
Lettura/scrittura |
|
ssm:UpdateAssociationStatus |
Implementazione |
Lettura/scrittura |
|
ssm:UpdateInstanceAssociationStatus |
Implementazione |
Lettura/scrittura |
|
ssm:UpdateInstanceInformation |
Implementazione |
Lettura/scrittura |
|
smmessages:* |
|
Lettura/scrittura |
|
Salva credenziali per FSX per ONTAP, Active Directory e utente SQL (solo per l'autenticazione utente SQL) |
ssm:getParameter 1 |
|
Lettura/scrittura |
ssm:GetParameters 1 |
|
Lettura/scrittura |
|
ssm:PutParameter 1 |
|
Lettura/scrittura |
|
ssm:DeleteParameters 1 |
|
Lettura/scrittura |
|
Segnala lo stack CloudFormation in caso di successo o errore. |
Formazione del cloud:SignalResource 1 |
Implementazione |
Lettura/scrittura |
Aggiungere il ruolo EC2 creato da modello al profilo di istanza di EC2 per consentire agli script di EC2 di accedere alle risorse necessarie per la distribuzione. |
iam:AddRoleToInstanceProfile |
Implementazione |
Lettura/scrittura |
Creare un profilo di istanza per EC2 e allegare il ruolo EC2 creato. |
iam:CreateInstanceProfile |
Implementazione |
Lettura/scrittura |
Creare un ruolo EC2 tramite il modello con le autorizzazioni elencate di seguito |
iam: CreateRole |
Implementazione |
Lettura/scrittura |
Creare un ruolo collegato al servizio EC2 |
iam:CreateServiceEnumerRole 2 |
Implementazione |
Lettura/scrittura |
Eliminare il profilo di istanza creato durante la distribuzione specificamente per i nodi di convalida |
iam:DeleteInstanceProfile |
Implementazione |
Lettura/scrittura |
Ottieni i dettagli del ruolo e della policy per determinare eventuali lacune nelle autorizzazioni e convalidare per la distribuzione |
iam:GetPolicy |
Implementazione |
Lettura/scrittura |
iam:GetPolicyVersion |
Implementazione |
Lettura/scrittura |
|
iam: GetRole |
Implementazione |
Lettura/scrittura |
|
iam:GetRolePolicy |
Implementazione |
Lettura/scrittura |
|
iam:GetUser |
Implementazione |
Lettura/scrittura |
|
Passare il ruolo creato all'istanza EC2 |
iam:PassRole 3 |
Implementazione |
Lettura/scrittura |
Aggiungere policy con autorizzazioni richieste al ruolo EC2 creato |
iam:PutRolePolicy |
Implementazione |
Lettura/scrittura |
Scollega il ruolo dal profilo di istanza EC2 di cui è stato eseguito il provisioning |
iam:RemoveRoleFromInstanceProfile |
Implementazione |
Lettura/scrittura |
Simula le operazioni del carico di lavoro per validare le autorizzazioni disponibili e confrontarle con le autorizzazioni necessarie per gli account AWS |
iam:SimulatePrincipalPolicy |
Implementazione |
|
-
L'autorizzazione è limitata alle risorse che iniziano con WLMDB.
-
"iam:CreateServiceEnumerRole" limitato da "iam:AWSServiceName": "ec2.amazonaws.com"*
-
"iam:PassRole" limitata da "iam:PassedToService": "ec2.amazonaws.com"*
Autorizzazioni per i carichi di lavoro Genai
I criteri IAM per i carichi di lavoro VMware forniscono le autorizzazioni necessarie per la workload Factory per VMware per gestire le risorse e i processi all'interno dell'ambiente di cloud pubblico in base alla modalità operativa in cui operi.
I criteri GenAI IAM sono disponibili solo in modalità lettura/scrittura:
Policy IAM per i carichi di lavoro Genai
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}La tabella seguente fornisce dettagli sulle autorizzazioni per i carichi di lavoro GenAI.
Tabella delle autorizzazioni per i carichi di lavoro Genai
| Scopo | Azione | Dove usato | Modalità |
|---|---|---|---|
Crea uno stack di formazione cloud per un motore ai durante le operazioni di implementazione e ricostruzione |
Cloud formation: CreateStack |
Implementazione |
Lettura/scrittura |
Creare lo stack di formazione del cloud del motore ai |
Cloudformation:DescripteStack |
Implementazione |
Lettura/scrittura |
Elencare le regioni per la procedura guidata di implementazione del motore ai |
ec2:DescripteRegions |
Implementazione |
Lettura/scrittura |
Visualizzare le etichette del motore ai |
ec2:DescripteTag |
Implementazione |
Lettura/scrittura |
Elenca i bucket S3 |
s3:ListAllMyBucket |
Implementazione |
Lettura/scrittura |
Elenca gli endpoint VPC prima della creazione dello stack del motore ai |
EC2:CreateVpcEndpoint |
Implementazione |
Lettura/scrittura |
Creare un gruppo di sicurezza del motore ai durante la creazione dello stack del motore ai durante le operazioni di implementazione e ricostruzione |
ec2:CreateSecurityGroup |
Implementazione |
Lettura/scrittura |
Contrassegnare le risorse create dalla creazione di stack del motore ai durante le operazioni di implementazione e ricostruzione |
ec2:CreateTag |
Implementazione |
Lettura/scrittura |
Pubblicare gli eventi crittografati nel backend WLmai dallo stack del motore ai |
Km:GenerateDataKey |
Implementazione |
Lettura/scrittura |
Km:decrittografia |
Implementazione |
Lettura/scrittura |
|
Pubblicare eventi e risorse personalizzate sul backend WLmai dallo stack ai-Engine |
sns: Pubblica |
Implementazione |
Lettura/scrittura |
Elenca i VPC durante l'implementazione guidata del motore ai |
ec2:DescripteVpcs |
Implementazione |
Lettura/scrittura |
Elencare le subnet nella procedura guidata di implementazione del motore ai |
ec2:DescripteSubnet |
Implementazione |
Lettura/scrittura |
Ottenere tabelle di routing durante la distribuzione e la ricostruzione del motore ai |
ec2:DescripteRouteTable |
Implementazione |
Lettura/scrittura |
Elenca le coppie di chiavi durante l'implementazione guidata del motore ai |
ec2:DescripteKeyPairs |
Implementazione |
Lettura/scrittura |
Elencare i gruppi di sicurezza durante la creazione dello stack del motore ai (per trovare gruppi di sicurezza sugli endpoint privati) |
ec2:DescripteSecurityGroups |
Implementazione |
Lettura/scrittura |
Ottieni endpoint VPC per determinare se crearne uno durante l'implementazione del motore ai |
ec2:DescripteVpcEndpoint |
Implementazione |
Lettura/scrittura |
Elencare le applicazioni aziendali Amazon Q |
Qbusiness:ListApplications |
Implementazione |
Lettura/scrittura |
Elencare le istanze per scoprire lo stato del motore ai |
ec2:DescripbeInstances |
Risoluzione dei problemi |
Lettura/scrittura |
Elenca le immagini durante la creazione dello stack del motore ai durante le operazioni di implementazione e ricostruzione |
ec2:DescripteImages |
Implementazione |
Lettura/scrittura |
Creare e aggiornare l'istanza ai e il gruppo di sicurezza dell'endpoint privato durante la creazione dello stack dell'istanza ai durante le operazioni di distribuzione e ricostruzione |
ec2:RevokeSecurityGroupErgress |
Implementazione |
Lettura/scrittura |
ec2:RevokeSecurityGroupIngress |
Implementazione |
Lettura/scrittura |
|
Esegui un motore ai durante la creazione di uno stack di formazione del cloud durante le operazioni di implementazione e ricostruzione |
ec2:RunInstances |
Implementazione |
Lettura/scrittura |
Collegare il gruppo di sicurezza e modificare le regole per il motore ai durante la creazione dello stack durante le operazioni di distribuzione e ricostruzione |
ec2:AuthorizeSecurityGroupErgress |
Implementazione |
Lettura/scrittura |
ec2:AuthorizeSecurityGroupIngress |
Implementazione |
Lettura/scrittura |
|
Eseguire una query sullo stato di registrazione di Amazon Bedrock/Amazon CloudWatch durante l'implementazione del motore ai |
Bedrock:GetModelInvocationLoggingConfiguration |
Implementazione |
Lettura/scrittura |
Avviare una richiesta di chat su uno dei modelli di base |
Bedrock:InvokeModelWithResponseStream |
Implementazione |
Lettura/scrittura |
Inizia la richiesta di chat/integrazione per i modelli di base |
Bedrock:InvokeModel |
Implementazione |
Lettura/scrittura |
Mostra i modelli di base disponibili in una regione |
Bedrock:ListFoundationModels |
Implementazione |
Lettura/scrittura |
Ottieni informazioni su un modello di base |
Bedrock:GetFoundationModel |
Implementazione |
Lettura/scrittura |
Verifica dell'accesso al modello di base |
Bedrock:GetFoundationModelAvailability |
Implementazione |
Lettura/scrittura |
Verifica la necessità di creare un gruppo di log Amazon CloudWatch durante le operazioni di distribuzione e ricostruzione |
Registri:DescribeLogGroups |
Implementazione |
Lettura/scrittura |
Ottieni regioni che supportano FSX e Amazon Bedrock durante la procedura guidata del motore di ai |
ssm:GetParametersByPath |
Implementazione |
Lettura/scrittura |
Ottieni l'ultima immagine di Amazon Linux per l'implementazione del motore ai durante le operazioni di implementazione e ricostruzione |
ssm:GetParameters |
Implementazione |
Lettura/scrittura |
Ottenere la risposta SSM dal comando inviato al motore ai |
ssm:GetCommandInvocation |
Implementazione |
Lettura/scrittura |
Controllare il collegamento SSM al motore ai |
ssm:SendCommand |
Implementazione |
Lettura/scrittura |
ssm:GetConnectionStatus |
Implementazione |
Lettura/scrittura |
|
Creare un profilo di istanza del motore ai durante la creazione dello stack durante le operazioni di implementazione e ricostruzione |
iam: CreateRole |
Implementazione |
Lettura/scrittura |
iam:CreateInstanceProfile |
Implementazione |
Lettura/scrittura |
|
iam:AddRoleToInstanceProfile |
Implementazione |
Lettura/scrittura |
|
iam:PutRolePolicy |
Implementazione |
Lettura/scrittura |
|
iam:GetRolePolicy |
Implementazione |
Lettura/scrittura |
|
iam: GetRole |
Implementazione |
Lettura/scrittura |
|
iam: TagRole |
Implementazione |
Lettura/scrittura |
|
iam: PassRole |
Implementazione |
Lettura/scrittura |
|
Simula le operazioni del carico di lavoro per validare le autorizzazioni disponibili e confrontarle con le autorizzazioni necessarie per gli account AWS |
iam:SimulatePrincipalPolicy |
Implementazione |
Lettura/scrittura |
Elenca file system FSX per ONTAP durante la procedura guidata "Crea knowledgebase" |
fsx:DescribeVolumes |
Creazione di una Knowledge base |
Lettura/scrittura |
Elencare FSX per i volumi del file system ONTAP durante la procedura guidata "Crea knowledgebase" |
fsx:DescribeFileSystems |
Creazione di una Knowledge base |
Lettura/scrittura |
Gestire knowledge base sul motore ai durante le operazioni di ricostruzione |
fsx:ListTagsForResource |
Risoluzione dei problemi |
Lettura/scrittura |
Elenca FSX per le macchine virtuali di storage del file system ONTAP durante la procedura guidata "Crea knowledgebase" |
fsx:DescribeStorageVirtualMachines |
Implementazione |
Lettura/scrittura |
Spostare la knowledgebase in una nuova istanza |
fsx:UntagResource |
Risoluzione dei problemi |
Lettura/scrittura |
Gestire la knowledgebase sul motore ai durante la ricostruzione |
FSX:TagResource |
Risoluzione dei problemi |
Lettura/scrittura |
Salvare i segreti SSM (token ECR, credenziali CIFS, chiavi degli account del servizio di locazione) in modo sicuro |
ssm:getParameter |
Implementazione |
Lettura/scrittura |
ssm: Parametro di PutMeter |
Implementazione |
Lettura/scrittura |
|
Invia i log del motore ai al gruppo di log di Amazon CloudWatch durante le operazioni di implementazione e ricostruzione |
Registri:CreateLogGroup |
Implementazione |
Lettura/scrittura |
Registri:PutRetentionPolicy |
Implementazione |
Lettura/scrittura |
|
Inviare i registri del motore ai al gruppo di log di Amazon CloudWatch |
Registri:TagResource |
Risoluzione dei problemi |
Lettura/scrittura |
Ottieni la risposta SSM da Amazon CloudWatch (quando la risposta è troppo lunga) |
Registri:DescribeLogStreams |
Risoluzione dei problemi |
Lettura/scrittura |
Ottieni la risposta SSM da Amazon CloudWatch |
Registri:GetLogEvents |
Risoluzione dei problemi |
Lettura/scrittura |
Creare un gruppo di log Amazon CloudWatch per i registri Amazon Bedrock durante la creazione dello stack durante le operazioni di distribuzione e ricostruzione |
Registri:CreateLogGroup |
Implementazione |
Lettura/scrittura |
Registri:PutRetentionPolicy |
Implementazione |
Lettura/scrittura |
|
Registri:TagResource |
Implementazione |
Lettura/scrittura |
|
Invia i registri delle pedine ad Amazon CloudWatch |
Bedrock:PutModelInvocationLoggingConfiguration |
Risoluzione dei problemi |
Lettura/scrittura |
Crea il ruolo che consente di inviare i registri Amazon Bedrock ad Amazon CloudWatch |
iam:AttachRolePolicy |
Risoluzione dei problemi |
Lettura/scrittura |
Crea il ruolo che consente di inviare i registri Amazon Bedrock ad Amazon CloudWatch |
iam: PassRole |
Risoluzione dei problemi |
Lettura/scrittura |
Crea il ruolo che consente di inviare i registri Amazon Bedrock ad Amazon CloudWatch |
iam:createPolicy |
Risoluzione dei problemi |
Lettura/scrittura |
Elenca profili di deduzione per il modello |
Bedrock:ListInferenceProfiles |
Risoluzione dei problemi |
Lettura/scrittura |
Autorizzazioni per i carichi di lavoro VMware
I criteri IAM per i carichi di lavoro VMware forniscono le autorizzazioni necessarie per la workload Factory per VMware per gestire le risorse e i processi all'interno dell'ambiente di cloud pubblico in base alla modalità operativa in cui operi.
Selezionare la modalità operativa per visualizzare i criteri IAM richiesti:
Criteri IAM per i carichi di lavoro VMware
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ssm:GetParametersByPath",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}Nella tabella seguente vengono forniti dettagli sulle autorizzazioni per i carichi di lavoro VMware.
Tabella delle autorizzazioni per i carichi di lavoro VMware
| Scopo | Azione | Dove usato | Modalità |
|---|---|---|---|
Collegare i gruppi di sicurezza e modificare le regole per i nodi sottoposti a provisioning |
ec2:AuthorizeSecurityGroupIngress |
Implementazione |
Lettura/scrittura |
Creare volumi EBS |
ec2:CreateVolume |
Implementazione |
Lettura/scrittura |
Contrassegna i valori personalizzati per le risorse FSX per NetApp ONTAP create da carichi di lavoro VMware |
FSX:TagResource |
Implementazione |
Lettura/scrittura |
Creare e convalidare il modello CloudFormation |
Cloud formation: CreateStack |
Implementazione |
Lettura/scrittura |
Gestire i tag e la sicurezza di rete sulle istanze create |
ec2:CreateSecurityGroup |
Implementazione |
Lettura/scrittura |
Avviare le istanze create |
ec2:RunInstances |
Implementazione |
Lettura/scrittura |
Ottieni dettagli sull'istanza di EC2 |
ec2:DescripbeInstances |
Implementazione |
Lettura/scrittura |
Elencare le immagini durante la creazione dello stack durante le operazioni di distribuzione e ricostruzione |
ec2:DescripteImages |
Implementazione |
Lettura/scrittura |
Scaricare i VPC nell'ambiente selezionato per completare il modulo di distribuzione |
ec2:DescripteVpcs |
|
|
Ottenere le subnet nell'ambiente selezionato per completare il modulo di distribuzione |
ec2:DescripteSubnet |
|
|
Ottenere i gruppi di protezione nell'ambiente selezionato per completare il modulo di distribuzione |
ec2:DescripteSecurityGroups |
Implementazione |
|
Ottieni le zone di disponibilità in un ambiente selezionato |
EC2:DescribeAvailabilityZones |
|
|
Ottieni le regioni con il supporto di Amazon FSX per NetApp ONTAP |
ec2:DescripteRegions |
Implementazione |
|
Ottieni gli alias delle chiavi KMS da utilizzare per la crittografia Amazon FSX per NetApp ONTAP |
Km:ListAlias |
Implementazione |
|
Ottieni le chiavi KMS da utilizzare per la crittografia di Amazon FSX per NetApp ONTAP |
Km:ListKeys |
Implementazione |
|
Ottieni i dettagli sulla scadenza delle chiavi KMS da utilizzare per la crittografia di Amazon FSX per NetApp ONTAP |
Km: DescribeKey |
Implementazione |
|
La query basata su SSM viene utilizzata per ottenere l'elenco aggiornato delle regioni supportate da Amazon FSX per NetApp ONTAP |
ssm:GetParametersByPath |
Implementazione |
|
Crea le risorse Amazon FSX per NetApp ONTAP necessarie per il provisioning |
fsx:CreateFileSystem |
Implementazione |
Lettura/scrittura |
fsx:CreateStorageVirtualMachine |
Implementazione |
Lettura/scrittura |
|
fsx:CreateVolume |
|
Lettura/scrittura |
|
Ottieni i dettagli di Amazon FSX per NetApp ONTAP |
fsx:descrivere* |
|
Lettura/scrittura |
fsx: Elenco* |
|
Lettura/scrittura |
|
Ottieni i dettagli chiave del KMS e utilizza la crittografia per Amazon FSX per NetApp ONTAP |
Km: CreateGrant |
Implementazione |
Lettura/scrittura |
Km:descrivere* |
Implementazione |
Lettura/scrittura |
|
Km: Elenco* |
Implementazione |
Lettura/scrittura |
|
Km:decrittografia |
Implementazione |
Lettura/scrittura |
|
Km:GenerateDataKey |
Implementazione |
Lettura/scrittura |
|
Elencare gli argomenti SNS dei clienti e pubblicarli su SNS back-end WLMVMC e SNS dei clienti, se selezionati |
sns: Pubblica |
Implementazione |
Lettura/scrittura |
Utilizzato per recuperare l'elenco più recente delle regioni AWS supportate da Amazon FSX per NetApp ONTAP |
ssm:Get* |
|
Lettura/scrittura |
Simula le operazioni del carico di lavoro per validare le autorizzazioni disponibili e confrontarle con le autorizzazioni necessarie per gli account AWS |
iam:SimulatePrincipalPolicy |
Implementazione |
Lettura/scrittura |
L'archivio parametri SSM viene utilizzato per salvare le credenziali di Amazon FSX per NetApp ONTAP |
ssm:getParameter |
|
Lettura/scrittura |
ssm:PutParameters |
|
Lettura/scrittura |
|
ssm: Parametro di PutMeter |
|
Lettura/scrittura |
|
ssm: DeleteParameters |
|
Lettura/scrittura |
Registro delle modifiche
Man mano che le autorizzazioni vengono aggiunte e rimosse, le annoteremo nelle sezioni seguenti.
29 giugno 2025
La seguente autorizzazione è ora disponibile in modalità sola lettura per i database: cloudwatch:GetMetricData .
3 giugno 2025
La seguente autorizzazione è ora disponibile in modalità lettura/scrittura per GenAI: s3:ListAllMyBuckets .
4 maggio 2025
La seguente autorizzazione è ora disponibile in modalità lettura/scrittura per GenAI: qbusiness:ListApplications .
Le seguenti autorizzazioni sono ora disponibili in modalità sola lettura per i database:
-
logs:GetLogEvents -
logs:DescribeLogGroups
La seguente autorizzazione è ora disponibile in modalità lettura/scrittura per i database:
logs:PutRetentionPolicy .
2 aprile 2025
La seguente autorizzazione è ora disponibile in modalità sola lettura per i database: ssm:DescribeInstanceInformation .
30 marzo 2025
Aggiornamento delle autorizzazioni del carico di lavoro Genai
Le seguenti autorizzazioni sono ora disponibili in modalità lettura/scrittura per GenAI:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
La seguente autorizzazione è stata rimossa dalla modalità lettura/scrittura per GenAI: Bedrock:GetFoundationModel .
iam:aggiornamento delle autorizzazioni di SimulatePrincipalPolicy
L' `iam:SimulatePrincipalPolicy`autorizzazione fa parte di tutte le policy di autorizzazione dei workload se si attiva il controllo automatico delle autorizzazioni quando si aggiungono ulteriori credenziali di account AWS o si aggiunge una nuova funzionalità per il workload dalla console della workload Factory. L'autorizzazione simula le operazioni dei carichi di lavoro e controlla se disponi delle autorizzazioni necessarie per gli account AWS prima di implementare le risorse dalla fabbrica dei carichi di lavoro. L'attivazione di questo controllo riduce il tempo e gli sforzi necessari per eliminare le risorse da operazioni non riuscite e per aggiungere autorizzazioni mancanti.
2 marzo 2025
La seguente autorizzazione è ora disponibile in modalità lettura/scrittura per GenAI: bedrock:GetFoundationModel .
3 febbraio 2025
La seguente autorizzazione è ora disponibile in modalità sola lettura per i database: iam:SimulatePrincipalPolicy .