Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Connector の AWS 権限

共同作成者
PDF

BlueXPがAWSでConnectorインスタンスを起動すると、そのAWSアカウント内のリソースとプロセスを管理するための権限をConnectorに提供するポリシーがインスタンスにアタッチされます。Connectorでは、権限を使用してAPI呼び出しを実行することで、EC2、S3、CloudFormation、IAM、 Key Management Service(KMS;キー管理サービス)など。

IAMポリシー

以下のIAMポリシーは、ConnectorがAWSリージョンに基づいてパブリッククラウド環境内のリソースとプロセスを管理するために必要な権限を提供します。

次の点に注意してください。

必要なポリシーを表示する地域を選択します。

標準領域

標準のリージョンでは、権限は2つのポリシーに分散されます。AWSの管理対象ポリシーの最大文字数に制限されているため、2つのポリシーが必要です。

ポリシー1
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:RunInstances",
                "ec2:ModifyInstanceAttribute",
                "ec2:DescribeInstanceAttribute",
                "ec2:DescribeRouteTables",
                "ec2:DescribeImages",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DescribeVolumes",
                "ec2:ModifyVolumeAttribute",
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:CreateSnapshot",
                "ec2:DescribeSnapshots",
                "ec2:GetConsoleOutput",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeRegions",
                "ec2:DescribeTags",
                "ec2:AssociateIamInstanceProfile",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:CreatePlacementGroup",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:AssignPrivateIpAddresses",
                "ec2:CreateRoute",
                "ec2:DescribeVpcs",
                "ec2:ReplaceRoute",
                "ec2:UnassignPrivateIpAddresses",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags",
                "ec2:DeleteRoute",
                "ec2:DeletePlacementGroup",
                "ec2:DescribePlacementGroups",
                "ec2:DescribeVolumesModifications",
                "ec2:ModifyVolume",
                "cloudformation:CreateStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:ValidateTemplate",
                "cloudformation:DeleteStack",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:PutRolePolicy",
                "iam:CreateInstanceProfile",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:ListInstanceProfiles",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DeleteInstanceProfile",
                "iam:GetRolePolicy",
                "iam:GetRole",
                "sts:DecodeAuthorizationMessage",
                "sts:AssumeRole",
                "s3:GetBucketTagging",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:CreateBucket",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucketVersions",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketPolicy",
                "s3:GetBucketAcl",
                "s3:PutObjectTagging",
                "s3:GetObjectTagging",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:PutObject",
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:GetEncryptionConfiguration",
                "kms:List*",
                "kms:ReEncrypt*",
                "kms:Describe*",
                "kms:CreateGrant",
                "fsx:Describe*",
                "fsx:List*",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "cvoServicePolicy"
        },
        {
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:RunInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceAttribute",
                "ec2:DescribeImages",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "kms:List*",
                "kms:Describe*",
                "ec2:DescribeVpcEndpoints",
                "kms:ListAliases",
                "athena:StartQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryExecution",
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:CreateTable",
                "glue:CreateDatabase",
                "glue:GetPartitions",
                "glue:BatchCreatePartition",
                "glue:BatchDeletePartition"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "backupPolicy"
        },
        {
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:CreateBucket",
                "s3:GetLifecycleConfiguration",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketTagging",
                "s3:ListBucketVersions",
                "s3:GetBucketAcl",
                "s3:PutBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:PutEncryptionConfiguration",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:ListBucketMultipartUploads",
                "s3:PutObject",
                "s3:PutBucketAcl",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts",
                "s3:DeleteBucket",
                "s3:GetObjectVersionTagging",
                "s3:GetObjectVersionAcl",
                "s3:GetObjectRetention",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:PutObjectVersionTagging",
                "s3:PutObjectRetention",
                "s3:DeleteObjectTagging",
                "s3:DeleteObjectVersionTagging",
                "s3:GetBucketObjectLockConfiguration",
                "s3:GetBucketVersioning",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning",
                "s3:BypassGovernanceRetention",
                "s3:PutBucketPolicy",
                "s3:PutBucketOwnershipControls"
            ],
            "Resource": [
                "arn:aws:s3:::netapp-backup-*"
            ],
            "Effect": "Allow",
            "Sid": "backupS3Policy"
        },
        {
            "Action": [
                "s3:CreateBucket",
                "s3:GetLifecycleConfiguration",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketTagging",
                "s3:ListBucketVersions",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:PutBucketPublicAccessBlock",
                "s3:DeleteBucket"
            ],
            "Resource": [
                "arn:aws:s3:::fabric-pool*"
            ],
            "Effect": "Allow",
            "Sid": "fabricPoolS3Policy"
        },
        {
            "Action": [
                "ec2:DescribeRegions"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "fabricPoolPolicy"
        },
        {
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/netapp-adc-manager": "*"
                }
            },
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/WorkingEnvironment": "*"
                }
            },
            "Action": [
                "ec2:StartInstances",
                "ec2:TerminateInstances",
                "ec2:AttachVolume",
                "ec2:DetachVolume",
                "ec2:StopInstances",
                "ec2:DeleteVolume"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:volume/*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/WorkingEnvironment": "*"
                }
            },
            "Action": [
                "ec2:DeleteVolume"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:volume/*"
            ],
            "Effect": "Allow"
        }
    ]
}
JSON
Copy
GovCloud(US)リージョン 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListInstanceProfiles",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:PutRolePolicy",
                "iam:CreateInstanceProfile",
                "iam:DeleteRolePolicy",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteInstanceProfile",
                "ec2:ModifyVolumeAttribute",
                "sts:DecodeAuthorizationMessage",
                "ec2:DescribeImages",
                "ec2:DescribeRouteTables",
                "ec2:DescribeInstances",
                "iam:PassRole",
                "ec2:DescribeInstanceStatus",
                "ec2:RunInstances",
                "ec2:ModifyInstanceAttribute",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DescribeVolumes",
                "ec2:DeleteVolume",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSecurityGroups",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:CreateSnapshot",
                "ec2:DeleteSnapshot",
                "ec2:DescribeSnapshots",
                "ec2:StopInstances",
                "ec2:GetConsoleOutput",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeRegions",
                "ec2:DeleteTags",
                "ec2:DescribeTags",
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:ValidateTemplate",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketTagging",
                "s3:GetBucketLocation",
                "s3:CreateBucket",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "kms:List*",
                "kms:ReEncrypt*",
                "kms:Describe*",
                "kms:CreateGrant",
                "ec2:AssociateIamInstanceProfile",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:DescribeInstanceAttribute",
                "ec2:CreatePlacementGroup",
                "ec2:DeletePlacementGroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "fabricPoolPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:DeleteBucket",
                "s3:GetLifecycleConfiguration",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketTagging",
                "s3:ListBucketVersions",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::fabric-pool*"
            ]
        },
        {
            "Sid": "backupPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:DeleteBucket",
                "s3:GetLifecycleConfiguration",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketTagging",
                "s3:ListBucketVersions",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketTagging",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws-us-gov:s3:::netapp-backup-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:TerminateInstances",
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/WorkingEnvironment": "*"
                }
            },
            "Resource": [
                "arn:aws-us-gov:ec2:*:*:instance/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": [
                "arn:aws-us-gov:ec2:*:*:volume/*"
            ]
        }
    ]
}
JSON
Copy
シークレットリージョン 
{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:RunInstances",
                "ec2:ModifyInstanceAttribute",
                "ec2:DescribeRouteTables",
                "ec2:DescribeImages",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DescribeVolumes",
                "ec2:ModifyVolumeAttribute",
                "ec2:DeleteVolume",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSecurityGroups",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:CreateSnapshot",
                "ec2:DeleteSnapshot",
                "ec2:DescribeSnapshots",
                "ec2:GetConsoleOutput",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeRegions",
                "ec2:DeleteTags",
                "ec2:DescribeTags",
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:ValidateTemplate",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:PutRolePolicy",
                "iam:CreateInstanceProfile",
                "iam:DeleteRolePolicy",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteInstanceProfile",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketTagging",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "kms:List*",
                "kms:Describe*",
                "ec2:AssociateIamInstanceProfile",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:DescribeInstanceAttribute",
                "ec2:CreatePlacementGroup",
                "ec2:DeletePlacementGroup",
                "iam:ListinstanceProfiles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "fabricPoolPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:DeleteBucket",
                "s3:GetLifecycleConfiguration",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketTagging",
                "s3:ListBucketVersions"
            ],
            "Resource": [
                "arn:aws-iso-b:s3:::fabric-pool*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances",
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/WorkingEnvironment": "*"
                }
            },
            "Resource": [
                "arn:aws-iso-b:ec2:*:*:instance/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": [
                "arn:aws-iso-b:ec2:*:*:volume/*"
            ]
        }
    ]
}
JSON
Copy
Top Secret領域 
{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:RunInstances",
                "ec2:ModifyInstanceAttribute",
                "ec2:DescribeRouteTables",
                "ec2:DescribeImages",
                "ec2:CreateTags",
                "ec2:CreateVolume",
                "ec2:DescribeVolumes",
                "ec2:ModifyVolumeAttribute",
                "ec2:DeleteVolume",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSecurityGroups",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:CreateSnapshot",
                "ec2:DeleteSnapshot",
                "ec2:DescribeSnapshots",
                "ec2:GetConsoleOutput",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeRegions",
                "ec2:DeleteTags",
                "ec2:DescribeTags",
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:ValidateTemplate",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:PutRolePolicy",
                "iam:CreateInstanceProfile",
                "iam:DeleteRolePolicy",
                "iam:AddRoleToInstanceProfile",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteInstanceProfile",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketTagging",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "kms:List*",
                "kms:Describe*",
                "ec2:AssociateIamInstanceProfile",
                "ec2:DescribeIamInstanceProfileAssociations",
                "ec2:DisassociateIamInstanceProfile",
                "ec2:DescribeInstanceAttribute",
                "ec2:CreatePlacementGroup",
                "ec2:DeletePlacementGroup",
                "iam:ListinstanceProfiles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "fabricPoolPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:DeleteBucket",
                "s3:GetLifecycleConfiguration",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketTagging",
                "s3:ListBucketVersions"
            ],
            "Resource": [
                "arn:aws-iso:s3:::fabric-pool*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances",
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/WorkingEnvironment": "*"
                }
            },
            "Resource": [
                "arn:aws-iso:ec2:*:*:instance/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": [
                "arn:aws-iso:ec2:*:*:volume/*"
            ]
        }
    ]
}
JSON
Copy

AWS権限の使用方法

以降のセクションでは、各BlueXPサービスでの権限の使用方法について説明します。この情報は、企業のポリシーによって、必要な場合にのみアクセス許可が指定されるように指定されている場合に役立ちます。

ONTAP 対応の Amazon FSX

コネクタは、Amazon FSx for ONTAPファイルシステムを管理するために次のAPI要求を行います。

  • EC2: DescribeInstances

  • EC2: DescribeInstanceStatus

  • EC2: DescribeInstanceAttributeのこと

  • EC2: DescribeRouteTables

  • EC2: DescribeImages

  • ec2:CreateTags

  • EC2: DescribeVolumesの場合

  • EC2: DescribeSecurityGroups

  • EC2: DescribeNetworkInterfaces

  • EC2: DescribeSubnets

  • EC2: DescribeVpcs

  • EC2: DescribeDhcpOptions

  • ec2: DescribeSnapshots

  • EC2:DescribeKeyPairs

  • EC2: DescribeRegions (説明領域

  • EC2: DescribeTags (説明タグ)

  • EC2: DescribeIamInstanceProfileAssociations

  • EC2: DescribeReservedInstancesOfferings

  • EC2: DescribeVpcEndpoints

  • EC2: DescribeVpcs

  • EC2: DescribeVolumesModifications ( EC2 : DescribeVolumesMod

  • EC2: DescribePlacementGroups

  • KMS:リスト*

  • KMS:説明*

  • KMS:CreateGrant

  • KMS:エイリアスを確認する

  • FSx:説明*

  • FSx:リスト*

Amazon S3 バケットの検出

コネクタは、Amazon S3バケットを検出するために次のAPI要求を実行します。

S3 : GetEncryptionConfiguration

バックアップとリカバリ

Connectorは、Amazon S3でバックアップを管理するために次のAPI要求を実行します。

  • S3 : GetBucketLocation

  • S3 : ListAllMyBuckets

  • S3 : ListBucket

  • S3 : CreateBucket を指定します

  • S3 : GetLifecycleConfiguration

  • S3 : PutLifecycleConfiguration

  • S3 : PutBucketTagging

  • S3 : ListBucketVersions

  • S3 : GetBucketAcl

  • S3:PutBucketPublicAccessBlock

  • KMS:リスト*

  • KMS:説明*

  • S3 : GetObject

  • EC2: DescribeVpcEndpoints

  • KMS:エイリアスを確認する

  • S3 : PutEncryptionConfiguration

コネクタは、Search & Restoreメソッドを使用してボリュームとファイルをリストアする場合に次のAPI要求を実行します。

  • S3 : CreateBucket を指定します

  • S3 : DeleteObject

  • S3 : DeleteObjectVersion

  • S3 : GetBucketAcl

  • S3 : ListBucket

  • S3 : ListBucketVersions

  • S3 : ListBucketMultipartUploads

  • S3 : PutObject

  • S3:PutBucketAcl

  • S3 : PutLifecycleConfiguration

  • S3:PutBucketPublicAccessBlock

  • S3 : AbortMultipartUpload

  • S3 : ListMultipartUploadParts

  • Athena:StartQueryExecution

  • Athena: GetQueryResults.

  • Athena: GetQueryExecution

  • Athena:StopQueryExecution

  • グルー:データベースを作成します

  • グルー: CreateTable

  • グルー: BatchDeletePartition

このコネクタは、データロックとランサムウェア保護を使用してボリュームのバックアップを行う際に次のAPI要求を実行します。

  • S3 : GetObjectVersionTagging

  • S3 : GetBucketObjectLockConfiguration

  • S3:GetObjectVersionAcl

  • S3 : PutObjectTagging

  • S3 : DeleteObject

  • S3 : DeleteObjectTagging

  • S3 : GetObjectRetention

  • S3 : DeleteObjectVersionTagging

  • S3 : PutObject

  • S3 : GetObject

  • S3 : PutBucketObjectLockConfiguration

  • S3 : GetLifecycleConfiguration

  • S3:ListBucketByTags

  • S3 : GetBucketTagging

  • S3 : DeleteObjectVersion

  • S3 : ListBucketVersions

  • S3 : ListBucket

  • S3 : PutBucketTagging

  • S3 : GetObjectTagging

  • S3 : PutBucketVersioning

  • S3 : PutObjectVersionTagging

  • S3 : GetBucketVersioning

  • S3 : GetBucketAcl

  • S3:Bypassガバナー 保持

  • S3 : PutObjectRetention

  • S3 : GetBucketLocation

  • S3 : GetObjectVersion

Cloud Volumes ONTAP バックアップにソースボリュームとは異なるAWSアカウントを使用する場合、Connectorは次のAPI要求を実行します。

  • S3 : PutBucketPolicy

  • S3:PutBucketOwnershipControls

分類

コネクタは、BlueXP分類インスタンスを導入するために次のAPI要求を行います。

  • EC2: DescribeInstances

  • EC2: DescribeInstanceStatus

  • EC2:RunInstances

  • EC2:TerminateInstances

  • ec2:CreateTags

  • EC2:CreateVolume

  • EC2:AttachVolume

  • EC2:CreateSecurityGroup

  • EC2: DeleteSecurityGroup

  • EC2: DescribeSecurityGroups

  • EC2:CreateNetworkInterface

  • EC2: DescribeNetworkInterfaces

  • EC2:DeleteNetworkInterface

  • EC2: DescribeSubnets

  • EC2: DescribeVpcs

  • EC2: CreateSnapshotの作成

  • EC2: DescribeRegions (説明領域

  • CloudFormation:CreateStack

  • CloudFormation:DeleteStack

  • CloudFormation:DescribeStack

  • CloudFormation:DescribeStackEvents

  • IAM:AddRoleToInstanceProfile

  • EC2: AssociateIamInstanceProfile

  • EC2: DescribeIamInstanceProfileAssociations

BlueXP分類を使用する場合、コネクタはS3バケットをスキャンするために次のAPI要求を行います。

  • IAM:AddRoleToInstanceProfile

  • EC2: AssociateIamInstanceProfile

  • EC2: DescribeIamInstanceProfileAssociations

  • S3 : GetBucketTagging

  • S3 : GetBucketLocation

  • S3 : ListAllMyBuckets

  • S3 : ListBucket

  • S3:GetBucketPolicyStatus

  • S3 : GetBucketPolicy

  • S3 : GetBucketAcl

  • S3 : GetObject

  • IAM:GetRole

  • S3 : DeleteObject

  • S3 : DeleteObjectVersion

  • S3 : PutObject

  • STS: AssumeRole

Cloud Volumes ONTAP

Connectorは、AWSでのCloud Volumes ONTAP の導入と管理に対して次のAPI要求を実行します。

目的 アクション 導入に使用 日々の業務に使用されるか? 削除しますか?

Cloud Volumes ONTAP インスタンスのIAMロールとインスタンスプロファイルを作成および管理します

IAM:ListInstanceProfiles

はい。

はい。

いいえ

IAM:CREATEROLE

はい。

いいえ

いいえ

IAM:DeleteRole

いいえ

はい。

はい。

IAM:PutRolePolicy

はい。

いいえ

いいえ

IAM:CreateInstanceProfile

はい。

いいえ

いいえ

IAM:DeleteRolePolicy

いいえ

はい。

はい。

IAM:AddRoleToInstanceProfile

はい。

いいえ

いいえ

IAM:RemoveRoleFromInstanceProfile

いいえ

はい。

はい。

IAM:DeleteInstanceProfile

いいえ

はい。

はい。

IAM:PassRole

はい。

いいえ

いいえ

EC2: AssociateIamInstanceProfile

はい。

はい。

いいえ

EC2: DescribeIamInstanceProfileAssociations

はい。

はい。

いいえ

EC2: DisassociateIamInstanceProfile

いいえ

はい。

いいえ

読み取り許可ステータスメッセージ

STS: DecodeAuthorizationMessage

はい。

はい。

いいえ

アカウントで使用可能な指定イメージ(AMIS)について説明します

EC2: DescribeImages

はい。

はい。

いいえ

VPC内のルーティングテーブルの説明(HAペアの場合のみ必要)

EC2: DescribeRouteTables

はい。

いいえ

いいえ

インスタンスの停止、開始、監視

EC2:StartInstances(EC2:開始インスタンス

はい。

はい。

いいえ

EC2:StopInstances

はい。

はい。

いいえ

EC2: DescribeInstances

はい。

はい。

いいえ

EC2: DescribeInstanceStatus

はい。

はい。

いいえ

EC2:RunInstances

はい。

いいえ

いいえ

EC2:TerminateInstances

いいえ

いいえ

はい。

EC2:ModifyInstanceAttribute

いいえ

はい。

いいえ

サポートされるインスタンスタイプに対して拡張ネットワークが有効になっていることを確認します

EC2: DescribeInstanceAttributeのこと

いいえ

はい。

いいえ

メンテナンスとコストの割り当てに使用する「WorkingEnvironment」タグと「WorkingEnvironmentId」タグを使用してリソースにタグを付けます

ec2:CreateTags

はい。

はい。

いいえ

Cloud Volumes ONTAP がバックエンドストレージとして使用するEBSボリュームを管理します

EC2:CreateVolume

はい。

はい。

いいえ

EC2: DescribeVolumesの場合

はい。

はい。

はい。

EC2:ModifyVolumeAttributeのことです

いいえ

はい。

はい。

EC2:AttachVolume

はい。

はい。

いいえ

EC2:DeleteVolume

いいえ

はい。

はい。

EC2:DetachVolumeの場合

いいえ

はい。

はい。

Cloud Volumes ONTAP のセキュリティグループを作成および管理します

EC2:CreateSecurityGroup

はい。

いいえ

いいえ

EC2: DeleteSecurityGroup

いいえ

はい。

はい。

EC2: DescribeSecurityGroups

はい。

はい。

はい。

EC2: RevokeSecurityGroupEgress

はい。

いいえ

いいえ

ec2:AuthorizeSecurityGroupEgress

はい。

いいえ

いいえ

ec2:AuthorizeSecurityGroupIngress

はい。

いいえ

いいえ

EC2: RevokeSecurityGroupIngress

はい。

はい。

いいえ

ターゲットサブネットのCloud Volumes ONTAP のネットワークインターフェイスを作成および管理します

EC2:CreateNetworkInterface

はい。

いいえ

いいえ

EC2: DescribeNetworkInterfaces

はい。

はい。

いいえ

EC2:DeleteNetworkInterface

いいえ

はい。

はい。

EC2:ModifyNetworkInterfaceAttributeのいずれかです

いいえ

はい。

いいえ

デスティネーションのサブネットとセキュリティグループの一覧を取得します

EC2: DescribeSubnets

はい。

はい。

いいえ

EC2: DescribeVpcs

はい。

はい。

いいえ

Cloud Volumes ONTAP インスタンスのDNSサーバおよびデフォルトのドメイン名を取得します

EC2: DescribeDhcpOptions

はい。

いいえ

いいえ

Cloud Volumes ONTAP 用のEBSボリュームのSnapshotを作成します

EC2: CreateSnapshotの作成

はい。

はい。

いいえ

EC2:DeleteSnapshot

いいえ

はい。

はい。

ec2: DescribeSnapshots

いいえ

はい。

いいえ

AutoSupport メッセージに添付されているCloud Volumes ONTAP コンソールをキャプチャします

EC2: GetConsoleOutput

はい。

はい。

いいえ

使用可能なキーペアのリストを取得します

EC2:DescribeKeyPairs

はい。

いいえ

いいえ

使用可能なAWSリージョンのリストを取得します

EC2: DescribeRegions (説明領域

はい。

はい。

いいえ

Cloud Volumes ONTAP インスタンスに関連付けられたリソースのタグを管理します

EC2:タグを削除します

いいえ

はい。

はい。

EC2: DescribeTags (説明タグ)

いいえ

はい。

いいえ

AWS CloudFormationテンプレートのスタックの作成と管理

CloudFormation:CreateStack

はい。

いいえ

いいえ

CloudFormation:DeleteStack

はい。

いいえ

いいえ

CloudFormation:DescribeStack

はい。

はい。

いいえ

CloudFormation:DescribeStackEvents

はい。

いいえ

いいえ

CloudFormation:ValidateTemplate

はい。

いいえ

いいえ

Cloud Volumes ONTAP システムでデータ階層として使用するS3バケットを作成および管理します

S3 : CreateBucket を指定します

はい。

はい。

いいえ

S3 : DeleteBucket

いいえ

はい。

はい。

S3 : GetLifecycleConfiguration

いいえ

はい。

いいえ

S3 : PutLifecycleConfiguration

いいえ

はい。

いいえ

S3 : PutBucketTagging

いいえ

はい。

いいえ

S3 : ListBucketVersions

いいえ

はい。

いいえ

S3:GetBucketPolicyStatus

いいえ

はい。

いいえ

S3:GetBucketPublicAccessBlock

いいえ

はい。

いいえ

S3 : GetBucketAcl

いいえ

はい。

いいえ

S3 : GetBucketPolicy

いいえ

はい。

いいえ

S3:PutBucketPublicAccessBlock

いいえ

はい。

いいえ

S3 : GetBucketTagging

いいえ

はい。

いいえ

S3 : GetBucketLocation

いいえ

はい。

いいえ

S3 : ListAllMyBuckets

いいえ

いいえ

いいえ

S3 : ListBucket

いいえ

はい。

いいえ

AWS Key Management Service(KMS;キー管理サービス)を使用してCloud Volumes ONTAP のデータ暗号化を有効にする

KMS:リスト*

はい。

はい。

いいえ

KMS:再暗号化*

はい。

いいえ

いいえ

KMS:説明*

はい。

はい。

いいえ

KMS:CreateGrant

はい。

はい。

いいえ

KMS:GenerateDataKeyWithoutPlaintext

はい。

はい。

いいえ

2つのHAノードとメディエーター用のAWS分散配置グループを1つのAWSアベイラビリティゾーンに作成して管理します

EC2:CreatePlacementGroup

はい。

いいえ

いいえ

EC2: DeletePlacementGroup

いいえ

はい。

はい。

レポートを作成します

FSx:説明*

いいえ

はい。

いいえ

FSx:リスト*

いいえ

はい。

いいえ

Amazon EBS Elastic Volumes機能をサポートするアグリゲートを作成して管理します

EC2: DescribeVolumesModifications ( EC2 : DescribeVolumesMod

いいえ

はい。

いいえ

EC2:ModifyVolume

いいえ

はい。

いいえ

アベイラビリティゾーンがAWSローカルゾーンであるかどうかを確認し、すべての導入パラメータに互換性があることを確認します。

EC2:説明AvailabilityZones

はい。

いいえ

はい。

変更ログ

権限が追加および削除されると、以下のセクションにそれらの権限が表示されます。

2024年9月9日

標準リージョンのポリシー#2から権限が削除されました。これは、BlueXP  がBlueXP  エッジキャッシングとKubernetesクラスタの検出と管理をサポートしなくなったためです。

ポリシーから削除された権限を表示する 
        {
            "Action": [
                "ec2:DescribeRegions",
                "eks:ListClusters",
                "eks:DescribeCluster",
                "iam:GetInstanceProfile"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "K8sServicePolicy"
        },
        {
            "Action": [
                "cloudformation:DescribeStacks",
                "cloudwatch:GetMetricStatistics",
                "cloudformation:ListStacks"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "GFCservicePolicy"
        },
        {
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/GFCInstance": "*"
                }
            },
            "Action": [
                "ec2:StartInstances",
                "ec2:TerminateInstances",
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ],
            "Effect": "Allow"
        },
JSON
Copy

2024年5月9日

Cloud Volumes ONTAPには次の権限が必要です。

EC2:説明AvailabilityZones

2023年6月6日

Cloud Volumes ONTAPには次の権限が必要です。

KMS:GenerateDataKeyWithoutPlaintext

2023年2月14日

BlueXPの階層化には次の権限が必要です。

EC2: DescribeVpcEndpoints