Connector の AWS 権限
変更を提案
PDF
BlueXPがAWSでConnectorインスタンスを起動すると、そのAWSアカウント内のリソースとプロセスを管理するための権限をConnectorに提供するポリシーがインスタンスにアタッチされます。Connectorでは、権限を使用してAPI呼び出しを実行することで、EC2、S3、CloudFormation、IAM、 Key Management Service(KMS;キー管理サービス)など。
IAMポリシー
以下のIAMポリシーは、ConnectorがAWSリージョンに基づいてパブリッククラウド環境内のリソースとプロセスを管理するために必要な権限を提供します。
次の点に注意してください。
-
BlueXPから直接、標準のAWSリージョンでコネクタを作成すると、BlueXPによって自動的にそのコネクタにポリシーが適用されます。
-
AWS Marketplaceからコネクタを導入する場合、Linuxホストにコネクタを手動でインストールする場合、またはBlueXPにAWSクレデンシャルを追加する場合は、ポリシーを自分で設定する必要があります。
-
いずれの場合も、以降のリリースで新しい権限が追加されるため、ポリシーが最新の状態になっていることを確認する必要があります。新しい権限が必要な場合は、リリースノートに記載されます。
-
必要に応じて、IAMを使用してIAMポリシーを制限できます
Condition要素(Element): "AWSドキュメント:Condition要素" -
これらのポリシーの使用手順については、次のページを参照してください。
必要なポリシーを表示する地域を選択します。
標準領域
標準のリージョンでは、権限は2つのポリシーに分散されます。AWSの管理対象ポリシーの最大文字数に制限されているため、2つのポリシーが必要です。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:CreatePlacementGroup",
"ec2:DescribeReservedInstancesOfferings",
"ec2:AssignPrivateIpAddresses",
"ec2:CreateRoute",
"ec2:DescribeVpcs",
"ec2:ReplaceRoute",
"ec2:UnassignPrivateIpAddresses",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteRoute",
"ec2:DeletePlacementGroup",
"ec2:DescribePlacementGroups",
"ec2:DescribeVolumesModifications",
"ec2:ModifyVolume",
"cloudformation:CreateStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"cloudformation:DeleteStack",
"iam:PassRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:ListInstanceProfiles",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile",
"iam:GetRolePolicy",
"iam:GetRole",
"sts:DecodeAuthorizationMessage",
"sts:AssumeRole",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicy",
"s3:GetBucketAcl",
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"kms:List*",
"kms:ReEncrypt*",
"kms:Describe*",
"kms:CreateGrant",
"fsx:Describe*",
"fsx:List*",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "cvoServicePolicy"
},
{
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateSecurityGroup",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"kms:List*",
"kms:Describe*",
"ec2:DescribeVpcEndpoints",
"kms:ListAliases",
"athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryExecution",
"glue:GetDatabase",
"glue:GetTable",
"glue:CreateTable",
"glue:CreateDatabase",
"glue:GetPartitions",
"glue:BatchCreatePartition",
"glue:BatchDeletePartition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "backupPolicy"
},
{
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketAcl",
"s3:PutBucketPublicAccessBlock",
"s3:GetObject",
"s3:PutEncryptionConfiguration",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:ListBucketMultipartUploads",
"s3:PutObject",
"s3:PutBucketAcl",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:DeleteBucket",
"s3:GetObjectVersionTagging",
"s3:GetObjectVersionAcl",
"s3:GetObjectRetention",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObjectVersionTagging",
"s3:PutObjectRetention",
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersionTagging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketVersioning",
"s3:PutBucketObjectLockConfiguration",
"s3:PutBucketVersioning",
"s3:BypassGovernanceRetention",
"s3:PutBucketPolicy",
"s3:PutBucketOwnershipControls"
],
"Resource": [
"arn:aws:s3:::netapp-backup-*"
],
"Effect": "Allow",
"Sid": "backupS3Policy"
},
{
"Action": [
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:DeleteBucket"
],
"Resource": [
"arn:aws:s3:::fabric-pool*"
],
"Effect": "Allow",
"Sid": "fabricPoolS3Policy"
},
{
"Action": [
"ec2:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "fabricPoolPolicy"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/netapp-adc-manager": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume",
"ec2:StopInstances",
"ec2:DeleteVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Action": [
"ec2:DeleteVolume"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*"
],
"Effect": "Allow"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:DescribeTags",
"tag:getResources",
"tag:getTagKeys",
"tag:getTagValues",
"tag:TagResources",
"tag:UntagResources"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "tagServicePolicy"
}
]
}GovCloud(US)リージョン
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListInstanceProfiles",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"ec2:ModifyVolumeAttribute",
"sts:DecodeAuthorizationMessage",
"ec2:DescribeImages",
"ec2:DescribeRouteTables",
"ec2:DescribeInstances",
"iam:PassRole",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:StopInstances",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"s3:GetObject",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:CreateBucket",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"kms:List*",
"kms:ReEncrypt*",
"kms:Describe*",
"kms:CreateGrant",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws-us-gov:s3:::fabric-pool*"
]
},
{
"Sid": "backupPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetObject",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws-us-gov:s3:::netapp-backup-*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-us-gov:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-us-gov:ec2:*:*:volume/*"
]
}
]
}シークレットリージョン
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"iam:PassRole",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"kms:List*",
"kms:Describe*",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup",
"iam:ListinstanceProfiles"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws-iso-b:s3:::fabric-pool*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-iso-b:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-iso-b:ec2:*:*:volume/*"
]
}
]
}Top Secret領域
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"iam:PassRole",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"kms:List*",
"kms:Describe*",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup",
"iam:ListinstanceProfiles"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws-iso:s3:::fabric-pool*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-iso:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-iso:ec2:*:*:volume/*"
]
}
]
}AWS権限の使用方法
以降のセクションでは、各BlueXPサービスでの権限の使用方法について説明します。この情報は、企業のポリシーによって、必要な場合にのみアクセス許可が指定されるように指定されている場合に役立ちます。
ONTAP 対応の Amazon FSX
コネクタは、Amazon FSx for ONTAPファイルシステムを管理するために次のAPI要求を行います。
-
EC2: DescribeInstances
-
EC2: DescribeInstanceStatus
-
EC2: DescribeInstanceAttributeのこと
-
EC2: DescribeRouteTables
-
EC2: DescribeImages
-
ec2:CreateTags
-
EC2: DescribeVolumesの場合
-
EC2: DescribeSecurityGroups
-
EC2: DescribeNetworkInterfaces
-
EC2: DescribeSubnets
-
EC2: DescribeVpcs
-
EC2: DescribeDhcpOptions
-
ec2: DescribeSnapshots
-
EC2:DescribeKeyPairs
-
EC2: DescribeRegions (説明領域
-
EC2: DescribeTags (説明タグ)
-
EC2: DescribeIamInstanceProfileAssociations
-
EC2: DescribeReservedInstancesOfferings
-
EC2: DescribeVpcEndpoints
-
EC2: DescribeVpcs
-
EC2: DescribeVolumesModifications ( EC2 : DescribeVolumesMod
-
EC2: DescribePlacementGroups
-
KMS:リスト*
-
KMS:説明*
-
KMS:CreateGrant
-
KMS:エイリアスを確認する
-
FSx:説明*
-
FSx:リスト*
Amazon S3 バケットの検出
コネクタは、Amazon S3バケットを検出するために次のAPI要求を実行します。
S3 : GetEncryptionConfiguration
バックアップとリカバリ
Connectorは、Amazon S3でバックアップを管理するために次のAPI要求を実行します。
-
S3 : GetBucketLocation
-
S3 : ListAllMyBuckets
-
S3 : ListBucket
-
S3 : CreateBucket を指定します
-
S3 : GetLifecycleConfiguration
-
S3 : PutLifecycleConfiguration
-
S3 : PutBucketTagging
-
S3 : ListBucketVersions
-
S3 : GetBucketAcl
-
S3:PutBucketPublicAccessBlock
-
KMS:リスト*
-
KMS:説明*
-
S3 : GetObject
-
EC2: DescribeVpcEndpoints
-
KMS:エイリアスを確認する
-
S3 : PutEncryptionConfiguration
コネクタは、Search & Restoreメソッドを使用してボリュームとファイルをリストアする場合に次のAPI要求を実行します。
-
S3 : CreateBucket を指定します
-
S3 : DeleteObject
-
S3 : DeleteObjectVersion
-
S3 : GetBucketAcl
-
S3 : ListBucket
-
S3 : ListBucketVersions
-
S3 : ListBucketMultipartUploads
-
S3 : PutObject
-
S3:PutBucketAcl
-
S3 : PutLifecycleConfiguration
-
S3:PutBucketPublicAccessBlock
-
S3 : AbortMultipartUpload
-
S3 : ListMultipartUploadParts
-
Athena:StartQueryExecution
-
Athena: GetQueryResults.
-
Athena: GetQueryExecution
-
Athena:StopQueryExecution
-
グルー:データベースを作成します
-
グルー: CreateTable
-
グルー: BatchDeletePartition
このコネクタは、データロックとランサムウェア保護を使用してボリュームのバックアップを行う際に次のAPI要求を実行します。
-
S3 : GetObjectVersionTagging
-
S3 : GetBucketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3 : PutObjectTagging
-
S3 : DeleteObject
-
S3 : DeleteObjectTagging
-
S3 : GetObjectRetention
-
S3 : DeleteObjectVersionTagging
-
S3 : PutObject
-
S3 : GetObject
-
S3 : PutBucketObjectLockConfiguration
-
S3 : GetLifecycleConfiguration
-
S3:ListBucketByTags
-
S3 : GetBucketTagging
-
S3 : DeleteObjectVersion
-
S3 : ListBucketVersions
-
S3 : ListBucket
-
S3 : PutBucketTagging
-
S3 : GetObjectTagging
-
S3 : PutBucketVersioning
-
S3 : PutObjectVersionTagging
-
S3 : GetBucketVersioning
-
S3 : GetBucketAcl
-
S3:Bypassガバナー 保持
-
S3 : PutObjectRetention
-
S3 : GetBucketLocation
-
S3 : GetObjectVersion
Cloud Volumes ONTAP バックアップにソースボリュームとは異なるAWSアカウントを使用する場合、Connectorは次のAPI要求を実行します。
-
S3 : PutBucketPolicy
-
S3:PutBucketOwnershipControls
分類
コネクタは、BlueXP分類インスタンスを導入するために次のAPI要求を行います。
-
EC2: DescribeInstances
-
EC2: DescribeInstanceStatus
-
EC2:RunInstances
-
EC2:TerminateInstances
-
ec2:CreateTags
-
EC2:CreateVolume
-
EC2:AttachVolume
-
EC2:CreateSecurityGroup
-
EC2: DeleteSecurityGroup
-
EC2: DescribeSecurityGroups
-
EC2:CreateNetworkInterface
-
EC2: DescribeNetworkInterfaces
-
EC2:DeleteNetworkInterface
-
EC2: DescribeSubnets
-
EC2: DescribeVpcs
-
EC2: CreateSnapshotの作成
-
EC2: DescribeRegions (説明領域
-
CloudFormation:CreateStack
-
CloudFormation:DeleteStack
-
CloudFormation:DescribeStack
-
CloudFormation:DescribeStackEvents
-
IAM:AddRoleToInstanceProfile
-
EC2: AssociateIamInstanceProfile
-
EC2: DescribeIamInstanceProfileAssociations
BlueXP分類を使用する場合、コネクタはS3バケットをスキャンするために次のAPI要求を行います。
-
IAM:AddRoleToInstanceProfile
-
EC2: AssociateIamInstanceProfile
-
EC2: DescribeIamInstanceProfileAssociations
-
S3 : GetBucketTagging
-
S3 : GetBucketLocation
-
S3 : ListAllMyBuckets
-
S3 : ListBucket
-
S3:GetBucketPolicyStatus
-
S3 : GetBucketPolicy
-
S3 : GetBucketAcl
-
S3 : GetObject
-
IAM:GetRole
-
S3 : DeleteObject
-
S3 : DeleteObjectVersion
-
S3 : PutObject
-
STS: AssumeRole
Cloud Volumes ONTAP
Connectorは、AWSでのCloud Volumes ONTAP の導入と管理に対して次のAPI要求を実行します。
| 目的 | アクション | 導入に使用 | 日々の業務に使用されるか? | 削除しますか? |
|---|---|---|---|---|
Cloud Volumes ONTAP インスタンスのIAMロールとインスタンスプロファイルを作成および管理します |
IAM:ListInstanceProfiles |
はい。 |
はい。 |
いいえ |
IAM:CREATEROLE |
はい。 |
いいえ |
いいえ |
|
IAM:DeleteRole |
いいえ |
はい。 |
はい。 |
|
IAM:PutRolePolicy |
はい。 |
いいえ |
いいえ |
|
IAM:CreateInstanceProfile |
はい。 |
いいえ |
いいえ |
|
IAM:DeleteRolePolicy |
いいえ |
はい。 |
はい。 |
|
IAM:AddRoleToInstanceProfile |
はい。 |
いいえ |
いいえ |
|
IAM:RemoveRoleFromInstanceProfile |
いいえ |
はい。 |
はい。 |
|
IAM:DeleteInstanceProfile |
いいえ |
はい。 |
はい。 |
|
IAM:PassRole |
はい。 |
いいえ |
いいえ |
|
EC2: AssociateIamInstanceProfile |
はい。 |
はい。 |
いいえ |
|
EC2: DescribeIamInstanceProfileAssociations |
はい。 |
はい。 |
いいえ |
|
EC2: DisassociateIamInstanceProfile |
いいえ |
はい。 |
いいえ |
|
読み取り許可ステータスメッセージ |
STS: DecodeAuthorizationMessage |
はい。 |
はい。 |
いいえ |
アカウントで使用可能な指定イメージ(AMIS)について説明します |
EC2: DescribeImages |
はい。 |
はい。 |
いいえ |
VPC内のルーティングテーブルの説明(HAペアの場合のみ必要) |
EC2: DescribeRouteTables |
はい。 |
いいえ |
いいえ |
インスタンスの停止、開始、監視 |
EC2:StartInstances(EC2:開始インスタンス |
はい。 |
はい。 |
いいえ |
EC2:StopInstances |
はい。 |
はい。 |
いいえ |
|
EC2: DescribeInstances |
はい。 |
はい。 |
いいえ |
|
EC2: DescribeInstanceStatus |
はい。 |
はい。 |
いいえ |
|
EC2:RunInstances |
はい。 |
いいえ |
いいえ |
|
EC2:TerminateInstances |
いいえ |
いいえ |
はい。 |
|
EC2:ModifyInstanceAttribute |
いいえ |
はい。 |
いいえ |
|
サポートされるインスタンスタイプに対して拡張ネットワークが有効になっていることを確認します |
EC2: DescribeInstanceAttributeのこと |
いいえ |
はい。 |
いいえ |
メンテナンスとコストの割り当てに使用する「WorkingEnvironment」タグと「WorkingEnvironmentId」タグを使用してリソースにタグを付けます |
ec2:CreateTags |
はい。 |
はい。 |
いいえ |
Cloud Volumes ONTAP がバックエンドストレージとして使用するEBSボリュームを管理します |
EC2:CreateVolume |
はい。 |
はい。 |
いいえ |
EC2: DescribeVolumesの場合 |
はい。 |
はい。 |
はい。 |
|
EC2:ModifyVolumeAttributeのことです |
いいえ |
はい。 |
はい。 |
|
EC2:AttachVolume |
はい。 |
はい。 |
いいえ |
|
EC2:DeleteVolume |
いいえ |
はい。 |
はい。 |
|
EC2:DetachVolumeの場合 |
いいえ |
はい。 |
はい。 |
|
Cloud Volumes ONTAP のセキュリティグループを作成および管理します |
EC2:CreateSecurityGroup |
はい。 |
いいえ |
いいえ |
EC2: DeleteSecurityGroup |
いいえ |
はい。 |
はい。 |
|
EC2: DescribeSecurityGroups |
はい。 |
はい。 |
はい。 |
|
EC2: RevokeSecurityGroupEgress |
はい。 |
いいえ |
いいえ |
|
ec2:AuthorizeSecurityGroupEgress |
はい。 |
いいえ |
いいえ |
|
ec2:AuthorizeSecurityGroupIngress |
はい。 |
いいえ |
いいえ |
|
EC2: RevokeSecurityGroupIngress |
はい。 |
はい。 |
いいえ |
|
ターゲットサブネットのCloud Volumes ONTAP のネットワークインターフェイスを作成および管理します |
EC2:CreateNetworkInterface |
はい。 |
いいえ |
いいえ |
EC2: DescribeNetworkInterfaces |
はい。 |
はい。 |
いいえ |
|
EC2:DeleteNetworkInterface |
いいえ |
はい。 |
はい。 |
|
EC2:ModifyNetworkInterfaceAttributeのいずれかです |
いいえ |
はい。 |
いいえ |
|
デスティネーションのサブネットとセキュリティグループの一覧を取得します |
EC2: DescribeSubnets |
はい。 |
はい。 |
いいえ |
EC2: DescribeVpcs |
はい。 |
はい。 |
いいえ |
|
Cloud Volumes ONTAP インスタンスのDNSサーバおよびデフォルトのドメイン名を取得します |
EC2: DescribeDhcpOptions |
はい。 |
いいえ |
いいえ |
Cloud Volumes ONTAP 用のEBSボリュームのSnapshotを作成します |
EC2: CreateSnapshotの作成 |
はい。 |
はい。 |
いいえ |
EC2:DeleteSnapshot |
いいえ |
はい。 |
はい。 |
|
ec2: DescribeSnapshots |
いいえ |
はい。 |
いいえ |
|
AutoSupport メッセージに添付されているCloud Volumes ONTAP コンソールをキャプチャします |
EC2: GetConsoleOutput |
はい。 |
はい。 |
いいえ |
使用可能なキーペアのリストを取得します |
EC2:DescribeKeyPairs |
はい。 |
いいえ |
いいえ |
使用可能なAWSリージョンのリストを取得します |
EC2: DescribeRegions (説明領域 |
はい。 |
はい。 |
いいえ |
Cloud Volumes ONTAP インスタンスに関連付けられたリソースのタグを管理します |
EC2:タグを削除します |
いいえ |
はい。 |
はい。 |
EC2: DescribeTags (説明タグ) |
いいえ |
はい。 |
いいえ |
|
AWS CloudFormationテンプレートのスタックの作成と管理 |
CloudFormation:CreateStack |
はい。 |
いいえ |
いいえ |
CloudFormation:DeleteStack |
はい。 |
いいえ |
いいえ |
|
CloudFormation:DescribeStack |
はい。 |
はい。 |
いいえ |
|
CloudFormation:DescribeStackEvents |
はい。 |
いいえ |
いいえ |
|
CloudFormation:ValidateTemplate |
はい。 |
いいえ |
いいえ |
|
Cloud Volumes ONTAP システムでデータ階層として使用するS3バケットを作成および管理します |
S3 : CreateBucket を指定します |
はい。 |
はい。 |
いいえ |
S3 : DeleteBucket |
いいえ |
はい。 |
はい。 |
|
S3 : GetLifecycleConfiguration |
いいえ |
はい。 |
いいえ |
|
S3 : PutLifecycleConfiguration |
いいえ |
はい。 |
いいえ |
|
S3 : PutBucketTagging |
いいえ |
はい。 |
いいえ |
|
S3 : ListBucketVersions |
いいえ |
はい。 |
いいえ |
|
S3:GetBucketPolicyStatus |
いいえ |
はい。 |
いいえ |
|
S3:GetBucketPublicAccessBlock |
いいえ |
はい。 |
いいえ |
|
S3 : GetBucketAcl |
いいえ |
はい。 |
いいえ |
|
S3 : GetBucketPolicy |
いいえ |
はい。 |
いいえ |
|
S3:PutBucketPublicAccessBlock |
いいえ |
はい。 |
いいえ |
|
S3 : GetBucketTagging |
いいえ |
はい。 |
いいえ |
|
S3 : GetBucketLocation |
いいえ |
はい。 |
いいえ |
|
S3 : ListAllMyBuckets |
いいえ |
いいえ |
いいえ |
|
S3 : ListBucket |
いいえ |
はい。 |
いいえ |
|
AWS Key Management Service(KMS;キー管理サービス)を使用してCloud Volumes ONTAP のデータ暗号化を有効にする |
KMS:リスト* |
はい。 |
はい。 |
いいえ |
KMS:再暗号化* |
はい。 |
いいえ |
いいえ |
|
KMS:説明* |
はい。 |
はい。 |
いいえ |
|
KMS:CreateGrant |
はい。 |
はい。 |
いいえ |
|
KMS:GenerateDataKeyWithoutPlaintext |
はい。 |
はい。 |
いいえ |
|
2つのHAノードとメディエーター用のAWS分散配置グループを1つのAWSアベイラビリティゾーンに作成して管理します |
EC2:CreatePlacementGroup |
はい。 |
いいえ |
いいえ |
EC2: DeletePlacementGroup |
いいえ |
はい。 |
はい。 |
|
レポートを作成します |
FSx:説明* |
いいえ |
はい。 |
いいえ |
FSx:リスト* |
いいえ |
はい。 |
いいえ |
|
Amazon EBS Elastic Volumes機能をサポートするアグリゲートを作成して管理します |
EC2: DescribeVolumesModifications ( EC2 : DescribeVolumesMod |
いいえ |
はい。 |
いいえ |
EC2:ModifyVolume |
いいえ |
はい。 |
いいえ |
|
アベイラビリティゾーンがAWSローカルゾーンであるかどうかを確認し、すべての導入パラメータに互換性があることを確認します。 |
EC2:説明AvailabilityZones |
はい。 |
いいえ |
はい。 |
変更ログ
権限が追加および削除されると、以下のセクションにそれらの権限が表示されます。
2024年9月9日
標準リージョンのポリシー#2から権限が削除されました。これは、BlueXP がBlueXP エッジキャッシングとKubernetesクラスタの検出と管理をサポートしなくなったためです。
ポリシーから削除された権限を表示する
{
"Action": [
"ec2:DescribeRegions",
"eks:ListClusters",
"eks:DescribeCluster",
"iam:GetInstanceProfile"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "K8sServicePolicy"
},
{
"Action": [
"cloudformation:DescribeStacks",
"cloudwatch:GetMetricStatistics",
"cloudformation:ListStacks"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "GFCservicePolicy"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/GFCInstance": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},2024年5月9日
Cloud Volumes ONTAPには次の権限が必要です。
EC2:説明AvailabilityZones
2023年6月6日
Cloud Volumes ONTAPには次の権限が必要です。
KMS:GenerateDataKeyWithoutPlaintext
2023年2月14日
BlueXPの階層化には次の権限が必要です。
EC2: DescribeVpcEndpoints