リリースノート
Connector の AWS 権限
変更を提案
PDF
BlueXPがAWSでConnectorインスタンスを起動すると、そのAWSアカウント内のリソースとプロセスを管理するための権限をConnectorに提供するポリシーがインスタンスにアタッチされます。Connectorでは、権限を使用してAPI呼び出しを実行することで、EC2、S3、CloudFormation、IAM、 Key Management Service(KMS;キー管理サービス)など。
IAMポリシー
以下のIAMポリシーは、ConnectorがAWSリージョンに基づいてパブリッククラウド環境内のリソースとプロセスを管理するために必要な権限を提供します。
次の点に注意してください。
-
BlueXPから直接、標準のAWSリージョンでコネクタを作成すると、BlueXPによって自動的にそのコネクタにポリシーが適用されます。この場合、何も行う必要はありません。
-
AWS Marketplaceからコネクタを導入する場合、Linuxホストにコネクタを手動でインストールする場合、またはBlueXPにAWSクレデンシャルを追加する場合は、ポリシーを自分で設定する必要があります。
-
また、新しい権限が以降のリリースで追加されるときに、ポリシーが最新の状態であることを確認する必要があります。
-
必要に応じて、IAMを使用してIAMポリシーを制限できます
Condition要素(Element): "AWSドキュメント:Condition要素" -
これらのポリシーの使用手順については、次のページを参照してください。
必要なポリシーを表示する地域を選択します。
標準領域
標準のリージョンでは、権限は2つのポリシーに分散されます。AWSの管理対象ポリシーの最大文字数に制限されているため、2つのポリシーが必要です。
1つ目のポリシーでは、次のサービスに対する権限を付与します。
-
Amazon S3 バケットの検出
-
バックアップとリカバリ
-
分類
-
Cloud Volumes ONTAP
-
FSX for ONTAP の略
-
階層化
2つ目のポリシーは、次のサービスに対する権限を提供します。
-
エッジキャッシュ
-
Kubernetes
-
修正
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:CreatePlacementGroup",
"ec2:DescribeReservedInstancesOfferings",
"ec2:AssignPrivateIpAddresses",
"ec2:CreateRoute",
"ec2:DescribeVpcs",
"ec2:ReplaceRoute",
"ec2:UnassignPrivateIpAddresses",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteRoute",
"ec2:DeletePlacementGroup",
"ec2:DescribePlacementGroups",
"ec2:DescribeVolumesModifications",
"ec2:ModifyVolume",
"cloudformation:CreateStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"cloudformation:DeleteStack",
"iam:PassRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:ListInstanceProfiles",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile",
"iam:GetRolePolicy",
"iam:GetRole",
"sts:DecodeAuthorizationMessage",
"sts:AssumeRole",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicy",
"s3:GetBucketAcl",
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"kms:List*",
"kms:ReEncrypt*",
"kms:Describe*",
"kms:CreateGrant",
"fsx:Describe*",
"fsx:List*",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "cvoServicePolicy"
},
{
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateSecurityGroup",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"kms:List*",
"kms:Describe*",
"ec2:DescribeVpcEndpoints",
"kms:ListAliases",
"athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryExecution",
"glue:GetDatabase",
"glue:GetTable",
"glue:CreateTable",
"glue:CreateDatabase",
"glue:GetPartitions",
"glue:BatchCreatePartition",
"glue:BatchDeletePartition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "backupPolicy"
},
{
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketAcl",
"s3:PutBucketPublicAccessBlock",
"s3:GetObject",
"s3:PutEncryptionConfiguration",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:ListBucketMultipartUploads",
"s3:PutObject",
"s3:PutBucketAcl",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:DeleteBucket",
"s3:GetObjectVersionTagging",
"s3:GetObjectVersionAcl",
"s3:GetObjectRetention",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObjectVersionTagging",
"s3:PutObjectRetention",
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersionTagging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketVersioning",
"s3:PutBucketObjectLockConfiguration",
"s3:PutBucketVersioning",
"s3:BypassGovernanceRetention",
"s3:PutBucketPolicy",
"s3:PutBucketOwnershipControls"
],
"Resource": [
"arn:aws:s3:::netapp-backup-*"
],
"Effect": "Allow",
"Sid": "backupS3Policy"
},
{
"Action": [
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:DeleteBucket"
],
"Resource": [
"arn:aws:s3:::fabric-pool*"
],
"Effect": "Allow",
"Sid": "fabricPoolS3Policy"
},
{
"Action": [
"ec2:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "fabricPoolPolicy"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/netapp-adc-manager": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume",
"ec2:StopInstances",
"ec2:DeleteVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Action": [
"ec2:DeleteVolume"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*"
],
"Effect": "Allow"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeRegions",
"eks:ListClusters",
"eks:DescribeCluster",
"iam:GetInstanceProfile"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "K8sServicePolicy"
},
{
"Action": [
"cloudformation:DescribeStacks",
"cloudwatch:GetMetricStatistics",
"cloudformation:ListStacks"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "GFCservicePolicy"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/GFCInstance": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:DescribeTags",
"tag:getResources",
"tag:getTagKeys",
"tag:getTagValues",
"tag:TagResources",
"tag:UntagResources"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "tagServicePolicy"
}
]
}GovCloud(US)リージョン
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListInstanceProfiles",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"ec2:ModifyVolumeAttribute",
"sts:DecodeAuthorizationMessage",
"ec2:DescribeImages",
"ec2:DescribeRouteTables",
"ec2:DescribeInstances",
"iam:PassRole",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:StopInstances",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"s3:GetObject",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:CreateBucket",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"kms:List*",
"kms:ReEncrypt*",
"kms:Describe*",
"kms:CreateGrant",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws-us-gov:s3:::fabric-pool*"
]
},
{
"Sid": "backupPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetObject",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws-us-gov:s3:::netapp-backup-*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-us-gov:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-us-gov:ec2:*:*:volume/*"
]
}
]
}シークレットリージョン
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"iam:PassRole",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"kms:List*",
"kms:Describe*",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup",
"iam:ListinstanceProfiles"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws-iso-b:s3:::fabric-pool*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-iso-b:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-iso-b:ec2:*:*:volume/*"
]
}
]
}Top Secret領域
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"iam:PassRole",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"kms:List*",
"kms:Describe*",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup",
"iam:ListinstanceProfiles"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws-iso:s3:::fabric-pool*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-iso:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-iso:ec2:*:*:volume/*"
]
}
]
}AWS権限の使用方法
以降のセクションでは、各BlueXPサービスでの権限の使用方法について説明します。この情報は、企業のポリシーによって、必要な場合にのみアクセス許可が指定されるように指定されている場合に役立ちます。
ONTAP 対応の Amazon FSX
コネクタは、Amazon FSx for ONTAP を管理するための次のAPI要求を行います。
-
EC2: DescribeInstances
-
EC2: DescribeInstanceStatus
-
EC2: DescribeInstanceAttributeのこと
-
EC2: DescribeRouteTables
-
EC2: DescribeImages
-
ec2:CreateTags
-
EC2: DescribeVolumesの場合
-
EC2: DescribeSecurityGroups
-
EC2: DescribeNetworkInterfaces
-
EC2: DescribeSubnets
-
EC2: DescribeVpcs
-
EC2: DescribeDhcpOptions
-
ec2: DescribeSnapshots
-
EC2:DescribeKeyPairs
-
EC2: DescribeRegions (説明領域
-
EC2: DescribeTags (説明タグ)
-
EC2: DescribeIamInstanceProfileAssociations
-
EC2: DescribeReservedInstancesOfferings
-
EC2: DescribeVpcEndpoints
-
EC2: DescribeVpcs
-
EC2: DescribeVolumesModifications ( EC2 : DescribeVolumesMod
-
EC2: DescribePlacementGroups
-
KMS:リスト*
-
KMS:説明*
-
KMS:CreateGrant
-
KMS:エイリアスを確認する
-
FSx:説明*
-
FSx:リスト*
Amazon S3 バケットの検出
コネクタは、Amazon S3バケットを検出するために次のAPI要求を実行します。
S3 : GetEncryptionConfiguration
バックアップとリカバリ
Connectorは、Amazon S3でバックアップを管理するために次のAPI要求を実行します。
-
S3 : GetBucketLocation
-
S3 : ListAllMyBuckets
-
S3 : ListBucket
-
S3 : CreateBucket を指定します
-
S3 : GetLifecycleConfiguration
-
S3 : PutLifecycleConfiguration
-
S3 : PutBucketTagging
-
S3 : ListBucketVersions
-
S3 : GetBucketAcl
-
S3:PutBucketPublicAccessBlock
-
KMS:リスト*
-
KMS:説明*
-
S3 : GetObject
-
EC2: DescribeVpcEndpoints
-
KMS:エイリアスを確認する
-
S3 : PutEncryptionConfiguration
コネクタは、Search & Restoreメソッドを使用してボリュームとファイルをリストアする場合に次のAPI要求を実行します。
-
S3 : CreateBucket を指定します
-
S3 : DeleteObject
-
S3 : DeleteObjectVersion
-
S3 : GetBucketAcl
-
S3 : ListBucket
-
S3 : ListBucketVersions
-
S3 : ListBucketMultipartUploads
-
S3 : PutObject
-
S3:PutBucketAcl
-
S3 : PutLifecycleConfiguration
-
S3:PutBucketPublicAccessBlock
-
S3 : AbortMultipartUpload
-
S3 : ListMultipartUploadParts
-
Athena:StartQueryExecution
-
Athena: GetQueryResults.
-
Athena: GetQueryExecution
-
Athena:StopQueryExecution
-
グルー:データベースを作成します
-
グルー: CreateTable
-
グルー: BatchDeletePartition
このコネクタは、データロックとランサムウェア保護を使用してボリュームのバックアップを行う際に次のAPI要求を実行します。
-
S3 : GetObjectVersionTagging
-
S3 : GetBucketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3 : PutObjectTagging
-
S3 : DeleteObject
-
S3 : DeleteObjectTagging
-
S3 : GetObjectRetention
-
S3 : DeleteObjectVersionTagging
-
S3 : PutObject
-
S3 : GetObject
-
S3 : PutBucketObjectLockConfiguration
-
S3 : GetLifecycleConfiguration
-
S3:ListBucketByTags
-
S3 : GetBucketTagging
-
S3 : DeleteObjectVersion
-
S3 : ListBucketVersions
-
S3 : ListBucket
-
S3 : PutBucketTagging
-
S3 : GetObjectTagging
-
S3 : PutBucketVersioning
-
S3 : PutObjectVersionTagging
-
S3 : GetBucketVersioning
-
S3 : GetBucketAcl
-
S3:Bypassガバナー 保持
-
S3 : PutObjectRetention
-
S3 : GetBucketLocation
-
S3 : GetObjectVersion
Cloud Volumes ONTAP バックアップにソースボリュームとは異なるAWSアカウントを使用する場合、Connectorは次のAPI要求を実行します。
-
S3 : PutBucketPolicy
-
S3:PutBucketOwnershipControls
分類
コネクタは、BlueXP分類インスタンスを導入するために次のAPI要求を行います。
-
EC2: DescribeInstances
-
EC2: DescribeInstanceStatus
-
EC2:RunInstances
-
EC2:TerminateInstances
-
ec2:CreateTags
-
EC2:CreateVolume
-
EC2:AttachVolume
-
EC2:CreateSecurityGroup
-
EC2: DeleteSecurityGroup
-
EC2: DescribeSecurityGroups
-
EC2:CreateNetworkInterface
-
EC2: DescribeNetworkInterfaces
-
EC2:DeleteNetworkInterface
-
EC2: DescribeSubnets
-
EC2: DescribeVpcs
-
EC2: CreateSnapshotの作成
-
EC2: DescribeRegions (説明領域
-
CloudFormation:CreateStack
-
CloudFormation:DeleteStack
-
CloudFormation:DescribeStack
-
CloudFormation:DescribeStackEvents
-
IAM:AddRoleToInstanceProfile
-
EC2: AssociateIamInstanceProfile
-
EC2: DescribeIamInstanceProfileAssociations
BlueXP分類を使用する場合、コネクタはS3バケットをスキャンするために次のAPI要求を行います。
-
IAM:AddRoleToInstanceProfile
-
EC2: AssociateIamInstanceProfile
-
EC2: DescribeIamInstanceProfileAssociations
-
S3 : GetBucketTagging
-
S3 : GetBucketLocation
-
S3 : ListAllMyBuckets
-
S3 : ListBucket
-
S3:GetBucketPolicyStatus
-
S3 : GetBucketPolicy
-
S3 : GetBucketAcl
-
S3 : GetObject
-
IAM:GetRole
-
S3 : DeleteObject
-
S3 : DeleteObjectVersion
-
S3 : PutObject
-
STS: AssumeRole
Cloud Volumes ONTAP
Connectorは、AWSでのCloud Volumes ONTAP の導入と管理に対して次のAPI要求を実行します。
| 目的 | アクション | 導入に使用 | 日々の業務に使用されるか? | 削除しますか? |
|---|---|---|---|---|
Cloud Volumes ONTAP インスタンスのIAMロールとインスタンスプロファイルを作成および管理します |
IAM:ListInstanceProfiles |
はい。 |
はい。 |
いいえ |
IAM:CREATEROLE |
はい。 |
いいえ |
いいえ |
|
IAM:DeleteRole |
いいえ |
はい。 |
はい。 |
|
IAM:PutRolePolicy |
はい。 |
いいえ |
いいえ |
|
IAM:CreateInstanceProfile |
はい。 |
いいえ |
いいえ |
|
IAM:DeleteRolePolicy |
いいえ |
はい。 |
はい。 |
|
IAM:AddRoleToInstanceProfile |
はい。 |
いいえ |
いいえ |
|
IAM:RemoveRoleFromInstanceProfile |
いいえ |
はい。 |
はい。 |
|
IAM:DeleteInstanceProfile |
いいえ |
はい。 |
はい。 |
|
IAM:PassRole |
はい。 |
いいえ |
いいえ |
|
EC2: AssociateIamInstanceProfile |
はい。 |
はい。 |
いいえ |
|
EC2: DescribeIamInstanceProfileAssociations |
はい。 |
はい。 |
いいえ |
|
EC2: DisassociateIamInstanceProfile |
いいえ |
はい。 |
いいえ |
|
読み取り許可ステータスメッセージ |
STS: DecodeAuthorizationMessage |
はい。 |
はい。 |
いいえ |
アカウントで使用可能な指定イメージ(AMIS)について説明します |
EC2: DescribeImages |
はい。 |
はい。 |
いいえ |
VPC内のルーティングテーブルの説明(HAペアの場合のみ必要) |
EC2: DescribeRouteTables |
はい。 |
いいえ |
いいえ |
インスタンスの停止、開始、監視 |
EC2:StartInstances(EC2:開始インスタンス |
はい。 |
はい。 |
いいえ |
EC2:StopInstances |
はい。 |
はい。 |
いいえ |
|
EC2: DescribeInstances |
はい。 |
はい。 |
いいえ |
|
EC2: DescribeInstanceStatus |
はい。 |
はい。 |
いいえ |
|
EC2:RunInstances |
はい。 |
いいえ |
いいえ |
|
EC2:TerminateInstances |
いいえ |
いいえ |
はい。 |
|
EC2:ModifyInstanceAttribute |
いいえ |
はい。 |
いいえ |
|
サポートされるインスタンスタイプに対して拡張ネットワークが有効になっていることを確認します |
EC2: DescribeInstanceAttributeのこと |
いいえ |
はい。 |
いいえ |
メンテナンスとコストの割り当てに使用する「WorkingEnvironment」タグと「WorkingEnvironmentId」タグを使用してリソースにタグを付けます |
ec2:CreateTags |
はい。 |
はい。 |
いいえ |
Cloud Volumes ONTAP がバックエンドストレージとして使用するEBSボリュームを管理します |
EC2:CreateVolume |
はい。 |
はい。 |
いいえ |
EC2: DescribeVolumesの場合 |
はい。 |
はい。 |
はい。 |
|
EC2:ModifyVolumeAttributeのことです |
いいえ |
はい。 |
はい。 |
|
EC2:AttachVolume |
はい。 |
はい。 |
いいえ |
|
EC2:DeleteVolume |
いいえ |
はい。 |
はい。 |
|
EC2:DetachVolumeの場合 |
いいえ |
はい。 |
はい。 |
|
Cloud Volumes ONTAP のセキュリティグループを作成および管理します |
EC2:CreateSecurityGroup |
はい。 |
いいえ |
いいえ |
EC2: DeleteSecurityGroup |
いいえ |
はい。 |
はい。 |
|
EC2: DescribeSecurityGroups |
はい。 |
はい。 |
はい。 |
|
EC2: RevokeSecurityGroupEgress |
はい。 |
いいえ |
いいえ |
|
ec2:AuthorizeSecurityGroupEgress |
はい。 |
いいえ |
いいえ |
|
ec2:AuthorizeSecurityGroupIngress |
はい。 |
いいえ |
いいえ |
|
EC2: RevokeSecurityGroupIngress |
はい。 |
はい。 |
いいえ |
|
ターゲットサブネットのCloud Volumes ONTAP のネットワークインターフェイスを作成および管理します |
EC2:CreateNetworkInterface |
はい。 |
いいえ |
いいえ |
EC2: DescribeNetworkInterfaces |
はい。 |
はい。 |
いいえ |
|
EC2:DeleteNetworkInterface |
いいえ |
はい。 |
はい。 |
|
EC2:ModifyNetworkInterfaceAttributeのいずれかです |
いいえ |
はい。 |
いいえ |
|
デスティネーションのサブネットとセキュリティグループの一覧を取得します |
EC2: DescribeSubnets |
はい。 |
はい。 |
いいえ |
EC2: DescribeVpcs |
はい。 |
はい。 |
いいえ |
|
Cloud Volumes ONTAP インスタンスのDNSサーバおよびデフォルトのドメイン名を取得します |
EC2: DescribeDhcpOptions |
はい。 |
いいえ |
いいえ |
Cloud Volumes ONTAP 用のEBSボリュームのSnapshotを作成します |
EC2: CreateSnapshotの作成 |
はい。 |
はい。 |
いいえ |
EC2:DeleteSnapshot |
いいえ |
はい。 |
はい。 |
|
ec2: DescribeSnapshots |
いいえ |
はい。 |
いいえ |
|
AutoSupport メッセージに添付されているCloud Volumes ONTAP コンソールをキャプチャします |
EC2: GetConsoleOutput |
はい。 |
はい。 |
いいえ |
使用可能なキーペアのリストを取得します |
EC2:DescribeKeyPairs |
はい。 |
いいえ |
いいえ |
使用可能なAWSリージョンのリストを取得します |
EC2: DescribeRegions (説明領域 |
はい。 |
はい。 |
いいえ |
Cloud Volumes ONTAP インスタンスに関連付けられたリソースのタグを管理します |
EC2:タグを削除します |
いいえ |
はい。 |
はい。 |
EC2: DescribeTags (説明タグ) |
いいえ |
はい。 |
いいえ |
|
AWS CloudFormationテンプレートのスタックの作成と管理 |
CloudFormation:CreateStack |
はい。 |
いいえ |
いいえ |
CloudFormation:DeleteStack |
はい。 |
いいえ |
いいえ |
|
CloudFormation:DescribeStack |
はい。 |
はい。 |
いいえ |
|
CloudFormation:DescribeStackEvents |
はい。 |
いいえ |
いいえ |
|
CloudFormation:ValidateTemplate |
はい。 |
いいえ |
いいえ |
|
Cloud Volumes ONTAP システムでデータ階層として使用するS3バケットを作成および管理します |
S3 : CreateBucket を指定します |
はい。 |
はい。 |
いいえ |
S3 : DeleteBucket |
いいえ |
はい。 |
はい。 |
|
S3 : GetLifecycleConfiguration |
いいえ |
はい。 |
いいえ |
|
S3 : PutLifecycleConfiguration |
いいえ |
はい。 |
いいえ |
|
S3 : PutBucketTagging |
いいえ |
はい。 |
いいえ |
|
S3 : ListBucketVersions |
いいえ |
はい。 |
いいえ |
|
S3:GetBucketPolicyStatus |
いいえ |
はい。 |
いいえ |
|
S3:GetBucketPublicAccessBlock |
いいえ |
はい。 |
いいえ |
|
S3 : GetBucketAcl |
いいえ |
はい。 |
いいえ |
|
S3 : GetBucketPolicy |
いいえ |
はい。 |
いいえ |
|
S3:PutBucketPublicAccessBlock |
いいえ |
はい。 |
いいえ |
|
S3 : GetBucketTagging |
いいえ |
はい。 |
いいえ |
|
S3 : GetBucketLocation |
いいえ |
はい。 |
いいえ |
|
S3 : ListAllMyBuckets |
いいえ |
いいえ |
いいえ |
|
S3 : ListBucket |
いいえ |
はい。 |
いいえ |
|
AWS Key Management Service(KMS;キー管理サービス)を使用してCloud Volumes ONTAP のデータ暗号化を有効にする |
KMS:リスト* |
はい。 |
はい。 |
いいえ |
KMS:再暗号化* |
はい。 |
いいえ |
いいえ |
|
KMS:説明* |
はい。 |
はい。 |
いいえ |
|
KMS:CreateGrant |
はい。 |
はい。 |
いいえ |
|
KMS:GenerateDataKeyWithoutPlaintext |
はい。 |
はい。 |
いいえ |
|
2つのHAノードとメディエーター用のAWS分散配置グループを1つのAWSアベイラビリティゾーンに作成して管理します |
EC2:CreatePlacementGroup |
はい。 |
いいえ |
いいえ |
EC2: DeletePlacementGroup |
いいえ |
はい。 |
はい。 |
|
レポートを作成します |
FSx:説明* |
いいえ |
はい。 |
いいえ |
FSx:リスト* |
いいえ |
はい。 |
いいえ |
|
Amazon EBS Elastic Volumes機能をサポートするアグリゲートを作成して管理します |
EC2: DescribeVolumesModifications ( EC2 : DescribeVolumesMod |
いいえ |
はい。 |
いいえ |
EC2:ModifyVolume |
いいえ |
はい。 |
いいえ |
エッジキャッシュ
コネクタは、導入時にBlueXPエッジキャッシュインスタンスを導入するために次のAPI要求を行います。
-
CloudFormation:DescribeStack
-
CloudWatch:GetMetricStatistics
-
CloudFormation:リストスタック
Kubernetes
コネクタは、次のAPI要求を実行してAmazon EKSクラスタを検出および管理します。
-
EC2: DescribeRegions (説明領域
-
EKS:リストクラスタ
-
EKS:DescribeCluster
-
IAM:GetInstanceProfile
修正
BlueXPの修正措置を使用する場合、コネクタは次のAPI要求を実行してAWSリソースのタグを管理します。
-
ec2:CreateTags
-
EC2:タグを削除します
-
EC2: DescribeTags (説明タグ)
-
Tag:getResources
-
tag:getTagKeys
-
tag:getTagValues
-
Tag:タグリソース
-
タグ: UntagResources
変更ログ
権限が追加および削除されると、以下のセクションにそれらの権限が表示されます。
2024年3月8日
次の権限がコネクタポリシーに含まれるようになりました。
EC2:説明AvailabilityZones
この権限は、今後のリリースで必要になります。リリースノートの詳細については、リリースノートを更新します。
2023年6月6日
Cloud Volumes ONTAPには次の権限が必要です。
KMS:GenerateDataKeyWithoutPlaintext
2023年2月14日
BlueXPの階層化には次の権限が必要です。
EC2: DescribeVpcEndpoints