Skip to main content
Cloud Manager 3.6
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Cloud Manager 用の AWS および Azure の権限が必要です

共同作成者

Cloud Manager には、 AWS と Azure で自分の代わりにアクションを実行するための権限が必要です。これらの権限はに含まれています "ネットアップが提供するポリシー"。このような権限を持つ Cloud Manager の機能を理解しておく必要があるかもしれません。

Cloud Manager が AWS 権限を使用して実行する処理

Cloud Manager は AWS アカウントを使用して、 EC2 、 S3 、 CloudFormation 、 IAM 、 Security Token Service ( STS )、 Key Management Service ( KMS )などの複数の AWS サービスへの API コールを行います。

アクション 目的

"EC2:StartInstances" 、 "EC2:StopInstances" 、 "EC2:DescribeInstances" 、 "EC2:DescribeInstanceStatus" 、 "EC2:RunInstances" 、 "EC2:TerminateInstances" 、 "EC2:ModifyInstanceAttribute" 、

Cloud Volumes ONTAP インスタンスを起動し、インスタンスを停止、開始、監視します。

"EC2: DescribeInstanceAttribute" 、

サポートされているインスタンスタイプで Enhanced Networking が有効になっていることを確認します。

「 EC2 :説明文」、「 EC2 :説明文」、

Cloud Volumes ONTAP HA 構成を起動します。

EC2 : createTags 、

Cloud Manager が作成するすべてのリソースに「 workingEnvironment 」タグと「 workingEnvironmId 」タグを付けます。Cloud Manager では、これらのタグを使用してメンテナンスとコスト割り当てを行います。

"EC2:CreateVolume" 、 "EC2:DescribeVolumes" 、 "EC2:ModifyVolumeAttribute" 、 "EC2:AttachVolume" 、 "EC2:DeleteVolume" 、 "EC2:DetachVolume" 、

Cloud Volumes ONTAP がバックエンドストレージとして使用する EBS ボリュームを管理します。

"EC2:CreateSecurityGroup" 、 "EC2:DeleteSecurityGroup" 、 "EC2:RevokeSecurityGroupEgress " 、 "EC2:AuthorizeSecurityGroupEgress " 、 "EC2:RevokeSecurityGroupIngress " 、 "EC2:RevokeSecurityGroupIngress " 、

Cloud Volumes ONTAP 用の定義済みセキュリティグループを作成します。

"EC2:CreateNetworkInterface", "EC2:DescribeNetworkInterfaces ", "EC2:DeleteNetworkInterface", "EC2:ModifyNetworkInterfaceAttribute",

ターゲットサブネット内の Cloud Volumes ONTAP のネットワークインターフェイスを作成および管理します。

「 EC2 :説明サブネット」、「 EC2 :説明 VPC 」、

Cloud Volumes ONTAP 用の新しい作業環境を作成するときに必要な、デスティネーションサブネットとセキュリティグループのリストを取得します。

EC2 : DescribeDHCPOptions

Cloud Volumes ONTAP インスタンスの起動時に DNS サーバとデフォルトのドメイン名を決定します。

「 EC2 : CreateSnapshot 」、「 EC2 : DeleteSnapshot 」、「 EC2 : DescribeSnapshot 」、

初期セットアップ時、および Cloud Volumes ONTAP インスタンスが停止したときに、 EBS ボリュームのスナップショットを作成します。

"EC2:GetConsoleOutput" 、

AutoSupport メッセージに添付された Cloud Volumes ONTAP コンソールをキャプチャします。

「 EC2 :説明キーペア」、

インスタンスの起動時に使用可能なキーペアのリストを取得します。

「 EC2 :説明論」、

使用可能な AWS リージョンのリストを取得します。

EC2 : DeleteTags 、 EC2 : DescribeTags 、

Cloud Volumes ONTAP インスタンスに関連付けられたリソースのタグを管理します。

CloudFormation : CreateStack 」、「 CloudFormation : DeleteStack 」、「 CloudFormation : DescribeStack 」、「 CloudFormation : DescribeStackEvents 」、「 CloudFormation : ValidateTemplate 」、

Cloud Volumes ONTAP インスタンスを起動します。

"iam : PassRole" 、 "iam : CREATEROLE" 、 "iam : PutRolePolicy " 、 "iam : CreateInstanceProfile" 、 "iam : DeleteRolePolicy " 、 "iam : AddRoleToInstanceProfile" 、 "IAM : RemoveRoleInstanceFromProfile" 、 "iam : DeleteInstanceProfile" 、 "iam : DeleteInstanceProfile

Cloud Volumes ONTAP HA 構成を起動します。

"IAM:ListInstanceProfiles" 、 "STS: DecodeAuthorizationMessage" 、 "EC2:AssociateIamInstanceProfile" 、 "EC2:DescribeIamInstanceProfileAssociations" 、 "EC2:DisassociateIamInstanceProfileProfile" 、

Cloud Volumes ONTAP インスタンスのインスタンスプロファイルを管理します。

「 s3 : GetBucketTagging 」、「 s3 : GetBucketLocation 」、「 s3 : ListAllMyBuckets 」、「 s3 : ListBucket 」

AWS S3 バケットに関する情報を取得して、 Cloud Manager を NetApp Data Fabric Cloud Sync サービスと統合できるようにします。

s3 : CreateBucket 、 s3 : DeleteBucket 、 s3 : GetLifecycleConfiguration 、 s3 : PutLifecycleConfiguration 、 s3 : PutBucketTagging "s3 : ListBucketVersions " 、

Cloud Volumes ONTAP システムが容量階層として使用する S3 バケットを管理します。

"KMS: List*", "KMS: Describe*"

AWS キー管理サービスからキーに関する情報を取得します。

"CE:GetReservationUtilization" 、 "CE:GetDimensionValues" 、 "CE:GetCostAndUsage", "CE:GetTags"

Cloud Volumes ONTAP の AWS コストデータを取得します。

"EC2:CreatePlacementGroup" 、 "EC2:DeletePlacementGroup"

単一の AWS アベイラビリティゾーンに HA 構成を導入すると、 Cloud Manager は 2 つの HA ノードと AWS 分散配置グループ内のメディエーターを起動します。

クラウドマネージャーが Azure の権限で行うこと

Cloud Manager Azure ポリシーには、 Cloud Manager が Azure で Cloud Volumes ONTAP を導入および管理するために必要な権限が含まれています。

アクション 目的

「 Microsoft.Compute/locations/operations/read" 」、「 Microsoft.Compute/locations/vmSizes/read" 」、「 Microsoft.Compute/operations/read" 」、「 Microsoft.Compute/virtualMachines/instanceView/read" 」、「 Microsoft.Compute/virtualMachines/powerOff/action" 」、「 Microsoft.Compute/virtualMachines/read" 」、「 Microsoft.Compute/virtualMachines/restart/action" 」、「 Microsoft.Compute/virtualMachines/start/action" 」、「 Microsoft.Compute/virtualMachines/deallocate/action" 」、「 Microsoft.Compute/virtualMachines/vmSizes/read" 」、「 Microsoft.Compute/virtualMachines/write" 」、

Cloud Volumes ONTAP を作成し、システムのステータスを停止、開始、削除、取得します。

「 microsoft.compute/images/write 」、「 microsoft.compute/images/read 」、

VHD から Cloud Volumes ONTAP を導入できます。

Microsoft.Compute/disks/delete" 、 Microsoft.Compute/disks/read" 、 Microsoft.Compute/disks/write" 、 "Microsoft.Storage/checknameavailability/read" 、 "Microsoft.Storage/operations/read" 、 "microsoft.StorageAccounts/listkeyss/action" 、 "microsoft.Storage/storageAccounts/read" 、 "microsoft.Storage/regenerateAccounts/action" 、 "Microsoft.Storage/storageAccounts/action" 、 "/writeStorageAccounts" 、 "/StorageAccounts/StorageAccounts/write/StorageAccounts" 、 ",","Microsoft 。

Azure ストレージアカウントとディスクを管理し、ディスクを Cloud Volumes ONTAP に接続します。

「 microsoft.network/networkinterfaces/read 」、「 microsoft.network/networkinterfaces/write 」、「 microsoft.network/networkinterfaces/join/action 」、

ターゲットサブネット内の Cloud Volumes ONTAP のネットワークインターフェイスを作成および管理します。

「 microsoft.network/networksecuritygroups/read 」、「 microsoft.network/networksecuritygroups/write 」、「 microsoft.network/networksecuritygroups/join/action 」、

Cloud Volumes ONTAP 用の定義済みネットワークセキュリティグループを作成します。

「 microsoft.Resources/Subscriptions /locations /read 」、「 Microsoft.Network/locations/operationResults/read" 」、「 Microsoft.Network/locations/operations/read" 」、「 Microsoft.Network/virtualNetworks/read" 」、「 Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read" 」、「 Microsoft.Network/virtualNetworks/subnets/read" 」、「 Microsoft.Network/virtualNetworks/subnets/virtualMachines/read" 」、「 Microsoft.Network/virtualNetworks/virtualMachines/read" 」、「 Microsoft.Network/virtualNetworks/subnets/join/action" 」、

リージョン、ターゲット VNet 、およびサブネットに関するネットワーク情報を取得し、 vnet に Cloud Volumes ONTAP を追加します。

「 Microsoft.Network/virtualNetworks/subnets/write" 」、 Microsoft.Network/routeTables/join/action" 、

データ階層化のための VNet サービスエンドポイントを有効にします。

「 Microsoft.Resources/Deployments/Operations/Read 」、「 Microsoft.Resources/Deployments/Read 」、「 Microsoft.Resources/Deployments/Write 」、

テンプレートから Cloud Volumes ONTAP を導入します。

"microsoft.Resources/Deployments/operations/read" 、 "microsoft.Resources/Deployments/read" 、 "microsoft.Resources/resources/read" 、 "microsoft.resources/resources/operationresults/read" 、 "microsoft.resources/Subscriptions /resourceGroups/delete" 、 "microsoft.resources/Subscriptions /resources/groups/resources/resources/reads/resources/resources/resources/resources/resources/resources/resources/reading" 、 ",",",","resources/resources/resources/resources/resources/resources/resources/resources/resources/resources/resources/resources/resources/resources/resources/resources/groups/

Cloud Volumes ONTAP のリソースグループを作成および管理します。

「 microsoft.compute/snapshots/write 」、「 microsoft.compute/snapshots/read 」、「 microsoft.compute/disks/beginingAccess/action 」

Azure マネージドスナップショットを作成および管理します。

"microsoft.compute/availabilitySets/write", "microsoft.compute/availabilitySets/read",

Cloud Volumes ONTAP の可用性セットを作成および管理します。

"Microsoft.MarketplaceOrdering/Offered Types/publishers/capers/plans/agreements/read" 、 "Microsoft.MarketplaceOrdering / offerTypes/publishers/capes/plans/agreements/write"

Azure Marketplace からのプログラムによる展開を可能にします。

「 Microsoft.Network/loadBalancers/read" 」、「 Microsoft.Network/loadBalancers/write" 」、「 Microsoft.Network/loadBalancers/delete" 」、「 Microsoft.Network/loadBalancers/backendAddressPools/read" 」、「 Microsoft.Network/loadBalancers/backendAddressPools/join/action" 」、「 Microsoft.Network/loadBalancers/frontendIPConfigurations/read" 」、「 Microsoft.Network/loadBalancers/loadBalancingRules/read" 」、「 Microsoft.Network/loadBalancers/probes/read" 」、「 Microsoft.Network/loadBalancers/probes/join/action" 」

HA ペアの Azure ロードバランサを管理します。

"Microsoft 許可 / ロック /*"

Azure ディスクのロックの管理を有効にします。

"Microsoft.Authorization/roleDefinites/write" 、 "Microsoft.Authorization/rolrolわり あて /write" 、 "Microsoft.Web/sites/*"

HA ペアのフェイルオーバーを管理します。