NetApp Workload Factory の権限
変更を提案
PDF
NetApp Workload Factory の機能とサービスを使用するには、Workload Factory がクラウド環境で操作を実行できるように権限を付与する必要があります。
権限を使用する理由
読み取り専用 または 読み取り/書き込み モードの権限を付与すると、Workload Factory は、その AWS アカウント内のリソースとプロセスを管理するための権限を持つポリシーをインスタンスにアタッチします。これにより、Workload Factory は、ストレージ環境の検出から、ストレージ管理のファイルシステムや GenAI ワークロードのナレッジベースなどの AWS リソースのデプロイまで、さまざまな操作を実行できるようになります。
たとえば、データベース ワークロードの場合、Workload Factory に必要な権限が付与されると、指定されたアカウントとリージョン内のすべての EC2 インスタンスがスキャンされ、すべての Windows ベースのマシンがフィルタリングされます。 AWS Systems Manager (SSM) エージェントがホストにインストールされ実行されており、System Manager ネットワークが適切に設定されている場合、Workload Factory は Windows マシンにアクセスし、SQL Server ソフトウェアがインストールされているかどうかを確認できます。
ワークロード別の権限
各ワークロードは、権限を使用して、Workload Factory で特定のタスクを実行します。使用するワークロードまでスクロールして、権限のリスト、権限の目的、使用場所、権限をサポートするモードを表示します。
ストレージの権限
ストレージに使用できる IAM ポリシーは、運用モードに基づいて、パブリック クラウド環境内のリソースとプロセスを管理するために Workload Factory に必要な権限を提供します。
運用モードを選択して、必要なIAMポリシーを表示します。
ストレージのIAMポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:Describe*",
"fsx:ListTagsForResource",
"ec2:Describe*",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:*",
"ec2:Describe*",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"iam:CreateServiceLinkedRole",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"kms:CreateGrant",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"iam:SimulatePrincipalPolicy",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
}
]
}次の表に、ストレージの権限を示します。
ストレージの権限の一覧
| 目的 | アクション | 使用先 | モード |
|---|---|---|---|
FSx for ONTAPファイルシステムの作成 |
FSx:CreateFileSystem * |
導入 |
読み取り / 書き込み |
FSx for ONTAPファイルシステムのセキュリティグループを作成する |
EC2:CreateSecurityGroup |
導入 |
読み取り / 書き込み |
FSx for ONTAPファイルシステムのセキュリティグループにタグを追加する |
ec2:CreateTags |
導入 |
読み取り / 書き込み |
FSx for ONTAPファイルシステムのセキュリティグループの出力と入力を許可する |
ec2:AuthorizeSecurityGroupEgress |
導入 |
読み取り / 書き込み |
ec2:AuthorizeSecurityGroupIngress |
導入 |
読み取り / 書き込み |
|
Grantedロールは、FSx for ONTAPとその他のAWSサービス間の通信を提供します。 |
IAM:CreateServiceLinkedRole |
導入 |
読み取り / 書き込み |
FSx for ONTAPファイルシステム導入フォームに必要事項をご記入ください |
EC2: DescribeVpcs |
|
|
EC2: DescribeSubnets |
|
|
|
EC2: DescribeRegions (説明領域 |
|
|
|
EC2: DescribeSecurityGroups |
|
|
|
EC2: DescribeRouteTables |
|
|
|
EC2: DescribeNetworkInterfaces |
|
|
|
EC2:DescripteVolumeStatus |
|
|
|
KMSの主要な詳細情報を入手し、FSx for ONTAPの暗号化に使用 |
KMS:CreateGrant |
導入 |
読み取り / 書き込み |
KMS:説明* |
導入 |
|
|
KMS:リスト* |
導入 |
|
|
EC2インスタンスのボリュームの詳細を取得 |
EC2: DescribeVolumesの場合 |
|
|
EC2インスタンスの詳細を取得 |
EC2: DescribeInstances |
コスト削減の詳細 |
|
コスト削減試算ツールでElastic File Systemについて説明する |
elasticfilesystem: describe* |
コスト削減の詳細 |
読み取り専用 |
FSx for ONTAPリソース用のタグを挙げる |
FSx:ListTagsForResource |
インベントリ |
|
FSx for ONTAPファイルシステムのセキュリティグループの出力と入力を管理 |
EC2: RevokeSecurityGroupIngress |
カンリシヨリ |
読み取り / 書き込み |
EC2: DeleteSecurityGroup |
カンリシヨリ |
読み取り / 書き込み |
|
FSx for ONTAPファイルシステムリソースの作成、表示、管理 |
FSx:CreateVolume * |
カンリシヨリ |
読み取り / 書き込み |
FSx:TagResource * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:CreateStorageVirtualMachine * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:DeleteFileSystem * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:DeleteStorageVirtualMachine * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:DescriptionFileSystems* |
インベントリ |
|
|
FSx:DescriptionStorageVirtualMachines * |
インベントリ |
|
|
FSx:UpdateFileSystem * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:UpdateStorageVirtualMachine * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:Description * |
インベントリ |
|
|
FSx:UPDATEVOLUME * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:DeleteVolume * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:UntagResource * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:DescriptionBackups * |
カンリシヨリ |
|
|
FSx:CreateBackup * |
カンリシヨリ |
読み取り / 書き込み |
|
FSx:CreateVolumeFromBackup * |
カンリシヨリ |
読み取り / 書き込み |
|
CloudWatchメトリクスのレポート |
CloudWatch:PutMetricData |
カンリシヨリ |
読み取り / 書き込み |
ファイルシステムとボリュームの指標を取得 |
CloudWatch:GetMetricData |
カンリシヨリ |
|
CloudWatch:GetMetricStatistics |
カンリシヨリ |
|
データベースワークロードの権限
データベース ワークロードに使用できる IAM ポリシーは、運用モードに基づいて、パブリック クラウド環境内のリソースとプロセスを管理するために Workload Factory に必要な権限を提供します。
運用モードを選択して、必要なIAMポリシーを表示します。
データベースワークロードのIAMポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource"
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeAccountLimits",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ds:DescribeDirectories",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeAddresses",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeLaunchTemplates",
"ec2:RunInstances",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:UpdateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:UpdateVolume",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:DescribeFileSystemAliases",
"fsx:DescribeBackups",
"fsx:ListTagsForResource",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:DescribeCustomKeyStores",
"kms:ListAliases",
"kms:ListKeys",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"logs:PutRetentionPolicy",
"servicequotas:ListServiceQuotas",
"sns:ListTopics",
"sns:Publish",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstancePatchStates",
"ssm:DescribePatchBaselines",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:GetConnectionStatus",
"ssm:ListCommands",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:SendCommand",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}次の表に、データベースワークロードの権限を示します。
データベースワークロードの権限の一覧
| 目的 | アクション | 使用先 | モード |
|---|---|---|---|
FSx for ONTAP、EBS、FSx for Windows File Server のメトリック統計とコンピューティング最適化の推奨事項を取得します。 |
CloudWatch:GetMetricStatistics |
|
|
登録済みのSQLノードからAmazon CloudWatchに保存されたパフォーマンスメトリクスを収集します。登録済みのSQLインスタンスのインスタンス管理画面に、パフォーマンストレンドチャートにデータが生成されます。 |
CloudWatch:GetMetricData |
インベントリ |
読み取り専用 |
イベントのトリガーのリストと設定 |
SNS:リストトピック |
導入 |
|
EC2インスタンスの詳細を取得 |
EC2: DescribeInstances |
|
|
EC2:DescribeKeyPairs |
導入 |
|
|
EC2: DescribeNetworkInterfaces |
導入 |
|
|
EC2:説明InstanceTypes |
|
|
|
FSx for ONTAPの導入フォームに必要事項をご記入ください |
EC2: DescribeVpcs |
|
|
EC2: DescribeSubnets |
|
|
|
EC2: DescribeSecurityGroups |
導入 |
|
|
EC2: DescribeImages |
導入 |
|
|
EC2: DescribeRegions (説明領域 |
導入 |
|
|
EC2: DescribeRouteTables |
|
|
|
既存のVPCエンドポイントを取得して、導入前に新しいエンドポイントを作成する必要があるかどうかを判断 |
EC2: DescribeVpcEndpoints |
|
|
EC2インスタンスのパブリックネットワーク接続に関係なく、必要なサービス用にVPCエンドポイントが存在しない場合はVPCエンドポイントを作成する |
EC2:CreateVpcEndpoint |
導入 |
読み取り / 書き込み |
検証ノード(t2.micro/t3.micro)のリージョンで使用可能なインスタンスタイプを取得します。 |
EC2:説明InstanceTypeOfferings |
導入 |
|
接続されている各EBSボリュームのSnapshot詳細を取得して、価格設定と削減効果を見積もる |
ec2: DescribeSnapshots |
コスト削減の詳細 |
|
添付されている各EBSボリュームの詳細を確認して、価格設定と削減効果を見積もる |
EC2: DescribeVolumesの場合 |
|
|
FSx for ONTAPのファイルシステム暗号化に関するKMSの主な詳細情報を入手 |
KMS:エイリアスを確認する |
導入 |
|
KMS:ListKeys |
導入 |
|
|
KMS:説明キー |
導入 |
|
|
環境で実行されているCloudFormationスタックのリストを取得してクォータ制限を確認 |
CloudFormation:リストスタック |
導入 |
|
展開を開始する前に、リソースのアカウント制限を確認する |
CloudFormation:DescriptionAccountLimits |
導入 |
|
AWSが管理するリージョン内のActive Directoryのリストを取得する |
ds:説明ディレクトリ |
導入 |
|
ボリューム、バックアップ、SVM、AZ内のファイルシステム、FSx for ONTAPファイルシステムのタグの一覧と詳細を取得できます |
FSx:Description |
|
|
FSx:バックアップの説明 |
|
|
|
FSx:DescriptionStorageVirtualMachines |
|
|
|
FSx:DescriptionFileSystems |
|
|
|
FSx:ListTagsForResource |
処理の管理 |
|
|
CloudFormationとVPCのサービスクォータ制限を取得 |
サービスクォータ:ListServiceQuotas |
導入 |
|
SSMベースのクエリを使用して、FSx for ONTAPでサポートされるリージョンの最新リストを取得 |
SSM:GetParametersByPath |
導入 |
|
導入後の管理操作のコマンド送信後にSSM応答をポーリング |
SSM:GetCommandInvocation |
|
|
SSM経由でEC2インスタンスにコマンドを送信 |
SSM:sendCommand |
|
|
導入後にインスタンスのSSM接続ステータスを取得 |
SSM:GetConnectionStatus |
|
|
管理対象EC2インスタンスのグループのSSMアソシエーションステータスの取得(SQLノード) |
SSM:InstanceInformationの説明 |
インベントリ |
読み取り |
オペレーティングシステムのパッチ評価に使用できるパッチベースラインのリストを入手する |
SSM:DescribePatchBaselines |
最適化 |
|
オペレーティングシステムのパッチ評価のためのWindows EC2インスタンスのパッチ状態の取得 |
SSM:DescribeInstancePatchStates |
最適化 |
|
オペレーティングシステムのパッチ管理用にAWS Patch ManagerによってEC2インスタンスで実行されるコマンドの一覧表示 |
SSM:ListCommands |
最適化 |
|
アカウントがAWS Compute Optimizerに登録されているかどうかを確認 |
compute-optimizer:GetEnrollmentStatus |
|
読み取り / 書き込み |
AWS Compute Optimizerで既存の推奨構成を更新して、SQL Serverワークロードの推奨構成を調整 |
計算オプティマイザ:PutRecommendationPreferences |
|
読み取り / 書き込み |
AWS Compute Optimizerから、特定のリソースに対して有効な推奨設定を取得する |
compute-optimizer:GetEffectiveRecommendationPreferences |
|
読み取り / 書き込み |
Amazon Elastic Compute Cloud(Amazon EC2)インスタンス用にAWS Compute Optimizerが生成する推奨事項を取得 |
コンピューティングオプティマイザ:GetEC2InstanceRecommendations |
|
読み取り / 書き込み |
自動スケーリンググループへのインスタンスの関連付けのチェック |
オートスケーリング:説明AutoScalingGroups |
|
読み取り / 書き込み |
オートスケーリング:説明AutoScalingInstances |
|
読み取り / 書き込み |
|
導入時またはAWSアカウントで管理されるAD、FSx for ONTAP、SQLユーザクレデンシャルのSSMパラメータの取得、一覧表示、作成、削除 |
SSM:getParameter 1 |
|
|
SSM:GetParameters 1 |
処理の管理 |
|
|
SSM:PutParameter 1 |
|
|
|
SSM:削除パラメータ1 |
処理の管理 |
|
|
ネットワークリソースをSQLノードと検証ノードに関連付け、SQLノードにセカンダリIPを追加する |
EC2:AllocateAddress 1 |
導入 |
読み取り / 書き込み |
EC2:AllocateHosts 1 |
導入 |
読み取り / 書き込み |
|
EC2:AssignPrivateIpAddresses 1 |
導入 |
読み取り / 書き込み |
|
EC2:AssociateAddress 1 |
導入 |
読み取り / 書き込み |
|
EC2:AssociateRouteTable 1 |
導入 |
読み取り / 書き込み |
|
EC2:AssociateSubnetCidrBlock1 |
導入 |
読み取り / 書き込み |
|
EC2:AssociateVpcCidrBlock1 |
導入 |
読み取り / 書き込み |
|
EC2:AttachInternetGateway 1 |
導入 |
読み取り / 書き込み |
|
EC2:AttachNetworkInterface 1 |
導入 |
読み取り / 書き込み |
|
導入に必要なEBSボリュームをSQLノードに接続する |
EC2:AttachVolume |
導入 |
読み取り / 書き込み |
プロビジョニングされたノードのセキュリティグループを接続してルールを変更する |
ec2:AuthorizeSecurityGroupEgress |
導入 |
読み取り / 書き込み |
ec2:AuthorizeSecurityGroupIngress |
導入 |
読み取り / 書き込み |
|
導入用にSQLノードに必要なEBSボリュームを作成する |
EC2:CreateVolume |
導入 |
読み取り / 書き込み |
タイプT2.microで作成された一時検証ノードを削除し、失敗したEC2 SQLノードのロールバックまたは再試行のために削除します。 |
EC2:DeleteNetworkInterface |
導入 |
読み取り / 書き込み |
EC2: DeleteSecurityGroup |
導入 |
読み取り / 書き込み |
|
EC2:タグを削除します |
導入 |
読み取り / 書き込み |
|
EC2:DeleteVolume |
導入 |
読み取り / 書き込み |
|
EC2:DetachNetworkInterface |
導入 |
読み取り / 書き込み |
|
EC2:DetachVolumeの場合 |
導入 |
読み取り / 書き込み |
|
EC2:アソシエーション解除アドレス |
導入 |
読み取り / 書き込み |
|
EC2: DisassociateIamInstanceProfile |
導入 |
読み取り / 書き込み |
|
EC2:関連付け解除ルートテーブル |
導入 |
読み取り / 書き込み |
|
EC2:SubnetCidrBlockの関連付けを解除 |
導入 |
読み取り / 書き込み |
|
EC2:VpcCidrBlockの関連付けを解除 |
導入 |
読み取り / 書き込み |
|
作成されたSQLインスタンスの属性を変更します。WLMDBで始まる名前にのみ適用されます。 |
EC2:ModifyInstanceAttribute |
導入 |
読み取り / 書き込み |
EC2:ModifyInstancePlacement |
導入 |
読み取り / 書き込み |
|
EC2:ModifyNetworkInterfaceAttributeのいずれかです |
導入 |
読み取り / 書き込み |
|
EC2:ModifySubnetAttribute |
導入 |
読み取り / 書き込み |
|
EC2:ModifyVolume |
導入 |
読み取り / 書き込み |
|
EC2:ModifyVolumeAttributeのことです |
導入 |
読み取り / 書き込み |
|
EC2:ModifyVpcAttribute |
導入 |
読み取り / 書き込み |
|
検証インスタンスの関連付けを解除して破棄する |
EC2:リリースアドレス |
導入 |
読み取り / 書き込み |
EC2:ReplaceRoute |
導入 |
読み取り / 書き込み |
|
EC2:ReplaceRouteTableAssociation |
導入 |
読み取り / 書き込み |
|
EC2: RevokeSecurityGroupEgress |
導入 |
読み取り / 書き込み |
|
EC2: RevokeSecurityGroupIngress |
導入 |
読み取り / 書き込み |
|
導入されたインスタンスの開始 |
EC2:StartInstances(EC2:開始インスタンス |
導入 |
読み取り / 書き込み |
導入されたインスタンスの停止 |
EC2:StopInstances |
導入 |
読み取り / 書き込み |
WLMDBによって作成されたAmazon FSx for NetApp ONTAPリソースのカスタム値にタグを付けて、リソース管理時に課金の詳細を取得 |
FSx:TagResource 1 |
|
読み取り / 書き込み |
導入用のCloudFormationテンプレートを作成して検証 |
CloudFormation:CreateStack |
導入 |
読み取り / 書き込み |
CloudFormation:DescribeStackEvents |
導入 |
読み取り / 書き込み |
|
CloudFormation:DescribeStack |
導入 |
読み取り / 書き込み |
|
CloudFormation:リストスタック |
導入 |
読み取り / 書き込み |
|
CloudFormation:ValidateTemplate |
導入 |
読み取り / 書き込み |
|
リージョンで使用可能なディレクトリを取得する |
ds:説明ディレクトリ |
導入 |
読み取り / 書き込み |
プロビジョニングされたEC2インスタンスにアタッチされたセキュリティグループのルールを追加します。 |
ec2:AuthorizeSecurityGroupEgress |
導入 |
読み取り / 書き込み |
ec2:AuthorizeSecurityGroupIngress |
導入 |
読み取り / 書き込み |
|
再試行およびロールバック用にネストされたスタックテンプレートを作成する |
EC2:CreateLaunchTemplate |
導入 |
読み取り / 書き込み |
EC2:CreateLaunchTemplateVersion |
導入 |
読み取り / 書き込み |
|
作成したインスタンスのタグとネットワークセキュリティを管理します。 |
EC2:CreateNetworkInterface |
導入 |
読み取り / 書き込み |
EC2:CreateSecurityGroup |
導入 |
読み取り / 書き込み |
|
ec2:CreateTags |
導入 |
読み取り / 書き込み |
|
検証ノード用に一時的に作成されたセキュリティグループを削除します。 |
EC2: DeleteSecurityGroup |
導入 |
読み取り / 書き込み |
プロビジョニング用のインスタンスの詳細を取得する |
ec2:アドレスの説明 |
導入 |
読み取り / 書き込み |
ec2:起動テンプレートの説明 |
導入 |
読み取り / 書き込み |
|
作成したインスタンスの開始 |
EC2:RunInstances |
導入 |
読み取り / 書き込み |
プロビジョニングに必要なFSx for ONTAPリソースを作成します。既存のFSx for ONTAPシステムでは、SQLボリュームをホストするための新しいSVMが作成されます。 |
FSx:CreateFileSystem |
導入 |
読み取り / 書き込み |
FSx:CreateStorageVirtualMachine |
導入 |
読み取り / 書き込み |
|
FSx:ボリュームの作成 |
|
読み取り / 書き込み |
|
FSx for ONTAPの詳細 |
fsx:ファイルシステムエイリアスの説明 |
導入 |
読み取り / 書き込み |
FSx for ONTAPファイルシステムのサイズを変更してファイルシステムのヘッドルームを修正 |
FSx:ファイルシステムの更新 |
最適化 |
|
読み取り / 書き込み |
ボリュームのサイズを変更してログとtempdbのドライブサイズを修正 |
FSx:UPDATEVOLUME |
最適化 |
読み取り / 書き込み |
KMSの主要な詳細情報を入手し、FSx for ONTAPの暗号化に使用 |
KMS:CreateGrant |
導入 |
読み取り / 書き込み |
kms:カスタムキーストアの説明 |
導入 |
|
読み取り / 書き込み |
KMS:GenerateDataKey |
導入 |
|
読み取り / 書き込み |
EC2インスタンスで実行される検証スクリプトとプロビジョニングスクリプト用にCloudWatchログを作成する |
ログ:CreateLogGroup |
導入 |
読み取り / 書き込み |
ログ:CreateLogStream |
導入 |
|
読み取り / 書き込み |
ログ:DescriptionLogStreams |
|
|
読み取り / 書き込み |
ログ:GetLogGroupFields |
導入 |
|
読み取り / 書き込み |
ログ:GetLogRecord |
導入 |
|
読み取り / 書き込み |
ログ:ListLogDeliveries |
導入 |
|
読み取り / 書き込み |
ログ:PutLogEvents |
|
|
読み取り / 書き込み |
ログ:TagResource |
導入 |
|
読み取り / 書き込み |
Workload Factory は、SSM 出力の切り捨てが発生すると、SQL インスタンスの Amazon CloudWatch ログに切り替えます。 |
ログ:GetLogEvents |
|
|
Workload Factory が現在のログ グループを取得し、Workload Factory によって作成されたログ グループの保持が設定されていることを確認することを許可します。 |
ログ:DescriptionLogGroups |
|
読み取り専用 |
Workload Factory が作成したログ グループに 1 日間の保持ポリシーを設定できるようにして、SSM コマンド出力のログ ストリームの不要な蓄積を回避します。 |
ログ:PutRetentionPolicy |
|
|
ユーザアカウントに、SQL、ドメイン、FSx for ONTAPに提供されるクレデンシャルのシークレットを作成する |
サービスクォータ:ListServiceQuotas |
導入 |
読み取り / 書き込み |
カスタマーSNSのトピックを一覧表示し、WLMDBバックエンドSNSおよびカスタマーSNS(選択されている場合)に公開します。 |
SNS:リストトピック |
導入 |
読み取り / 書き込み |
SNS:公開 |
導入 |
|
読み取り / 書き込み |
プロビジョニングされたSQLインスタンスに対して検出スクリプトを実行し、FSx for ONTAPでサポートされるAWSリージョンの最新のリストを取得するために必要なSSM権限。 |
SSM:PutComplianceItems |
導入 |
読み取り / 書き込み |
SSM:PutConfigurePackageResult |
導入 |
|
読み取り / 書き込み |
SSM:PutInventory |
導入 |
|
読み取り / 書き込み |
SSM:sendCommand |
|
|
読み取り / 書き込み |
SSM:UpdateAssociationStatus |
導入 |
|
読み取り / 書き込み |
SSM:UpdateInstanceAssociationStatus |
導入 |
|
読み取り / 書き込み |
SSM:UpdateInstanceInformation |
導入 |
|
読み取り / 書き込み |
ssmmessages:CreateControlChannel |
導入 |
|
読み取り / 書き込み |
ssmmessages:データチャネルの作成 |
導入 |
|
読み取り / 書き込み |
ssmmessages:OpenControlChannel |
導入 |
|
読み取り / 書き込み |
ssmmessages:OpenDataChannel |
導入 |
|
読み取り / 書き込み |
FSx for ONTAP、Active Directory、SQLユーザのクレデンシャルを保存(SQLユーザ認証のみ) |
SSM:getParameter 1 |
|
読み取り / 書き込み |
SSM:GetParameters 1 |
|
|
読み取り / 書き込み |
SSM:PutParameter 1 |
|
|
読み取り / 書き込み |
SSM:削除パラメータ1 |
|
|
読み取り / 書き込み |
成功または失敗時にCloudFormationスタックに信号を送信します。 |
CloudFormation:SignalResource 1 |
導入 |
読み取り / 書き込み |
テンプレートによって作成されたEC2ロールをEC2のインスタンスプロファイルに追加して、EC2上のスクリプトが展開に必要なリソースにアクセスできるようにします。 |
IAM:AddRoleToInstanceProfile |
導入 |
読み取り / 書き込み |
EC2のインスタンスプロファイルを作成し、作成したEC2ロールを割り当てます。 |
IAM:CreateInstanceProfile |
導入 |
読み取り / 書き込み |
以下の権限を持つテンプレートを使用してEC2ロールを作成する |
IAM:CREATEROLE |
導入 |
読み取り / 書き込み |
EC2サービスにリンクされたロールの作成 |
IAM:CreateServiceLinkedRole2 |
導入 |
読み取り / 書き込み |
検証ノード専用に導入時に作成されたインスタンスプロファイルを削除する |
IAM:DeleteInstanceProfile |
導入 |
読み取り / 書き込み |
ロールとポリシーの詳細を取得して権限のギャップを特定し、導入のための検証を実施 |
IAM:GetPolicy |
導入 |
読み取り / 書き込み |
IAM:GetPolicyVersion |
導入 |
|
読み取り / 書き込み |
IAM:GetRole |
導入 |
|
読み取り / 書き込み |
IAM:GetRolePolicy |
導入 |
|
読み取り / 書き込み |
IAM:GetUser |
導入 |
|
読み取り / 書き込み |
作成したロールをEC2インスタンスに渡す |
IAM:PassRole3 |
導入 |
読み取り / 書き込み |
作成したEC2ロールに必要な権限を含むポリシーを追加します。 |
IAM:PutRolePolicy |
導入 |
読み取り / 書き込み |
プロビジョニングされたEC2インスタンスプロファイルからロールを切り離す |
IAM:RemoveRoleFromInstanceProfile |
導入 |
読み取り / 書き込み |
ワークロードの処理をシミュレートして使用可能な権限を検証し、必要なAWSアカウントの権限と比較 |
IAM:SimulatePrincipalPolicy |
導入 |
-
アクセス許可は、WLMDBで始まるリソースに制限されます。
-
IAM:AWSServiceNameによって制限される「IAM:CreateServiceLinkedRole」:ec2.amazonaws.com"*
-
「IAM:PassRole」は「IAM:PassedToService」によって制限されます:ec2.amazonaws.com"*
生成AIワークロードの権限
VMware ワークロードの IAM ポリシーは、運用モードに基づいて、パブリック クラウド環境内のリソースとプロセスを管理するために Workload Factory for VMware に必要な権限を提供します。
GenAI IAM ポリシーは、読み取り/書き込み モードでのみ使用できます。
生成AIワークロードのIAMポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}次の表に、生成AIワークロードの権限の詳細を示します。
生成AIワークロードの権限の一覧
| 目的 | アクション | 使用先 | モード |
|---|---|---|---|
導入時と再構築時にAIエンジンCloudFormationスタックを作成 |
CloudFormation:CreateStack |
導入 |
読み取り / 書き込み |
AIエンジンCloudFormationスタックを作成 |
CloudFormation:DescribeStack |
導入 |
読み取り / 書き込み |
AIエンジン導入ウィザードのリージョンを表示する |
EC2: DescribeRegions (説明領域 |
導入 |
読み取り / 書き込み |
AIエンジンタグを表示 |
EC2: DescribeTags (説明タグ) |
導入 |
読み取り / 書き込み |
S3バケットの一覧 |
S3 : ListAllMyBuckets |
導入 |
読み取り / 書き込み |
AIエンジンスタックを作成する前にVPCエンドポイントをリスト表示 |
EC2:CreateVpcEndpoint |
導入 |
読み取り / 書き込み |
導入時と再構築時のAIエンジンスタックの作成時にAIエンジンセキュリティグループを作成 |
EC2:CreateSecurityGroup |
導入 |
読み取り / 書き込み |
導入および再構築処理中にAIエンジンスタックの作成によって作成されたリソースにタグを付ける |
ec2:CreateTags |
導入 |
読み取り / 書き込み |
暗号化されたイベントをAIエンジンスタックからWLMAIバックエンドにパブリッシュする |
KMS:GenerateDataKey |
導入 |
読み取り / 書き込み |
KMS:復号化 |
導入 |
読み取り / 書き込み |
|
イベントとカスタムリソースをAIエンジンスタックからWLMAIバックエンドにパブリッシュする |
SNS:公開 |
導入 |
読み取り / 書き込み |
[List VPC during AI engine deployment]ウィザード |
EC2: DescribeVpcs |
導入 |
読み取り / 書き込み |
AIエンジン導入ウィザードでサブネットを一覧表示する |
EC2: DescribeSubnets |
導入 |
読み取り / 書き込み |
AIエンジンの導入時と再構築時にルーティングテーブルを取得 |
EC2: DescribeRouteTables |
導入 |
読み取り / 書き込み |
AIエンジン導入ウィザードでのキーペアの一覧表示 |
EC2:DescribeKeyPairs |
導入 |
読み取り / 書き込み |
AIエンジンスタックの作成中にセキュリティグループをリスト表示する(プライベートエンドポイントでセキュリティグループを検索する) |
EC2: DescribeSecurityGroups |
導入 |
読み取り / 書き込み |
VPCエンドポイントを取得して、AIエンジンの導入時に作成する必要があるかどうかを判断する |
EC2: DescribeVpcEndpoints |
導入 |
読み取り / 書き込み |
Amazon Q Businessアプリケーションを挙げる |
qbusiness:ListApplications |
導入 |
読み取り / 書き込み |
インスタンスを表示してAIエンジンの状態を確認する |
EC2: DescribeInstances |
トラブルシューティング |
読み取り / 書き込み |
導入時と再構築時のAIエンジンスタック作成時のイメージをリスト表示 |
EC2: DescribeImages |
導入 |
読み取り / 書き込み |
導入および再構築処理中のAIインスタンススタックの作成中に、AIインスタンスとプライベートエンドポイントセキュリティグループを作成および更新 |
EC2: RevokeSecurityGroupEgress |
導入 |
読み取り / 書き込み |
EC2: RevokeSecurityGroupIngress |
導入 |
読み取り / 書き込み |
|
導入および再構築処理中にCloudFormationスタックの作成中にAIエンジンを実行 |
EC2:RunInstances |
導入 |
読み取り / 書き込み |
導入時や再構築時のスタック作成時に、セキュリティグループを追加してAIエンジンのルールを変更 |
ec2:AuthorizeSecurityGroupEgress |
導入 |
読み取り / 書き込み |
ec2:AuthorizeSecurityGroupIngress |
導入 |
読み取り / 書き込み |
|
基本モデルのいずれかに対してチャットリクエストを開始する |
Bedrock:InvokeModelWithResponseStream |
導入 |
読み取り / 書き込み |
基礎モデルのチャット/埋め込みリクエストの開始 |
Bedrock:InvokeModel |
導入 |
読み取り / 書き込み |
リージョンで使用可能な基盤モデルを表示する |
Bedrock: ListFoundationModels |
導入 |
読み取り / 書き込み |
基盤モデルに関する情報を取得する |
Bedrock:GetFoundationModel |
導入 |
読み取り / 書き込み |
基盤モデルへのアクセスを確認 |
Bedrock:GetFoundationModelAvailability |
導入 |
読み取り / 書き込み |
導入と再構築の処理中にAmazon CloudWatchロググループを作成する必要があることを確認 |
ログ:DescriptionLogGroups |
導入 |
読み取り / 書き込み |
AIエンジンウィザードでFSxとAmazon Bedrockをサポートするリージョンを取得 |
SSM:GetParametersByPath |
導入 |
読み取り / 書き込み |
導入時と再構築時にAIエンジンを導入するための最新のAmazon Linuxイメージを入手 |
SSM:GetParameters |
導入 |
読み取り / 書き込み |
AIエンジンに送信されたコマンドからSSM応答を取得する |
SSM:GetCommandInvocation |
導入 |
読み取り / 書き込み |
AIエンジンへのSSM接続を確認する |
SSM:sendCommand |
導入 |
読み取り / 書き込み |
SSM:GetConnectionStatus |
導入 |
読み取り / 書き込み |
|
導入および再構築処理中のスタック作成時にAIエンジンインスタンスプロファイルを作成 |
IAM:CREATEROLE |
導入 |
読み取り / 書き込み |
IAM:CreateInstanceProfile |
導入 |
読み取り / 書き込み |
|
IAM:AddRoleToInstanceProfile |
導入 |
読み取り / 書き込み |
|
IAM:PutRolePolicy |
導入 |
読み取り / 書き込み |
|
IAM:GetRolePolicy |
導入 |
読み取り / 書き込み |
|
IAM:GetRole |
導入 |
読み取り / 書き込み |
|
IAM:TagRole |
導入 |
読み取り / 書き込み |
|
IAM:PassRole |
導入 |
読み取り / 書き込み |
|
ワークロードの処理をシミュレートして使用可能な権限を検証し、必要なAWSアカウントの権限と比較 |
IAM:SimulatePrincipalPolicy |
導入 |
読み取り / 書き込み |
「ナレッジベースの作成」ウィザードでFSx for ONTAPファイルシステムを確認する |
FSx:Description |
ナレッジベースの作成 |
読み取り / 書き込み |
「ナレッジベースの作成」ウィザードでFSx for ONTAPファイルシステムのボリュームを確認する |
FSx:DescriptionFileSystems |
ナレッジベースの作成 |
読み取り / 書き込み |
再構築処理中にAIエンジンを基盤としたナレッジベースを管理 |
FSx:ListTagsForResource |
トラブルシューティング |
読み取り / 書き込み |
「ナレッジベースの作成」ウィザードでFSx for ONTAPファイルシステムStorage Virtual Machineを確認する |
FSx:DescriptionStorageVirtualMachines |
導入 |
読み取り / 書き込み |
ナレッジベースを新しいインスタンスに移動 |
FSx:UntagResource |
トラブルシューティング |
読み取り / 書き込み |
再構築時にAIエンジンに関するナレッジベースを管理 |
FSx:TagResource |
トラブルシューティング |
読み取り / 書き込み |
SSMシークレット(ECRトークン、CIFSクレデンシャル、テナンシーサービスアカウントキー)をセキュアな方法で保存 |
SSM:getParameter |
導入 |
読み取り / 書き込み |
SSM:PutParameter |
導入 |
読み取り / 書き込み |
|
導入と再構築の処理中に、AIエンジンのログをAmazon CloudWatchロググループに送信 |
ログ:CreateLogGroup |
導入 |
読み取り / 書き込み |
ログ:PutRetentionPolicy |
導入 |
読み取り / 書き込み |
|
AIエンジンのログをAmazon CloudWatchロググループに送信する |
ログ:TagResource |
トラブルシューティング |
読み取り / 書き込み |
Amazon CloudWatchからSSMの応答を取得する(応答が長すぎる場合) |
ログ:DescriptionLogStreams |
トラブルシューティング |
読み取り / 書き込み |
Amazon CloudWatchからSSMの応答を入手 |
ログ:GetLogEvents |
トラブルシューティング |
読み取り / 書き込み |
デプロイおよび再構築処理中のスタック作成時に、Amazon Bedrockログ用のAmazon CloudWatchロググループを作成する |
ログ:CreateLogGroup |
導入 |
読み取り / 書き込み |
ログ:PutRetentionPolicy |
導入 |
読み取り / 書き込み |
|
ログ:TagResource |
導入 |
読み取り / 書き込み |
|
モデルの推論プロファイルをリスト表示 |
Bedrock: ListInferenceProfiles |
トラブルシューティング |
読み取り / 書き込み |
VMwareワークロードの権限
VMware ワークロードの IAM ポリシーは、運用モードに基づいて、パブリック クラウド環境内のリソースとプロセスを管理するために Workload Factory for VMware に必要な権限を提供します。
運用モードを選択して、必要なIAMポリシーを表示します。
VMwareワークロードのIAMポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ssm:GetParametersByPath",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}次の表に、VMwareワークロードの権限の詳細を示します。
VMwareワークロードの権限の一覧
| 目的 | アクション | 使用先 | モード |
|---|---|---|---|
プロビジョニングされたノードのセキュリティグループを接続してルールを変更する |
ec2:AuthorizeSecurityGroupIngress |
導入 |
読み取り / 書き込み |
EBSボリュームを作成する |
EC2:CreateVolume |
導入 |
読み取り / 書き込み |
VMwareワークロードによって作成されたFSx for NetApp ONTAPリソースのカスタム値にタグを付ける |
FSx:TagResource |
導入 |
読み取り / 書き込み |
CloudFormationテンプレートの作成と検証 |
CloudFormation:CreateStack |
導入 |
読み取り / 書き込み |
作成したインスタンスのタグとネットワークセキュリティを管理します。 |
EC2:CreateSecurityGroup |
導入 |
読み取り / 書き込み |
作成したインスタンスの開始 |
EC2:RunInstances |
導入 |
読み取り / 書き込み |
EC2インスタンスの詳細を取得 |
EC2: DescribeInstances |
導入 |
読み取り / 書き込み |
展開および再構築操作中のスタック作成中のイメージのリスト表示 |
EC2: DescribeImages |
導入 |
読み取り / 書き込み |
選択した環境内のVPCを取得して導入フォームに記入 |
EC2: DescribeVpcs |
|
|
選択した環境のサブネットを取得して導入フォームに記入 |
EC2: DescribeSubnets |
|
|
選択した環境のセキュリティグループを取得して、展開フォームに入力します。 |
EC2: DescribeSecurityGroups |
導入 |
|
選択した環境のアベイラビリティゾーンを取得する |
EC2:説明AvailabilityZones |
|
|
Amazon FSx for NetApp ONTAPのサポートリージョンを取得 |
EC2: DescribeRegions (説明領域 |
導入 |
|
Amazon FSx for NetApp ONTAPの暗号化に使用するKMSキーのエイリアスを取得する |
KMS:エイリアスを確認する |
導入 |
|
Amazon FSx for NetApp ONTAPの暗号化に使用するKMSキーを入手 |
KMS:ListKeys |
導入 |
|
Amazon FSx for NetApp ONTAPの暗号化に使用するKMSキーの有効期限の詳細を取得 |
KMS:説明キー |
導入 |
|
SSMベースのクエリを使用して、Amazon FSx for NetApp ONTAPでサポートされるリージョンの最新リストを取得 |
SSM:GetParametersByPath |
導入 |
|
プロビジョニングに必要なAmazon FSx for NetApp ONTAPリソースを作成する |
FSx:CreateFileSystem |
導入 |
読み取り / 書き込み |
FSx:CreateStorageVirtualMachine |
導入 |
読み取り / 書き込み |
|
FSx:ボリュームの作成 |
|
読み取り / 書き込み |
|
Amazon FSx for NetApp ONTAPの詳細 |
FSx:説明* |
|
読み取り / 書き込み |
FSx:リスト* |
|
読み取り / 書き込み |
|
KMSの主要な詳細情報を入手し、Amazon FSx for NetApp ONTAPの暗号化に使用 |
KMS:CreateGrant |
導入 |
読み取り / 書き込み |
KMS:説明* |
導入 |
読み取り / 書き込み |
|
KMS:リスト* |
導入 |
読み取り / 書き込み |
|
KMS:復号化 |
導入 |
読み取り / 書き込み |
|
KMS:GenerateDataKey |
導入 |
読み取り / 書き込み |
|
カスタマーSNSのトピックを一覧表示し、WLMVMCバックエンドSNSおよびカスタマーSNS(選択されている場合)に公開します。 |
SNS:公開 |
導入 |
読み取り / 書き込み |
Amazon FSx for NetApp ONTAPでサポートされるAWSリージョンの最新リストを取得するために使用 |
SSM:GET * |
|
読み取り / 書き込み |
ワークロードの処理をシミュレートして使用可能な権限を検証し、必要なAWSアカウントの権限と比較 |
IAM:SimulatePrincipalPolicy |
導入 |
読み取り / 書き込み |
SSMパラメータストアを使用してAmazon FSx for NetApp ONTAPのクレデンシャルを保存 |
SSM:getParameter |
|
読み取り / 書き込み |
SSM:PutParameters |
|
読み取り / 書き込み |
|
SSM:PutParameter |
|
読み取り / 書き込み |
|
SSM:DeleteParameters |
|
読み取り / 書き込み |
変更ログ
権限が追加および削除されると、以下のセクションにそれらの権限が表示されます。
2025年10月5日
以下の権限は GenAI から削除され、現在は GenAI エンジンによって処理されます。
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
2025年6月29日
データベースの 読み取り専用 モードで次の権限が利用できるようになりました。 cloudwatch:GetMetricData 。
2025年6月3日
GenAI の 読み取り/書き込み モードで次の権限が利用できるようになりました。 s3:ListAllMyBuckets 。
2025年5月4日
GenAI の 読み取り/書き込み モードで次の権限が利用できるようになりました。 qbusiness:ListApplications 。
データベースの 読み取り専用 モードで、次の権限が使用できるようになりました。
-
logs:GetLogEvents -
logs:DescribeLogGroups
データベースの 読み取り/書き込み モードで次の権限が利用できるようになりました。
logs:PutRetentionPolicy 。
2025年4月2日
データベースの 読み取り専用 モードで次の権限が利用できるようになりました。 ssm:DescribeInstanceInformation 。
2025年3月30日
生成AIワークロード権限の更新
GenAI の 読み取り/書き込みモード では、次の権限が利用できるようになりました。
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
GenAI の 読み取り/書き込みモード から次の権限が削除されました: Bedrock:GetFoundationModel 。
IAM:SimulatePrincipalPolicy権限の更新
その `iam:SimulatePrincipalPolicy`追加の AWS アカウント認証情報を追加するとき、または Workload Factory コンソールから新しいワークロード機能を追加するときに自動アクセス許可チェックを有効にすると、アクセス許可はすべてのワークロードアクセス許可ポリシーの一部になります。この権限は、ワークロード操作をシミュレートし、Workload Factory からリソースをデプロイする前に、必要な AWS アカウント権限があるかどうかを確認します。このチェックを有効にすると、失敗した操作からリソースをクリーンアップしたり、不足している権限を追加したりするために必要な時間と労力が削減されます。
2025年3月2日
GenAI の 読み取り/書き込み モードで次の権限が利用できるようになりました。 bedrock:GetFoundationModel 。
2025年2月3日
データベースの 読み取り専用 モードで次の権限が利用できるようになりました。 iam:SimulatePrincipalPolicy 。