Connector에 대한 AWS 권한
변경 제안
PDF
BlueXP가 AWS에서 Connector 인스턴스를 시작하면 Connector에 해당 AWS 계정 내의 리소스와 프로세스를 관리할 수 있는 권한을 제공하는 인스턴스에 정책을 연결합니다. Connector는 권한을 사용하여 EC2, S3, CloudFormation, IAM, KMS(키 관리 서비스) 등
IAM 정책
아래에서 사용할 수 있는 IAM 정책은 Connector가 AWS 지역에 따라 퍼블릭 클라우드 환경 내의 리소스 및 프로세스를 관리하는 데 필요한 권한을 제공합니다.
다음 사항에 유의하십시오.
-
BlueXP에서 직접 표준 AWS 영역에 커넥터를 생성하는 경우 BlueXP는 자동으로 Connector에 정책을 적용합니다.
-
AWS Marketplace에서 Connector를 배포하거나, Linux 호스트에 Connector를 수동으로 설치하거나, BlueXP에 추가 AWS 자격 증명을 추가하려는 경우 직접 정책을 설정해야 합니다.
-
두 경우 모두 후속 릴리스에서 새 권한이 추가됨에 따라 정책이 최신 상태인지 확인해야 합니다. 새 권한이 필요한 경우 릴리스 노트에 해당 권한이 나열됩니다.
-
필요한 경우 IAM을 사용하여 IAM 정책을 제한할 수 있습니다
Condition요소. "AWS 설명서:조건 요소" -
이러한 정책 사용에 대한 단계별 지침을 보려면 다음 페이지를 참조하십시오.
필요한 정책을 보려면 지역을 선택하십시오.
표준 영역
표준 영역의 경우 권한이 두 정책에 분산됩니다. AWS에서 관리되는 정책의 최대 문자 크기 제한으로 인해 두 개의 정책이 필요합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:CreatePlacementGroup",
"ec2:DescribeReservedInstancesOfferings",
"ec2:AssignPrivateIpAddresses",
"ec2:CreateRoute",
"ec2:DescribeVpcs",
"ec2:ReplaceRoute",
"ec2:UnassignPrivateIpAddresses",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteRoute",
"ec2:DeletePlacementGroup",
"ec2:DescribePlacementGroups",
"ec2:DescribeVolumesModifications",
"ec2:ModifyVolume",
"cloudformation:CreateStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"cloudformation:DeleteStack",
"iam:PassRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:ListInstanceProfiles",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile",
"iam:GetRolePolicy",
"iam:GetRole",
"sts:DecodeAuthorizationMessage",
"sts:AssumeRole",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicy",
"s3:GetBucketAcl",
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"kms:List*",
"kms:ReEncrypt*",
"kms:Describe*",
"kms:CreateGrant",
"fsx:Describe*",
"fsx:List*",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "cvoServicePolicy"
},
{
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateSecurityGroup",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"kms:List*",
"kms:Describe*",
"ec2:DescribeVpcEndpoints",
"kms:ListAliases",
"athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryExecution",
"glue:GetDatabase",
"glue:GetTable",
"glue:CreateTable",
"glue:CreateDatabase",
"glue:GetPartitions",
"glue:BatchCreatePartition",
"glue:BatchDeletePartition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "backupPolicy"
},
{
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketAcl",
"s3:PutBucketPublicAccessBlock",
"s3:GetObject",
"s3:PutEncryptionConfiguration",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:ListBucketMultipartUploads",
"s3:PutObject",
"s3:PutBucketAcl",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:DeleteBucket",
"s3:GetObjectVersionTagging",
"s3:GetObjectVersionAcl",
"s3:GetObjectRetention",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObjectVersionTagging",
"s3:PutObjectRetention",
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersionTagging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketVersioning",
"s3:PutBucketObjectLockConfiguration",
"s3:PutBucketVersioning",
"s3:BypassGovernanceRetention",
"s3:PutBucketPolicy",
"s3:PutBucketOwnershipControls"
],
"Resource": [
"arn:aws:s3:::netapp-backup-*"
],
"Effect": "Allow",
"Sid": "backupS3Policy"
},
{
"Action": [
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:DeleteBucket"
],
"Resource": [
"arn:aws:s3:::fabric-pool*"
],
"Effect": "Allow",
"Sid": "fabricPoolS3Policy"
},
{
"Action": [
"ec2:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "fabricPoolPolicy"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/netapp-adc-manager": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume",
"ec2:StopInstances",
"ec2:DeleteVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Action": [
"ec2:DeleteVolume"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*"
],
"Effect": "Allow"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:DescribeTags",
"tag:getResources",
"tag:getTagKeys",
"tag:getTagValues",
"tag:TagResources",
"tag:UntagResources"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "tagServicePolicy"
}
]
}GovCloud(미국) 지역
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListInstanceProfiles",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"ec2:ModifyVolumeAttribute",
"sts:DecodeAuthorizationMessage",
"ec2:DescribeImages",
"ec2:DescribeRouteTables",
"ec2:DescribeInstances",
"iam:PassRole",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:StopInstances",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"s3:GetObject",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:CreateBucket",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"kms:List*",
"kms:ReEncrypt*",
"kms:Describe*",
"kms:CreateGrant",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws-us-gov:s3:::fabric-pool*"
]
},
{
"Sid": "backupPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetObject",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws-us-gov:s3:::netapp-backup-*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-us-gov:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-us-gov:ec2:*:*:volume/*"
]
}
]
}비밀 영역
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"iam:PassRole",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"kms:List*",
"kms:Describe*",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup",
"iam:ListinstanceProfiles"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws-iso-b:s3:::fabric-pool*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-iso-b:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-iso-b:ec2:*:*:volume/*"
]
}
]
}주요 비밀 지역
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"iam:PassRole",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"kms:List*",
"kms:Describe*",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup",
"iam:ListinstanceProfiles"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws-iso:s3:::fabric-pool*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-iso:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-iso:ec2:*:*:volume/*"
]
}
]
}AWS 사용 권한
다음 섹션에서는 각 BlueXP 서비스에 대한 사용 권한이 어떻게 사용되는지 설명합니다. 이 정보는 기업 정책에 따라 사용 권한이 필요한 경우에만 제공된다는 내용이 지정되어 있는 경우에 유용합니다.
ONTAP용 Amazon FSx
커넥터는 Amazon FSx for ONTAP 파일 시스템 관리를 위해 다음과 같은 API 요청을 수행합니다.
-
EC2: DescribeInstances(지시 인스턴스)
-
EC2: DescribeInstanceStatus
-
EC2: DescribeInstanceAttribute
-
EC2: 설명표
-
EC2: DescribeImages(설명 영상)
-
EC2: CreateTags(태그 생성)
-
EC2: 설명 볼륨을 참조하십시오
-
EC2: DescribeSecurityGroups
-
EC2: DescribeNetworkInterfaces를 참조하십시오
-
EC2: DescribeSubnet
-
EC2: 설명
-
EC2: DescribeDhcpOptions
-
EC2: 설명
-
EC2: 설명
-
EC2: 설명
-
EC2: DescribeTags(설명 태그)
-
EC2: DescribeIamInstanceProfileAssociations
-
EC2: DescribeReservedInstancesOffbised
-
EC2: DescribeVpcEndpoints
-
EC2: 설명
-
EC2: 볼륨 수정 설명
-
EC2: DescribePlacementGroups
-
KMS: 목록 *
-
KMS: 설명 *
-
KMS: CreateGrant
-
KMS: ListAliases
-
FSX: 설명 *
-
FSX:목록 *
Amazon S3 버킷 검색
Connector는 Amazon S3 버킷을 검색하기 위해 다음과 같은 API 요청을 수행합니다.
S3:GetEncryptionConfiguration
백업 및 복구
Connector는 Amazon S3에서 백업을 관리하기 위해 다음과 같은 API 요청을 수행합니다.
-
S3:GetBucketLocation
-
S3:ListAllMyBucket
-
S3:목록 버킷
-
S3:생성 버킷
-
S3:GetLifecycleConfiguration
-
S3: PutLifecycleConfiguration
-
S3: PutBucketTagging
-
S3:목록 BuckketVersions
-
S3:GetBuckketAcl
-
S3: PutBucketPublicAccessBlock
-
KMS: 목록 *
-
KMS: 설명 *
-
S3:GetObject
-
EC2: DescribeVpcEndpoints
-
KMS: ListAliases
-
S3:PutEncryptionConfiguration
Connector는 검색 및 복원 방법을 사용하여 볼륨 및 파일을 복원할 때 다음과 같은 API 요청을 수행합니다.
-
S3:생성 버킷
-
S3:DeleteObject 를 선택합니다
-
S3:DeleteObjectVersion
-
S3:GetBuckketAcl
-
S3:목록 버킷
-
S3:목록 BuckketVersions
-
S3:ListBuckketMultipartUploads
-
S3:PutObject
-
S3: PutBucketAcl
-
S3: PutLifecycleConfiguration
-
S3: PutBucketPublicAccessBlock
-
S3:중단멀티업로드입니다
-
S3:ListMultipartUploadParts(S3:ListMultimpartUploadParts) 를
-
Athena: StartQueryExecution
-
Athena:GetQueryResults
-
Athena:GetQueryExecution을 참조하십시오
-
Athena: StopQueryExecution
-
글루:CreateDatabase
-
글루:CreateTable
-
GLUE:BatchDeletePartition
Connector는 볼륨 백업에 DataLock 및 랜섬웨어 보호를 사용할 때 다음과 같은 API 요청을 수행합니다.
-
S3:GetObjectVersionTagging
-
S3:GetBuckketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3:PutObjectTagging
-
S3:DeleteObject 를 선택합니다
-
S3:삭제 ObjectTagging
-
S3:GetObjectRetention
-
S3:DeleteObjectVersionTagging
-
S3:PutObject
-
S3:GetObject
-
S3:PutBucketObjectLockConfiguration
-
S3:GetLifecycleConfiguration
-
S3:ListBucketByTags
-
S3:GetBucketTagging
-
S3:DeleteObjectVersion
-
S3:목록 BuckketVersions
-
S3:목록 버킷
-
S3: PutBucketTagging
-
S3:GetObjectTagging
-
S3: PutBucketVersioning
-
S3:PutObjectVersionTagging
-
S3:GetBucketVersioning
-
S3:GetBuckketAcl
-
S3:BypassGovernanceRetention
-
S3:PutObjectRetention
-
S3:GetBucketLocation
-
S3:GetObjectVersion
소스 볼륨에 사용 중인 것과 다른 Cloud Volumes ONTAP 백업 계정을 사용하는 경우 Connector에서 다음 API 요청을 수행합니다.
-
S3: PutBucketPolicy
-
S3: PutBucketOwnershipControls
분류
Connector는 다음과 같은 API 요청을 수행하여 BlueXP 분류 인스턴스를 배포합니다.
-
EC2: DescribeInstances(지시 인스턴스)
-
EC2: DescribeInstanceStatus
-
EC2: 런인스턴스
-
EC2: 터미네이스
-
EC2: CreateTags(태그 생성)
-
EC2: CreateVolume
-
EC2: AttachVolume
-
EC2:CreateSecurityGroup입니다
-
EC2: DeleteSecurityGroup
-
EC2: DescribeSecurityGroups
-
EC2: CreateNetworkInterface입니다
-
EC2: DescribeNetworkInterfaces를 참조하십시오
-
EC2: DeleteNetworkInterface
-
EC2: DescribeSubnet
-
EC2: 설명
-
EC2: 스냅샷을 만듭니다
-
EC2: 설명
-
CloudFormation:CreateStack
-
CloudFormation:DeleteStack
-
CloudFormation: DescribeStacks
-
CloudFormation: DescribeStackEvents
-
IAM:AddRoleToInstanceProfile 을 참조하십시오
-
EC2: AssociateIamInstanceProfile 을 참조하십시오
-
EC2: DescribeIamInstanceProfileAssociations
Connector는 BlueXP 분류를 사용할 때 S3 버킷을 스캔하기 위해 다음과 같은 API 요청을 수행합니다.
-
IAM:AddRoleToInstanceProfile 을 참조하십시오
-
EC2: AssociateIamInstanceProfile 을 참조하십시오
-
EC2: DescribeIamInstanceProfileAssociations
-
S3:GetBucketTagging
-
S3:GetBucketLocation
-
S3:ListAllMyBucket
-
S3:목록 버킷
-
S3:GetBuckketPolicyStatus를 참조하십시오
-
S3:GetBuckketPolicy를 참조하십시오
-
S3:GetBuckketAcl
-
S3:GetObject
-
IAM:GetRole
-
S3:DeleteObject 를 선택합니다
-
S3:DeleteObjectVersion
-
S3:PutObject
-
STS:AssumeRole
Cloud Volumes ONTAP
Connector는 AWS에서 Cloud Volumes ONTAP를 구축 및 관리하기 위해 다음과 같은 API 요청을 수행합니다.
| 목적 | 조치 | 배포에 사용되었습니까? | 일상적 운영에 사용됩니까? | 삭제에 사용되었습니까? |
|---|---|---|---|---|
Cloud Volumes ONTAP 인스턴스에 대한 IAM 역할 및 인스턴스 프로필을 생성하고 관리합니다 |
IAM: ListInstanceProfiles(인스턴스 프로필) |
예 |
예 |
아니요 |
IAM: CreateRole |
예 |
아니요 |
아니요 |
|
IAM: DeleteRole |
아니요 |
예 |
예 |
|
IAM: PutRolePolicy(입수 정책) |
예 |
아니요 |
아니요 |
|
IAM:CreateInstanceProfile |
예 |
아니요 |
아니요 |
|
IAM: DeleteRolePolicy(삭제 RolePolicy |
아니요 |
예 |
예 |
|
IAM:AddRoleToInstanceProfile 을 참조하십시오 |
예 |
아니요 |
아니요 |
|
IAM:RemoveRoleFromInstanceProfile 을 참조하십시오 |
아니요 |
예 |
예 |
|
IAM: DeleteInstanceProfile |
아니요 |
예 |
예 |
|
IAM: 암호 역할 |
예 |
아니요 |
아니요 |
|
EC2: AssociateIamInstanceProfile 을 참조하십시오 |
예 |
예 |
아니요 |
|
EC2: DescribeIamInstanceProfileAssociations |
예 |
예 |
아니요 |
|
EC2: DiscassociateIamInstanceProfile 을 참조하십시오 |
아니요 |
예 |
아니요 |
|
인증 상태 메시지를 디코딩합니다 |
STS:DecodeAuthorizationMessage 를 참조하십시오 |
예 |
예 |
아니요 |
계정에 사용할 수 있는 지정된 영상(AMI)을 설명합니다 |
EC2: DescribeImages(설명 영상) |
예 |
예 |
아니요 |
VPC의 라우트 테이블 설명(HA 쌍에만 필요) |
EC2: 설명표 |
예 |
아니요 |
아니요 |
인스턴스를 중지, 시작 및 모니터링합니다 |
EC2: StartInstances(시작 인스턴스) |
예 |
예 |
아니요 |
EC2: StopInstances(중지 인스턴스) |
예 |
예 |
아니요 |
|
EC2: DescribeInstances(지시 인스턴스) |
예 |
예 |
아니요 |
|
EC2: DescribeInstanceStatus |
예 |
예 |
아니요 |
|
EC2: 런인스턴스 |
예 |
아니요 |
아니요 |
|
EC2: 터미네이스 |
아니요 |
아니요 |
예 |
|
EC2: ModifyInstanceAttribute |
아니요 |
예 |
아니요 |
|
지원되는 인스턴스 유형에 대해 향상된 네트워킹이 활성화되어 있는지 확인합니다 |
EC2: DescribeInstanceAttribute |
아니요 |
예 |
아니요 |
유지 관리 및 비용 할당에 사용되는 "WorkingEnvironment" 및 "WorkingEnvironmentId" 태그로 리소스에 태그를 지정합니다 |
EC2: CreateTags(태그 생성) |
예 |
예 |
아니요 |
Cloud Volumes ONTAP가 백엔드 스토리지로 사용하는 EBS 볼륨을 관리합니다 |
EC2: CreateVolume |
예 |
예 |
아니요 |
EC2: 설명 볼륨을 참조하십시오 |
예 |
예 |
예 |
|
EC2: ModifyVolumeAttribute |
아니요 |
예 |
예 |
|
EC2: AttachVolume |
예 |
예 |
아니요 |
|
EC2: DeleteVolume(삭제 볼륨) |
아니요 |
예 |
예 |
|
EC2: DetachVolume(분리 볼륨) |
아니요 |
예 |
예 |
|
Cloud Volumes ONTAP에 대한 보안 그룹을 만들고 관리합니다 |
EC2:CreateSecurityGroup입니다 |
예 |
아니요 |
아니요 |
EC2: DeleteSecurityGroup |
아니요 |
예 |
예 |
|
EC2: DescribeSecurityGroups |
예 |
예 |
예 |
|
EC2: RevokeSecurityGroupEgress |
예 |
아니요 |
아니요 |
|
EC2: AuthorizeSecurityGroupEgress 를 참조하십시오 |
예 |
아니요 |
아니요 |
|
EC2: AuthorizeSecurityGroupIngress 를 참조하십시오 |
예 |
아니요 |
아니요 |
|
EC2: RevokeSecurityGroupIngress 를 참조하십시오 |
예 |
예 |
아니요 |
|
대상 서브넷에서 Cloud Volumes ONTAP에 대한 네트워크 인터페이스를 생성하고 관리합니다 |
EC2: CreateNetworkInterface입니다 |
예 |
아니요 |
아니요 |
EC2: DescribeNetworkInterfaces를 참조하십시오 |
예 |
예 |
아니요 |
|
EC2: DeleteNetworkInterface |
아니요 |
예 |
예 |
|
EC2: ModifyNetworkInterfaceAttribute 입니다 |
아니요 |
예 |
아니요 |
|
대상 서브넷 및 보안 그룹 목록을 가져옵니다 |
EC2: DescribeSubnet |
예 |
예 |
아니요 |
EC2: 설명 |
예 |
예 |
아니요 |
|
Cloud Volumes ONTAP 인스턴스의 DNS 서버와 기본 도메인 이름을 가져옵니다 |
EC2: DescribeDhcpOptions |
예 |
아니요 |
아니요 |
Cloud Volumes ONTAP용 EBS 볼륨의 스냅샷을 생성합니다 |
EC2: 스냅샷을 만듭니다 |
예 |
예 |
아니요 |
EC2: DeleteSnapshot |
아니요 |
예 |
예 |
|
EC2: 설명 |
아니요 |
예 |
아니요 |
|
AutoSupport 메시지에 첨부된 Cloud Volumes ONTAP 콘솔을 캡처합니다 |
EC2:GetConsoleOutput 을 참조하십시오 |
예 |
예 |
아니요 |
사용 가능한 키 쌍 목록을 가져옵니다 |
EC2: 설명 |
예 |
아니요 |
아니요 |
사용 가능한 AWS 지역 목록을 확인하십시오 |
EC2: 설명 |
예 |
예 |
아니요 |
Cloud Volumes ONTAP 인스턴스와 연결된 리소스의 태그를 관리합니다 |
EC2: 삭제 태그 |
아니요 |
예 |
예 |
EC2: DescribeTags(설명 태그) |
아니요 |
예 |
아니요 |
|
AWS CloudFormation 템플릿을 위한 스택을 만들고 관리합니다 |
CloudFormation:CreateStack |
예 |
아니요 |
아니요 |
CloudFormation:DeleteStack |
예 |
아니요 |
아니요 |
|
CloudFormation: DescribeStacks |
예 |
예 |
아니요 |
|
CloudFormation: DescribeStackEvents |
예 |
아니요 |
아니요 |
|
CloudFormation:ValidateTemplate 을 참조하십시오 |
예 |
아니요 |
아니요 |
|
Cloud Volumes ONTAP 시스템이 데이터 계층화를 위한 용량 계층으로 사용하는 S3 버킷을 생성 및 관리합니다 |
S3:생성 버킷 |
예 |
예 |
아니요 |
S3:삭제 버킷 |
아니요 |
예 |
예 |
|
S3:GetLifecycleConfiguration |
아니요 |
예 |
아니요 |
|
S3: PutLifecycleConfiguration |
아니요 |
예 |
아니요 |
|
S3: PutBucketTagging |
아니요 |
예 |
아니요 |
|
S3:목록 BuckketVersions |
아니요 |
예 |
아니요 |
|
S3:GetBuckketPolicyStatus를 참조하십시오 |
아니요 |
예 |
아니요 |
|
S3:GetBuckketPublicAccessBlock |
아니요 |
예 |
아니요 |
|
S3:GetBuckketAcl |
아니요 |
예 |
아니요 |
|
S3:GetBuckketPolicy를 참조하십시오 |
아니요 |
예 |
아니요 |
|
S3: PutBucketPublicAccessBlock |
아니요 |
예 |
아니요 |
|
S3:GetBucketTagging |
아니요 |
예 |
아니요 |
|
S3:GetBucketLocation |
아니요 |
예 |
아니요 |
|
S3:ListAllMyBucket |
아니요 |
아니요 |
아니요 |
|
S3:목록 버킷 |
아니요 |
예 |
아니요 |
|
AWS KMS(키 관리 서비스)를 사용하여 Cloud Volumes ONTAP의 데이터 암호화 지원 |
KMS: 목록 * |
예 |
예 |
아니요 |
KMS: 재암호화 * |
예 |
아니요 |
아니요 |
|
KMS: 설명 * |
예 |
예 |
아니요 |
|
KMS: CreateGrant |
예 |
예 |
아니요 |
|
KMS: GenerateDataKeyWithoutPlaintext |
예 |
예 |
아니요 |
|
단일 AWS Availability Zone에서 2개의 HA 노드를 위한 AWS 분산 배치 그룹과 중재자를 생성하고 관리합니다 |
EC2: CreatePlacementGroup(배치 그룹 생성) |
예 |
아니요 |
아니요 |
EC2: DeletePlacementGroup |
아니요 |
예 |
예 |
|
보고서 작성 |
FSX: 설명 * |
아니요 |
예 |
아니요 |
FSX:목록 * |
아니요 |
예 |
아니요 |
|
Amazon EBS Elastic Volumes 기능을 지원하는 애그리게이트를 생성 및 관리합니다 |
EC2: 볼륨 수정 설명 |
아니요 |
예 |
아니요 |
EC2: ModifyVolume(수정 볼륨) |
아니요 |
예 |
아니요 |
|
가용 영역이 AWS 로컬 영역인지 확인하고 모든 배포 매개 변수가 호환되는지 확인합니다 |
EC2:가용성 영역 설명 |
예 |
아니요 |
예 |
변경 로그
권한이 추가되고 제거됨에 따라 아래 섹션에 해당 권한이 표시됩니다.
2024년 9월 9일
BlueXP 에서 더 이상 BlueXP 에지 캐싱 및 Kubernetes 클러스터의 검색 및 관리를 지원하지 않기 때문에 표준 지역의 정책 #2에서 권한이 제거되었습니다.
정책에서 제거된 사용 권한을 봅니다
{
"Action": [
"ec2:DescribeRegions",
"eks:ListClusters",
"eks:DescribeCluster",
"iam:GetInstanceProfile"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "K8sServicePolicy"
},
{
"Action": [
"cloudformation:DescribeStacks",
"cloudwatch:GetMetricStatistics",
"cloudformation:ListStacks"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "GFCservicePolicy"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/GFCInstance": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},2024년 5월 9일
이제 Cloud Volumes ONTAP에 다음 권한이 필요합니다.
EC2:가용성 영역 설명
2023년 6월 6일
이제 Cloud Volumes ONTAP에 대해 다음 권한이 필요합니다.
KMS: GenerateDataKeyWithoutPlaintext
2023년 2월 14일
이제 BlueXP 계층화에 대해 다음 권한이 필요합니다.
EC2: DescribeVpcEndpoints