Connector에 대한 AWS 권한
BlueXP가 AWS에서 Connector 인스턴스를 시작하면 Connector에 해당 AWS 계정 내의 리소스와 프로세스를 관리할 수 있는 권한을 제공하는 인스턴스에 정책을 연결합니다. Connector는 권한을 사용하여 EC2, S3, CloudFormation, IAM, KMS(키 관리 서비스) 등
IAM 정책
아래에서 사용할 수 있는 IAM 정책은 Connector가 AWS 지역에 따라 퍼블릭 클라우드 환경 내의 리소스 및 프로세스를 관리하는 데 필요한 권한을 제공합니다.
다음 사항에 유의하십시오.
-
BlueXP에서 직접 표준 AWS 영역에 커넥터를 생성하는 경우 BlueXP는 자동으로 Connector에 정책을 적용합니다. 이 경우에는 아무 작업도 수행할 필요가 없습니다.
-
AWS Marketplace에서 Connector를 배포하거나, Linux 호스트에 Connector를 수동으로 설치하거나, BlueXP에 추가 AWS 자격 증명을 추가하려는 경우 직접 정책을 설정해야 합니다.
-
또한 새 권한이 후속 릴리스에 추가될 때 정책이 최신 상태인지 확인해야 합니다.
-
필요한 경우 IAM을 사용하여 IAM 정책을 제한할 수 있습니다
Condition
요소. "AWS 설명서:조건 요소" -
이러한 정책 사용에 대한 단계별 지침을 보려면 다음 페이지를 참조하십시오.
필요한 정책을 보려면 지역을 선택하십시오.
표준 영역
표준 영역의 경우 권한이 두 정책에 분산됩니다. AWS에서 관리되는 정책의 최대 문자 크기 제한으로 인해 두 개의 정책이 필요합니다.
첫 번째 정책은 다음 서비스에 대한 권한을 제공합니다.
-
Amazon S3 버킷 검색
-
백업 및 복구
-
분류
-
Cloud Volumes ONTAP
-
ONTAP용 FSX
-
계층화
두 번째 정책은 다음 서비스에 대한 권한을 제공합니다.
-
에지 캐싱
-
쿠버네티스
-
해결
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:CreatePlacementGroup",
"ec2:DescribeReservedInstancesOfferings",
"ec2:AssignPrivateIpAddresses",
"ec2:CreateRoute",
"ec2:DescribeVpcs",
"ec2:ReplaceRoute",
"ec2:UnassignPrivateIpAddresses",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteRoute",
"ec2:DeletePlacementGroup",
"ec2:DescribePlacementGroups",
"ec2:DescribeVolumesModifications",
"ec2:ModifyVolume",
"cloudformation:CreateStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"cloudformation:DeleteStack",
"iam:PassRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:ListInstanceProfiles",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile",
"iam:GetRolePolicy",
"iam:GetRole",
"sts:DecodeAuthorizationMessage",
"sts:AssumeRole",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicy",
"s3:GetBucketAcl",
"s3:PutObjectTagging",
"s3:GetObjectTagging",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"kms:List*",
"kms:ReEncrypt*",
"kms:Describe*",
"kms:CreateGrant",
"fsx:Describe*",
"fsx:List*",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "cvoServicePolicy"
},
{
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateSecurityGroup",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRegions",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"kms:List*",
"kms:Describe*",
"ec2:DescribeVpcEndpoints",
"kms:ListAliases",
"athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryExecution",
"glue:GetDatabase",
"glue:GetTable",
"glue:CreateTable",
"glue:CreateDatabase",
"glue:GetPartitions",
"glue:BatchCreatePartition",
"glue:BatchDeletePartition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "backupPolicy"
},
{
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketAcl",
"s3:PutBucketPublicAccessBlock",
"s3:GetObject",
"s3:PutEncryptionConfiguration",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:ListBucketMultipartUploads",
"s3:PutObject",
"s3:PutBucketAcl",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:DeleteBucket",
"s3:GetObjectVersionTagging",
"s3:GetObjectVersionAcl",
"s3:GetObjectRetention",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObjectVersionTagging",
"s3:PutObjectRetention",
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersionTagging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketVersioning",
"s3:PutBucketObjectLockConfiguration",
"s3:PutBucketVersioning",
"s3:BypassGovernanceRetention",
"s3:PutBucketPolicy",
"s3:PutBucketOwnershipControls"
],
"Resource": [
"arn:aws:s3:::netapp-backup-*"
],
"Effect": "Allow",
"Sid": "backupS3Policy"
},
{
"Action": [
"s3:CreateBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:DeleteBucket"
],
"Resource": [
"arn:aws:s3:::fabric-pool*"
],
"Effect": "Allow",
"Sid": "fabricPoolS3Policy"
},
{
"Action": [
"ec2:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "fabricPoolPolicy"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/netapp-adc-manager": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume",
"ec2:StopInstances",
"ec2:DeleteVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*"
],
"Effect": "Allow"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Action": [
"ec2:DeleteVolume"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*"
],
"Effect": "Allow"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeRegions",
"eks:ListClusters",
"eks:DescribeCluster",
"iam:GetInstanceProfile"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "K8sServicePolicy"
},
{
"Action": [
"cloudformation:DescribeStacks",
"cloudwatch:GetMetricStatistics",
"cloudformation:ListStacks"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "GFCservicePolicy"
},
{
"Condition": {
"StringLike": {
"ec2:ResourceTag/GFCInstance": "*"
}
},
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Effect": "Allow"
},
{
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:DescribeTags",
"tag:getResources",
"tag:getTagKeys",
"tag:getTagValues",
"tag:TagResources",
"tag:UntagResources"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "tagServicePolicy"
}
]
}
GovCloud(미국) 지역
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListInstanceProfiles",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"ec2:ModifyVolumeAttribute",
"sts:DecodeAuthorizationMessage",
"ec2:DescribeImages",
"ec2:DescribeRouteTables",
"ec2:DescribeInstances",
"iam:PassRole",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:StopInstances",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"s3:GetObject",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:CreateBucket",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"kms:List*",
"kms:ReEncrypt*",
"kms:Describe*",
"kms:CreateGrant",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws-us-gov:s3:::fabric-pool*"
]
},
{
"Sid": "backupPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
"s3:GetObject",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws-us-gov:s3:::netapp-backup-*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-us-gov:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-us-gov:ec2:*:*:volume/*"
]
}
]
}
비밀 영역
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"iam:PassRole",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"kms:List*",
"kms:Describe*",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup",
"iam:ListinstanceProfiles"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws-iso-b:s3:::fabric-pool*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-iso-b:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-iso-b:ec2:*:*:volume/*"
]
}
]
}
주요 비밀 지역
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:ModifyInstanceAttribute",
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:DeleteVolume",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
"ec2:GetConsoleOutput",
"ec2:DescribeKeyPairs",
"ec2:DescribeRegions",
"ec2:DeleteTags",
"ec2:DescribeTags",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
"iam:PassRole",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"kms:List*",
"kms:Describe*",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DisassociateIamInstanceProfile",
"ec2:DescribeInstanceAttribute",
"ec2:CreatePlacementGroup",
"ec2:DeletePlacementGroup",
"iam:ListinstanceProfiles"
],
"Resource": "*"
},
{
"Sid": "fabricPoolPolicy",
"Effect": "Allow",
"Action": [
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws-iso:s3:::fabric-pool*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/WorkingEnvironment": "*"
}
},
"Resource": [
"arn:aws-iso:ec2:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [
"arn:aws-iso:ec2:*:*:volume/*"
]
}
]
}
AWS 사용 권한
다음 섹션에서는 각 BlueXP 서비스에 대한 사용 권한이 어떻게 사용되는지 설명합니다. 이 정보는 기업 정책에 따라 사용 권한이 필요한 경우에만 제공된다는 내용이 지정되어 있는 경우에 유용합니다.
ONTAP용 Amazon FSx
Connector는 ONTAP용 Amazon FSx를 관리하기 위해 다음과 같은 API 요청을 수행합니다.
-
EC2: DescribeInstances(지시 인스턴스)
-
EC2: DescribeInstanceStatus
-
EC2: DescribeInstanceAttribute
-
EC2: 설명표
-
EC2: DescribeImages(설명 영상)
-
EC2: CreateTags(태그 생성)
-
EC2: 설명 볼륨을 참조하십시오
-
EC2: DescribeSecurityGroups
-
EC2: DescribeNetworkInterfaces를 참조하십시오
-
EC2: DescribeSubnet
-
EC2: 설명
-
EC2: DescribeDhcpOptions
-
EC2: 설명
-
EC2: 설명
-
EC2: 설명
-
EC2: DescribeTags(설명 태그)
-
EC2: DescribeIamInstanceProfileAssociations
-
EC2: DescribeReservedInstancesOffbised
-
EC2: DescribeVpcEndpoints
-
EC2: 설명
-
EC2: 볼륨 수정 설명
-
EC2: DescribePlacementGroups
-
KMS: 목록 *
-
KMS: 설명 *
-
KMS: CreateGrant
-
KMS: ListAliases
-
FSX: 설명 *
-
FSX:목록 *
Amazon S3 버킷 검색
Connector는 Amazon S3 버킷을 검색하기 위해 다음과 같은 API 요청을 수행합니다.
S3:GetEncryptionConfiguration
백업 및 복구
Connector는 Amazon S3에서 백업을 관리하기 위해 다음과 같은 API 요청을 수행합니다.
-
S3:GetBucketLocation
-
S3:ListAllMyBucket
-
S3:목록 버킷
-
S3:생성 버킷
-
S3:GetLifecycleConfiguration
-
S3: PutLifecycleConfiguration
-
S3: PutBucketTagging
-
S3:목록 BuckketVersions
-
S3:GetBuckketAcl
-
S3: PutBucketPublicAccessBlock
-
KMS: 목록 *
-
KMS: 설명 *
-
S3:GetObject
-
EC2: DescribeVpcEndpoints
-
KMS: ListAliases
-
S3:PutEncryptionConfiguration
Connector는 검색 및 복원 방법을 사용하여 볼륨 및 파일을 복원할 때 다음과 같은 API 요청을 수행합니다.
-
S3:생성 버킷
-
S3:DeleteObject 를 선택합니다
-
S3:DeleteObjectVersion
-
S3:GetBuckketAcl
-
S3:목록 버킷
-
S3:목록 BuckketVersions
-
S3:ListBuckketMultipartUploads
-
S3:PutObject
-
S3: PutBucketAcl
-
S3: PutLifecycleConfiguration
-
S3: PutBucketPublicAccessBlock
-
S3:중단멀티업로드입니다
-
S3:ListMultipartUploadParts(S3:ListMultimpartUploadParts) 를
-
Athena: StartQueryExecution
-
Athena:GetQueryResults
-
Athena:GetQueryExecution을 참조하십시오
-
Athena: StopQueryExecution
-
글루:CreateDatabase
-
글루:CreateTable
-
GLUE:BatchDeletePartition
Connector는 볼륨 백업에 DataLock 및 랜섬웨어 보호를 사용할 때 다음과 같은 API 요청을 수행합니다.
-
S3:GetObjectVersionTagging
-
S3:GetBuckketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3:PutObjectTagging
-
S3:DeleteObject 를 선택합니다
-
S3:삭제 ObjectTagging
-
S3:GetObjectRetention
-
S3:DeleteObjectVersionTagging
-
S3:PutObject
-
S3:GetObject
-
S3:PutBucketObjectLockConfiguration
-
S3:GetLifecycleConfiguration
-
S3:ListBucketByTags
-
S3:GetBucketTagging
-
S3:DeleteObjectVersion
-
S3:목록 BuckketVersions
-
S3:목록 버킷
-
S3: PutBucketTagging
-
S3:GetObjectTagging
-
S3: PutBucketVersioning
-
S3:PutObjectVersionTagging
-
S3:GetBucketVersioning
-
S3:GetBuckketAcl
-
S3:BypassGovernanceRetention
-
S3:PutObjectRetention
-
S3:GetBucketLocation
-
S3:GetObjectVersion
소스 볼륨에 사용 중인 것과 다른 Cloud Volumes ONTAP 백업 계정을 사용하는 경우 Connector에서 다음 API 요청을 수행합니다.
-
S3: PutBucketPolicy
-
S3: PutBucketOwnershipControls
분류
Connector는 다음과 같은 API 요청을 수행하여 BlueXP 분류 인스턴스를 배포합니다.
-
EC2: DescribeInstances(지시 인스턴스)
-
EC2: DescribeInstanceStatus
-
EC2: 런인스턴스
-
EC2: 터미네이스
-
EC2: CreateTags(태그 생성)
-
EC2: CreateVolume
-
EC2: AttachVolume
-
EC2:CreateSecurityGroup입니다
-
EC2: DeleteSecurityGroup
-
EC2: DescribeSecurityGroups
-
EC2: CreateNetworkInterface입니다
-
EC2: DescribeNetworkInterfaces를 참조하십시오
-
EC2: DeleteNetworkInterface
-
EC2: DescribeSubnet
-
EC2: 설명
-
EC2: 스냅샷을 만듭니다
-
EC2: 설명
-
CloudFormation:CreateStack
-
CloudFormation:DeleteStack
-
CloudFormation: DescribeStacks
-
CloudFormation: DescribeStackEvents
-
IAM:AddRoleToInstanceProfile 을 참조하십시오
-
EC2: AssociateIamInstanceProfile 을 참조하십시오
-
EC2: DescribeIamInstanceProfileAssociations
Connector는 BlueXP 분류를 사용할 때 S3 버킷을 스캔하기 위해 다음과 같은 API 요청을 수행합니다.
-
IAM:AddRoleToInstanceProfile 을 참조하십시오
-
EC2: AssociateIamInstanceProfile 을 참조하십시오
-
EC2: DescribeIamInstanceProfileAssociations
-
S3:GetBucketTagging
-
S3:GetBucketLocation
-
S3:ListAllMyBucket
-
S3:목록 버킷
-
S3:GetBuckketPolicyStatus를 참조하십시오
-
S3:GetBuckketPolicy를 참조하십시오
-
S3:GetBuckketAcl
-
S3:GetObject
-
IAM:GetRole
-
S3:DeleteObject 를 선택합니다
-
S3:DeleteObjectVersion
-
S3:PutObject
-
STS:AssumeRole
Cloud Volumes ONTAP
Connector는 AWS에서 Cloud Volumes ONTAP를 구축 및 관리하기 위해 다음과 같은 API 요청을 수행합니다.
목적 | 조치 | 배포에 사용되었습니까? | 일상적 운영에 사용됩니까? | 삭제에 사용되었습니까? |
---|---|---|---|---|
Cloud Volumes ONTAP 인스턴스에 대한 IAM 역할 및 인스턴스 프로필을 생성하고 관리합니다 |
IAM: ListInstanceProfiles(인스턴스 프로필) |
예 |
예 |
아니요 |
IAM: CreateRole |
예 |
아니요 |
아니요 |
|
IAM: DeleteRole |
아니요 |
예 |
예 |
|
IAM: PutRolePolicy(입수 정책) |
예 |
아니요 |
아니요 |
|
IAM:CreateInstanceProfile |
예 |
아니요 |
아니요 |
|
IAM: DeleteRolePolicy(삭제 RolePolicy |
아니요 |
예 |
예 |
|
IAM:AddRoleToInstanceProfile 을 참조하십시오 |
예 |
아니요 |
아니요 |
|
IAM:RemoveRoleFromInstanceProfile 을 참조하십시오 |
아니요 |
예 |
예 |
|
IAM: DeleteInstanceProfile |
아니요 |
예 |
예 |
|
IAM: 암호 역할 |
예 |
아니요 |
아니요 |
|
EC2: AssociateIamInstanceProfile 을 참조하십시오 |
예 |
예 |
아니요 |
|
EC2: DescribeIamInstanceProfileAssociations |
예 |
예 |
아니요 |
|
EC2: DiscassociateIamInstanceProfile 을 참조하십시오 |
아니요 |
예 |
아니요 |
|
인증 상태 메시지를 디코딩합니다 |
STS:DecodeAuthorizationMessage 를 참조하십시오 |
예 |
예 |
아니요 |
계정에 사용할 수 있는 지정된 영상(AMI)을 설명합니다 |
EC2: DescribeImages(설명 영상) |
예 |
예 |
아니요 |
VPC의 라우트 테이블 설명(HA 쌍에만 필요) |
EC2: 설명표 |
예 |
아니요 |
아니요 |
인스턴스를 중지, 시작 및 모니터링합니다 |
EC2: StartInstances(시작 인스턴스) |
예 |
예 |
아니요 |
EC2: StopInstances(중지 인스턴스) |
예 |
예 |
아니요 |
|
EC2: DescribeInstances(지시 인스턴스) |
예 |
예 |
아니요 |
|
EC2: DescribeInstanceStatus |
예 |
예 |
아니요 |
|
EC2: 런인스턴스 |
예 |
아니요 |
아니요 |
|
EC2: 터미네이스 |
아니요 |
아니요 |
예 |
|
EC2: ModifyInstanceAttribute |
아니요 |
예 |
아니요 |
|
지원되는 인스턴스 유형에 대해 향상된 네트워킹이 활성화되어 있는지 확인합니다 |
EC2: DescribeInstanceAttribute |
아니요 |
예 |
아니요 |
유지 관리 및 비용 할당에 사용되는 "WorkingEnvironment" 및 "WorkingEnvironmentId" 태그로 리소스에 태그를 지정합니다 |
EC2: CreateTags(태그 생성) |
예 |
예 |
아니요 |
Cloud Volumes ONTAP가 백엔드 스토리지로 사용하는 EBS 볼륨을 관리합니다 |
EC2: CreateVolume |
예 |
예 |
아니요 |
EC2: 설명 볼륨을 참조하십시오 |
예 |
예 |
예 |
|
EC2: ModifyVolumeAttribute |
아니요 |
예 |
예 |
|
EC2: AttachVolume |
예 |
예 |
아니요 |
|
EC2: DeleteVolume(삭제 볼륨) |
아니요 |
예 |
예 |
|
EC2: DetachVolume(분리 볼륨) |
아니요 |
예 |
예 |
|
Cloud Volumes ONTAP에 대한 보안 그룹을 만들고 관리합니다 |
EC2:CreateSecurityGroup입니다 |
예 |
아니요 |
아니요 |
EC2: DeleteSecurityGroup |
아니요 |
예 |
예 |
|
EC2: DescribeSecurityGroups |
예 |
예 |
예 |
|
EC2: RevokeSecurityGroupEgress |
예 |
아니요 |
아니요 |
|
EC2: AuthorizeSecurityGroupEgress 를 참조하십시오 |
예 |
아니요 |
아니요 |
|
EC2: AuthorizeSecurityGroupIngress 를 참조하십시오 |
예 |
아니요 |
아니요 |
|
EC2: RevokeSecurityGroupIngress 를 참조하십시오 |
예 |
예 |
아니요 |
|
대상 서브넷에서 Cloud Volumes ONTAP에 대한 네트워크 인터페이스를 생성하고 관리합니다 |
EC2: CreateNetworkInterface입니다 |
예 |
아니요 |
아니요 |
EC2: DescribeNetworkInterfaces를 참조하십시오 |
예 |
예 |
아니요 |
|
EC2: DeleteNetworkInterface |
아니요 |
예 |
예 |
|
EC2: ModifyNetworkInterfaceAttribute 입니다 |
아니요 |
예 |
아니요 |
|
대상 서브넷 및 보안 그룹 목록을 가져옵니다 |
EC2: DescribeSubnet |
예 |
예 |
아니요 |
EC2: 설명 |
예 |
예 |
아니요 |
|
Cloud Volumes ONTAP 인스턴스의 DNS 서버와 기본 도메인 이름을 가져옵니다 |
EC2: DescribeDhcpOptions |
예 |
아니요 |
아니요 |
Cloud Volumes ONTAP용 EBS 볼륨의 스냅샷을 생성합니다 |
EC2: 스냅샷을 만듭니다 |
예 |
예 |
아니요 |
EC2: DeleteSnapshot |
아니요 |
예 |
예 |
|
EC2: 설명 |
아니요 |
예 |
아니요 |
|
AutoSupport 메시지에 첨부된 Cloud Volumes ONTAP 콘솔을 캡처합니다 |
EC2:GetConsoleOutput 을 참조하십시오 |
예 |
예 |
아니요 |
사용 가능한 키 쌍 목록을 가져옵니다 |
EC2: 설명 |
예 |
아니요 |
아니요 |
사용 가능한 AWS 지역 목록을 확인하십시오 |
EC2: 설명 |
예 |
예 |
아니요 |
Cloud Volumes ONTAP 인스턴스와 연결된 리소스의 태그를 관리합니다 |
EC2: 삭제 태그 |
아니요 |
예 |
예 |
EC2: DescribeTags(설명 태그) |
아니요 |
예 |
아니요 |
|
AWS CloudFormation 템플릿을 위한 스택을 만들고 관리합니다 |
CloudFormation:CreateStack |
예 |
아니요 |
아니요 |
CloudFormation:DeleteStack |
예 |
아니요 |
아니요 |
|
CloudFormation: DescribeStacks |
예 |
예 |
아니요 |
|
CloudFormation: DescribeStackEvents |
예 |
아니요 |
아니요 |
|
CloudFormation:ValidateTemplate 을 참조하십시오 |
예 |
아니요 |
아니요 |
|
Cloud Volumes ONTAP 시스템이 데이터 계층화를 위한 용량 계층으로 사용하는 S3 버킷을 생성 및 관리합니다 |
S3:생성 버킷 |
예 |
예 |
아니요 |
S3:삭제 버킷 |
아니요 |
예 |
예 |
|
S3:GetLifecycleConfiguration |
아니요 |
예 |
아니요 |
|
S3: PutLifecycleConfiguration |
아니요 |
예 |
아니요 |
|
S3: PutBucketTagging |
아니요 |
예 |
아니요 |
|
S3:목록 BuckketVersions |
아니요 |
예 |
아니요 |
|
S3:GetBuckketPolicyStatus를 참조하십시오 |
아니요 |
예 |
아니요 |
|
S3:GetBuckketPublicAccessBlock |
아니요 |
예 |
아니요 |
|
S3:GetBuckketAcl |
아니요 |
예 |
아니요 |
|
S3:GetBuckketPolicy를 참조하십시오 |
아니요 |
예 |
아니요 |
|
S3: PutBucketPublicAccessBlock |
아니요 |
예 |
아니요 |
|
S3:GetBucketTagging |
아니요 |
예 |
아니요 |
|
S3:GetBucketLocation |
아니요 |
예 |
아니요 |
|
S3:ListAllMyBucket |
아니요 |
아니요 |
아니요 |
|
S3:목록 버킷 |
아니요 |
예 |
아니요 |
|
AWS KMS(키 관리 서비스)를 사용하여 Cloud Volumes ONTAP의 데이터 암호화 지원 |
KMS: 목록 * |
예 |
예 |
아니요 |
KMS: 재암호화 * |
예 |
아니요 |
아니요 |
|
KMS: 설명 * |
예 |
예 |
아니요 |
|
KMS: CreateGrant |
예 |
예 |
아니요 |
|
KMS: GenerateDataKeyWithoutPlaintext |
예 |
예 |
아니요 |
|
단일 AWS Availability Zone에서 2개의 HA 노드를 위한 AWS 분산 배치 그룹과 중재자를 생성하고 관리합니다 |
EC2: CreatePlacementGroup(배치 그룹 생성) |
예 |
아니요 |
아니요 |
EC2: DeletePlacementGroup |
아니요 |
예 |
예 |
|
보고서 작성 |
FSX: 설명 * |
아니요 |
예 |
아니요 |
FSX:목록 * |
아니요 |
예 |
아니요 |
|
Amazon EBS Elastic Volumes 기능을 지원하는 애그리게이트를 생성 및 관리합니다 |
EC2: 볼륨 수정 설명 |
아니요 |
예 |
아니요 |
EC2: ModifyVolume(수정 볼륨) |
아니요 |
예 |
아니요 |
에지 캐싱
Connector는 배포 중에 다음과 같은 API 요청을 수행하여 BlueXP 에지 캐싱 인스턴스를 배포합니다.
-
CloudFormation: DescribeStacks
-
CloudWatch: GetMetricStatistics
-
CloudFormation: ListStacks
쿠버네티스
Connector는 다음과 같은 API 요청을 수행하여 Amazon EKS 클러스터를 검색하고 관리합니다.
-
EC2: 설명
-
EKS: ListClusters
-
EKS: DescribeCluster
-
IAM:GetInstanceProfile 을 참조하십시오
해결
Connector는 BlueXP 치료 시 AWS 리소스의 태그를 관리하기 위해 다음과 같은 API 요청을 수행합니다.
-
EC2: CreateTags(태그 생성)
-
EC2: 삭제 태그
-
EC2: DescribeTags(설명 태그)
-
태그: getResources
-
태그: getTagKeys
-
태그: getTagValues
-
태그: 태그 리소스
-
태그: UntagResources
변경 로그
권한이 추가되고 제거됨에 따라 아래 섹션에 해당 권한이 표시됩니다.
2024년 3월 8일
이제 커넥터 정책에 다음 권한이 포함됩니다.
EC2:가용성 영역 설명
이 권한은 다음 릴리스에 필요합니다. 해당 릴리스가 출시되면 릴리스 노트를 더 자세히 업데이트하겠습니다.
2023년 6월 6일
이제 Cloud Volumes ONTAP에 대해 다음 권한이 필요합니다.
KMS: GenerateDataKeyWithoutPlaintext
2023년 2월 14일
이제 BlueXP 계층화에 대해 다음 권한이 필요합니다.
EC2: DescribeVpcEndpoints