Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

BlueXP  워크로드 팩트에 대한 권한

기여자

BlueXP  작업 부하 공장 기능 및 서비스를 사용하려면 작업 부하 공장에서 클라우드 환경에서 작업을 수행할 수 있도록 권한을 제공해야 합니다.

사용 권한을 사용하는 이유

읽기 또는 자동화 모드 권한을 제공하면 워크로드 공장에서 해당 AWS 계정 내의 리소스와 프로세스를 관리할 수 있는 권한이 있는 정책을 인스턴스에 연결합니다. 이를 통해 워크로드 팩토리는 스토리지 환경 검색부터 GenAI 워크로드에 대한 스토리지 관리 또는 기술 자료의 파일 시스템 같은 AWS 리소스 구축까지 다양한 작업을 실행할 수 있습니다.

예를 들어, 데이터베이스 워크로드의 경우 필요한 권한이 워크로드 팩토리에 부여된 경우 지정된 계정 및 지역의 모든 EC2 인스턴스를 스캔하고 모든 Windows 기반 시스템을 필터링합니다. AWS Systems Manager(SSM) 에이전트가 호스트에 설치되어 실행되고 System Manager 네트워킹이 올바르게 구성된 경우, 워크로드 팩토리에서는 Windows 시스템에 액세스하여 SQL Server 소프트웨어의 설치 여부를 확인할 수 있습니다.

워크로드별 권한

각 워크로드는 작업 부하 공장에서 특정 작업을 수행하기 위해 권한을 사용합니다. 사용 중인 작업 부하로 스크롤하여 사용 권한 목록, 용도, 사용 위치 및 사용 권한 지원 모드를 확인합니다.

저장소 사용 권한

스토리지에 사용할 수 있는 IAM 정책은 작업 중인 운영 모드에 따라 퍼블릭 클라우드 환경 내에서 리소스 및 프로세스를 관리하는 데 필요한 권한을 워크로드 공장이 제공합니다.

필요한 IAM 정책을 보려면 운영 모드를 선택하십시오.

스토리지에 대한 IAM 정책
읽기 모드
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:Describe*",
        "fsx:ListTagsForResource",
        "ec2:Describe*",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    }
  ]
}
자동 모드
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:*",
        "ec2:Describe*",
        "ec2:CreateTags",
        "ec2:CreateSecurityGroup",
        "iam:CreateServiceLinkedRole",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "kms:CreateGrant",
        "cloudwatch:PutMetricData",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/AppCreator": "NetappFSxWF"
        }
      }
    }
  ]
}

다음 표에는 스토리지에 대한 사용 권한이 나와 있습니다.

스토리지에 대한 사용 권한 표
목적 조치 사용된 위치 모드를 선택합니다

FSx for ONTAP 파일 시스템을 생성합니다

FSx:CreateFileSystem*

구축

자동화

FSx for ONTAP 파일 시스템에 대한 보안 그룹을 생성합니다

EC2:CreateSecurityGroup입니다

구축

자동화

FSx for ONTAP 파일 시스템의 보안 그룹에 태그를 추가합니다

EC2: CreateTags(태그 생성)

구축

자동화

FSx for ONTAP 파일 시스템에 대한 보안 그룹 송신 및 수신 권한을 부여합니다

EC2: AuthorizeSecurityGroupEgress 를 참조하십시오

구축

자동화

EC2: AuthorizeSecurityGroupIngress 를 참조하십시오

구축

자동화

허가된 역할은 FSx for ONTAP과 다른 AWS 서비스 간에 통신을 제공합니다

IAM: CreateServiceLinkedRole

구축

자동화

FSx for ONTAP 파일 시스템 배포 양식을 작성하는 방법에 대해 자세히 알아보십시오

EC2: 설명

  • 구축

  • 비용 절감 효과를

  • 읽기

  • 자동화

EC2: DescribeSubnet

  • 구축

  • 비용 절감 효과를

  • 읽기

  • 자동화

EC2: 설명

  • 구축

  • 비용 절감 효과를

  • 읽기

  • 자동화

EC2: DescribeSecurityGroups

  • 구축

  • 비용 절감 효과를

  • 읽기

  • 자동화

EC2: 설명표

  • 구축

  • 비용 절감 효과를

  • 읽기

  • 자동화

EC2: DescribeNetworkInterfaces를 참조하십시오

  • 구축

  • 비용 절감 효과를

  • 읽기

  • 자동화

EC2: VolumeStatus를 설명합니다

  • 구축

  • 비용 절감 효과를

  • 읽기

  • 자동화

KMS 키 세부 정보를 얻고 FSx for ONTAP 암호화를 사용합니다

KMS: CreateGrant

구축

자동화

KMS: 설명 *

구축

  • 읽기

  • 자동화

KMS: 목록 *

구축

  • 읽기

  • 자동화

EC2 인스턴스의 볼륨 세부 정보를 가져옵니다

EC2: 설명 볼륨을 참조하십시오

  • 인벤토리

  • 비용 절감 효과를

  • 읽기

  • 자동화

EC2 인스턴스에 대한 세부 정보를 가져옵니다

EC2: DescribeInstances(지시 인스턴스)

비용 절감 효과를

  • 읽기

  • 자동화

비용 절감 계산기에 Elastic File System에 대해 설명하십시오

Elasticfilesystem: 설명*

비용 절감 효과를

읽기

FSx for ONTAP 리소스의 태그를 나열합니다

FSX:ListTagsForResource.를 참조하십시오

인벤토리

  • 읽기

  • 자동화

FSx for ONTAP 파일 시스템에 대한 보안 그룹 송신 및 수신을 관리합니다

EC2: RevokeSecurityGroupIngress 를 참조하십시오

관리 운영

자동화

EC2: DeleteSecurityGroup

관리 운영

자동화

FSx for ONTAP 파일 시스템 리소스를 생성, 확인, 관리합니다

FSx:CreateVolume *

관리 운영

자동화

FSX:TagResource *

관리 운영

자동화

FSx:CreateStorageVirtualMachine *

관리 운영

자동화

FSX:DeleteFileSystem * 을 참조하십시오

관리 운영

자동화

FSx:DeleteStorageVirtualMachine *

관리 운영

자동화

FSx:파일 시스템 설명 *

인벤토리

  • 읽기

  • 자동화

FSX:DescripbeStorageVirtualMachines *

인벤토리

  • 읽기

  • 자동화

FSX:UpdateFileSystem*

관리 운영

자동화

FSX:UpdateStorageVirtualMachine*

관리 운영

자동화

FSx:볼륨 설명 *

인벤토리

  • 읽기

  • 자동화

FSX:UpdateVolume *

관리 운영

자동화

FSx:DeleteVolume * 을 참조하십시오

관리 운영

자동화

FSX:UntagResource *

관리 운영

자동화

FSX:백업 설명 *

관리 운영

  • 읽기

  • 자동화

FSx:CreateBackup *

관리 운영

자동화

FSX:CreateVolumeFromBackup*

관리 운영

자동화

CloudWatch 메트릭 보고

CloudWatch: PutMetricData를 참조하십시오

관리 운영

자동화

파일 시스템 및 볼륨 메트릭을 가져옵니다

CloudWatch: GetMetricData

관리 운영

  • 읽기

  • 자동화

CloudWatch: GetMetricStatistics

관리 운영

  • 읽기

  • 자동화

데이터베이스 작업 부하에 대한 권한

데이터베이스 워크로드에 사용할 수 있는 IAM 정책은 작업 중인 운영 모드에 따라 공용 클라우드 환경 내에서 리소스 및 프로세스를 관리하는 데 필요한 권한을 워크로드 공장이 제공합니다.

필요한 IAM 정책을 보려면 운영 모드를 선택하십시오.

데이터베이스 워크로드에 대한 IAM 정책
읽기 모드
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CommonGroup",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "sns:ListTopics",
        "ec2:DescribeInstances",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeImages",
        "ec2:DescribeRegions",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes",
        "ec2:DescribeAddresses",
        "kms:ListAliases",
        "kms:ListKeys",
        "kms:DescribeKey",
        "cloudformation:ListStacks",
        "cloudformation:DescribeAccountLimits",
        "ds:DescribeDirectories",
        "fsx:DescribeVolumes",
        "fsx:DescribeBackups",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:DescribeFileSystems",
        "servicequotas:ListServiceQuotas",
        "ssm:GetParametersByPath",
        "ssm:GetCommandInvocation",
        "ssm:SendCommand",
        "ssm:DescribePatchBaselines",
        "ssm:DescribeInstancePatchStates",
        "ssm:ListCommands",
        "fsx:ListTagsForResource"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:GetParameters",
        "ssm:PutParameter",
        "ssm:DeleteParameters"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
    }
  ]
}
자동 모드
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EC2Group",
      "Effect": "Allow",
      "Action": [
        "ec2:AllocateAddress",
        "ec2:AllocateHosts",
        "ec2:AssignPrivateIpAddresses",
        "ec2:AssociateAddress",
        "ec2:AssociateRouteTable",
        "ec2:AssociateSubnetCidrBlock",
        "ec2:AssociateVpcCidrBlock",
        "ec2:AttachInternetGateway",
        "ec2:AttachNetworkInterface",
        "ec2:AttachVolume",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateVolume",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteSecurityGroup",
        "ec2:DeleteTags",
        "ec2:DeleteVolume",
        "ec2:DetachNetworkInterface",
        "ec2:DetachVolume",
        "ec2:DisassociateAddress",
        "ec2:DisassociateIamInstanceProfile",
        "ec2:DisassociateRouteTable",
        "ec2:DisassociateSubnetCidrBlock",
        "ec2:DisassociateVpcCidrBlock",
        "ec2:ModifyInstanceAttribute",
        "ec2:ModifyInstancePlacement",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:ModifySubnetAttribute",
        "ec2:ModifyVolume",
        "ec2:ModifyVolumeAttribute",
        "ec2:ReleaseAddress",
        "ec2:ReplaceRoute",
        "ec2:ReplaceRouteTableAssociation",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
        }
      }
    },
    {
      "Sid": "FSxNGroup",
      "Effect": "Allow",
      "Action": [
        "fsx:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
        }
      }
    },
    {
      "Sid": "CommonGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeStacks",
        "cloudformation:ListStacks",
        "cloudformation:ValidateTemplate",
        "cloudformation:DescribeAccountLimits",
        "cloudwatch:GetMetricStatistics",
        "ds:DescribeDirectories",
        "ec2:CreateLaunchTemplate",
        "ec2:CreateLaunchTemplateVersion",
        "ec2:CreateNetworkInterface",
        "ec2:CreateSecurityGroup",
        "ec2:CreateTags",
        "ec2:CreateVpcEndpoint",
        "ec2:Describe*",
        "ec2:Get*",
        "ec2:RunInstances",
        "ec2:ModifyVpcAttribute",
        "ec2messages:*",
        "fsx:CreateFileSystem",
        "fsx:UpdateFileSystem",
        "fsx:CreateStorageVirtualMachine",
        "fsx:CreateVolume",
        "fsx:UpdateVolume",
        "fsx:Describe*",
        "fsx:List*",
        "kms:CreateGrant",
        "kms:Describe*",
        "kms:List*",
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DescribeLog*",
        "logs:GetLog*",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:TagResource",
        "servicequotas:ListServiceQuotas",
        "sns:ListTopics",
        "sns:Publish",
        "ssm:Describe*",
        "ssm:Get*",
        "ssm:List*",
        "ssm:PutComplianceItems",
        "ssm:PutConfigurePackageResult",
        "ssm:PutInventory",
        "ssm:SendCommand",
        "ssm:UpdateAssociationStatus",
        "ssm:UpdateInstanceAssociationStatus",
        "ssm:UpdateInstanceInformation",
        "ssmmessages:*",
        "compute-optimizer:GetEnrollmentStatus",
        "compute-optimizer:PutRecommendationPreferences",
        "compute-optimizer:GetEffectiveRecommendationPreferences",
        "compute-optimizer:GetEC2InstanceRecommendations",
        "autoscaling:DescribeAutoScalingGroups",
        "autoscaling:DescribeAutoScalingInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "ArnGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:SignalResource"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/WLMDB*",
        "arn:aws:logs:*:*:log-group:WLMDB*"
      ]
    },
    {
      "Sid": "IAMGroup",
      "Effect": "Allow",
      "Action": [
        "iam:AddRoleToInstanceProfile",
        "iam:CreateInstanceProfile",
        "iam:CreateRole",
        "iam:DeleteInstanceProfile",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:GetRole",
        "iam:GetRolePolicy",
        "iam:GetUser",
        "iam:PutRolePolicy",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup1",
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "IAMGroup2",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:GetParameters",
        "ssm:PutParameter",
        "ssm:DeleteParameters"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
    }
  ]
}

다음 표에는 데이터베이스 워크로드에 대한 사용 권한이 나와 있습니다.

데이터베이스 워크로드에 대한 사용 권한 테이블
목적 조치 사용된 위치 모드를 선택합니다

FSx for ONTAP, EBS 및 FSx for Windows 파일 서버에 대한 메트릭 통계를 확인합니다

CloudWatch: GetMetricStatistics

  • 인벤토리

  • 비용 절감 효과를

  • 읽기

  • 자동화

이벤트의 트리거를 나열하고 설정합니다

SNS: ListTopics 를 참조하십시오

구축

  • 읽기

  • 자동화

EC2 인스턴스에 대한 세부 정보를 가져옵니다

EC2: DescribeInstances(지시 인스턴스)

  • 인벤토리

  • 비용 절감 효과를

  • 읽기

  • 자동화

EC2: 설명

구축

  • 읽기

  • 자동화

EC2: DescribeNetworkInterfaces를 참조하십시오

구축

  • 읽기

  • 자동화

EC2:DescripbeInstanceTypes를 참조하십시오

  • 구축

  • 비용 절감 효과를

  • 읽기

  • 자동화

FSx for ONTAP 배포 양식을 작성하는 방법에 대해 자세히 알아보십시오

EC2: 설명

  • 구축

  • 인벤토리

  • 읽기

  • 자동화

EC2: DescribeSubnet

  • 구축

  • 인벤토리

  • 읽기

  • 자동화

EC2: DescribeSecurityGroups

구축

  • 읽기

  • 자동화

EC2: DescribeImages(설명 영상)

구축

  • 읽기

  • 자동화

EC2: 설명

구축

  • 읽기

  • 자동화

EC2: 설명표

  • 구축

  • 인벤토리

  • 읽기

  • 자동화

기존 VPC 엔드포인트를 가져와 구축 전에 새 엔드포인트를 생성해야 하는지 여부를 결정합니다

EC2: DescribeVpcEndpoints

  • 구축

  • 인벤토리

  • 읽기

  • 자동화

EC2 인스턴스의 공용 네트워크 연결과 상관없이 필요한 서비스에 VPC 엔드포인트가 없으면 생성합니다

EC2: CreateVpcEndpoint입니다

구축

자동화

유효성 검사 노드(t2.micro/t3.micro)에 대해 지역에서 사용할 수 있는 인스턴스 유형 가져오기

EC2: InstanceTypeOfferings를 설명합니다

구축

  • 읽기

  • 자동화

가격 책정 및 절감 효과를 위해 연결된 각 EBS 볼륨의 스냅샷 세부 정보를 확인합니다

EC2: 설명

비용 절감 효과를

  • 읽기

  • 자동화

가격 책정 및 절감 예상 비용을 위해 연결된 각 EBS 볼륨의 세부 정보를 봅니다

EC2: 설명 볼륨을 참조하십시오

  • 인벤토리

  • 비용 절감 효과를

  • 읽기

  • 자동화

FSx for ONTAP 파일 시스템 암호화에 대한 KMS 키 세부 정보를 확인하십시오

KMS: ListAliases

구축

  • 읽기

  • 자동화

KMS: ListKeys

구축

  • 읽기

  • 자동화

KMS: 설명키

구축

  • 읽기

  • 자동화

환경에서 실행 중인 CloudFormation 스택 목록을 확인하여 할당량 제한을 확인합니다

CloudFormation: ListStacks

구축

  • 읽기

  • 자동화

배포를 트리거하기 전에 리소스에 대한 계정 제한을 확인하십시오

CloudFormation: DescripbeAccountLimits 를 참조하십시오

구축

  • 읽기

  • 자동화

해당 지역에서 AWS에서 관리하는 Active Directory 목록을 가져옵니다

DS:설명 디렉토리

구축

  • 읽기

  • 자동화

볼륨, 백업, SVM, AZ의 파일 시스템, FSx for ONTAP 파일 시스템용 태그의 목록과 세부 정보를 확인할 수 있습니다

FSx:볼륨 설명

  • 인벤토리

  • 비용 절감 살펴보기

  • 읽기

  • 자동화

FSX:백업 설명

  • 인벤토리

  • 비용 절감 살펴보기

  • 읽기

  • 자동화

FSX:DescripbeStorageVirtualMachines를 참조하십시오

  • 구축

  • 운영 관리

  • 인벤토리

  • 읽기

  • 자동화

FSx:파일 시스템 설명

  • 구축

  • 운영 관리

  • 인벤토리

  • 비용 절감 효과를

  • 읽기

  • 자동화

FSX:ListTagsForResource.를 참조하십시오

운영 관리

  • 읽기

  • 자동화

CloudFormation 및 VPC에 대한 서비스 할당량 제한을 받습니다

servicequotas:ListServiceQuotas 입니다

구축

  • 읽기

  • 자동화

SSM 기반 쿼리를 사용하여 ONTAP용 FSx 지원 지역의 업데이트된 목록을 확인하십시오

SSM:GetParametersByPath 입니다

구축

  • 읽기

  • 자동화

구축 후 작업 관리 명령을 전송한 후 SSM 응답을 폴링합니다

SSM: GetCommandInvocation 을 참조하십시오

  • 운영 관리

  • 인벤토리

  • 비용 절감 효과를

  • 최적화

  • 읽기

  • 자동화

SSM을 통해 EC2 인스턴스로 명령을 전송합니다

SSM: SendCommand 를 참조하십시오

  • 운영 관리

  • 인벤토리

  • 비용 절감 효과를

  • 최적화

  • 읽기

  • 자동화

배포 후 인스턴스의 SSM 연결 상태를 가져옵니다

SSM: GetConnectionStatus 를 참조하십시오

  • 운영 관리

  • 인벤토리

  • 최적화

  • 읽기

  • 자동화

운영 체제 패치 평가에 사용할 수 있는 패치 기준 목록을 가져옵니다

SSM: PatchBaseline 설명

최적화

  • 읽기

  • 자동화

운영 체제 패치 평가를 위해 Windows EC2 인스턴스의 패치 상태를 가져옵니다

SSM: InstancePatchStates 설명

최적화

  • 읽기

  • 자동화

운영 체제 패치 관리를 위해 EC2 인스턴스에서 AWS Patch Manager가 실행한 명령을 나열합니다

SSM: ListCommands 를 참조하십시오

최적화

  • 읽기

  • 자동화

계정이 AWS Compute Optimizer에 등록되었는지 확인합니다

계산 최적화 프로그램: GetEnrollmentStatus

  • 비용 절감 효과를

  • 최적화

자동화

AWS Compute Optimizer에서 기존 권장 사항 기본 설정을 업데이트하여 SQL Server 워크로드에 대한 제안을 조정합니다

컴퓨팅 최적화 프로그램: 권장 사항 권장 사항 기본 설정

  • 비용 절감 효과를

  • 최적화

자동화

AWS Compute Optimizer에서 특정 리소스에 적용되는 권장 사항 기본 설정을 확인합니다

Compute-Optimizer: GetEffective권장 사항 기본 설정

  • 비용 절감 효과를

  • 최적화

자동화

AWS Compute Optimizer가 Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스에 대해 생성하는 권장 사항을 가져옵니다

컴퓨팅 최적화: GetEC2InstanceRecommendations 를 참조하십시오

  • 비용 절감 효과를

  • 최적화

자동화

자동 크기 조정 그룹에 대한 인스턴스 연결을 확인합니다

자동 크기 조정: AutoScalingGroup 설명

  • 비용 절감 효과를

  • 최적화

자동화

자동 크기 조정:자동 크기 조정 설명

  • 비용 절감 효과를

  • 최적화

자동화

배포 또는 AWS 계정에서 관리되는 AD, FSx for ONTAP 및 SQL 사용자 자격 증명에 대한 SSM 매개 변수를 가져오고 나열하고 생성하고 삭제합니다

SSM: GetParameter(GetParameter

  • 구축

  • 운영 관리

  • 읽기

  • 자동화

SSM: GetParameters(GetParameters

운영 관리

  • 읽기

  • 자동화

SSM: PutParameter 1

  • 구축

  • 운영 관리

  • 읽기

  • 자동화

SSM: 매개 변수 삭제

운영 관리

  • 읽기

  • 자동화

네트워크 리소스를 SQL 노드 및 유효성 검사 노드에 연결하고 SQL 노드에 보조 IP를 추가합니다

EC2: AllocateAddress(주소 1)

구축

자동화

EC2: AllocateHosts(호스트 1)

구축

자동화

2:1:1:1(주소 지정)

구축

자동화

EC2: 연관 주소 1

구축

자동화

2:1(2)

구축

자동화

EC2: AssociateSubnetCidrBlock(연결

구축

자동화

2:1:1:1:1:1:1:1:1:1:1:1:1:1:1:1

구축

자동화

(영어): AttachInternetGateway (영어

구축

자동화

(영어) - 어탯치먼트 네트워크 인터페이스 (영어

구축

자동화

구축을 위해 필요한 EBS 볼륨을 SQL 노드에 연결

EC2: AttachVolume

구축

자동화

보안 그룹을 연결하고 프로비저닝된 노드에 대한 규칙을 수정합니다

EC2: AuthorizeSecurityGroupEgress 를 참조하십시오

구축

자동화

EC2: AuthorizeSecurityGroupIngress 를 참조하십시오

구축

자동화

구축을 위해 SQL 노드에 필요한 EBS 볼륨을 생성합니다

EC2: CreateVolume

구축

자동화

t2.micro 유형으로 생성된 임시 유효성 검사 노드를 제거하고 실패한 EC2 SQL 노드의 롤백 또는 재시도를 위해 제거합니다

EC2: DeleteNetworkInterface

구축

자동화

EC2: DeleteSecurityGroup

구축

자동화

EC2: 삭제 태그

구축

자동화

EC2: DeleteVolume(삭제 볼륨)

구축

자동화

EC2: 분리 네트워크 인터페이스

구축

자동화

EC2: DetachVolume(분리 볼륨)

구축

자동화

EC2: 연결 해제 주소

구축

자동화

EC2: DiscassociateIamInstanceProfile 을 참조하십시오

구축

자동화

EC2: 연결 해제 라우팅 테이블

구축

자동화

EC2: 연결 해제 SubnetCidrBlock

구축

자동화

EC2: 연결 해제 VpcCidrBlock

구축

자동화

생성된 SQL 인스턴스의 특성을 수정합니다. WLMDB로 시작하는 이름에만 적용됩니다.

EC2: ModifyInstanceAttribute

구축

자동화

EC2:ModifyInstancePlacement

구축

자동화

EC2: ModifyNetworkInterfaceAttribute 입니다

구축

자동화

EC2: ModifySubnetAttribute 를 사용합니다

구축

자동화

EC2: ModifyVolume(수정 볼륨)

구축

자동화

EC2: ModifyVolumeAttribute

구축

자동화

EC2:ModifyVpcAttribute 를 사용합니다

구축

자동화

유효성 검사 인스턴스의 연결을 끊고 제거합니다

EC2: ReleaseAddress(릴리스 주소)

구축

자동화

EC2: ReplaceRoute

구축

자동화

EC2: ReplaceRouteTableAssociation 을 참조하십시오

구축

자동화

EC2: RevokeSecurityGroupEgress

구축

자동화

EC2: RevokeSecurityGroupIngress 를 참조하십시오

구축

자동화

배포된 인스턴스를 시작합니다

EC2: StartInstances(시작 인스턴스)

구축

자동화

배포된 인스턴스를 중지합니다

EC2: StopInstances(중지 인스턴스)

구축

자동화

WLMDB에서 생성한 Amazon FSx for NetApp ONTAP 리소스에 대한 사용자 지정 값에 태그를 지정하여 리소스 관리 중에 청구 세부 정보를 가져옵니다

자유무역협정(FSX)

  • 구축

  • 운영 관리

자동화

배포할 CloudFormation 템플릿을 만들고 유효성을 검사합니다

CloudFormation:CreateStack

구축

자동화

CloudFormation: DescribeStackEvents

구축

자동화

CloudFormation: DescribeStacks

구축

자동화

CloudFormation: ListStacks

구축

자동화

CloudFormation:ValidateTemplate 을 참조하십시오

구축

자동화

컴퓨팅 최적화 권장 사항을 위한 메트릭 가져오기

CloudWatch: GetMetricStatistics

비용 절감 효과를

자동화

지역에서 사용 가능한 디렉토리를 가져옵니다

DS:설명 디렉토리

구축

자동화

프로비저닝된 EC2 인스턴스에 연결된 보안 그룹에 대한 규칙을 추가합니다

EC2: AuthorizeSecurityGroupEgress 를 참조하십시오

구축

자동화

EC2: AuthorizeSecurityGroupIngress 를 참조하십시오

구축

자동화

재시도 및 롤백을 위해 중첩된 스택 템플릿을 생성합니다

EC2:CreateLaunchTemplate

구축

자동화

EC2: CreateLaunchTemplateVersion

구축

자동화

생성된 인스턴스에서 태그 및 네트워크 보안을 관리합니다

EC2: CreateNetworkInterface입니다

구축

자동화

EC2:CreateSecurityGroup입니다

구축

자동화

EC2: CreateTags(태그 생성)

구축

자동화

유효성 검사 노드를 위해 임시로 만든 보안 그룹을 삭제합니다

EC2: DeleteSecurityGroup

구축

자동화

프로비저닝을 위한 인스턴스 세부 정보를 가져옵니다

EC2:설명 *

  • 구축

  • 인벤토리

  • 비용 절감 효과를

자동화

EC2: GET *

  • 구축

  • 인벤토리

  • 비용 절감 효과를

자동화

생성된 인스턴스를 시작합니다

EC2: 런인스턴스

구축

자동화

System Manager는 API 작업에 AWS 메시지 전달 서비스 엔드포인트를 사용합니다

ec2messages: *

  • 배포 * 인벤토리

자동화

프로비저닝에 필요한 FSx for ONTAP 리소스를 생성합니다. 기존 FSx for ONTAP 시스템의 경우 SQL 볼륨을 호스팅하는 새로운 SVM이 생성됩니다.

FSX:CreateFileSystem 을 참조하십시오

구축

자동화

FSx:CreateStorageVirtualMachine

구축

자동화

FSX:CreateVolume 을 참조하십시오

  • 구축

  • 운영 관리

자동화

FSx for ONTAP 정보를 확인하십시오

FSX: 설명 *

  • 구축

  • 인벤토리

  • 운영 관리

  • 비용 절감 효과를

자동화

FSX:목록 *

  • 구축

  • 인벤토리

자동화

파일 시스템 여유 공간을 해결하기 위해 FSx for ONTAP 파일 시스템의 크기를 조정합니다

FSx:UpdateFilesystem입니다

최적화

자동화

로그 및 TempDB 드라이브 크기를 수정하기 위해 볼륨 크기를 조정합니다

FSX:UpdateVolume을 참조하십시오

최적화

자동화

KMS 키 세부 정보를 얻고 FSx for ONTAP 암호화를 사용합니다

KMS: CreateGrant

구축

자동화

KMS: 설명 *

구축

자동화

KMS: 목록 *

구축

자동화

KMS : GenerateDataKey

구축

자동화

EC2 인스턴스에서 실행되는 검증 및 프로비저닝 스크립트를 위한 CloudWatch 로그를 생성합니다

로그:CreateLogGroup

구축

자동화

로그: CreateLogStream

구축

자동화

로그:DescripbeLog *

구축

자동화

로그: getlog *

구축

자동화

로그:ListLogDeliveries입니다

구축

자동화

로그: PutLogEvents

  • 구축

  • 운영 관리

자동화

로그:TagResource

구축

자동화

SQL, 도메인 및 FSx for ONTAP에 대해 제공된 자격 증명에 대한 암호를 사용자 계정에 생성합니다

servicequotas:ListServiceQuotas 입니다

구축

자동화

고객 SNS 항목을 나열하고 WLMDB 백엔드 SNS 및 고객 SNS에 게시합니다(선택한 경우)

SNS: ListTopics 를 참조하십시오

구축

자동화

SNS: 게시

구축

자동화

프로비저닝된 SQL 인스턴스에서 검색 스크립트를 실행하고 FSx for ONTAP 지원 AWS 지역의 최신 목록을 가져오려면 SSM 권한이 필요합니다.

SSM: 설명 *

구축

자동화

SSM: GET *

  • 구축

  • 운영 관리

자동화

SSM: 목록 *

구축

자동화

SSM: PutComplianceItems 를 참조하십시오

구축

자동화

SSM: PutConfigurePackageResult 를 참조하십시오

구축

자동화

SSM: 재고 입고

구축

자동화

SSM: SendCommand 를 참조하십시오

  • 구축

  • 인벤토리

  • 운영 관리

자동화

SSM: 업데이트 연결 상태

구축

자동화

SSM: UpdateInstanceAssociationStatus 를 참조하십시오

구축

자동화

SSM: UpdateInstanceInformation 을 참조하십시오

구축

자동화

ssmmessages: *

  • 구축

  • 인벤토리

  • 운영 관리

자동화

FSx for ONTAP, Active Directory 및 SQL 사용자에 대한 자격 증명 저장(SQL 사용자 인증에만 해당)

SSM: GetParameter(GetParameter

  • 구축

  • 운영 관리

  • 인벤토리

자동화

SSM: GetParameters(GetParameters

  • 구축

  • 인벤토리

자동화

SSM: PutParameter 1

  • 구축

  • 운영 관리

자동화

SSM: 매개 변수 삭제

  • 구축

  • 운영 관리

자동화

성공 또는 실패에 대한 신호 CloudFormation 스택.

이 부분의 본문은 서명자 입니다

구축

자동화

템플릿으로 생성된 EC2 역할을 EC2의 인스턴스 프로필에 추가하여 EC2의 스크립트가 배포에 필요한 리소스에 액세스할 수 있도록 합니다.

IAM:AddRoleToInstanceProfile 을 참조하십시오

구축

자동화

EC2의 인스턴스 프로필을 생성하고 생성된 EC2 역할을 연결합니다.

IAM:CreateInstanceProfile

구축

자동화

아래에 나열된 권한이 있는 템플릿을 통해 EC2 역할을 생성합니다

IAM: CreateRole

구축

자동화

EC2 서비스에 연결된 역할을 생성합니다

IAM: CreateServiceLinkedRole (영어

구축

자동화

특히 검증 노드에 대해 구축 중에 생성된 인스턴스 프로필을 삭제합니다

IAM: DeleteInstanceProfile

구축

자동화

역할 및 정책 세부 정보를 확인하여 사용 권한의 공백을 확인하고 배포를 검증합니다

IAM: GetPolicy 를 참조하십시오

구축

자동화

IAM: GetPolicyVersion 을 참조하십시오

구축

자동화

IAM:GetRole

구축

자동화

IAM: GetRolePolicy 를 참조하십시오

구축

자동화

IAM: GetUser

구축

자동화

생성된 역할을 EC2 인스턴스로 전달합니다

IAM: 패스역할 3

구축

자동화

생성된 EC2 역할에 필요한 권한이 있는 정책을 추가합니다

IAM: PutRolePolicy(입수 정책)

구축

자동화

프로비저닝된 EC2 인스턴스 프로필에서 역할을 분리합니다

IAM:RemoveRoleFromInstanceProfile 을 참조하십시오

구축

자동화

역할에서 사용 가능한 사용 권한을 확인하고 필요한 사용 권한과 비교합니다

IAM: SimulatePrincipalPolicy(IAM: 시뮬레이션 정책)

구축

  • 읽기

  • 자동화

  1. 권한이 WLMDB로 시작하는 리소스로 제한됩니다.

  2. "IAM:CreateServiceLinkedRole" 제한:"ec2.amazonaws.com"*

  3. "IAM:PassRole"이 "IAM:PassedToService":"ec2.amazonaws.com"* 으로 제한됩니다

GenAI 워크로드에 대한 권한

VMware 워크로드에 대한 IAM 정책은 VMware 워크로드 공장이 운영하는 운영 모드에 따라 퍼블릭 클라우드 환경 내에서 리소스와 프로세스를 관리하는 데 필요한 권한을 제공합니다.

GenAI IAM 정책은 작동 모드에서만 사용할 수 있습니다.

GenAI 워크로드를 위한 IAM 정책
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudformationGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DescribeStacks"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
    },
    {
      "Sid": "EC2Group",
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
        }
      }
    },
    {
      "Sid": "EC2DescribeGroup",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeTags",
        "ec2:CreateVpcEndpoint",
        "ec2:CreateSecurityGroup",
        "ec2:CreateTags",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstances",
        "ec2:DescribeImages",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:RunInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup",
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:CreateInstanceProfile",
        "iam:AddRoleToInstanceProfile",
        "iam:PutRolePolicy",
        "iam:SimulatePrincipalPolicy",
        "iam:GetRolePolicy",
        "iam:GetRole",
        "iam:TagRole"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup2",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "FSXNGroup",
      "Effect": "Allow",
      "Action": [
        "fsx:DescribeVolumes",
        "fsx:DescribeFileSystems",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:ListTagsForResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "FSXNGroup2",
      "Effect": "Allow",
      "Action": [
        "fsx:UntagResource",
        "fsx:TagResource"
      ],
      "Resource": [
        "arn:aws:fsx:*:*:volume/*/*",
        "arn:aws:fsx:*:*:storage-virtual-machine/*/*"
      ]
    },
    {
      "Sid": "BedrockGroup",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModelWithResponseStream",
        "bedrock:InvokeModel",
        "bedrock:ListFoundationModels",
        "bedrock:GetFoundationModelAvailability",
        "bedrock:GetModelInvocationLoggingConfiguration"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:PutParameter"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
    },
    {
      "Sid": "SSM",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "ssm:GetParametersByPath"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
    },
    {
      "Sid": "SSMMessages",
      "Effect": "Allow",
      "Action": [
        "ssm:GetCommandInvocation"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SSMCommandDocument",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand"
      ],
      "Resource": [
        "arn:aws:ssm:*:*:document/AWS-RunShellScript"
      ]
    },
    {
      "Sid": "SSMCommandInstance",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand",
        "ssm:GetConnectionStatus"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ],
      "Condition": {
        "StringLike": {
          "ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
        }
      }
    },
    {
      "Sid": "KMS",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SNS",
      "Effect": "Allow",
      "Action": [
        "sns:Publish"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchAiEngine",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource",
        "logs:DescribeLogStreams"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
    },
    {
      "Sid": "CloudWatchAiEngineLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
    },
    {
      "Sid": "CloudWatch2",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
    }
  ]
}

다음 표에는 GenAI 워크로드에 대한 사용 권한에 대한 세부 정보가 나와 있습니다.

GenAI 워크로드에 대한 사용 권한 표
목적 조치 사용된 위치 모드를 선택합니다

구축 및 리빌드 작업 중에 AI 엔진 CloudFormation 스택을 생성합니다

CloudFormation:CreateStack

구축

자동화

AI 엔진 CloudFormation 스택을 생성합니다

CloudFormation: DescribeStacks

구축

자동화

AI 엔진 배포 마법사의 지역을 나열합니다

EC2: 설명

구축

자동화

AI 엔진 태그를 표시합니다

EC2: DescribeTags(설명 태그)

구축

자동화

AI 엔진 스택 생성 전에 VPC 엔드포인트 나열

EC2: CreateVpcEndpoint입니다

구축

자동화

배포 및 리빌드 중에 AI 엔진 스택 생성 중에 AI 엔진 보안 그룹을 생성합니다

EC2:CreateSecurityGroup입니다

구축

자동화

구축 및 리빌드 작업 중 AI 엔진 스택 생성에서 생성된 리소스에 태그를 지정합니다

EC2: CreateTags(태그 생성)

구축

자동화

ai-engine 스택에서 WLMAI 백엔드에 암호화 된 이벤트를 게시합니다

KMS : GenerateDataKey

구축

자동화

KMS: 암호 해독

구축

자동화

ai-engine 스택에서 WLMAI 백엔드에 이벤트 및 사용자 지정 리소스를 게시합니다

SNS: 게시

구축

자동화

AI 엔진 배포 마법사 중 vPC 나열

EC2: 설명

구축

자동화

ai-engine 배포 마법사에서 서브넷을 나열합니다

EC2: DescribeSubnet

구축

자동화

AI 엔진 구축 및 리빌드 중에 라우팅 테이블을 가져옵니다

EC2: 설명표

구축

자동화

AI 엔진 배포 마법사에서 제공하는 키 쌍을 나열합니다

EC2: 설명

구축

자동화

AI 엔진 스택 생성 시 보안 그룹 나열(프라이빗 엔드포인트에서 보안 그룹 찾기)

EC2: DescribeSecurityGroups

구축

자동화

AI 엔진을 구축하는 동안 VPC 엔드포인트를 생성할 필요가 있는지 결정합니다

EC2: DescribeVpcEndpoints

구축

자동화

AI 엔진 상태를 확인할 인스턴스를 나열합니다

EC2: DescribeInstances(지시 인스턴스)

문제 해결

자동화

구축 및 리빌드 작업 중에 AI 엔진 스택을 생성하는 동안 이미지를 나열합니다

EC2: DescribeImages(설명 영상)

구축

자동화

구축 및 리빌드 작업 중에 AI 인스턴스 스택 생성 중에 AI 인스턴스 및 개인 엔드포인트 보안 그룹을 생성 및 업데이트합니다

EC2: RevokeSecurityGroupEgress

구축

자동화

EC2: RevokeSecurityGroupIngress 를 참조하십시오

구축

자동화

배포 및 리빌드 작업 중에 CloudFormation 스택을 생성하는 동안 AI 엔진을 실행합니다

EC2: 런인스턴스

구축

자동화

배포 및 리빌드 작업 중에 스택 생성 중에 보안 그룹을 연결하고 AI 엔진에 대한 규칙을 수정합니다

EC2: AuthorizeSecurityGroupEgress 를 참조하십시오

구축

자동화

EC2: AuthorizeSecurityGroupIngress 를 참조하십시오

구축

자동화

AI 엔진 배포 중에 Amazon Bedrock/Amazon CloudWatch 로깅 상태를 쿼리합니다

Bedrock: GetModelInvocationLoggingConfiguration을 참조하십시오

구축

자동화

기초 모델 중 하나에 대한 채팅 요청을 시작합니다

Bedrock: InvokeModelWithResponseStream 을 호출합니다

구축

자동화

기초 모델에 대한 채팅/포함 요청을 시작합니다

Bedrock: InvokeModel 을 참조하십시오

구축

자동화

지역에서 사용 가능한 기반 모델을 표시합니다

Bedrock: ListFoundationModels를 참조하십시오

구축

자동화

기초 모델에 대한 액세스 권한을 확인합니다

Bedrock: GetFoundationModelAvailability를 참조하십시오

구축

자동화

배포 및 재구축 작업 중에 CloudWatch 로그 그룹을 생성해야 하는지 확인합니다

로그:DescripbeLogGroups

구축

자동화

AI 엔진 마법사에서 FSx 및 Bedrock을 지원하는 영역을 확보할 수 있습니다

SSM:GetParametersByPath 입니다

구축

자동화

구축 및 리빌드 작업 중에 AI 엔진 구축을 위한 최신 Amazon Linux 이미지를 확인할 수 있습니다

SSM:GetParameters 를 참조하십시오

구축

자동화

AI 엔진으로 전송된 명령에서 SSM 응답을 가져옵니다

SSM: GetCommandInvocation 을 참조하십시오

구축

자동화

AI 엔진에 대한 SSM 연결을 점검하십시오

SSM: SendCommand 를 참조하십시오

구축

자동화

SSM: GetConnectionStatus 를 참조하십시오

구축

자동화

구축 및 리빌드 작업 중에 스택 생성 중에 AI 엔진 인스턴스 프로필을 생성할 수 있습니다

IAM: CreateRole

구축

자동화

IAM:CreateInstanceProfile

구축

자동화

IAM:AddRoleToInstanceProfile 을 참조하십시오

구축

자동화

IAM: PutRolePolicy(입수 정책)

구축

자동화

IAM: GetRolePolicy 를 참조하십시오

구축

자동화

IAM:GetRole

구축

자동화

IAM: 태그 역할

구축

자동화

IAM: 암호 역할

구축

자동화

역할에서 사용 가능한 권한을 검증하고 배포 및 재구축 작업 중에 필요한 권한과 비교합니다

IAM: SimulatePrincipalPolicy(IAM: 시뮬레이션 정책)

구축

자동화

"지식 기반 생성" 마법사 중에 FSx 파일 시스템을 나열합니다

FSx:볼륨 설명

기술 자료 작성

자동화

"기술 자료 생성" 마법사 중에 FSx 파일 시스템 볼륨을 나열합니다

FSx:파일 시스템 설명

기술 자료 작성

자동화

리빌드 작업 중에 AI 엔진의 knowledgebase를 관리합니다

FSX:ListTagsForResource.를 참조하십시오

문제 해결

자동화

"기술 자료 생성" 마법사 중에 FSx 파일 시스템 스토리지 가상 머신 나열

FSX:DescripbeStorageVirtualMachines를 참조하십시오

구축

자동화

지식 베이스를 새 인스턴스로 이동합니다

FSx:UntagResource

문제 해결

자동화

리빌드 중 AI 엔진에 대한 지식 기반을 관리합니다

FSX:태그 리소스

문제 해결

자동화

SSM 비밀(ECR 토큰, CIFS 자격 증명, 테넌시 서비스 계정 키)을 안전한 방식으로 저장합니다

SSM:GetParameter입니다

구축

자동화

SSM: PutParameter

구축

자동화

배포 및 재구축 작업 중에 AI 엔진 로그를 CloudWatch 로그 그룹으로 보냅니다

로그:CreateLogGroup

구축

자동화

로그: PutRetentionPolicy

구축

자동화

AI 엔진 로그를 CloudWatch 로그 그룹으로 보냅니다

로그:TagResource

문제 해결

자동화

CloudWatch에서 SSM 응답 받기(응답이 너무 긴 경우)

로그:DescripbeLogStreams

문제 해결

자동화

CloudWatch에서 SSM 응답을 받으십시오

로그:GetLogEvents

문제 해결

자동화

배포 및 재구축 작업 중에 스택 재조정 중에 Bedrock 로그에 대한 CloudWatch 로그 그룹을 생성합니다

로그:CreateLogGroup

구축

자동화

로그: PutRetentionPolicy

구축

자동화

로그:TagResource

구축

자동화

VMware 워크로드에 대한 권한

VMware 워크로드에 대한 IAM 정책은 VMware 워크로드 공장이 운영하는 운영 모드에 따라 퍼블릭 클라우드 환경 내에서 리소스와 프로세스를 관리하는 데 필요한 권한을 제공합니다.

필요한 IAM 정책을 보려면 운영 모드를 선택하십시오.

VMware 워크로드를 위한 IAM 정책
읽기 모드
{
  "Effect": "Allow",
  "Action": [
    "ec2:DescribeRegions",
    "ec2:DescribeAvailabilityZones",
    "ec2:DescribeVpcs",
    "ec2:DescribeSecurityGroups",
    "ec2:DescribeSubnets",
    "ssm:GetParametersByPath",
    "kms:DescribeKey",
    "kms:ListKeys",
    "kms:ListAliases"
  ],
  "Resource": "*"
}
작동 모드
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fsx:CreateFileSystem",
        "fsx:DescribeFileSystems",
        "fsx:CreateStorageVirtualMachine",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:CreateVolume",
        "fsx:DescribeVolumes",
        "fsx:TagResource",
        "sns:Publish",
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases",
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:CreateGrant"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:RunInstances",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:CreateSecurityGroup",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParametersByPath",
        "ssm:GetParameters"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

다음 표에는 VMware 작업 부하에 대한 사용 권한에 대한 세부 정보가 나와 있습니다.

VMware 워크로드에 대한 사용 권한 표
목적 조치 사용된 위치 모드를 선택합니다

보안 그룹을 연결하고 프로비저닝된 노드에 대한 규칙을 수정합니다

EC2: AuthorizeSecurityGroupIngress 를 참조하십시오

구축

자동화

EBS 볼륨을 생성합니다

EC2: CreateVolume

구축

자동화

VMware 워크로드에서 생성한 FSx for NetApp ONTAP 리소스에 대한 사용자 지정 값에 태그를 지정합니다

FSX:태그 리소스

구축

자동화

CloudFormation 템플릿을 만들고 유효성을 검사합니다

CloudFormation:CreateStack

구축

자동화

생성된 인스턴스에서 태그 및 네트워크 보안을 관리합니다

EC2:CreateSecurityGroup입니다

구축

자동화

생성된 인스턴스를 시작합니다

EC2: 런인스턴스

구축

자동화

EC2 인스턴스 세부 정보를 가져옵니다

EC2: DescribeInstances(지시 인스턴스)

구축

자동화

배포 및 재구축 작업 중에 스택을 생성하는 동안 이미지를 나열합니다

EC2: DescribeImages(설명 영상)

구축

자동화

선택한 환경에서 VPC를 가져와 배포 양식을 작성합니다

EC2: 설명

  • 구축

  • 인벤토리

  • 읽기

  • 자동화

선택한 환경에서 서브넷을 가져와 배포 양식을 완성합니다

EC2: DescribeSubnet

  • 구축

  • 인벤토리

  • 읽기

  • 자동화

선택한 환경의 보안 그룹을 가져와 배포 양식을 작성합니다

EC2: DescribeSecurityGroups

구축

  • 읽기

  • 자동화

선택한 환경에서 가용 영역을 가져옵니다

EC2:가용성 영역 설명

  • 구축

  • 인벤토리

  • 읽기

  • 자동화

Amazon FSx for NetApp ONTAP 지원으로 지역을 확인하십시오

EC2: 설명

구축

  • 읽기

  • 자동화

Amazon FSx for NetApp ONTAP 암호화에 사용할 KMS 키 별칭을 가져옵니다

KMS: ListAliases

구축

  • 읽기

  • 자동화

Amazon FSx for NetApp ONTAP 암호화에 사용할 KMS 키를 가져옵니다

KMS: ListKeys

구축

  • 읽기

  • 자동화

Amazon FSx for NetApp ONTAP 암호화에 사용할 KMS 키 만료 세부 정보를 가져옵니다

KMS: 설명키

구축

  • 읽기

  • 자동화

SSM 기반 쿼리는 Amazon FSx for NetApp ONTAP 지원 지역의 업데이트된 목록을 가져오는 데 사용됩니다

SSM:GetParametersByPath 입니다

구축

  • 읽기

  • 자동화

프로비저닝에 필요한 Amazon FSx for NetApp ONTAP 리소스를 생성합니다

FSX:CreateFileSystem 을 참조하십시오

구축

자동화

FSx:CreateStorageVirtualMachine

구축

자동화

FSX:CreateVolume 을 참조하십시오

  • 구축

  • 관리 운영

자동화

NetApp ONTAP용 Amazon FSx에 대해 자세히 알아보십시오

FSX: 설명 *

  • 구축

  • 인벤토리

  • 관리 운영

  • 비용 절감 효과를

자동화

FSX:목록 *

  • 구축

  • 인벤토리

자동화

KMS 키 세부 정보를 확인하고 Amazon FSx for NetApp ONTAP 암호화에 사용합니다

KMS: CreateGrant

구축

자동화

KMS: 설명 *

구축

자동화

KMS: 목록 *

구축

자동화

KMS: 암호 해독

구축

자동화

KMS : GenerateDataKey

구축

자동화

고객 SNS 항목을 나열하고 WLMVMC 백엔드 SNS 및 고객 SNS에 게시합니다(선택한 경우)

SNS: 게시

구축

자동화

Amazon FSx for NetApp ONTAP 지원 AWS 지역의 최신 목록을 가져오는 데 사용됩니다

SSM: GET *

  • 구축

  • 관리 운영

자동화

SimulatePrincipalPolicy는 역할에서 사용 가능한 권한의 유효성을 검사하고 필요한 권한과 비교하기 위해 필요합니다

IAM: SimulatePrincipalPolicy(IAM: 시뮬레이션 정책)

구축

자동화

SSM 매개 변수 저장소는 Amazon FSx for NetApp ONTAP의 자격 증명을 저장하는 데 사용됩니다

SSM:GetParameter입니다

  • 구축

  • 관리 운영

  • 인벤토리

자동화

SSM: PutParameters 를 참조하십시오

  • 구축

  • 인벤토리

자동화

SSM: PutParameter

  • 구축

  • 관리 운영

자동화

SSM: 매개 변수 삭제

  • 구축

  • 관리 운영

자동화

변경 로그

권한이 추가되고 제거됨에 따라 아래 섹션에 해당 권한이 표시됩니다.

2025년 2월 3일

이제 데이터베이스에 대해 _READ_MODE에서 다음 권한을 사용할 수 iam:SimulatePrincipalPolicy 있습니다.