Permissões da AWS e do Azure para o Cloud Manager
O Cloud Manager requer permissões para executar ações na AWS e no Azure em seu nome. Essas permissões estão incluídas no "As políticas fornecidas pela NetApp". você pode querer entender o que o Cloud Manager faz com essas permissões.
O que o Cloud Manager faz com as permissões da AWS
O Cloud Manager usa uma conta da AWS para fazer chamadas de API para vários serviços da AWS, incluindo EC2, S3, CloudFormation, IAM, o Security Token Service (STS) e o Key Management Service (KMS).
Ações | Finalidade |
---|---|
"EC2:StartInstances", "EC2:StopInstances", "EC2:DescribeInstances", "EC2:DescribeInstanceStatus", "EC2:RunInstances", "EC2:TerminateInstances", "EC2:ModifyInstanceAttribute", |
Inicia uma instância do Cloud Volumes ONTAP e pára, inicia e monitora a instância. |
"EC2:DescribeInstanceAttribute", |
Verifica se a rede aprimorada está habilitada para tipos de instâncias compatíveis. |
"EC2:DescribeRouteTables", "EC2:DescribeImages", |
Inicia uma configuração Cloud Volumes ONTAP HA. |
"EC2:CreateTags", |
Marca todos os recursos que o Cloud Manager cria com as tags "WorkingEnvironment" e "WorkingEnvironmentId". O Cloud Manager usa essas tags para manutenção e alocação de custos. |
"EC2:Createvolume", "EC2:DescribeVolumes", "EC2:ModifyVolumeAttribute", "EC2:Attachvolume", "EC2:Deletevolume", "EC2:Detachvolume", |
Gerencia os volumes do EBS que o Cloud Volumes ONTAP usa como armazenamento back-end. |
"EC2:CreateSecurityGroup", "EC2:DeleteSecurityGroup", "EC2:DescribeSecurityGroups", "EC2:RevokeSecurityGroupEgress", "EC2:AuthorizeSecurityGroupEgress", "EC2:AuthorizeSecurityGroupIngress", "EC2:RevokeSecurityGroupIngress", |
Cria grupos de segurança predefinidos para o Cloud Volumes ONTAP. |
"EC2:CreateNetworkInterface", "EC2:DescribeNetworkInterfaces", "EC2:DeleteNetworkInterface", "EC2:ModifyNetworkInterfaceAttribute", |
Cria e gerencia interfaces de rede para Cloud Volumes ONTAP na sub-rede de destino. |
"EC2:DescribeSubnets", "EC2:DescribeVPCs", |
Obtém a lista de sub-redes de destino e grupos de segurança, que é necessário ao criar um novo ambiente de trabalho para o Cloud Volumes ONTAP. |
"EC2:DescribeDhcpOptions", |
Determina os servidores DNS e o nome de domínio padrão ao iniciar instâncias do Cloud Volumes ONTAP. |
"EC2:CreateSnapshot", "EC2:DeleteSnapshot", "EC2:DescribeSnapshots", |
Tira instantâneos dos volumes do EBS durante a configuração inicial e sempre que uma instância do Cloud Volumes ONTAP é interrompida. |
"EC2:GetConsoleOutput", |
Captura o console do Cloud Volumes ONTAP, que está conetado às mensagens do AutoSupport. |
"EC2:DescribeKeyPairs", |
Obtém a lista de pares de chaves disponíveis ao iniciar instâncias. |
"EC2:DescribeRegiões", |
Obtém uma lista de regiões da AWS disponíveis. |
"EC2:DeleteTags", "EC2:DescribeTags", |
Gerencia tags para recursos associados às instâncias do Cloud Volumes ONTAP. |
"Cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", |
Inicia instâncias do Cloud Volumes ONTAP. |
"IAM:PassRole", "IAM:CreateRole", "IAM:DeleteRole", "IAM:PutRolePolicy", "IAM:CreateInstanceProfile", "IAM:DeleteRolePolicy", "iam:RoleAddToInstanceProfile", "iam:RemveRoleDeInstanceInstanceProfile", "iam:DeleteProfile", "iam:DeleteAddOutreAddOutreAddToInstanceProfile" |
Inicia uma configuração Cloud Volumes ONTAP HA. |
"iam:ListInstanceProfiles", "STS:DedeAuthorizationMessage", "EC2:AssociateIamInstanceProfile", "EC2:DescribeIamInstanceAssociations", "EC2:DisassociateIamInstanceProfile", "DescribeIamInstanceProfile", |
Gerencia perfis de instâncias para instâncias do Cloud Volumes ONTAP. |
"S3:GetBucketTagging", "S3:GetBucketLocation", "S3:ListAllMyBuckets", "S3:ListBucket" |
Obtém informações sobre os buckets do AWS S3 para que o Cloud Manager possa se integrar ao serviço NetApp Data Fabric Cloud Sync. |
"S3:CreateBucket", "S3:DeleteBucket", "S3:GetLifecycleConfiguration", "S3:PutLifecycleConfiguration", "S3:PutBucketTagging", "S3:ListBucketVersions", |
Gerencia o bucket do S3 usado pelo sistema Cloud Volumes ONTAP como camada de capacidade. |
"Kms:Lista*", "kms:descrever*" |
Obtém informações sobre chaves do AWS Key Management Service. |
"ce:GetReservationUtilization", "ce:GetDimensionValues", "ce:GetCostAndUsage", "ce:GetTags" |
Obtém dados de custo da AWS para o Cloud Volumes ONTAP. |
"EC2:CreatePlacementGroup", "EC2:DeletePlacementGroup" |
Ao implantar uma configuração de HA em uma única zona de disponibilidade da AWS, o Cloud Manager inicia os dois nós de HA e o mediador em um grupo de posicionamento de spread da AWS. |
O que o Cloud Manager faz com as permissões do Azure
A política do Azure inclui as permissões que o Cloud Manager precisa para implantar e gerenciar o Cloud Volumes ONTAP no Azure.
Ações | Finalidade |
---|---|
"Microsoft.Compute/locations/operations/read", "Microsoft.Compute/locations/vmSizes/read", "Microsoft.Compute/operations/read", "Microsoft.Compute/virtualMachines/instanceView/read", "Microsoft.Compute/virtualMachines/powerOff/action", "Microsoft.Compute/virtualMachines/read", "Microsoft.Compute/virtualMachines/restart/action", "Microsoft.Compute/virtualMachines/start/action", "Microsoft.Compute/virtualMachines/deallocate/action", "Microsoft.Compute/virtualMachines/vmSizes/read"," Microsoft.Compute/virtualMachines/write", |
Cria Cloud Volumes ONTAP e pára, inicia, exclui e obtém o status do sistema. |
"Microsoft.Compute/images/write", "Microsoft.Compute/images/read", |
Permite a implantação do Cloud Volumes ONTAP a partir de um VHD. |
"Microsoft.Compute/disks/delete", "Microsoft.Compute/disks/read", "Microsoft.Compute/disks/write", "Microsoft.Storage/checknameavailability/read", "Microsoft.Storage/operations/read", "Microsoft.Storage/storageAccounts/listkeys/action", "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage |
Gerencia contas e discos de armazenamento do Azure e anexa os discos ao Cloud Volumes ONTAP. |
"Microsoft.Network/networkInterfaces/read", "Microsoft.Network/networkInterfaces/write", "Microsoft.Network/networkInterfaces/join/action", |
Cria e gerencia interfaces de rede para Cloud Volumes ONTAP na sub-rede de destino. |
"Microsoft.Network/networkSecurityGroups/read", "Microsoft.Network/networkSecurityGroups/write", "Microsoft.Network/networkSecurityGroups/join/action", |
Cria grupos de segurança de rede predefinidos para o Cloud Volumes ONTAP. |
"Microsoft.resources/Subscrições/locations/read", "Microsoft.Network/locations/operationResults/read", "Microsoft.Network/locations/operations/read", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read", "Microsoft.Network/virtualNetworks/virtualMachines/read", "Microsoft.Network/virtualNetworks/subnets/join/action", |
Obtém informações de rede sobre regiões, a rede VNet de destino e a sub-rede e adiciona Cloud Volumes ONTAP aos VNets. |
"Microsoft.Network/virtualNetworks/subnets/write", "Microsoft.Network/routeTables/join/action", |
Habilita pontos de extremidade do serviço VNet para categorização de dados. |
"Microsoft.resources/deployments/operations/read", "Microsoft.resources/deployments/deployments/write", |
Implanta o Cloud Volumes ONTAP a partir de um modelo. |
"Microsoft.resources/deploys/operations/read", "Microsoft.resources/deployments/deployments/write", "Microsoft.resources/resources/resources/lease", "Microsoft.resources |
Cria e gerencia grupos de recursos para o Cloud Volumes ONTAP. |
"Microsoft.Compute/snapshots/write", "Microsoft.Compute/snapshots/read", "Microsoft.Compute/disks/beginGetAccess/action" |
Cria e gerencia snapshots gerenciados do Azure. |
"Microsoft.Compute/availabilitySets/write", "Microsoft.Compute/availabilitySets/read", |
Cria e gerencia conjuntos de disponibilidade para o Cloud Volumes ONTAP. |
"Microsoft.MarketplaceOrdering/offertypes/publishers/offertyes/offertyes/offertyes/offertyes/offerments/plans/agreements/write" |
Habilita implantações programáticas no Azure Marketplace. |
"Microsoft.Network/loadBalancers/read", "Microsoft.Network/loadBalancers/write", "Microsoft.Network/loadBalancers/delete", "Microsoft.Network/loadBalancers/backendAddressPools/read", "Microsoft.Network/loadBalancers/backendAddressPools/join/action", "Microsoft.Network/loadBalancers/frontendIPConfigurations/read", "Microsoft.Network/loadBalancers/loadBalancingRules/read", "Microsoft.Network/loadBalancers/probes/read", "Microsoft.Network/loadBalancers/probes/join/action"," |
Gerencia um balanceador de carga do Azure para pares de HA. |
"Microsoft.Authorization/Locks/*" |
Permite o gerenciamento de bloqueios em discos Azure. |
"Microsoft.Authorization/roleDefinitions/write", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Web/Sites/*" |
Gerencia o failover em pares de HA. |