Permissões para o NetApp Workload Factory
Sugerir alterações
PDFs
Para usar os recursos e serviços do NetApp Workload Factory, você precisará fornecer permissões para que o Workload Factory possa executar operações no seu ambiente de nuvem.
Por que usar permissões
Quando você fornece permissões de modo somente leitura ou leitura/gravação, o Workload Factory anexa uma política à instância com permissões para gerenciar recursos e processos dentro dessa conta da AWS. Isso permite que o Workload Factory execute várias operações, desde a descoberta de seus ambientes de armazenamento até a implantação de recursos da AWS, como sistemas de arquivos no gerenciamento de armazenamento ou bases de conhecimento para cargas de trabalho do GenAI.
Para cargas de trabalho de banco de dados, por exemplo, quando o Workload Factory recebe as permissões necessárias, ele verifica todas as instâncias do EC2 em uma determinada conta e região e filtra todas as máquinas baseadas no Windows. Se o agente do AWS Systems Manager (SSM) estiver instalado e em execução no host e a rede do System Manager estiver configurada corretamente, o Workload Factory poderá acessar a máquina Windows e verificar se o software SQL Server está instalado ou não.
Permissões por carga de trabalho
Cada carga de trabalho usa permissões para executar determinadas tarefas no Workload Factory. Role até a carga de trabalho que você usa para visualizar a lista de permissões, sua finalidade, onde elas são usadas e quais modos as suportam.
Permissões para armazenamento
As políticas de IAM disponíveis para armazenamento fornecem as permissões que o Workload Factory precisa para gerenciar recursos e processos dentro do seu ambiente de nuvem pública com base no modo operacional em que você opera.
Selecione o modo operacional para visualizar as políticas do IAM necessárias:
Políticas do IAM para armazenamento
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:Describe*",
"fsx:ListTagsForResource",
"ec2:Describe*",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:*",
"ec2:Describe*",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"iam:CreateServiceLinkedRole",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"kms:CreateGrant",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"iam:SimulatePrincipalPolicy",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
}
]
}A tabela a seguir exibe as permissões para armazenamento.
Tabela de permissões para armazenamento
| Finalidade | Ação | Onde usado | Modo |
|---|---|---|---|
Crie um sistema de arquivos FSX for ONTAP |
fsx:CreateFileSystem* |
Implantação |
Leitura/escrita |
Crie um grupo de segurança para um sistema de arquivos FSX for ONTAP |
EC2:CreateSecurityGroup |
Implantação |
Leitura/escrita |
Adicione tags a um grupo de segurança para um sistema de arquivos FSX for ONTAP |
EC2:CreateTags |
Implantação |
Leitura/escrita |
Autorize a saída do grupo de segurança e a entrada para um sistema de arquivos FSX for ONTAP |
EC2:AutorizeSecurityGroupEgress |
Implantação |
Leitura/escrita |
EC2:AutorizeSecurityGroupIngress |
Implantação |
Leitura/escrita |
|
A função concedida fornece comunicação entre o FSX for ONTAP e outros serviços da AWS |
IAM:CreateServiceLinkRole |
Implantação |
Leitura/escrita |
Obtenha detalhes para preencher o formulário de implantação do sistema de arquivos FSX for ONTAP |
EC2: DescribeVPCs |
|
|
EC2: DescribeSubnets |
|
|
|
EC2:DescribeRegiões |
|
|
|
EC2:DescribeSecurityGroups |
|
|
|
EC2:DescribeRouteTables |
|
|
|
EC2:DescribeNetworkInterfaces |
|
|
|
EC2:DescribeVolumeStatus |
|
|
|
Obtenha os detalhes das chaves do KMS e use a criptografia FSX for ONTAP |
Kms:CreateGrant |
Implantação |
Leitura/escrita |
Kms: Descrever* |
Implantação |
|
|
Kms:Lista* |
Implantação |
|
|
Obtenha detalhes do volume para instâncias EC2 |
EC2:DescribeVolumes |
|
|
Obtenha detalhes para instâncias EC2 |
EC2: DescribeInstances |
Explore as poupanças |
|
Descrever o Elastic File System na calculadora de economia |
Elasticfilesystem:describe* |
Explore as poupanças |
Somente leitura |
Listar tags para recursos do FSX for ONTAP |
fsx:ListTagsForResource |
Inventário |
|
Gerencie a saída do grupo de segurança e o ingresso para um sistema de arquivos FSX for ONTAP |
EC2:RevokeSecurityGroupIngress |
Operações de gerenciamento |
Leitura/escrita |
EC2:DeleteSecurityGroup |
Operações de gerenciamento |
Leitura/escrita |
|
Crie, visualize e gerencie recursos do sistema de arquivos FSX for ONTAP |
fsx:Createvolume* |
Operações de gerenciamento |
Leitura/escrita |
fsx:TagResource* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:CreateStorageVirtualMachine* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:DeleteFileSystem* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:DeleteStorageVirtualMachine* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:DescribeFileSystems* |
Inventário |
|
|
fsx:DescribeStorageVirtualMachines* |
Inventário |
|
|
fsx:UpdateFileSystem* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:UpdateStorageVirtualMachine* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:DescribeVolumes* |
Inventário |
|
|
fsx:Updatevolume* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:Deletevolume* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:UntagResource* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:DescribeBackups* |
Operações de gerenciamento |
|
|
fsx:CreateBackup* |
Operações de gerenciamento |
Leitura/escrita |
|
fsx:CreateVolumeFromBackup* |
Operações de gerenciamento |
Leitura/escrita |
|
Relatar métricas do CloudWatch |
cloudwatch: PutMetricData |
Operações de gerenciamento |
Leitura/escrita |
Obtenha métricas de volume e sistema de arquivos |
cloudwatch: GetMetricData |
Operações de gerenciamento |
|
cloudwatch:GetMetricStatistics |
Operações de gerenciamento |
|
Permissões para cargas de trabalho de banco de dados
As políticas do IAM disponíveis para cargas de trabalho do banco de dados fornecem as permissões que o Workload Factory precisa para gerenciar recursos e processos dentro do seu ambiente de nuvem pública com base no modo operacional em que você opera.
Selecione o modo operacional para visualizar as políticas do IAM necessárias:
Políticas de IAM para cargas de trabalho de banco de dados
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource"
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeAccountLimits",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ds:DescribeDirectories",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeAddresses",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeLaunchTemplates",
"ec2:RunInstances",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:UpdateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:UpdateVolume",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:DescribeFileSystemAliases",
"fsx:DescribeBackups",
"fsx:ListTagsForResource",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:DescribeCustomKeyStores",
"kms:ListAliases",
"kms:ListKeys",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"logs:PutRetentionPolicy",
"servicequotas:ListServiceQuotas",
"sns:ListTopics",
"sns:Publish",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstancePatchStates",
"ssm:DescribePatchBaselines",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:GetConnectionStatus",
"ssm:ListCommands",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:SendCommand",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}A tabela a seguir exibe as permissões para cargas de trabalho de banco de dados.
Tabela de permissões para workloads de banco de dados
| Finalidade | Ação | Onde usado | Modo |
|---|---|---|---|
Obtenha estatísticas métricas para FSx para ONTAP, EBS e FSx para Windows File Server e para recomendação de otimização de computação |
cloudwatch:GetMetricStatistics |
|
|
Reúna métricas de desempenho salvas no Amazon CloudWatch a partir de nós SQL registrados. Os dados são gerados em gráficos de tendências de desempenho na tela de gerenciamento de instâncias SQL registradas. |
cloudwatch: GetMetricData |
Inventário |
Somente leitura |
Listar e definir gatilhos para eventos |
sns:ListTopics |
Implantação |
|
Obtenha detalhes para instâncias EC2 |
EC2: DescribeInstances |
|
|
EC2: DescribeKeyPairs |
Implantação |
|
|
EC2:DescribeNetworkInterfaces |
Implantação |
|
|
EC2:DescribeInstanceTypes |
|
|
|
Obtenha detalhes para preencher o formulário de implantação do FSX for ONTAP |
EC2: DescribeVPCs |
|
|
EC2: DescribeSubnets |
|
|
|
EC2:DescribeSecurityGroups |
Implantação |
|
|
EC2: DescribeImages |
Implantação |
|
|
EC2:DescribeRegiões |
Implantação |
|
|
EC2:DescribeRouteTables |
|
|
|
Obtenha quaisquer endpoints VPC existentes para determinar se novos endpoints precisam ser criados antes das implantações |
EC2:DescribeVpcEndpoints |
|
|
Crie endpoints VPC se eles não existirem para serviços necessários, independentemente da conetividade de rede pública em instâncias EC2 |
EC2:CreateVpcEndpoint |
Implantação |
Leitura/escrita |
Obter tipos de instância disponíveis na região para nós de validação (T2.micro/T3.micro) |
EC2:DescribeInstanceTypeOfferings |
Implantação |
|
Obtenha detalhes de snapshot de cada volume EBS anexado para estimativa de preços e economia |
EC2:DescribeSnapshots |
Explore as poupanças |
|
Obtenha detalhes de cada volume EBS anexado para estimativa de preços e economia |
EC2:DescribeVolumes |
|
|
Obtenha detalhes da chave do KMS para criptografia do sistema de arquivos FSX for ONTAP |
Kms:ListAliases |
Implantação |
|
Kms: ListKeys |
Implantação |
|
|
Kms:DescribeKey |
Implantação |
|
|
Obtenha uma lista de pilhas do CloudFormation em execução no ambiente para verificar o limite de cota |
Cloudformation:ListStacks |
Implantação |
|
Verifique os limites de conta para recursos antes de acionar a implantação |
Cloudformation:DescribeAccountLimits |
Implantação |
|
Obtenha a lista de diretórios ativos gerenciados pela AWS na região |
ds:DescribeDirectories |
Implantação |
|
Obtenha listas e detalhes de volumes, backups, SVMs, sistemas de arquivos no AZs e tags para o sistema de arquivos FSX for ONTAP |
fsx:DescribeVolumes |
|
|
fsx:DescribeBackups |
|
|
|
fsx:DescribeStorageVirtualMachines |
|
|
|
fsx:DescribeFileSystems |
|
|
|
fsx:ListTagsForResource |
Gerenciar operações |
|
|
Obtenha limites de cota de serviço para o CloudFormation e a VPC |
Servicequotas:ListServiceQuotes |
Implantação |
|
Use a consulta com base no SSM para obter a lista atualizada de regiões compatíveis com o FSX para ONTAP |
ssm:GetParametersByPath |
Implantação |
|
Poll para resposta SSM após o envio do comando para gerenciar operações após a implantação |
ssm:GetCommandInvocation |
|
|
Envie comandos através de SSM para instâncias EC2 |
ssm:SendCommand |
|
|
Obtenha o status de conetividade SSM em instâncias após a implantação |
ssm:GetConnectionStatus |
|
|
Buscar status de associação SSM para um grupo de instâncias EC2 gerenciadas (nós SQL) |
ssm:DescribeInstanceInformation |
Inventário |
Leia |
Obtenha a lista de linhas de base de patch disponíveis para avaliação de patches do sistema operacional |
ssm:DescribePatchBaselines |
Otimização |
|
Obtenha o estado de correção em instâncias do Windows EC2 para avaliação de patches do sistema operacional |
ssm:DescribeInstancePatchStates |
Otimização |
|
Listar comandos executados pelo AWS Patch Manager em instâncias do EC2 para gerenciamento de patches do sistema operacional |
ssm:ListCommands |
Otimização |
|
Verifique se a conta está inscrita no AWS Compute Optimizer |
Otimizador de computação:GetEnrollmentStatus |
|
Leitura/escrita |
Atualize uma preferência de recomendação existente no AWS Compute Optimizer para personalizar sugestões para cargas de trabalho do servidor SQL |
Otimizador de computação:PutRecommendationPreferences |
|
Leitura/escrita |
Obtenha preferências de recomendação que estão em vigor para um determinado recurso do AWS Compute Optimizer |
Compute-Optimizer:GetEffectiveRecommendationPreferences |
|
Leitura/escrita |
Obtenha recomendações que o AWS Compute Optimizer gera para instâncias do Amazon Elastic Compute Cloud (Amazon EC2) |
Otimizador de computação:GetEC2InstanceRecommendations |
|
Leitura/escrita |
Verifique a associação de instância aos grupos de dimensionamento automático |
Dimensionamento automático:DescribeAutoScalingGroups |
|
Leitura/escrita |
Dimensionamento automático:DescribeAutoScalingInstances |
|
Leitura/escrita |
|
Obtenha, liste, crie e exclua parâmetros SSM para credenciais de usuário do AD, FSX for ONTAP e SQL usadas durante a implantação ou gerenciadas em sua conta da AWS |
ssm: GetParameter 1 |
|
|
ssm: GetParameters 1 |
Gerenciar operações |
|
|
ssm: PutParameter 1 |
|
|
|
ssm:DeleteParameters 1 |
Gerenciar operações |
|
|
Associe recursos de rede a nós SQL e nós de validação e adicione IPs secundários adicionais a nós SQL |
EC2:AllocateAddress 1 |
Implantação |
Leitura/escrita |
EC2:AllocateHosts 1 |
Implantação |
Leitura/escrita |
|
EC2:AssignPrivateIpAddresses 1 |
Implantação |
Leitura/escrita |
|
EC2:AssociateAddress 1 |
Implantação |
Leitura/escrita |
|
EC2:AssociateRouteTable 1 |
Implantação |
Leitura/escrita |
|
EC2:AssociateSubnetCidrBlock 1 |
Implantação |
Leitura/escrita |
|
EC2:AssociateVpcCidrBlock 1 |
Implantação |
Leitura/escrita |
|
EC2:AttachInternetGateway 1 |
Implantação |
Leitura/escrita |
|
EC2:AttacNetworkInterface 1 |
Implantação |
Leitura/escrita |
|
Anexe volumes EBS necessários aos nós SQL para implantação |
EC2: Attachvolume |
Implantação |
Leitura/escrita |
Anexe grupos de segurança e modifique regras para os nós provisionados |
EC2:AutorizeSecurityGroupEgress |
Implantação |
Leitura/escrita |
EC2:AutorizeSecurityGroupIngress |
Implantação |
Leitura/escrita |
|
Crie volumes EBS necessários para os nós SQL para implantação |
EC2:Createvolume |
Implantação |
Leitura/escrita |
Remova os nós de validação temporária criados do tipo T2.micro e para reversão ou tentativa de reversão de nós SQL EC2 com falha |
EC2:DeleteNetworkInterface |
Implantação |
Leitura/escrita |
EC2:DeleteSecurityGroup |
Implantação |
Leitura/escrita |
|
EC2:DeleteTags |
Implantação |
Leitura/escrita |
|
EC2:Deletevolume |
Implantação |
Leitura/escrita |
|
EC2: DetachNetworkInterface |
Implantação |
Leitura/escrita |
|
EC2: Detachvolume |
Implantação |
Leitura/escrita |
|
EC2:Endereço Desassociativo |
Implantação |
Leitura/escrita |
|
EC2:DesassociateIamInstanceProfile |
Implantação |
Leitura/escrita |
|
EC2:DesassociateRouteTable |
Implantação |
Leitura/escrita |
|
EC2:DesassociateSubnetCidrBlock |
Implantação |
Leitura/escrita |
|
EC2:DesassociateVpcCidrBlock |
Implantação |
Leitura/escrita |
|
Modifique atributos para instâncias SQL criadas. Apenas aplicável a nomes que começam com WLMDB. |
EC2:ModifyInstanceAttribute |
Implantação |
Leitura/escrita |
EC2:ModifyInstancePlacement |
Implantação |
Leitura/escrita |
|
EC2:ModifyNetworkInterfaceAttribute |
Implantação |
Leitura/escrita |
|
EC2:ModifySubnetAttribute |
Implantação |
Leitura/escrita |
|
EC2:Modifyvolume |
Implantação |
Leitura/escrita |
|
EC2:ModifyVolumeAtributo |
Implantação |
Leitura/escrita |
|
EC2:ModifyVpcAttribute |
Implantação |
Leitura/escrita |
|
Desassocie e destrua instâncias de validação |
EC2: Endereço de entrega |
Implantação |
Leitura/escrita |
EC2:ReplaceRoute |
Implantação |
Leitura/escrita |
|
EC2:ReplaceRouteAssociation |
Implantação |
Leitura/escrita |
|
EC2:RevokeSecurityGroupEgress |
Implantação |
Leitura/escrita |
|
EC2:RevokeSecurityGroupIngress |
Implantação |
Leitura/escrita |
|
Inicie as instâncias implantadas |
EC2: StartInstances |
Implantação |
Leitura/escrita |
Pare as instâncias implantadas |
EC2:StopInstances |
Implantação |
Leitura/escrita |
Marque valores personalizados para os recursos do Amazon FSX for NetApp ONTAP criados pelo WLMDB para obter detalhes de cobrança durante o gerenciamento de recursos |
Bem-vindo ao site 1 |
|
Leitura/escrita |
Crie e valide o modelo do CloudFormation para implantação |
Formação de nuvens: CreateStack |
Implantação |
Leitura/escrita |
Cloudformation:DescribeStackEvents |
Implantação |
Leitura/escrita |
|
Cloudformation:DescribeStacks |
Implantação |
Leitura/escrita |
|
Cloudformation:ListStacks |
Implantação |
Leitura/escrita |
|
Cloudformation:ValidateTemplate |
Implantação |
Leitura/escrita |
|
Buscar diretórios disponíveis na região |
ds:DescribeDirectories |
Implantação |
Leitura/escrita |
Adicione regras para o Grupo de Segurança anexado a instâncias EC2 provisionadas |
EC2:AutorizeSecurityGroupEgress |
Implantação |
Leitura/escrita |
EC2:AutorizeSecurityGroupIngress |
Implantação |
Leitura/escrita |
|
Crie modelos de pilha aninhados para tentar novamente e reverter |
EC2:CreateLaunchTemplate |
Implantação |
Leitura/escrita |
EC2:CreateLaunchTemplateVersion |
Implantação |
Leitura/escrita |
|
Gerencie tags e segurança de rede em instâncias criadas |
EC2: CreateNetworkInterface |
Implantação |
Leitura/escrita |
EC2:CreateSecurityGroup |
Implantação |
Leitura/escrita |
|
EC2:CreateTags |
Implantação |
Leitura/escrita |
|
Exclua o Grupo de Segurança criado temporariamente para nós de validação |
EC2:DeleteSecurityGroup |
Implantação |
Leitura/escrita |
Obter detalhes da instância para provisionamento |
ec2:DescreverEndereços |
Implantação |
Leitura/escrita |
ec2:DescreverModelos de Lançamento |
Implantação |
Leitura/escrita |
|
Inicie as instâncias criadas |
EC2:RunInstances |
Implantação |
Leitura/escrita |
Crie recursos do FSX for ONTAP necessários para o provisionamento. Para sistemas FSX para ONTAP existentes, um novo SVM foi criado para hospedar volumes SQL. |
fsx:CreateFileSystem |
Implantação |
Leitura/escrita |
fsx:CreateStorageVirtualMachine |
Implantação |
Leitura/escrita |
|
fsx:Createvolume |
|
Leitura/escrita |
|
Obtenha os detalhes do FSX for ONTAP |
fsx:DescribeFileSystemAliases |
Implantação |
Leitura/escrita |
Redimensione o sistema de arquivos FSX for ONTAP para corrigir o espaço livre do sistema de arquivos |
fsx:UpdateFilesystem |
Otimização |
|
Leitura/escrita |
Redimensione volumes para corrigir os tamanhos de unidades de log e TempDB |
fsx:Updatevolume |
Otimização |
Leitura/escrita |
Obtenha os detalhes das chaves do KMS e use a criptografia FSX for ONTAP |
Kms:CreateGrant |
Implantação |
Leitura/escrita |
kms:DescreverCustomKeyStores |
Implantação |
|
Leitura/escrita |
Kms:GenerateDataKey |
Implantação |
|
Leitura/escrita |
Crie logs do CloudWatch para scripts de validação e provisionamento executados em instâncias do EC2 |
Logs:CreateLogGroup |
Implantação |
Leitura/escrita |
Logs:CreateLogStream |
Implantação |
|
Leitura/escrita |
Logs:DescribeLogStreams |
|
|
Leitura/escrita |
registros:GetLogGroupFields |
Implantação |
|
Leitura/escrita |
registros: Obter Registro de Log |
Implantação |
|
Leitura/escrita |
Registos:ListLogDeliveries |
Implantação |
|
Leitura/escrita |
Logs:PutLogEvents |
|
|
Leitura/escrita |
Logs:TagResource |
Implantação |
|
Leitura/escrita |
O Workload Factory alterna para logs do Amazon CloudWatch para a instância SQL ao encontrar truncamento de saída do SSM |
Logs:GetLogEvents |
|
|
Permitir que o Workload Factory obtenha grupos de log atuais e verificar se a retenção está definida para grupos de log criados pelo Workload Factory |
Logs:DescribeLogGroups |
|
Somente leitura |
Permitir que o Workload Factory defina uma política de retenção de um dia para grupos de log criados pelo Workload Factory para evitar acúmulo desnecessário de fluxos de log para saídas de comando do SSM |
Logs:PutRetentationPolicy |
|
|
Crie segredos em uma conta de usuário para as credenciais fornecidas para SQL, domínio e FSX para ONTAP |
Servicequotas:ListServiceQuotes |
Implantação |
Leitura/escrita |
Liste os tópicos do SNS do cliente e publique no SNS de back-end do WLMDB, bem como no SNS do cliente, se selecionado |
sns:ListTopics |
Implantação |
Leitura/escrita |
sns:publicar |
Implantação |
|
Leitura/escrita |
Permissões de SSM necessárias para executar o script de descoberta em instâncias SQL provisionadas e buscar a lista mais recente de regiões AWS compatíveis com o FSX para ONTAP. |
ssm: Aplicação de segurança |
Implantação |
Leitura/escrita |
ssm:PutConfigurePackageResult |
Implantação |
|
Leitura/escrita |
ssm:Stock |
Implantação |
|
Leitura/escrita |
ssm:SendCommand |
|
|
Leitura/escrita |
ssm:UpdateAssociationStatus |
Implantação |
|
Leitura/escrita |
ssm:UpdateInstanceAssociationStatus |
Implantação |
|
Leitura/escrita |
ssm:UpdateInstanceInformation |
Implantação |
|
Leitura/escrita |
ssmmessages:CriarCanalDeControle |
Implantação |
|
Leitura/escrita |
ssmmessages:CriarCanalDeDados |
Implantação |
|
Leitura/escrita |
ssmmessages:OpenControlChannel |
Implantação |
|
Leitura/escrita |
ssmmessages:OpenDataChannel |
Implantação |
|
Leitura/escrita |
Salvar credenciais para o FSX for ONTAP, ative Directory e usuário SQL (apenas para autenticação de usuário SQL) |
ssm: GetParameter 1 |
|
Leitura/escrita |
ssm: GetParameters 1 |
|
|
Leitura/escrita |
ssm: PutParameter 1 |
|
|
Leitura/escrita |
ssm:DeleteParameters 1 |
|
|
Leitura/escrita |
Sinalize a pilha do CloudFormation com sucesso ou falha. |
Cloudformation: SignalResource 1 |
Implantação |
Leitura/escrita |
Adicione a função EC2 criada por modelo ao perfil de instância do EC2 para permitir que scripts no EC2 acessem os recursos necessários para implantação. |
IAM:AddRoleToInstanceProfile |
Implantação |
Leitura/escrita |
Crie o perfil de instância para EC2 e anexe a função EC2 criada. |
IAM:CreateInstanceProfile |
Implantação |
Leitura/escrita |
Crie uma função EC2D através de modelo com as permissões listadas abaixo |
IAM:CreateRole |
Implantação |
Leitura/escrita |
Criar função vinculada ao serviço EC2 |
ISO:CreateServiceLinkRole 2 |
Implantação |
Leitura/escrita |
Excluir perfil de instância criado durante a implantação especificamente para os nós de validação |
IAM:DeleteInstanceProfile |
Implantação |
Leitura/escrita |
Obtenha os detalhes da função e da política para determinar quaisquer lacunas na permissão e validar para a implantação |
IAM:GetPolicy |
Implantação |
Leitura/escrita |
IAM:GetPolicyVersion |
Implantação |
|
Leitura/escrita |
IAM: GetRole |
Implantação |
|
Leitura/escrita |
IAM:GetRolePolicy |
Implantação |
|
Leitura/escrita |
IAM:GetUser |
Implantação |
|
Leitura/escrita |
Passe a função criada para a instância EC2 |
3 |
Implantação |
Leitura/escrita |
Adicione a política com as permissões necessárias à função EC2 criada |
IAM:PutRolePolicy |
Implantação |
Leitura/escrita |
Separe a função do perfil de instância do EC2 provisionado |
IAM:RemoveRoleFromInstanceProfile |
Implantação |
Leitura/escrita |
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias |
IAM:SimulatePrincipalPolicy |
Implantação |
-
A permissão é restrita a recursos que começam com WLMDB.
-
"IAM:CreateServiceLinkRole" limitado por "iam:AWSServiceName": "ec2.amazonaws.com"*
-
"IAM:PassRole" limitado por "iam:PassedToService": "ec2.amazonaws.com"*
Permissões para cargas de trabalho do GenAI
As políticas do IAM para cargas de trabalho do VMware fornecem as permissões que o Workload Factory for VMware precisa para gerenciar recursos e processos dentro do seu ambiente de nuvem pública com base no modo operacional em que você opera.
As políticas do GenAI IAM estão disponíveis somente no modo leitura/gravação:
Políticas do IAM para workloads do GenAI
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}A tabela a seguir fornece detalhes sobre as permissões para cargas de trabalho do GenAI.
Tabela de permissões para workloads do GenAI
| Finalidade | Ação | Onde usado | Modo |
|---|---|---|---|
Crie uma pilha de formação de nuvem do mecanismo de AI durante as operações de implantação e recriação |
Formação de nuvens: CreateStack |
Implantação |
Leitura/escrita |
Crie a pilha de formação de nuvem do mecanismo de AI |
Cloudformation:DescribeStacks |
Implantação |
Leitura/escrita |
Listar regiões para o assistente de implantação do mecanismo de IA |
EC2:DescribeRegiões |
Implantação |
Leitura/escrita |
Exibir tags de mecanismo AI |
EC2: DescribeTags |
Implantação |
Leitura/escrita |
Listar buckets S3 |
S3:ListAllMyBuckets |
Implantação |
Leitura/escrita |
Listar os endpoints da VPC antes da criação da pilha do mecanismo de IA |
EC2:CreateVpcEndpoint |
Implantação |
Leitura/escrita |
Crie um grupo de segurança do mecanismo de AI durante a criação da stack de mecanismos de AI durante as operações de implantação e reconstrução |
EC2:CreateSecurityGroup |
Implantação |
Leitura/escrita |
Identifique os recursos criados pela criação da pilha do mecanismo de AI durante as operações de implantação e reconstrução |
EC2:CreateTags |
Implantação |
Leitura/escrita |
Publique eventos criptografados no backend WLMAI da pilha de mecanismos de IA |
Kms:GenerateDataKey |
Implantação |
Leitura/escrita |
Kms:desencriptar |
Implantação |
Leitura/escrita |
|
Publique eventos e recursos personalizados no backend WLMAI a partir da pilha de ai-Engine |
sns:publicar |
Implantação |
Leitura/escrita |
Listar VPCs durante o assistente de implantação do mecanismo de IA |
EC2: DescribeVPCs |
Implantação |
Leitura/escrita |
Liste sub-redes no assistente de implantação do AI-Engine |
EC2: DescribeSubnets |
Implantação |
Leitura/escrita |
Obtenha tabelas de rota durante a implantação e reconstrução do mecanismo de IA |
EC2:DescribeRouteTables |
Implantação |
Leitura/escrita |
Listar pares de chaves durante o assistente de implantação do mecanismo de IA |
EC2: DescribeKeyPairs |
Implantação |
Leitura/escrita |
Listar grupos de segurança durante a criação da pilha do mecanismo de IA (para localizar grupos de segurança nos endpoints privados) |
EC2:DescribeSecurityGroups |
Implantação |
Leitura/escrita |
Obtenha endpoints de VPC para determinar se algum deve ser criado durante a implantação do mecanismo de AI |
EC2:DescribeVpcEndpoints |
Implantação |
Leitura/escrita |
Liste os aplicativos do Amazon Q Business |
Qbusiness:ListAplicações |
Implantação |
Leitura/escrita |
Liste instâncias para descobrir o estado do mecanismo de IA |
EC2: DescribeInstances |
Solução de problemas |
Leitura/escrita |
Listar imagens durante a criação da pilha do mecanismo de AI durante as operações de implantação e reconstrução |
EC2: DescribeImages |
Implantação |
Leitura/escrita |
Crie e atualize instância de IA e grupo de segurança de endpoint privado durante a criação da pilha de instâncias de IA durante as operações de implantação e reconstrução |
EC2:RevokeSecurityGroupEgress |
Implantação |
Leitura/escrita |
EC2:RevokeSecurityGroupIngress |
Implantação |
Leitura/escrita |
|
Execute o mecanismo de AI durante a criação da stack de cloudformation durante as operações de implantação e recriação |
EC2:RunInstances |
Implantação |
Leitura/escrita |
Anexe o grupo de segurança e modifique as regras do mecanismo de AI durante a criação da stack durante as operações de implantação e recriação |
EC2:AutorizeSecurityGroupEgress |
Implantação |
Leitura/escrita |
EC2:AutorizeSecurityGroupIngress |
Implantação |
Leitura/escrita |
|
Inicie a solicitação de bate-papo para um dos modelos básicos |
Bedrock:InvokeModelWithResponseStream |
Implantação |
Leitura/escrita |
Inicie a solicitação de bate-papo/incorporação para modelos de base |
Bedrock:modelo InvokeModel |
Implantação |
Leitura/escrita |
Mostre os modelos de fundação disponíveis em uma região |
Bedrock:ListFoundationModels |
Implantação |
Leitura/escrita |
Obtenha informações sobre um modelo de fundação |
Bedrock:GetFoundationModel |
Implantação |
Leitura/escrita |
Verifique o acesso ao modelo da base |
Bedrock:GetFoundationModelAvailability |
Implantação |
Leitura/escrita |
Verifique a necessidade de criar o grupo de log do Amazon CloudWatch durante as operações de implantação e reconstrução |
Logs:DescribeLogGroups |
Implantação |
Leitura/escrita |
Obtenha regiões compatíveis com FSX e Amazon bedrock durante o assistente do mecanismo de AI |
ssm:GetParametersByPath |
Implantação |
Leitura/escrita |
Obtenha a imagem mais recente do Amazon Linux para a implantação do mecanismo de IA durante as operações de implantação e reconstrução |
ssm:GetParameters |
Implantação |
Leitura/escrita |
Obtenha a resposta SSM do comando enviado ao mecanismo de IA |
ssm:GetCommandInvocation |
Implantação |
Leitura/escrita |
Verifique a ligação SSM ao motor AI |
ssm:SendCommand |
Implantação |
Leitura/escrita |
ssm:GetConnectionStatus |
Implantação |
Leitura/escrita |
|
Crie um perfil de instância do mecanismo de AI durante a criação de stack durante as operações de implantação e reconstrução |
IAM:CreateRole |
Implantação |
Leitura/escrita |
IAM:CreateInstanceProfile |
Implantação |
Leitura/escrita |
|
IAM:AddRoleToInstanceProfile |
Implantação |
Leitura/escrita |
|
IAM:PutRolePolicy |
Implantação |
Leitura/escrita |
|
IAM:GetRolePolicy |
Implantação |
Leitura/escrita |
|
IAM: GetRole |
Implantação |
Leitura/escrita |
|
IAM:TagRole |
Implantação |
Leitura/escrita |
|
IAM:PassRole |
Implantação |
Leitura/escrita |
|
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias |
IAM:SimulatePrincipalPolicy |
Implantação |
Leitura/escrita |
Liste o FSX para sistemas de arquivos ONTAP durante o assistente "criar base de conhecimento" |
fsx:DescribeVolumes |
Criação da base de conhecimento |
Leitura/escrita |
Liste os volumes do sistema de arquivos do FSX for ONTAP durante o assistente "criar base de conhecimento" |
fsx:DescribeFileSystems |
Criação da base de conhecimento |
Leitura/escrita |
Gerencie bases de conhecimento no mecanismo de AI durante as operações de reconstrução |
fsx:ListTagsForResource |
Solução de problemas |
Leitura/escrita |
Liste as máquinas virtuais de armazenamento do sistema de arquivos do FSX for ONTAP durante o assistente "criar base de conhecimento" |
fsx:DescribeStorageVirtualMachines |
Implantação |
Leitura/escrita |
Mova a base de conhecimento para uma nova instância |
fsx:UntagResource |
Solução de problemas |
Leitura/escrita |
Gerencie a base de conhecimento no mecanismo de IA durante a reconstrução |
fsx:TagResource |
Solução de problemas |
Leitura/escrita |
Salve segredos SSM (token ECR, credenciais CIFS, chaves de contas de serviço de locação) de forma segura |
ssm: GetParameter |
Implantação |
Leitura/escrita |
ssm: PutParameter |
Implantação |
Leitura/escrita |
|
Envie os logs do mecanismo de IA para o grupo de logs do Amazon CloudWatch durante as operações de implantação e reconstrução |
Logs:CreateLogGroup |
Implantação |
Leitura/escrita |
Logs:PutRetentationPolicy |
Implantação |
Leitura/escrita |
|
Envie os logs do mecanismo de IA para o grupo de logs do Amazon CloudWatch |
Logs:TagResource |
Solução de problemas |
Leitura/escrita |
Obtenha resposta SSM do Amazon CloudWatch (quando a resposta for muito longa) |
Logs:DescribeLogStreams |
Solução de problemas |
Leitura/escrita |
Obtenha a resposta SSM do Amazon CloudWatch |
Logs:GetLogEvents |
Solução de problemas |
Leitura/escrita |
Crie um grupo de log do Amazon CloudWatch para logs do Amazon bedrock durante a criação da pilha durante as operações de implantação e reconstrução |
Logs:CreateLogGroup |
Implantação |
Leitura/escrita |
Logs:PutRetentationPolicy |
Implantação |
Leitura/escrita |
|
Logs:TagResource |
Implantação |
Leitura/escrita |
|
Listar perfis de inferência para o modelo |
Bedrock:ListInferenceProfiles |
Solução de problemas |
Leitura/escrita |
Permissões para cargas de trabalho VMware
As políticas do IAM para cargas de trabalho do VMware fornecem as permissões que o Workload Factory for VMware precisa para gerenciar recursos e processos dentro do seu ambiente de nuvem pública com base no modo operacional em que você opera.
Selecione o modo operacional para visualizar as políticas do IAM necessárias:
Políticas do IAM para workloads da VMware
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ssm:GetParametersByPath",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}A tabela a seguir fornece detalhes sobre as permissões para cargas de trabalho VMware.
Tabela de permissões para workloads da VMware
| Finalidade | Ação | Onde usado | Modo |
|---|---|---|---|
Anexe grupos de segurança e modifique regras para os nós provisionados |
EC2:AutorizeSecurityGroupIngress |
Implantação |
Leitura/escrita |
Criar volumes EBS |
EC2:Createvolume |
Implantação |
Leitura/escrita |
Marque valores personalizados para os recursos do FSX for NetApp ONTAP criados pelas cargas de trabalho da VMware |
fsx:TagResource |
Implantação |
Leitura/escrita |
Crie e valide o modelo do CloudFormation |
Formação de nuvens: CreateStack |
Implantação |
Leitura/escrita |
Gerencie tags e segurança de rede em instâncias criadas |
EC2:CreateSecurityGroup |
Implantação |
Leitura/escrita |
Inicie as instâncias criadas |
EC2:RunInstances |
Implantação |
Leitura/escrita |
Obtenha detalhes da instância do EC2 |
EC2: DescribeInstances |
Implantação |
Leitura/escrita |
Listar imagens durante a criação da pilha durante as operações de implantação e reconstrução |
EC2: DescribeImages |
Implantação |
Leitura/escrita |
Obtenha os VPCs no ambiente selecionado para preencher o formulário de implantação |
EC2: DescribeVPCs |
|
|
Obtenha as sub-redes no ambiente selecionado para preencher o formulário de implantação |
EC2: DescribeSubnets |
|
|
Obtenha os grupos de segurança no ambiente selecionado para preencher o formulário de implantação |
EC2:DescribeSecurityGroups |
Implantação |
|
Obtenha as zonas de disponibilidade no ambiente selecionado |
EC2:DescribeDisabilityZones |
|
|
Obtenha as regiões com o suporte do Amazon FSX para NetApp ONTAP |
EC2:DescribeRegiões |
Implantação |
|
Obtenha aliases de chaves KMS para serem usadas para criptografia do Amazon FSX para NetApp ONTAP |
Kms:ListAliases |
Implantação |
|
Obtenha chaves KMS para serem usadas para criptografia do Amazon FSX for NetApp ONTAP |
Kms: ListKeys |
Implantação |
|
Obtenha os detalhes de expiração das chaves KMS a serem usados para a criptografia do Amazon FSX for NetApp ONTAP |
Kms:DescribeKey |
Implantação |
|
A consulta baseada em SSM é usada para obter a lista atualizada de regiões compatíveis com o Amazon FSX para NetApp ONTAP |
ssm:GetParametersByPath |
Implantação |
|
Crie os recursos do Amazon FSX for NetApp ONTAP necessários para o provisionamento |
fsx:CreateFileSystem |
Implantação |
Leitura/escrita |
fsx:CreateStorageVirtualMachine |
Implantação |
Leitura/escrita |
|
fsx:Createvolume |
|
Leitura/escrita |
|
Obtenha detalhes do Amazon FSX para NetApp ONTAP |
fsx:descrever* |
|
Leitura/escrita |
fsx:Lista* |
|
Leitura/escrita |
|
Obtenha detalhes das chaves do KMS e use a criptografia do Amazon FSX for NetApp ONTAP |
Kms:CreateGrant |
Implantação |
Leitura/escrita |
Kms: Descrever* |
Implantação |
Leitura/escrita |
|
Kms:Lista* |
Implantação |
Leitura/escrita |
|
Kms:desencriptar |
Implantação |
Leitura/escrita |
|
Kms:GenerateDataKey |
Implantação |
Leitura/escrita |
|
Liste os tópicos do SNS do cliente e publique no SNS de back-end do WLMVMC, bem como no SNS do cliente, se selecionado |
sns:publicar |
Implantação |
Leitura/escrita |
Usado para buscar a lista mais recente de regiões AWS compatíveis com o Amazon FSX para NetApp ONTAP |
ssm:obter* |
|
Leitura/escrita |
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias |
IAM:SimulatePrincipalPolicy |
Implantação |
Leitura/escrita |
O armazenamento de parâmetros SSM é usado para salvar credenciais do Amazon FSX for NetApp ONTAP |
ssm: GetParameter |
|
Leitura/escrita |
ssm:parâmetros de entrada |
|
Leitura/escrita |
|
ssm: PutParameter |
|
Leitura/escrita |
|
ssm:DeleteParameters |
|
Leitura/escrita |
Alterar registo
À medida que as permissões são adicionadas e removidas, vamos anotá-las nas seções abaixo.
5 de outubro de 2025
As seguintes permissões foram removidas do GenAI e agora são gerenciadas pelo mecanismo GenAI:
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
29 de junho de 2025
A seguinte permissão agora está disponível no modo somente leitura para bancos de dados: cloudwatch:GetMetricData .
3 de junho de 2025
A seguinte permissão agora está disponível no modo leitura/gravação para GenAI: s3:ListAllMyBuckets .
4 de maio de 2025
A seguinte permissão agora está disponível no modo leitura/gravação para GenAI: qbusiness:ListApplications .
As seguintes permissões agora estão disponíveis no modo somente leitura para bancos de dados:
-
logs:GetLogEvents -
logs:DescribeLogGroups
A seguinte permissão agora está disponível no modo leitura/gravação para bancos de dados:
logs:PutRetentionPolicy .
2 de abril de 2025
A seguinte permissão agora está disponível no modo somente leitura para bancos de dados: ssm:DescribeInstanceInformation .
30 de março de 2025
Atualização das permissões de workload do GenAI
As seguintes permissões agora estão disponíveis no modo de leitura/gravação para GenAI:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
A seguinte permissão foi removida do modo de leitura/gravação para GenAI: Bedrock:GetFoundationModel .
IAM:SimulatePrincipalPolicy permission update
O iam:SimulatePrincipalPolicy a permissão faz parte de todas as políticas de permissão de carga de trabalho se você habilitar a verificação automática de permissões ao adicionar credenciais de conta adicionais da AWS ou adicionar um novo recurso de carga de trabalho no console do Workload Factory. A permissão simula operações de carga de trabalho e verifica se você tem as permissões de conta da AWS necessárias antes de implantar recursos do Workload Factory. Habilitar essa verificação reduz o tempo e o esforço que você pode precisar para limpar recursos de operações com falha e adicionar permissões ausentes.
2 de março de 2025
A seguinte permissão agora está disponível no modo leitura/gravação para GenAI: bedrock:GetFoundationModel .
3 de fevereiro de 2025
A seguinte permissão agora está disponível no modo somente leitura para bancos de dados: iam:SimulatePrincipalPolicy .