O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Permissões para a fábrica de carga de trabalho do BlueXP

04/02/2025 Colaboradores

PDFs

Para usar os recursos e serviços de fábrica do workload do BlueXP , você precisará fornecer permissões para que a fábrica do workload possa executar operações em seu ambiente de nuvem.

Por que usar permissões

Quando você fornece permissões de modo de leitura ou automação, a fábrica de carga de trabalho anexa uma política à instância com permissões para gerenciar recursos e processos dentro dessa conta da AWS. Isso permite que a fábrica de workloads execute várias operações, desde a descoberta de seus ambientes de storage até a implantação de recursos da AWS, como sistemas de arquivos no gerenciamento de storage ou bases de conhecimento para workloads da GenAI.

Para cargas de trabalho de banco de dados, por exemplo, quando a fábrica de carga de trabalho é concedida com as permissões necessárias, ele verifica todas as instâncias EC2 em uma determinada conta e região e filtra todas as máquinas baseadas no Windows. Se o AWS Systems Manager (SSM) Agent estiver instalado e em execução na rede do host e do System Manager estiver configurado corretamente, a fábrica de carga de trabalho poderá acessar a máquina Windows e verificar se o software SQL Server está instalado ou não.

Permissões por carga de trabalho

Cada workload usa permissões para executar determinadas tarefas na fábrica de cargas de trabalho. Role até a carga de trabalho usada para exibir a lista de permissões, seu propósito, onde elas são usadas e quais modos as suportam.

Permissões para armazenamento

As políticas do IAM disponíveis para Storage fornecem as permissões que a fábrica de carga de trabalho precisa para gerenciar recursos e processos em seu ambiente de nuvem pública com base no modo operacional no qual você opera.

Selecione o modo operacional para visualizar as políticas do IAM necessárias:

Políticas do IAM para armazenamento

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "fsx:Describe*",
        "fsx:ListTagsForResource",
        "ec2:Describe*",
        "kms:Describe*",
        "elasticfilesystem:Describe*",
        "kms:List*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

A tabela a seguir exibe as permissões para armazenamento.

Tabela de permissões para armazenamento

Finalidade	Ação	Onde usado	Modo
Crie um sistema de arquivos FSX for ONTAP	fsx:CreateFileSystem*	Implantação	Automatizar
Crie um grupo de segurança para um sistema de arquivos FSX for ONTAP	EC2:CreateSecurityGroup	Implantação	Automatizar
Adicione tags a um grupo de segurança para um sistema de arquivos FSX for ONTAP	EC2:CreateTags	Implantação	Automatizar
Autorize a saída do grupo de segurança e a entrada para um sistema de arquivos FSX for ONTAP	EC2:AutorizeSecurityGroupEgress	Implantação	Automatizar
EC2:AutorizeSecurityGroupIngress	Implantação	Automatizar
A função concedida fornece comunicação entre o FSX for ONTAP e outros serviços da AWS	IAM:CreateServiceLinkRole	Implantação	Automatizar
Obtenha detalhes para preencher o formulário de implantação do sistema de arquivos FSX for ONTAP	EC2: DescribeVPCs	Implantação Explore as poupanças	Leia Automatizar
EC2: DescribeSubnets	Implantação Explore as poupanças	Leia Automatizar
EC2:DescribeRegiões	Implantação Explore as poupanças	Leia Automatizar
EC2:DescribeSecurityGroups	Implantação Explore as poupanças	Leia Automatizar
EC2:DescribeRouteTables	Implantação Explore as poupanças	Leia Automatizar
EC2:DescribeNetworkInterfaces	Implantação Explore as poupanças	Leia Automatizar
EC2:DescribeVolumeStatus	Implantação Explore as poupanças	Leia Automatizar
Obtenha os detalhes das chaves do KMS e use a criptografia FSX for ONTAP	Kms:CreateGrant	Implantação	Automatizar
Kms: Descrever*	Implantação	Leia Automatizar
Kms:Lista*	Implantação	Leia Automatizar
Obtenha detalhes do volume para instâncias EC2	EC2:DescribeVolumes	Inventário Explore as poupanças	Leia Automatizar
Obtenha detalhes para instâncias EC2	EC2: DescribeInstances	Explore as poupanças	Leia Automatizar
Descrever o Elastic File System na calculadora de economia	Elasticfilesystem:describe*	Explore as poupanças	Leia
Listar tags para recursos do FSX for ONTAP	fsx:ListTagsForResource	Inventário	Leia Automatizar
Gerencie a saída do grupo de segurança e o ingresso para um sistema de arquivos FSX for ONTAP	EC2:RevokeSecurityGroupIngress	Operações de gerenciamento	Automatizar
EC2:DeleteSecurityGroup	Operações de gerenciamento	Automatizar
Crie, visualize e gerencie recursos do sistema de arquivos FSX for ONTAP	fsx:Createvolume*	Operações de gerenciamento	Automatizar
fsx:TagResource*	Operações de gerenciamento	Automatizar
fsx:CreateStorageVirtualMachine*	Operações de gerenciamento	Automatizar
fsx:DeleteFileSystem*	Operações de gerenciamento	Automatizar
fsx:DeleteStorageVirtualMachine*	Operações de gerenciamento	Automatizar
fsx:DescribeFileSystems*	Inventário	Leia Automatizar
fsx:DescribeStorageVirtualMachines*	Inventário	Leia Automatizar
fsx:UpdateFileSystem*	Operações de gerenciamento	Automatizar
fsx:UpdateStorageVirtualMachine*	Operações de gerenciamento	Automatizar
fsx:DescribeVolumes*	Inventário	Leia Automatizar
fsx:Updatevolume*	Operações de gerenciamento	Automatizar
fsx:Deletevolume*	Operações de gerenciamento	Automatizar
fsx:UntagResource*	Operações de gerenciamento	Automatizar
fsx:DescribeBackups*	Operações de gerenciamento	Leia Automatizar
fsx:CreateBackup*	Operações de gerenciamento	Automatizar
fsx:CreateVolumeFromBackup*	Operações de gerenciamento	Automatizar
Relatar métricas do CloudWatch	cloudwatch: PutMetricData	Operações de gerenciamento	Automatizar
Obtenha métricas de volume e sistema de arquivos	cloudwatch: GetMetricData	Operações de gerenciamento	Leia Automatizar
cloudwatch:GetMetricStatistics	Operações de gerenciamento	Leia Automatizar

Finalidade

Ação

Onde usado

Modo

Crie um sistema de arquivos FSX for ONTAP

fsx:CreateFileSystem*

Implantação

Automatizar

Crie um grupo de segurança para um sistema de arquivos FSX for ONTAP

EC2:CreateSecurityGroup

Implantação

Automatizar

Adicione tags a um grupo de segurança para um sistema de arquivos FSX for ONTAP

EC2:CreateTags

Implantação

Automatizar

Autorize a saída do grupo de segurança e a entrada para um sistema de arquivos FSX for ONTAP

EC2:AutorizeSecurityGroupEgress

Implantação

Automatizar

EC2:AutorizeSecurityGroupIngress

Implantação

Automatizar

A função concedida fornece comunicação entre o FSX for ONTAP e outros serviços da AWS

IAM:CreateServiceLinkRole

Implantação

Automatizar

Obtenha detalhes para preencher o formulário de implantação do sistema de arquivos FSX for ONTAP

EC2: DescribeVPCs

Implantação
Explore as poupanças

Leia
Automatizar

EC2: DescribeSubnets

Implantação
Explore as poupanças

Leia
Automatizar

EC2:DescribeRegiões

Implantação
Explore as poupanças

Leia
Automatizar

EC2:DescribeSecurityGroups

Implantação
Explore as poupanças

Leia
Automatizar

EC2:DescribeRouteTables

Implantação
Explore as poupanças

Leia
Automatizar

EC2:DescribeNetworkInterfaces

Implantação
Explore as poupanças

Leia
Automatizar

EC2:DescribeVolumeStatus

Implantação
Explore as poupanças

Leia
Automatizar

Obtenha os detalhes das chaves do KMS e use a criptografia FSX for ONTAP

Kms:CreateGrant

Implantação

Automatizar

Kms: Descrever*

Implantação

Leia
Automatizar

Kms:Lista*

Implantação

Leia
Automatizar

Obtenha detalhes do volume para instâncias EC2

EC2:DescribeVolumes

Inventário
Explore as poupanças

Leia
Automatizar

Obtenha detalhes para instâncias EC2

EC2: DescribeInstances

Explore as poupanças

Leia
Automatizar

Descrever o Elastic File System na calculadora de economia

Elasticfilesystem:describe*

Explore as poupanças

Leia

Listar tags para recursos do FSX for ONTAP

fsx:ListTagsForResource

Inventário

Leia
Automatizar

Gerencie a saída do grupo de segurança e o ingresso para um sistema de arquivos FSX for ONTAP

EC2:RevokeSecurityGroupIngress

Operações de gerenciamento

Automatizar

EC2:DeleteSecurityGroup

Operações de gerenciamento

Automatizar

Crie, visualize e gerencie recursos do sistema de arquivos FSX for ONTAP

fsx:Createvolume*

Operações de gerenciamento

Automatizar

fsx:TagResource*

Operações de gerenciamento

Automatizar

fsx:CreateStorageVirtualMachine*

Operações de gerenciamento

Automatizar

fsx:DeleteFileSystem*

Operações de gerenciamento

Automatizar

fsx:DeleteStorageVirtualMachine*

Operações de gerenciamento

Automatizar

fsx:DescribeFileSystems*

Inventário

Leia
Automatizar

fsx:DescribeStorageVirtualMachines*

Inventário

Leia
Automatizar

fsx:UpdateFileSystem*

Operações de gerenciamento

Automatizar

fsx:UpdateStorageVirtualMachine*

Operações de gerenciamento

Automatizar

fsx:DescribeVolumes*

Inventário

Leia
Automatizar

fsx:Updatevolume*

Operações de gerenciamento

Automatizar

fsx:Deletevolume*

Operações de gerenciamento

Automatizar

fsx:UntagResource*

Operações de gerenciamento

Automatizar

fsx:DescribeBackups*

Operações de gerenciamento

Leia
Automatizar

fsx:CreateBackup*

Operações de gerenciamento

Automatizar

fsx:CreateVolumeFromBackup*

Operações de gerenciamento

Automatizar

Relatar métricas do CloudWatch

cloudwatch: PutMetricData

Operações de gerenciamento

Automatizar

Obtenha métricas de volume e sistema de arquivos

cloudwatch: GetMetricData

Operações de gerenciamento

Leia
Automatizar

cloudwatch:GetMetricStatistics

Operações de gerenciamento

Leia
Automatizar

Permissões para workloads de bancos de dados

As políticas do IAM disponíveis para cargas de trabalho de bancos de dados fornecem as permissões que a fábrica de carga de trabalho precisa para gerenciar recursos e processos em seu ambiente de nuvem pública com base no modo operacional no qual você opera.

Selecione o modo operacional para visualizar as políticas do IAM necessárias:

Políticas do IAM para workloads de bancos de dados

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CommonGroup",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "sns:ListTopics",
        "ec2:DescribeInstances",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeImages",
        "ec2:DescribeRegions",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes",
        "ec2:DescribeAddresses",
        "kms:ListAliases",
        "kms:ListKeys",
        "kms:DescribeKey",
        "cloudformation:ListStacks",
        "cloudformation:DescribeAccountLimits",
        "ds:DescribeDirectories",
        "fsx:DescribeVolumes",
        "fsx:DescribeBackups",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:DescribeFileSystems",
        "servicequotas:ListServiceQuotas",
        "ssm:GetParametersByPath",
        "ssm:GetCommandInvocation",
        "ssm:SendCommand",
        "ssm:GetConnectionStatus",
        "ssm:DescribePatchBaselines",
        "ssm:DescribeInstancePatchStates",
        "ssm:ListCommands",
        "ssm:DescribeInstanceInformation",
        "fsx:ListTagsForResource"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:GetParameters",
        "ssm:PutParameter",
        "ssm:DeleteParameters"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

A tabela a seguir exibe as permissões para cargas de trabalho de banco de dados.

Tabela de permissões para workloads de banco de dados

Finalidade	Ação	Onde usado	Modo
Obtenha estatísticas métricas para o FSX para ONTAP, EBS e FSX para servidor de arquivos do Windows	cloudwatch:GetMetricStatistics	Inventário Explore as poupanças	Leia Automatizar
Listar e definir gatilhos para eventos	sns:ListTopics	Implantação	Leia Automatizar
Obtenha detalhes para instâncias EC2	EC2: DescribeInstances	Inventário Explore as poupanças	Leia Automatizar
EC2: DescribeKeyPairs	Implantação	Leia Automatizar
EC2:DescribeNetworkInterfaces	Implantação	Leia Automatizar
EC2:DescribeInstanceTypes	Implantação Explore as poupanças	Leia Automatizar
Obtenha detalhes para preencher o formulário de implantação do FSX for ONTAP	EC2: DescribeVPCs	Implantação Inventário	Leia Automatizar
EC2: DescribeSubnets	Implantação Inventário	Leia Automatizar
EC2:DescribeSecurityGroups	Implantação	Leia Automatizar
EC2: DescribeImages	Implantação	Leia Automatizar
EC2:DescribeRegiões	Implantação	Leia Automatizar
EC2:DescribeRouteTables	Implantação Inventário	Leia Automatizar
Obtenha quaisquer endpoints VPC existentes para determinar se novos endpoints precisam ser criados antes das implantações	EC2:DescribeVpcEndpoints	Implantação Inventário	Leia Automatizar
Crie endpoints VPC se eles não existirem para serviços necessários, independentemente da conetividade de rede pública em instâncias EC2	EC2:CreateVpcEndpoint	Implantação	Automatizar
Obter tipos de instância disponíveis na região para nós de validação (T2.micro/T3.micro)	EC2:DescribeInstanceTypeOfferings	Implantação	Leia Automatizar
Obtenha detalhes de snapshot de cada volume EBS anexado para estimativa de preços e economia	EC2:DescribeSnapshots	Explore as poupanças	Leia Automatizar
Obtenha detalhes de cada volume EBS anexado para estimativa de preços e economia	EC2:DescribeVolumes	Inventário Explore as poupanças	Leia Automatizar
Obtenha detalhes da chave do KMS para criptografia do sistema de arquivos FSX for ONTAP	Kms:ListAliases	Implantação	Leia Automatizar
Kms: ListKeys	Implantação	Leia Automatizar
Kms:DescribeKey	Implantação	Leia Automatizar
Obtenha uma lista de pilhas do CloudFormation em execução no ambiente para verificar o limite de cota	Cloudformation:ListStacks	Implantação	Leia Automatizar
Verifique os limites de conta para recursos antes de acionar a implantação	Cloudformation:DescribeAccountLimits	Implantação	Leia Automatizar
Obtenha a lista de diretórios ativos gerenciados pela AWS na região	ds:DescribeDirectories	Implantação	Leia Automatizar
Obtenha listas e detalhes de volumes, backups, SVMs, sistemas de arquivos no AZs e tags para o sistema de arquivos FSX for ONTAP	fsx:DescribeVolumes	Inventário Explore a economia	Leia Automatizar
fsx:DescribeBackups	Inventário Explore a economia	Leia Automatizar
fsx:DescribeStorageVirtualMachines	Implantação Gerenciar operações Inventário	Leia Automatizar
fsx:DescribeFileSystems	Implantação Gerenciar operações Inventário Explore as poupanças	Leia Automatizar
fsx:ListTagsForResource	Gerenciar operações	Leia Automatizar
Obtenha limites de cota de serviço para o CloudFormation e a VPC	Servicequotas:ListServiceQuotes	Implantação	Leia Automatizar
Use a consulta com base no SSM para obter a lista atualizada de regiões compatíveis com o FSX para ONTAP	ssm:GetParametersByPath	Implantação	Leia Automatizar
Poll para resposta SSM após o envio do comando para gerenciar operações após a implantação	ssm:GetCommandInvocation	Gerenciar operações Inventário Explore as poupanças Otimização	Leia Automatizar
Envie comandos através de SSM para instâncias EC2	ssm:SendCommand	Gerenciar operações Inventário Explore as poupanças Otimização	Leia Automatizar
Obtenha o status de conetividade SSM em instâncias após a implantação	ssm:GetConnectionStatus	Gerenciar operações Inventário Otimização	Leia Automatizar
Buscar status de associação SSM para um grupo de instâncias EC2 gerenciadas (nós SQL)	ssm:DescribeInstanceInformation	Inventário	Leia
Obtenha a lista de linhas de base de patch disponíveis para avaliação de patches do sistema operacional	ssm:DescribePatchBaselines	Otimização	Leia Automatizar
Obtenha o estado de correção em instâncias do Windows EC2 para avaliação de patches do sistema operacional	ssm:DescribeInstancePatchStates	Otimização	Leia Automatizar
Listar comandos executados pelo AWS Patch Manager em instâncias do EC2 para gerenciamento de patches do sistema operacional	ssm:ListCommands	Otimização	Leia Automatizar
Verifique se a conta está inscrita no AWS Compute Optimizer	Otimizador de computação:GetEnrollmentStatus	Explore as poupanças Otimização	Automatizar
Atualize uma preferência de recomendação existente no AWS Compute Optimizer para personalizar sugestões para cargas de trabalho do servidor SQL	Otimizador de computação:PutRecommendationPreferences	Explore as poupanças Otimização	Automatizar
Obtenha preferências de recomendação que estão em vigor para um determinado recurso do AWS Compute Optimizer	Compute-Optimizer:GetEffectiveRecommendationPreferences	Explore as poupanças Otimização	Automatizar
Obtenha recomendações que o AWS Compute Optimizer gera para instâncias do Amazon Elastic Compute Cloud (Amazon EC2)	Otimizador de computação:GetEC2InstanceRecommendations	Explore as poupanças Otimização	Automatizar
Verifique a associação de instância aos grupos de dimensionamento automático	Dimensionamento automático:DescribeAutoScalingGroups	Explore as poupanças Otimização	Automatizar
Dimensionamento automático:DescribeAutoScalingInstances	Explore as poupanças Otimização	Automatizar
Obtenha, liste, crie e exclua parâmetros SSM para credenciais de usuário do AD, FSX for ONTAP e SQL usadas durante a implantação ou gerenciadas em sua conta da AWS	ssm: GetParameter 1	Implantação Gerenciar operações	Leia Automatizar
ssm: GetParameters 1	Gerenciar operações	Leia Automatizar
ssm: PutParameter 1	Implantação Gerenciar operações	Leia Automatizar
ssm:DeleteParameters 1	Gerenciar operações	Leia Automatizar
Associe recursos de rede a nós SQL e nós de validação e adicione IPs secundários adicionais a nós SQL	EC2:AllocateAddress 1	Implantação	Automatizar
EC2:AllocateHosts 1	Implantação	Automatizar
EC2:AssignPrivateIpAddresses 1	Implantação	Automatizar
EC2:AssociateAddress 1	Implantação	Automatizar
EC2:AssociateRouteTable 1	Implantação	Automatizar
EC2:AssociateSubnetCidrBlock 1	Implantação	Automatizar
EC2:AssociateVpcCidrBlock 1	Implantação	Automatizar
EC2:AttachInternetGateway 1	Implantação	Automatizar
EC2:AttacNetworkInterface 1	Implantação	Automatizar
Anexe volumes EBS necessários aos nós SQL para implantação	EC2: Attachvolume	Implantação	Automatizar
Anexe grupos de segurança e modifique regras para os nós provisionados	EC2:AutorizeSecurityGroupEgress	Implantação	Automatizar
EC2:AutorizeSecurityGroupIngress	Implantação	Automatizar
Crie volumes EBS necessários para os nós SQL para implantação	EC2:Createvolume	Implantação	Automatizar
Remova os nós de validação temporária criados do tipo T2.micro e para reversão ou tentativa de reversão de nós SQL EC2 com falha	EC2:DeleteNetworkInterface	Implantação	Automatizar
EC2:DeleteSecurityGroup	Implantação	Automatizar
EC2:DeleteTags	Implantação	Automatizar
EC2:Deletevolume	Implantação	Automatizar
EC2: DetachNetworkInterface	Implantação	Automatizar
EC2: Detachvolume	Implantação	Automatizar
EC2:Endereço Desassociativo	Implantação	Automatizar
EC2:DesassociateIamInstanceProfile	Implantação	Automatizar
EC2:DesassociateRouteTable	Implantação	Automatizar
EC2:DesassociateSubnetCidrBlock	Implantação	Automatizar
EC2:DesassociateVpcCidrBlock	Implantação	Automatizar
Modifique atributos para instâncias SQL criadas. Apenas aplicável a nomes que começam com WLMDB.	EC2:ModifyInstanceAttribute	Implantação	Automatizar
EC2:ModifyInstancePlacement	Implantação	Automatizar
EC2:ModifyNetworkInterfaceAttribute	Implantação	Automatizar
EC2:ModifySubnetAttribute	Implantação	Automatizar
EC2:Modifyvolume	Implantação	Automatizar
EC2:ModifyVolumeAtributo	Implantação	Automatizar
EC2:ModifyVpcAttribute	Implantação	Automatizar
Desassocie e destrua instâncias de validação	EC2: Endereço de entrega	Implantação	Automatizar
EC2:ReplaceRoute	Implantação	Automatizar
EC2:ReplaceRouteAssociation	Implantação	Automatizar
EC2:RevokeSecurityGroupEgress	Implantação	Automatizar
EC2:RevokeSecurityGroupIngress	Implantação	Automatizar
Inicie as instâncias implantadas	EC2: StartInstances	Implantação	Automatizar
Pare as instâncias implantadas	EC2:StopInstances	Implantação	Automatizar
Marque valores personalizados para os recursos do Amazon FSX for NetApp ONTAP criados pelo WLMDB para obter detalhes de cobrança durante o gerenciamento de recursos	Bem-vindo ao site 1	Implantação Gerenciar operações	Automatizar
Crie e valide o modelo do CloudFormation para implantação	Formação de nuvens: CreateStack	Implantação	Automatizar
Cloudformation:DescribeStackEvents	Implantação	Automatizar
Cloudformation:DescribeStacks	Implantação	Automatizar
Cloudformation:ListStacks	Implantação	Automatizar
Cloudformation:ValidateTemplate	Implantação	Automatizar
Buscar métricas para recomendação de otimização de computação	cloudwatch:GetMetricStatistics	Explore as poupanças	Automatizar
Buscar diretórios disponíveis na região	ds:DescribeDirectories	Implantação	Automatizar
Adicione regras para o Grupo de Segurança anexado a instâncias EC2 provisionadas	EC2:AutorizeSecurityGroupEgress	Implantação	Automatizar
EC2:AutorizeSecurityGroupIngress	Implantação	Automatizar
Crie modelos de pilha aninhados para tentar novamente e reverter	EC2:CreateLaunchTemplate	Implantação	Automatizar
EC2:CreateLaunchTemplateVersion	Implantação	Automatizar
Gerencie tags e segurança de rede em instâncias criadas	EC2: CreateNetworkInterface	Implantação	Automatizar
EC2:CreateSecurityGroup	Implantação	Automatizar
EC2:CreateTags	Implantação	Automatizar
Exclua o Grupo de Segurança criado temporariamente para nós de validação	EC2:DeleteSecurityGroup	Implantação	Automatizar
Obter detalhes da instância para provisionamento	EC2:descrever*	Implantação Inventário Explore as poupanças	Automatizar
EC2:obter*	Implantação Inventário Explore as poupanças	Automatizar
Inicie as instâncias criadas	EC2:RunInstances	Implantação	Automatizar
O Systems Manager usa o endpoint do serviço de entrega de mensagens da AWS para operações de API	ec2messages:*	Implantação *Inventário	Automatizar
Crie recursos do FSX for ONTAP necessários para o provisionamento. Para sistemas FSX para ONTAP existentes, um novo SVM foi criado para hospedar volumes SQL.	fsx:CreateFileSystem	Implantação	Automatizar
fsx:CreateStorageVirtualMachine	Implantação	Automatizar
fsx:Createvolume	Implantação Gerenciar operações	Automatizar
Obtenha os detalhes do FSX for ONTAP	fsx:descrever*	Implantação Inventário Gerenciar operações Explore as poupanças	Automatizar
fsx:Lista*	Implantação Inventário	Automatizar
Redimensione o sistema de arquivos FSX for ONTAP para corrigir o espaço livre do sistema de arquivos	fsx:UpdateFilesystem	Otimização	Automatizar
Redimensione volumes para corrigir os tamanhos de unidades de log e TempDB	fsx:Updatevolume	Otimização	Automatizar
Obtenha os detalhes das chaves do KMS e use a criptografia FSX for ONTAP	Kms:CreateGrant	Implantação	Automatizar
Kms: Descrever*	Implantação	Automatizar
Kms:Lista*	Implantação	Automatizar
Kms:GenerateDataKey	Implantação	Automatizar
Crie logs do CloudWatch para scripts de validação e provisionamento executados em instâncias do EC2	Logs:CreateLogGroup	Implantação	Automatizar
Logs:CreateLogStream	Implantação	Automatizar
Logs:DescribeLog*	Implantação	Automatizar
Logs:GetLog*	Implantação	Automatizar
Registos:ListLogDeliveries	Implantação	Automatizar
Logs:PutLogEvents	Implantação Gerenciar operações	Automatizar
Logs:TagResource	Implantação	Automatizar
Crie segredos em uma conta de usuário para as credenciais fornecidas para SQL, domínio e FSX para ONTAP	Servicequotas:ListServiceQuotes	Implantação	Automatizar
Liste os tópicos do SNS do cliente e publique no SNS de back-end do WLMDB, bem como no SNS do cliente, se selecionado	sns:ListTopics	Implantação	Automatizar
sns:publicar	Implantação	Automatizar
Permissões de SSM necessárias para executar o script de descoberta em instâncias SQL provisionadas e buscar a lista mais recente de regiões AWS compatíveis com o FSX para ONTAP.	ssm:descrever*	Implantação	Automatizar
ssm:obter*	Implantação Gerenciar operações	Automatizar
ssm:Lista*	Implantação	Automatizar
ssm: Aplicação de segurança	Implantação	Automatizar
ssm:PutConfigurePackageResult	Implantação	Automatizar
ssm:Stock	Implantação	Automatizar
ssm:SendCommand	Implantação Inventário Gerenciar operações	Automatizar
ssm:UpdateAssociationStatus	Implantação	Automatizar
ssm:UpdateInstanceAssociationStatus	Implantação	Automatizar
ssm:UpdateInstanceInformation	Implantação	Automatizar
mensagens:*	Implantação Inventário Gerenciar operações	Automatizar
Salvar credenciais para o FSX for ONTAP, ative Directory e usuário SQL (apenas para autenticação de usuário SQL)	ssm: GetParameter 1	Implantação Gerenciar operações Inventário	Automatizar
ssm: GetParameters 1	Implantação Inventário	Automatizar
ssm: PutParameter 1	Implantação Gerenciar operações	Automatizar
ssm:DeleteParameters 1	Implantação Gerenciar operações	Automatizar
Sinalize a pilha do CloudFormation com sucesso ou falha.	Cloudformation: SignalResource 1	Implantação	Automatizar
Adicione a função EC2 criada por modelo ao perfil de instância do EC2 para permitir que scripts no EC2 acessem os recursos necessários para implantação.	IAM:AddRoleToInstanceProfile	Implantação	Automatizar
Crie o perfil de instância para EC2 e anexe a função EC2 criada.	IAM:CreateInstanceProfile	Implantação	Automatizar
Crie uma função EC2D através de modelo com as permissões listadas abaixo	IAM:CreateRole	Implantação	Automatizar
Criar função vinculada ao serviço EC2	ISO:CreateServiceLinkRole 2	Implantação	Automatizar
Excluir perfil de instância criado durante a implantação especificamente para os nós de validação	IAM:DeleteInstanceProfile	Implantação	Automatizar
Obtenha os detalhes da função e da política para determinar quaisquer lacunas na permissão e validar para a implantação	IAM:GetPolicy	Implantação	Automatizar
IAM:GetPolicyVersion	Implantação	Automatizar
IAM: GetRole	Implantação	Automatizar
IAM:GetRolePolicy	Implantação	Automatizar
IAM:GetUser	Implantação	Automatizar
Passe a função criada para a instância EC2	3	Implantação	Automatizar
Adicione a política com as permissões necessárias à função EC2 criada	IAM:PutRolePolicy	Implantação	Automatizar
Separe a função do perfil de instância do EC2 provisionado	IAM:RemoveRoleFromInstanceProfile	Implantação	Automatizar
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias	IAM:SimulatePrincipalPolicy	Implantação	Leia Automatizar

Finalidade

Ação

Onde usado

Modo

Obtenha estatísticas métricas para o FSX para ONTAP, EBS e FSX para servidor de arquivos do Windows

cloudwatch:GetMetricStatistics

Inventário
Explore as poupanças

Leia
Automatizar

Listar e definir gatilhos para eventos

sns:ListTopics

Implantação

Leia
Automatizar

Obtenha detalhes para instâncias EC2

EC2: DescribeInstances

Inventário
Explore as poupanças

Leia
Automatizar

EC2: DescribeKeyPairs

Implantação

Leia
Automatizar

EC2:DescribeNetworkInterfaces

Implantação

Leia
Automatizar

EC2:DescribeInstanceTypes

Implantação
Explore as poupanças

Leia
Automatizar

Obtenha detalhes para preencher o formulário de implantação do FSX for ONTAP

EC2: DescribeVPCs

Implantação
Inventário

Leia
Automatizar

EC2: DescribeSubnets

Implantação
Inventário

Leia
Automatizar

EC2:DescribeSecurityGroups

Implantação

Leia
Automatizar

EC2: DescribeImages

Implantação

Leia
Automatizar

EC2:DescribeRegiões

Implantação

Leia
Automatizar

EC2:DescribeRouteTables

Implantação
Inventário

Leia
Automatizar

Obtenha quaisquer endpoints VPC existentes para determinar se novos endpoints precisam ser criados antes das implantações

EC2:DescribeVpcEndpoints

Implantação
Inventário

Leia
Automatizar

Crie endpoints VPC se eles não existirem para serviços necessários, independentemente da conetividade de rede pública em instâncias EC2

EC2:CreateVpcEndpoint

Implantação

Automatizar

Obter tipos de instância disponíveis na região para nós de validação (T2.micro/T3.micro)

EC2:DescribeInstanceTypeOfferings

Implantação

Leia
Automatizar

Obtenha detalhes de snapshot de cada volume EBS anexado para estimativa de preços e economia

EC2:DescribeSnapshots

Explore as poupanças

Leia
Automatizar

Obtenha detalhes de cada volume EBS anexado para estimativa de preços e economia

EC2:DescribeVolumes

Inventário
Explore as poupanças

Leia
Automatizar

Obtenha detalhes da chave do KMS para criptografia do sistema de arquivos FSX for ONTAP

Kms:ListAliases

Implantação

Leia
Automatizar

Kms: ListKeys

Implantação

Leia
Automatizar

Kms:DescribeKey

Implantação

Leia
Automatizar

Obtenha uma lista de pilhas do CloudFormation em execução no ambiente para verificar o limite de cota

Cloudformation:ListStacks

Implantação

Leia
Automatizar

Verifique os limites de conta para recursos antes de acionar a implantação

Cloudformation:DescribeAccountLimits

Implantação

Leia
Automatizar

Obtenha a lista de diretórios ativos gerenciados pela AWS na região

ds:DescribeDirectories

Implantação

Leia
Automatizar

Obtenha listas e detalhes de volumes, backups, SVMs, sistemas de arquivos no AZs e tags para o sistema de arquivos FSX for ONTAP

fsx:DescribeVolumes

Inventário
Explore a economia

Leia
Automatizar

fsx:DescribeBackups

Inventário
Explore a economia

Leia
Automatizar

fsx:DescribeStorageVirtualMachines

Implantação
Gerenciar operações
Inventário

Leia
Automatizar

fsx:DescribeFileSystems

Implantação
Gerenciar operações
Inventário
Explore as poupanças

Leia
Automatizar

fsx:ListTagsForResource

Gerenciar operações

Leia
Automatizar

Obtenha limites de cota de serviço para o CloudFormation e a VPC

Servicequotas:ListServiceQuotes

Implantação

Leia
Automatizar

Use a consulta com base no SSM para obter a lista atualizada de regiões compatíveis com o FSX para ONTAP

ssm:GetParametersByPath

Implantação

Leia
Automatizar

Poll para resposta SSM após o envio do comando para gerenciar operações após a implantação

ssm:GetCommandInvocation

Gerenciar operações
Inventário
Explore as poupanças
Otimização

Leia
Automatizar

Envie comandos através de SSM para instâncias EC2

ssm:SendCommand

Gerenciar operações
Inventário
Explore as poupanças
Otimização

Leia
Automatizar

Obtenha o status de conetividade SSM em instâncias após a implantação

ssm:GetConnectionStatus

Gerenciar operações
Inventário
Otimização

Leia
Automatizar

Buscar status de associação SSM para um grupo de instâncias EC2 gerenciadas (nós SQL)

ssm:DescribeInstanceInformation

Inventário

Leia

Obtenha a lista de linhas de base de patch disponíveis para avaliação de patches do sistema operacional

ssm:DescribePatchBaselines

Otimização

Leia
Automatizar

Obtenha o estado de correção em instâncias do Windows EC2 para avaliação de patches do sistema operacional

ssm:DescribeInstancePatchStates

Otimização

Leia
Automatizar

Listar comandos executados pelo AWS Patch Manager em instâncias do EC2 para gerenciamento de patches do sistema operacional

ssm:ListCommands

Otimização

Leia
Automatizar

Verifique se a conta está inscrita no AWS Compute Optimizer

Otimizador de computação:GetEnrollmentStatus

Explore as poupanças
Otimização

Automatizar

Atualize uma preferência de recomendação existente no AWS Compute Optimizer para personalizar sugestões para cargas de trabalho do servidor SQL

Otimizador de computação:PutRecommendationPreferences

Explore as poupanças
Otimização

Automatizar

Obtenha preferências de recomendação que estão em vigor para um determinado recurso do AWS Compute Optimizer

Compute-Optimizer:GetEffectiveRecommendationPreferences

Explore as poupanças
Otimização

Automatizar

Obtenha recomendações que o AWS Compute Optimizer gera para instâncias do Amazon Elastic Compute Cloud (Amazon EC2)

Otimizador de computação:GetEC2InstanceRecommendations

Explore as poupanças
Otimização

Automatizar

Verifique a associação de instância aos grupos de dimensionamento automático

Dimensionamento automático:DescribeAutoScalingGroups

Explore as poupanças
Otimização

Automatizar

Dimensionamento automático:DescribeAutoScalingInstances

Explore as poupanças
Otimização

Automatizar

Obtenha, liste, crie e exclua parâmetros SSM para credenciais de usuário do AD, FSX for ONTAP e SQL usadas durante a implantação ou gerenciadas em sua conta da AWS

ssm: GetParameter 1

Implantação
Gerenciar operações

Leia
Automatizar

ssm: GetParameters 1

Gerenciar operações

Leia
Automatizar

ssm: PutParameter 1

Implantação
Gerenciar operações

Leia
Automatizar

ssm:DeleteParameters 1

Gerenciar operações

Leia
Automatizar

Associe recursos de rede a nós SQL e nós de validação e adicione IPs secundários adicionais a nós SQL

EC2:AllocateAddress 1

Implantação

Automatizar

EC2:AllocateHosts 1

Implantação

Automatizar

EC2:AssignPrivateIpAddresses 1

Implantação

Automatizar

EC2:AssociateAddress 1

Implantação

Automatizar

EC2:AssociateRouteTable 1

Implantação

Automatizar

EC2:AssociateSubnetCidrBlock 1

Implantação

Automatizar

EC2:AssociateVpcCidrBlock 1

Implantação

Automatizar

EC2:AttachInternetGateway 1

Implantação

Automatizar

EC2:AttacNetworkInterface 1

Implantação

Automatizar

Anexe volumes EBS necessários aos nós SQL para implantação

EC2: Attachvolume

Implantação

Automatizar

Anexe grupos de segurança e modifique regras para os nós provisionados

EC2:AutorizeSecurityGroupEgress

Implantação

Automatizar

EC2:AutorizeSecurityGroupIngress

Implantação

Automatizar

Crie volumes EBS necessários para os nós SQL para implantação

EC2:Createvolume

Implantação

Automatizar

Remova os nós de validação temporária criados do tipo T2.micro e para reversão ou tentativa de reversão de nós SQL EC2 com falha

EC2:DeleteNetworkInterface

Implantação

Automatizar

EC2:DeleteSecurityGroup

Implantação

Automatizar

EC2:DeleteTags

Implantação

Automatizar

EC2:Deletevolume

Implantação

Automatizar

EC2: DetachNetworkInterface

Implantação

Automatizar

EC2: Detachvolume

Implantação

Automatizar

EC2:Endereço Desassociativo

Implantação

Automatizar

EC2:DesassociateIamInstanceProfile

Implantação

Automatizar

EC2:DesassociateRouteTable

Implantação

Automatizar

EC2:DesassociateSubnetCidrBlock

Implantação

Automatizar

EC2:DesassociateVpcCidrBlock

Implantação

Automatizar

Modifique atributos para instâncias SQL criadas. Apenas aplicável a nomes que começam com WLMDB.

EC2:ModifyInstanceAttribute

Implantação

Automatizar

EC2:ModifyInstancePlacement

Implantação

Automatizar

EC2:ModifyNetworkInterfaceAttribute

Implantação

Automatizar

EC2:ModifySubnetAttribute

Implantação

Automatizar

EC2:Modifyvolume

Implantação

Automatizar

EC2:ModifyVolumeAtributo

Implantação

Automatizar

EC2:ModifyVpcAttribute

Implantação

Automatizar

Desassocie e destrua instâncias de validação

EC2: Endereço de entrega

Implantação

Automatizar

EC2:ReplaceRoute

Implantação

Automatizar

EC2:ReplaceRouteAssociation

Implantação

Automatizar

EC2:RevokeSecurityGroupEgress

Implantação

Automatizar

EC2:RevokeSecurityGroupIngress

Implantação

Automatizar

Inicie as instâncias implantadas

EC2: StartInstances

Implantação

Automatizar

Pare as instâncias implantadas

EC2:StopInstances

Implantação

Automatizar

Marque valores personalizados para os recursos do Amazon FSX for NetApp ONTAP criados pelo WLMDB para obter detalhes de cobrança durante o gerenciamento de recursos

Bem-vindo ao site 1

Implantação
Gerenciar operações

Automatizar

Crie e valide o modelo do CloudFormation para implantação

Formação de nuvens: CreateStack

Implantação

Automatizar

Cloudformation:DescribeStackEvents

Implantação

Automatizar

Cloudformation:DescribeStacks

Implantação

Automatizar

Cloudformation:ListStacks

Implantação

Automatizar

Cloudformation:ValidateTemplate

Implantação

Automatizar

Buscar métricas para recomendação de otimização de computação

cloudwatch:GetMetricStatistics

Explore as poupanças

Automatizar

Buscar diretórios disponíveis na região

ds:DescribeDirectories

Implantação

Automatizar

Adicione regras para o Grupo de Segurança anexado a instâncias EC2 provisionadas

EC2:AutorizeSecurityGroupEgress

Implantação

Automatizar

EC2:AutorizeSecurityGroupIngress

Implantação

Automatizar

Crie modelos de pilha aninhados para tentar novamente e reverter

EC2:CreateLaunchTemplate

Implantação

Automatizar

EC2:CreateLaunchTemplateVersion

Implantação

Automatizar

Gerencie tags e segurança de rede em instâncias criadas

EC2: CreateNetworkInterface

Implantação

Automatizar

EC2:CreateSecurityGroup

Implantação

Automatizar

EC2:CreateTags

Implantação

Automatizar

Exclua o Grupo de Segurança criado temporariamente para nós de validação

EC2:DeleteSecurityGroup

Implantação

Automatizar

Obter detalhes da instância para provisionamento

EC2:descrever*

Implantação
Inventário
Explore as poupanças

Automatizar

EC2:obter*

Implantação
Inventário
Explore as poupanças

Automatizar

Inicie as instâncias criadas

EC2:RunInstances

Implantação

Automatizar

O Systems Manager usa o endpoint do serviço de entrega de mensagens da AWS para operações de API

ec2messages:*

Implantação *Inventário

Automatizar

Crie recursos do FSX for ONTAP necessários para o provisionamento. Para sistemas FSX para ONTAP existentes, um novo SVM foi criado para hospedar volumes SQL.

fsx:CreateFileSystem

Implantação

Automatizar

fsx:CreateStorageVirtualMachine

Implantação

Automatizar

fsx:Createvolume

Implantação
Gerenciar operações

Automatizar

Obtenha os detalhes do FSX for ONTAP

fsx:descrever*

Implantação
Inventário
Gerenciar operações
Explore as poupanças

Automatizar

fsx:Lista*

Implantação
Inventário

Automatizar

Redimensione o sistema de arquivos FSX for ONTAP para corrigir o espaço livre do sistema de arquivos

fsx:UpdateFilesystem

Otimização

Automatizar

Redimensione volumes para corrigir os tamanhos de unidades de log e TempDB

fsx:Updatevolume

Otimização

Automatizar

Obtenha os detalhes das chaves do KMS e use a criptografia FSX for ONTAP

Kms:CreateGrant

Implantação

Automatizar

Kms: Descrever*

Implantação

Automatizar

Kms:Lista*

Implantação

Automatizar

Kms:GenerateDataKey

Implantação

Automatizar

Crie logs do CloudWatch para scripts de validação e provisionamento executados em instâncias do EC2

Logs:CreateLogGroup

Implantação

Automatizar

Logs:CreateLogStream

Implantação

Automatizar

Logs:DescribeLog*

Implantação

Automatizar

Logs:GetLog*

Implantação

Automatizar

Registos:ListLogDeliveries

Implantação

Automatizar

Logs:PutLogEvents

Implantação
Gerenciar operações

Automatizar

Logs:TagResource

Implantação

Automatizar

Crie segredos em uma conta de usuário para as credenciais fornecidas para SQL, domínio e FSX para ONTAP

Servicequotas:ListServiceQuotes

Implantação

Automatizar

Liste os tópicos do SNS do cliente e publique no SNS de back-end do WLMDB, bem como no SNS do cliente, se selecionado

sns:ListTopics

Implantação

Automatizar

sns:publicar

Implantação

Automatizar

Permissões de SSM necessárias para executar o script de descoberta em instâncias SQL provisionadas e buscar a lista mais recente de regiões AWS compatíveis com o FSX para ONTAP.

ssm:descrever*

Implantação

Automatizar

ssm:obter*

Implantação
Gerenciar operações

Automatizar

ssm:Lista*

Implantação

Automatizar

ssm: Aplicação de segurança

Implantação

Automatizar

ssm:PutConfigurePackageResult

Implantação

Automatizar

ssm:Stock

Implantação

Automatizar

ssm:SendCommand

Implantação
Inventário
Gerenciar operações

Automatizar

ssm:UpdateAssociationStatus

Implantação

Automatizar

ssm:UpdateInstanceAssociationStatus

Implantação

Automatizar

ssm:UpdateInstanceInformation

Implantação

Automatizar

mensagens:*

Implantação
Inventário
Gerenciar operações

Automatizar

Salvar credenciais para o FSX for ONTAP, ative Directory e usuário SQL (apenas para autenticação de usuário SQL)

ssm: GetParameter 1

Implantação
Gerenciar operações
Inventário

Automatizar

ssm: GetParameters 1

Implantação
Inventário

Automatizar

ssm: PutParameter 1

Implantação
Gerenciar operações

Automatizar

ssm:DeleteParameters 1

Implantação
Gerenciar operações

Automatizar

Sinalize a pilha do CloudFormation com sucesso ou falha.

Cloudformation: SignalResource 1

Implantação

Automatizar

Adicione a função EC2 criada por modelo ao perfil de instância do EC2 para permitir que scripts no EC2 acessem os recursos necessários para implantação.

IAM:AddRoleToInstanceProfile

Implantação

Automatizar

Crie o perfil de instância para EC2 e anexe a função EC2 criada.

IAM:CreateInstanceProfile

Implantação

Automatizar

Crie uma função EC2D através de modelo com as permissões listadas abaixo

IAM:CreateRole

Implantação

Automatizar

Criar função vinculada ao serviço EC2

ISO:CreateServiceLinkRole 2

Implantação

Automatizar

Excluir perfil de instância criado durante a implantação especificamente para os nós de validação

IAM:DeleteInstanceProfile

Implantação

Automatizar

Obtenha os detalhes da função e da política para determinar quaisquer lacunas na permissão e validar para a implantação

IAM:GetPolicy

Implantação

Automatizar

IAM:GetPolicyVersion

Implantação

Automatizar

IAM: GetRole

Implantação

Automatizar

IAM:GetRolePolicy

Implantação

Automatizar

IAM:GetUser

Implantação

Automatizar

Passe a função criada para a instância EC2

Implantação

Automatizar

Adicione a política com as permissões necessárias à função EC2 criada

IAM:PutRolePolicy

Implantação

Automatizar

Separe a função do perfil de instância do EC2 provisionado

IAM:RemoveRoleFromInstanceProfile

Implantação

Automatizar

Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias

IAM:SimulatePrincipalPolicy

Implantação

Leia
Automatizar

A permissão é restrita a recursos que começam com WLMDB.
"IAM:CreateServiceLinkRole" limitado por "iam:AWSServiceName": "ec2.amazonaws.com"*
"IAM:PassRole" limitado por "iam:PassedToService": "ec2.amazonaws.com"*

Permissões para cargas de trabalho do GenAI

As políticas do IAM para cargas de trabalho VMware fornecem as permissões que a fábrica de cargas de trabalho da VMware precisa para gerenciar recursos e processos em seu ambiente de nuvem pública com base no modo operacional em que você opera.

As políticas do GenAI IAM só estão disponíveis no modo de operação:

Políticas do IAM para workloads do GenAI

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudformationGroup",
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:DescribeStacks"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
    },
    {
      "Sid": "EC2Group",
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
        }
      }
    },
    {
      "Sid": "EC2DescribeGroup",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeTags",
        "ec2:CreateVpcEndpoint",
        "ec2:CreateSecurityGroup",
        "ec2:CreateTags",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets",
        "ec2:DescribeRouteTables",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeInstances",
        "ec2:DescribeImages",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:RunInstances"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup",
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:CreatePolicy",
        "iam:CreateInstanceProfile",
        "iam:AddRoleToInstanceProfile",
        "iam:PutRolePolicy",
        "iam:GetRolePolicy",
        "iam:GetRole",
        "iam:TagRole"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IAMGroup2",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "ec2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "FSXNGroup",
      "Effect": "Allow",
      "Action": [
        "fsx:DescribeVolumes",
        "fsx:DescribeFileSystems",
        "fsx:DescribeStorageVirtualMachines",
        "fsx:ListTagsForResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "FSXNGroup2",
      "Effect": "Allow",
      "Action": [
        "fsx:UntagResource",
        "fsx:TagResource"
      ],
      "Resource": [
        "arn:aws:fsx:*:*:volume/*/*",
        "arn:aws:fsx:*:*:storage-virtual-machine/*/*"
      ]
    },
    {
      "Sid": "SSMParameterStore",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameter",
        "ssm:PutParameter"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
    },
    {
      "Sid": "SSM",
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters",
        "ssm:GetParametersByPath"
      ],
      "Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
    },
    {
      "Sid": "SSMMessages",
      "Effect": "Allow",
      "Action": [
        "ssm:GetCommandInvocation"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SSMCommandDocument",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand"
      ],
      "Resource": [
        "arn:aws:ssm:*:*:document/AWS-RunShellScript"
      ]
    },
    {
      "Sid": "SSMCommandInstance",
      "Effect": "Allow",
      "Action": [
        "ssm:SendCommand",
        "ssm:GetConnectionStatus"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ],
      "Condition": {
        "StringLike": {
          "ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
        }
      }
    },
    {
      "Sid": "KMS",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SNS",
      "Effect": "Allow",
      "Action": [
        "sns:Publish"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchAiEngine",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource",
        "logs:DescribeLogStreams"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
    },
    {
      "Sid": "CloudWatchAiEngineLogStream",
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
    },
    {
      "Sid": "BedrockGroup",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModelWithResponseStream",
        "bedrock:InvokeModel",
        "bedrock:ListFoundationModels",
        "bedrock:GetFoundationModelAvailability",
        "bedrock:GetModelInvocationLoggingConfiguration",
        "bedrock:PutModelInvocationLoggingConfiguration",
        "bedrock:ListInferenceProfiles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "CloudWatchBedrock",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:TagResource"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
    },
    {
      "Sid": "BedrockLoggingAttachRole",
      "Effect": "Allow",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

A tabela a seguir fornece detalhes sobre as permissões para cargas de trabalho do GenAI.

Tabela de permissões para workloads do GenAI

Finalidade	Ação	Onde usado	Modo
Crie uma pilha de formação de nuvem do mecanismo de AI durante as operações de implantação e recriação	Formação de nuvens: CreateStack	Implantação	Automatizar
Crie a pilha de formação de nuvem do mecanismo de AI	Cloudformation:DescribeStacks	Implantação	Automatizar
Listar regiões para o assistente de implantação do mecanismo de IA	EC2:DescribeRegiões	Implantação	Automatizar
Exibir tags de mecanismo AI	EC2: DescribeTags	Implantação	Automatizar
Listar os endpoints da VPC antes da criação da pilha do mecanismo de IA	EC2:CreateVpcEndpoint	Implantação	Automatizar
Crie um grupo de segurança do mecanismo de AI durante a criação da stack de mecanismos de AI durante as operações de implantação e reconstrução	EC2:CreateSecurityGroup	Implantação	Automatizar
Identifique os recursos criados pela criação da pilha do mecanismo de AI durante as operações de implantação e reconstrução	EC2:CreateTags	Implantação	Automatizar
Publique eventos criptografados no backend WLMAI da pilha de mecanismos de IA	Kms:GenerateDataKey	Implantação	Automatizar
Kms:desencriptar	Implantação	Automatizar
Publique eventos e recursos personalizados no backend WLMAI a partir da pilha de ai-Engine	sns:publicar	Implantação	Automatizar
Listar VPCs durante o assistente de implantação do mecanismo de IA	EC2: DescribeVPCs	Implantação	Automatizar
Liste sub-redes no assistente de implantação do AI-Engine	EC2: DescribeSubnets	Implantação	Automatizar
Obtenha tabelas de rota durante a implantação e reconstrução do mecanismo de IA	EC2:DescribeRouteTables	Implantação	Automatizar
Listar pares de chaves durante o assistente de implantação do mecanismo de IA	EC2: DescribeKeyPairs	Implantação	Automatizar
Listar grupos de segurança durante a criação da pilha do mecanismo de IA (para localizar grupos de segurança nos endpoints privados)	EC2:DescribeSecurityGroups	Implantação	Automatizar
Obtenha endpoints de VPC para determinar se algum deve ser criado durante a implantação do mecanismo de AI	EC2:DescribeVpcEndpoints	Implantação	Automatizar
Liste instâncias para descobrir o estado do mecanismo de IA	EC2: DescribeInstances	Solução de problemas	Automatizar
Listar imagens durante a criação da pilha do mecanismo de AI durante as operações de implantação e reconstrução	EC2: DescribeImages	Implantação	Automatizar
Crie e atualize instâncias de IA e grupo de segurança de endpoint privado durante a criação da pilha de instâncias de IA durante as operações de implantação e reconstrução	EC2:RevokeSecurityGroupEgress	Implantação	Automatizar
EC2:RevokeSecurityGroupIngress	Implantação	Automatizar
Execute o mecanismo de AI durante a criação da stack de cloudformation durante as operações de implantação e recriação	EC2:RunInstances	Implantação	Automatizar
Anexe o grupo de segurança e modifique as regras do mecanismo de AI durante a criação da stack durante as operações de implantação e recriação	EC2:AutorizeSecurityGroupEgress	Implantação	Automatizar
EC2:AutorizeSecurityGroupIngress	Implantação	Automatizar
Consulte o status de Registro do Amazon bedrock / Amazon CloudWatch durante a implantação do mecanismo de IA	Bedrock:GetModelInvocationLoggingConfiguration	Implantação	Automatizar
Inicie a solicitação de bate-papo para um dos modelos básicos	Bedrock:InvokeModelWithResponseStream	Implantação	Automatizar
Inicie a solicitação de bate-papo/incorporação para modelos de base	Bedrock:modelo InvokeModel	Implantação	Automatizar
Mostre os modelos de fundação disponíveis em uma região	Bedrock:ListFoundationModels	Implantação	Automatizar
Verifique o acesso ao modelo da base	Bedrock:GetFoundationModelAvailability	Implantação	Automatizar
Verifique a necessidade de criar o grupo de log do Amazon CloudWatch durante as operações de implantação e reconstrução	Logs:DescribeLogGroups	Implantação	Automatizar
Obtenha regiões compatíveis com FSX e Amazon bedrock durante o assistente do mecanismo de AI	ssm:GetParametersByPath	Implantação	Automatizar
Obtenha a imagem mais recente do Amazon Linux para a implantação do mecanismo de IA durante as operações de implantação e reconstrução	ssm:GetParameters	Implantação	Automatizar
Obtenha a resposta SSM do comando enviado ao mecanismo de IA	ssm:GetCommandInvocation	Implantação	Automatizar
Verifique a ligação SSM ao motor AI	ssm:SendCommand	Implantação	Automatizar
ssm:GetConnectionStatus	Implantação	Automatizar
Crie um perfil de instância do mecanismo de AI durante a criação de stack durante as operações de implantação e reconstrução	IAM:CreateRole	Implantação	Automatizar
IAM:CreateInstanceProfile	Implantação	Automatizar
IAM:AddRoleToInstanceProfile	Implantação	Automatizar
IAM:PutRolePolicy	Implantação	Automatizar
IAM:GetRolePolicy	Implantação	Automatizar
IAM: GetRole	Implantação	Automatizar
IAM:TagRole	Implantação	Automatizar
IAM:PassRole	Implantação	Automatizar
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias	IAM:SimulatePrincipalPolicy	Implantação	Automatizar
Liste o FSX para sistemas de arquivos ONTAP durante o assistente "criar base de conhecimento"	fsx:DescribeVolumes	Criação da base de conhecimento	Automatizar
Liste os volumes do sistema de arquivos do FSX for ONTAP durante o assistente "criar base de conhecimento"	fsx:DescribeFileSystems	Criação da base de conhecimento	Automatizar
Gerencie bases de conhecimento no mecanismo de AI durante as operações de reconstrução	fsx:ListTagsForResource	Solução de problemas	Automatizar
Liste as máquinas virtuais de armazenamento do sistema de arquivos do FSX for ONTAP durante o assistente "criar base de conhecimento"	fsx:DescribeStorageVirtualMachines	Implantação	Automatizar
Mova a base de conhecimento para uma nova instância	fsx:UntagResource	Solução de problemas	Automatizar
Gerencie a base de conhecimento no mecanismo de IA durante a reconstrução	fsx:TagResource	Solução de problemas	Automatizar
Salve segredos SSM (token ECR, credenciais CIFS, chaves de contas de serviço de locação) de forma segura	ssm: GetParameter	Implantação	Automatizar
ssm: PutParameter	Implantação	Automatizar
Envie os logs do mecanismo de IA para o grupo de logs do Amazon CloudWatch durante as operações de implantação e reconstrução	Logs:CreateLogGroup	Implantação	Automatizar
Logs:PutRetentationPolicy	Implantação	Automatizar
Envie os logs do mecanismo de IA para o grupo de logs do Amazon CloudWatch	Logs:TagResource	Solução de problemas	Automatizar
Obtenha resposta SSM do Amazon CloudWatch (quando a resposta for muito longa)	Logs:DescribeLogStreams	Solução de problemas	Automatizar
Obtenha a resposta SSM do Amazon CloudWatch	Logs:GetLogEvents	Solução de problemas	Automatizar
Crie um grupo de log do Amazon CloudWatch para logs do Amazon bedrock durante a reação da pilha durante as operações de implantação e reconstrução	Logs:CreateLogGroup	Implantação	Automatizar
Logs:PutRetentationPolicy	Implantação	Automatizar
Logs:TagResource	Implantação	Automatizar
Envie logs bedrock para o Amazon CloudWatch	Bedrock:PutModelInvocationLoggingConfiguration	Solução de problemas	Automatizar
Crie a função que permite o envio de logs do Amazon bedrock para o Amazon CloudWatch	IAM:AttachRolePolicy	Solução de problemas	Automatizar
Crie a função que permite o envio de logs do Amazon bedrock para o Amazon CloudWatch	IAM:PassRole	Solução de problemas	Automatizar
Crie a função que permite o envio de logs do Amazon bedrock para o Amazon CloudWatch	iam:createPolicy	Solução de problemas	Automatizar
Listar perfis de inferência para o modelo	Bedrock:ListInferenceProfiles	Solução de problemas	Automatizar

Finalidade

Ação

Onde usado

Modo

Crie uma pilha de formação de nuvem do mecanismo de AI durante as operações de implantação e recriação

Formação de nuvens: CreateStack

Implantação

Automatizar

Crie a pilha de formação de nuvem do mecanismo de AI

Cloudformation:DescribeStacks

Implantação

Automatizar

Listar regiões para o assistente de implantação do mecanismo de IA

EC2:DescribeRegiões

Implantação

Automatizar

Exibir tags de mecanismo AI

EC2: DescribeTags

Implantação

Automatizar

Listar os endpoints da VPC antes da criação da pilha do mecanismo de IA

EC2:CreateVpcEndpoint

Implantação

Automatizar

Crie um grupo de segurança do mecanismo de AI durante a criação da stack de mecanismos de AI durante as operações de implantação e reconstrução

EC2:CreateSecurityGroup

Implantação

Automatizar

Identifique os recursos criados pela criação da pilha do mecanismo de AI durante as operações de implantação e reconstrução

EC2:CreateTags

Implantação

Automatizar

Publique eventos criptografados no backend WLMAI da pilha de mecanismos de IA

Kms:GenerateDataKey

Implantação

Automatizar

Kms:desencriptar

Implantação

Automatizar

Publique eventos e recursos personalizados no backend WLMAI a partir da pilha de ai-Engine

sns:publicar

Implantação

Automatizar

Listar VPCs durante o assistente de implantação do mecanismo de IA

EC2: DescribeVPCs

Implantação

Automatizar

Liste sub-redes no assistente de implantação do AI-Engine

EC2: DescribeSubnets

Implantação

Automatizar

Obtenha tabelas de rota durante a implantação e reconstrução do mecanismo de IA

EC2:DescribeRouteTables

Implantação

Automatizar

Listar pares de chaves durante o assistente de implantação do mecanismo de IA

EC2: DescribeKeyPairs

Implantação

Automatizar

Listar grupos de segurança durante a criação da pilha do mecanismo de IA (para localizar grupos de segurança nos endpoints privados)

EC2:DescribeSecurityGroups

Implantação

Automatizar

Obtenha endpoints de VPC para determinar se algum deve ser criado durante a implantação do mecanismo de AI

EC2:DescribeVpcEndpoints

Implantação

Automatizar

Liste instâncias para descobrir o estado do mecanismo de IA

EC2: DescribeInstances

Solução de problemas

Automatizar

Listar imagens durante a criação da pilha do mecanismo de AI durante as operações de implantação e reconstrução

EC2: DescribeImages

Implantação

Automatizar

Crie e atualize instâncias de IA e grupo de segurança de endpoint privado durante a criação da pilha de instâncias de IA durante as operações de implantação e reconstrução

EC2:RevokeSecurityGroupEgress

Implantação

Automatizar

EC2:RevokeSecurityGroupIngress

Implantação

Automatizar

Execute o mecanismo de AI durante a criação da stack de cloudformation durante as operações de implantação e recriação

EC2:RunInstances

Implantação

Automatizar

Anexe o grupo de segurança e modifique as regras do mecanismo de AI durante a criação da stack durante as operações de implantação e recriação

EC2:AutorizeSecurityGroupEgress

Implantação

Automatizar

EC2:AutorizeSecurityGroupIngress

Implantação

Automatizar

Consulte o status de Registro do Amazon bedrock / Amazon CloudWatch durante a implantação do mecanismo de IA

Bedrock:GetModelInvocationLoggingConfiguration

Implantação

Automatizar

Inicie a solicitação de bate-papo para um dos modelos básicos

Bedrock:InvokeModelWithResponseStream

Implantação

Automatizar

Inicie a solicitação de bate-papo/incorporação para modelos de base

Bedrock:modelo InvokeModel

Implantação

Automatizar

Mostre os modelos de fundação disponíveis em uma região

Bedrock:ListFoundationModels

Implantação

Automatizar

Verifique o acesso ao modelo da base

Bedrock:GetFoundationModelAvailability

Implantação

Automatizar

Verifique a necessidade de criar o grupo de log do Amazon CloudWatch durante as operações de implantação e reconstrução

Logs:DescribeLogGroups

Implantação

Automatizar

Obtenha regiões compatíveis com FSX e Amazon bedrock durante o assistente do mecanismo de AI

ssm:GetParametersByPath

Implantação

Automatizar

Obtenha a imagem mais recente do Amazon Linux para a implantação do mecanismo de IA durante as operações de implantação e reconstrução

ssm:GetParameters

Implantação

Automatizar

Obtenha a resposta SSM do comando enviado ao mecanismo de IA

ssm:GetCommandInvocation

Implantação

Automatizar

Verifique a ligação SSM ao motor AI

ssm:SendCommand

Implantação

Automatizar

ssm:GetConnectionStatus

Implantação

Automatizar

Crie um perfil de instância do mecanismo de AI durante a criação de stack durante as operações de implantação e reconstrução

IAM:CreateRole

Implantação

Automatizar

IAM:CreateInstanceProfile

Implantação

Automatizar

IAM:AddRoleToInstanceProfile

Implantação

Automatizar

IAM:PutRolePolicy

Implantação

Automatizar

IAM:GetRolePolicy

Implantação

Automatizar

IAM: GetRole

Implantação

Automatizar

IAM:TagRole

Implantação

Automatizar

IAM:PassRole

Implantação

Automatizar

Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias

IAM:SimulatePrincipalPolicy

Implantação

Automatizar

Liste o FSX para sistemas de arquivos ONTAP durante o assistente "criar base de conhecimento"

fsx:DescribeVolumes

Criação da base de conhecimento

Automatizar

Liste os volumes do sistema de arquivos do FSX for ONTAP durante o assistente "criar base de conhecimento"

fsx:DescribeFileSystems

Criação da base de conhecimento

Automatizar

Gerencie bases de conhecimento no mecanismo de AI durante as operações de reconstrução

fsx:ListTagsForResource

Solução de problemas

Automatizar

Liste as máquinas virtuais de armazenamento do sistema de arquivos do FSX for ONTAP durante o assistente "criar base de conhecimento"

fsx:DescribeStorageVirtualMachines

Implantação

Automatizar

Mova a base de conhecimento para uma nova instância

fsx:UntagResource

Solução de problemas

Automatizar

Gerencie a base de conhecimento no mecanismo de IA durante a reconstrução

fsx:TagResource

Solução de problemas

Automatizar

Salve segredos SSM (token ECR, credenciais CIFS, chaves de contas de serviço de locação) de forma segura

ssm: GetParameter

Implantação

Automatizar

ssm: PutParameter

Implantação

Automatizar

Envie os logs do mecanismo de IA para o grupo de logs do Amazon CloudWatch durante as operações de implantação e reconstrução

Logs:CreateLogGroup

Implantação

Automatizar

Logs:PutRetentationPolicy

Implantação

Automatizar

Envie os logs do mecanismo de IA para o grupo de logs do Amazon CloudWatch

Logs:TagResource

Solução de problemas

Automatizar

Obtenha resposta SSM do Amazon CloudWatch (quando a resposta for muito longa)

Logs:DescribeLogStreams

Solução de problemas

Automatizar

Obtenha a resposta SSM do Amazon CloudWatch

Logs:GetLogEvents

Solução de problemas

Automatizar

Crie um grupo de log do Amazon CloudWatch para logs do Amazon bedrock durante a reação da pilha durante as operações de implantação e reconstrução

Logs:CreateLogGroup

Implantação

Automatizar

Logs:PutRetentationPolicy

Implantação

Automatizar

Logs:TagResource

Implantação

Automatizar

Envie logs bedrock para o Amazon CloudWatch

Bedrock:PutModelInvocationLoggingConfiguration

Solução de problemas

Automatizar

Crie a função que permite o envio de logs do Amazon bedrock para o Amazon CloudWatch

IAM:AttachRolePolicy

Solução de problemas

Automatizar

Crie a função que permite o envio de logs do Amazon bedrock para o Amazon CloudWatch

IAM:PassRole

Solução de problemas

Automatizar

Crie a função que permite o envio de logs do Amazon bedrock para o Amazon CloudWatch

iam:createPolicy

Solução de problemas

Automatizar

Listar perfis de inferência para o modelo

Bedrock:ListInferenceProfiles

Solução de problemas

Automatizar

Permissões para cargas de trabalho VMware

Selecione o modo operacional para visualizar as políticas do IAM necessárias:

Políticas do IAM para workloads da VMware

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeRegions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ssm:GetParametersByPath",
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}

A tabela a seguir fornece detalhes sobre as permissões para cargas de trabalho VMware.

Tabela de permissões para workloads da VMware

Finalidade	Ação	Onde usado	Modo
Anexe grupos de segurança e modifique regras para os nós provisionados	EC2:AutorizeSecurityGroupIngress	Implantação	Automatizar
Criar volumes EBS	EC2:Createvolume	Implantação	Automatizar
Marque valores personalizados para os recursos do FSX for NetApp ONTAP criados pelas cargas de trabalho da VMware	fsx:TagResource	Implantação	Automatizar
Crie e valide o modelo do CloudFormation	Formação de nuvens: CreateStack	Implantação	Automatizar
Gerencie tags e segurança de rede em instâncias criadas	EC2:CreateSecurityGroup	Implantação	Automatizar
Inicie as instâncias criadas	EC2:RunInstances	Implantação	Automatizar
Obtenha detalhes da instância do EC2	EC2: DescribeInstances	Implantação	Automatizar
Listar imagens durante a criação da pilha durante as operações de implantação e reconstrução	EC2: DescribeImages	Implantação	Automatizar
Obtenha os VPCs no ambiente selecionado para preencher o formulário de implantação	EC2: DescribeVPCs	Implantação Inventário	Leia Automatizar
Obtenha as sub-redes no ambiente selecionado para preencher o formulário de implantação	EC2: DescribeSubnets	Implantação Inventário	Leia Automatizar
Obtenha os grupos de segurança no ambiente selecionado para preencher o formulário de implantação	EC2:DescribeSecurityGroups	Implantação	Leia Automatizar
Obtenha as zonas de disponibilidade no ambiente selecionado	EC2:DescribeDisabilityZones	Implantação Inventário	Leia Automatizar
Obtenha as regiões com o suporte do Amazon FSX para NetApp ONTAP	EC2:DescribeRegiões	Implantação	Leia Automatizar
Obtenha aliases de chaves KMS para serem usadas para criptografia do Amazon FSX para NetApp ONTAP	Kms:ListAliases	Implantação	Leia Automatizar
Obtenha chaves KMS para serem usadas para criptografia do Amazon FSX for NetApp ONTAP	Kms: ListKeys	Implantação	Leia Automatizar
Obtenha os detalhes de expiração das chaves KMS a serem usados para a criptografia do Amazon FSX for NetApp ONTAP	Kms:DescribeKey	Implantação	Leia Automatizar
A consulta baseada em SSM é usada para obter a lista atualizada de regiões compatíveis com o Amazon FSX para NetApp ONTAP	ssm:GetParametersByPath	Implantação	Leia Automatizar
Crie os recursos do Amazon FSX for NetApp ONTAP necessários para o provisionamento	fsx:CreateFileSystem	Implantação	Automatizar
fsx:CreateStorageVirtualMachine	Implantação	Automatizar
fsx:Createvolume	Implantação Operações de gerenciamento	Automatizar
Obtenha detalhes do Amazon FSX para NetApp ONTAP	fsx:descrever*	Implantação Inventário Operações de gerenciamento Explore as poupanças	Automatizar
fsx:Lista*	Implantação Inventário	Automatizar
Obtenha detalhes das chaves do KMS e use a criptografia do Amazon FSX for NetApp ONTAP	Kms:CreateGrant	Implantação	Automatizar
Kms: Descrever*	Implantação	Automatizar
Kms:Lista*	Implantação	Automatizar
Kms:desencriptar	Implantação	Automatizar
Kms:GenerateDataKey	Implantação	Automatizar
Liste os tópicos do SNS do cliente e publique no SNS de back-end do WLMVMC, bem como no SNS do cliente, se selecionado	sns:publicar	Implantação	Automatizar
Usado para buscar a lista mais recente de regiões AWS compatíveis com o Amazon FSX para NetApp ONTAP	ssm:obter*	Implantação Operações de gerenciamento	Automatizar
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias	IAM:SimulatePrincipalPolicy	Implantação	Automatizar
O armazenamento de parâmetros SSM é usado para salvar credenciais do Amazon FSX for NetApp ONTAP	ssm: GetParameter	Implantação Operações de gerenciamento Inventário	Automatizar
ssm:parâmetros de entrada	Implantação Inventário	Automatizar
ssm: PutParameter	Implantação Operações de gerenciamento	Automatizar
ssm:DeleteParameters	Implantação Operações de gerenciamento	Automatizar

Finalidade

Ação

Onde usado

Modo

Anexe grupos de segurança e modifique regras para os nós provisionados

EC2:AutorizeSecurityGroupIngress

Implantação

Automatizar

Criar volumes EBS

EC2:Createvolume

Implantação

Automatizar

Marque valores personalizados para os recursos do FSX for NetApp ONTAP criados pelas cargas de trabalho da VMware

fsx:TagResource

Implantação

Automatizar

Crie e valide o modelo do CloudFormation

Formação de nuvens: CreateStack

Implantação

Automatizar

Gerencie tags e segurança de rede em instâncias criadas

EC2:CreateSecurityGroup

Implantação

Automatizar

Inicie as instâncias criadas

EC2:RunInstances

Implantação

Automatizar

Obtenha detalhes da instância do EC2

EC2: DescribeInstances

Implantação

Automatizar

Listar imagens durante a criação da pilha durante as operações de implantação e reconstrução

EC2: DescribeImages

Implantação

Automatizar

Obtenha os VPCs no ambiente selecionado para preencher o formulário de implantação

EC2: DescribeVPCs

Implantação
Inventário

Leia
Automatizar

Obtenha as sub-redes no ambiente selecionado para preencher o formulário de implantação

EC2: DescribeSubnets

Implantação
Inventário

Leia
Automatizar

Obtenha os grupos de segurança no ambiente selecionado para preencher o formulário de implantação

EC2:DescribeSecurityGroups

Implantação

Leia
Automatizar

Obtenha as zonas de disponibilidade no ambiente selecionado

EC2:DescribeDisabilityZones

Implantação
Inventário

Leia
Automatizar

Obtenha as regiões com o suporte do Amazon FSX para NetApp ONTAP

EC2:DescribeRegiões

Implantação

Leia
Automatizar

Obtenha aliases de chaves KMS para serem usadas para criptografia do Amazon FSX para NetApp ONTAP

Kms:ListAliases

Implantação

Leia
Automatizar

Obtenha chaves KMS para serem usadas para criptografia do Amazon FSX for NetApp ONTAP

Kms: ListKeys

Implantação

Leia
Automatizar

Obtenha os detalhes de expiração das chaves KMS a serem usados para a criptografia do Amazon FSX for NetApp ONTAP

Kms:DescribeKey

Implantação

Leia
Automatizar

A consulta baseada em SSM é usada para obter a lista atualizada de regiões compatíveis com o Amazon FSX para NetApp ONTAP

ssm:GetParametersByPath

Implantação

Leia
Automatizar

Crie os recursos do Amazon FSX for NetApp ONTAP necessários para o provisionamento

fsx:CreateFileSystem

Implantação

Automatizar

fsx:CreateStorageVirtualMachine

Implantação

Automatizar

fsx:Createvolume

Implantação
Operações de gerenciamento

Automatizar

Obtenha detalhes do Amazon FSX para NetApp ONTAP

fsx:descrever*

Implantação
Inventário
Operações de gerenciamento
Explore as poupanças

Automatizar

fsx:Lista*

Implantação
Inventário

Automatizar

Obtenha detalhes das chaves do KMS e use a criptografia do Amazon FSX for NetApp ONTAP

Kms:CreateGrant

Implantação

Automatizar

Kms: Descrever*

Implantação

Automatizar

Kms:Lista*

Implantação

Automatizar

Kms:desencriptar

Implantação

Automatizar

Kms:GenerateDataKey

Implantação

Automatizar

Liste os tópicos do SNS do cliente e publique no SNS de back-end do WLMVMC, bem como no SNS do cliente, se selecionado

sns:publicar

Implantação

Automatizar

Usado para buscar a lista mais recente de regiões AWS compatíveis com o Amazon FSX para NetApp ONTAP

ssm:obter*

Implantação
Operações de gerenciamento

Automatizar

Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias

IAM:SimulatePrincipalPolicy

Implantação

Automatizar

O armazenamento de parâmetros SSM é usado para salvar credenciais do Amazon FSX for NetApp ONTAP

ssm: GetParameter

Implantação
Operações de gerenciamento
Inventário

Automatizar

ssm:parâmetros de entrada

Implantação
Inventário

Automatizar

ssm: PutParameter

Implantação
Operações de gerenciamento

Automatizar

ssm:DeleteParameters

Implantação
Operações de gerenciamento

Automatizar

Alterar registo

À medida que as permissões são adicionadas e removidas, vamos anotá-las nas seções abaixo.

2 de abril de 2025

A seguinte permissão está agora disponível em read mode para bancos de dados: ssm:DescribeInstanceInformation.

30 de março de 2025

Atualização das permissões de workload do GenAI

As seguintes permissões estão agora disponíveis em Automate mode para o GenAI:

bedrock:PutModelInvocationLoggingConfiguration
iam:AttachRolePolicy
iam:PassRole
iam:createPolicy
bedrock:ListInferenceProfiles

A seguinte permissão foi removida de automate mode para o GenAI: Bedrock:GetFoundationModel.

IAM:SimulatePrincipalPolicy permission update

A iam:SimulatePrincipalPolicy permissão faz parte de todas as políticas de permissão de carga de trabalho se você habilitar a verificação automática de permissões ao adicionar credenciais adicionais de conta da AWS ou adicionar uma nova funcionalidade de carga de trabalho do console de fábrica de carga de trabalho. A permissão simula operações de carga de trabalho e verifica se você tem as permissões de conta da AWS necessárias antes de implantar recursos da fábrica de carga de trabalho. A ativação dessa verificação reduz o tempo e o esforço necessários para limpar recursos de operações com falha e para adicionar permissões ausentes.

2 de março de 2025

A seguinte permissão está agora disponível no modo Automate para o GenAI: bedrock:GetFoundationModel.

3 de fevereiro de 2025

A seguinte permissão está agora disponível no modo read para bancos de dados: iam:SimulatePrincipalPolicy.

Permissões para a fábrica de carga de trabalho do BlueXP

Creating your file...

Por que usar permissões

Permissões por carga de trabalho

Permissões para armazenamento

Permissões para workloads de bancos de dados

Permissões para cargas de trabalho do GenAI

Permissões para cargas de trabalho VMware

Alterar registo

2 de abril de 2025

30 de março de 2025

Atualização das permissões de workload do GenAI

IAM:SimulatePrincipalPolicy permission update

2 de março de 2025

3 de fevereiro de 2025