Permissões para o NetApp Workload Factory
Sugerir alterações
PDFs
Para usar os recursos e serviços do NetApp Workload Factory, você precisará fornecer permissões para que o Workload Factory possa executar operações no seu ambiente de nuvem.
Por que usar permissões
Ao conceder permissões, o Workload Factory associa uma política à instância com permissões para gerenciar recursos e processos dentro dessa conta da AWS. Isso permite que o Workload Factory execute diversas operações, desde a descoberta de seus ambientes de armazenamento até a implantação de recursos da AWS, como sistemas de arquivos no gerenciamento de armazenamento ou bases de conhecimento para cargas de trabalho do GenAI.
Para cargas de trabalho de banco de dados, por exemplo, quando o Workload Factory recebe as permissões necessárias, ele verifica todas as instâncias do EC2 em uma determinada conta e região e filtra todas as máquinas baseadas no Windows. Se o agente do AWS Systems Manager (SSM) estiver instalado e em execução no host e a rede do System Manager estiver configurada corretamente, o Workload Factory poderá acessar a máquina Windows e verificar se o software SQL Server está instalado ou não.
Permissões por carga de trabalho
Cada carga de trabalho utiliza permissões para executar determinadas tarefas no Workload Factory. As permissões são agrupadas em políticas de permissão definidas. Role a página até a carga de trabalho que você utiliza para saber mais sobre as políticas de permissão, o JSON copiável dessas políticas e uma tabela que lista todas as permissões, sua finalidade, onde são usadas e quais políticas de permissão as suportam.
Permissões para armazenamento
As políticas do IAM disponíveis para o Storage fornecem as permissões necessárias para que o Workload Factory gerencie recursos e processos em seu ambiente de nuvem pública.
O armazenamento oferece as seguintes políticas de permissão para escolha:
-
Visualização, planejamento e análise: Visualize os sistemas de arquivos FSx para ONTAP , aprenda sobre a integridade do sistema, obtenha uma análise bem arquitetada para seus sistemas e explore oportunidades de economia.
-
Operações e correções: Execute tarefas operacionais como ajustar a capacidade do sistema de arquivos e corrigir problemas nas configurações do seu sistema de arquivos.
-
Criação e exclusão de sistemas de arquivos: Crie e exclua sistemas de arquivos FSx para ONTAP e máquinas virtuais de armazenamento.
Veja as políticas IAM necessárias:
Políticas do IAM para armazenamento
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:ListTagsForResource",
"fsx:DescribeBackups",
"fsx:DescribeSharedVpcConfiguration",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"elasticfilesystem:DescribeFileSystems",
"ce:GetCostAndUsage",
"ce:GetTags",
"ce:GetCostAndUsageWithResources",
"ce:GetCostForecast",
"ce:GetUsageForecast"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolume",
"fsx:DeleteVolume",
"fsx:UpdateFileSystem",
"fsx:UpdateStorageVirtualMachine",
"fsx:UpdateVolume",
"fsx:CreateBackup",
"fsx:CreateVolumeFromBackup",
"fsx:DeleteBackup",
"fsx:TagResource",
"fsx:UntagResource",
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListInferenceProfiles",
"bedrock:GetInferenceProfile"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:DeleteFileSystem",
"fsx:DeleteStorageVirtualMachine",
"fsx:TagResource",
"fsx:UntagResource",
"kms:CreateGrant",
"iam:CreateServiceLinkedRole",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVolumeStatus",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}A tabela a seguir exibe as permissões para armazenamento.
Tabela de permissões para armazenamento
| Finalidade | Ação | Onde usado | Política de permissão |
|---|---|---|---|
Crie um sistema de arquivos FSX for ONTAP |
fsx:CreateFileSystem |
Implantação |
Criação e exclusão de sistemas de arquivos |
Crie um grupo de segurança para um sistema de arquivos FSX for ONTAP |
EC2:CreateSecurityGroup |
Implantação |
Criação e exclusão de sistemas de arquivos |
Adicione tags a um grupo de segurança para um sistema de arquivos FSX for ONTAP |
EC2:CreateTags |
Implantação |
Criação e exclusão de sistemas de arquivos |
Autorize a saída do grupo de segurança e a entrada para um sistema de arquivos FSX for ONTAP |
EC2:AutorizeSecurityGroupEgress |
Implantação |
Criação e exclusão de sistemas de arquivos |
EC2:AutorizeSecurityGroupIngress |
Implantação |
Criação e exclusão de sistemas de arquivos |
|
A função concedida fornece comunicação entre o FSX for ONTAP e outros serviços da AWS |
IAM:CreateServiceLinkRole |
Implantação |
Criação e exclusão de sistemas de arquivos |
Obtenha detalhes para preencher o formulário de implantação do sistema de arquivos FSX for ONTAP |
EC2: DescribeVPCs |
|
Criação e exclusão de sistemas de arquivos |
EC2: DescribeSubnets |
|
Criação e exclusão de sistemas de arquivos |
|
EC2:DescribeSecurityGroups |
|
Criação e exclusão de sistemas de arquivos |
|
EC2:DescribeRouteTables |
|
Criação e exclusão de sistemas de arquivos |
|
EC2:DescribeNetworkInterfaces |
|
Criação e exclusão de sistemas de arquivos |
|
EC2:DescribeVolumeStatus |
|
Criação e exclusão de sistemas de arquivos |
|
Obtenha os detalhes das chaves do KMS e use a criptografia FSX for ONTAP |
Kms:CreateGrant |
Implantação |
Criação e exclusão de sistemas de arquivos |
Kms:DescribeKey |
Implantação |
Criação e exclusão de sistemas de arquivos |
|
Kms: ListKeys |
Implantação |
Criação e exclusão de sistemas de arquivos |
|
Kms:ListAliases |
Implantação |
Criação e exclusão de sistemas de arquivos |
|
Obtenha detalhes do volume para instâncias EC2 |
EC2:DescribeVolumes |
|
Visualização, planejamento e análise |
Obtenha detalhes para instâncias EC2 |
EC2: DescribeInstances |
Explore as poupanças |
Visualização, planejamento e análise |
Descrever o Elastic File System na calculadora de economia |
Elasticfilesystem:DescreverSistemasDeArquivos |
Explore as poupanças |
Visualização, planejamento e análise |
Listar tags para recursos do FSX for ONTAP |
fsx:ListTagsForResource |
Inventário |
Visualização, planejamento e análise |
Gerencie a saída do grupo de segurança e o ingresso para um sistema de arquivos FSX for ONTAP |
EC2:RevokeSecurityGroupIngress |
Operações de gerenciamento |
Criação e exclusão de sistemas de arquivos |
ec2: RevokeSecurityGroupEgress |
Operações de gerenciamento |
Criação e exclusão de sistemas de arquivos |
|
EC2:DeleteSecurityGroup |
Operações de gerenciamento |
Criação e exclusão de sistemas de arquivos |
|
Crie, visualize e gerencie recursos do sistema de arquivos FSX for ONTAP |
fsx:Createvolume |
Operações de gerenciamento |
Operações e remediação |
fsx:TagResource |
Operações de gerenciamento |
Operações e remediação |
|
fsx:CreateStorageVirtualMachine |
Operações de gerenciamento |
Criação e exclusão de sistemas de arquivos |
|
fsx:ExcluirSistemaDeArquivos |
Operações de gerenciamento |
Criação e exclusão de sistemas de arquivos |
|
fsx:ExcluirMáquinaVirtualDeArmazenamento |
Operações de gerenciamento |
Visualização, planejamento e análise |
|
fsx:DescribeFileSystems |
Inventário |
Visualização, planejamento e análise |
|
fsx:DescribeStorageVirtualMachines |
Inventário |
Visualização, planejamento e análise |
|
fsx:DescreverConfiguraçãoVpcCompartilhada |
Inventário |
Visualização, planejamento e análise |
|
fsx:AtualizarSistemaDeArquivos |
Operações de gerenciamento |
Operações e remediação |
|
fsx:AtualizarMáquinaVirtualDeArmazenamento |
Operações de gerenciamento |
Operações e remediação |
|
fsx:DescribeVolumes |
Inventário |
Visualização, planejamento e análise |
|
fsx:Updatevolume |
Operações de gerenciamento |
Operações e remediação |
|
fsx:ExcluirVolume |
Operações de gerenciamento |
Operações e remediação |
|
fsx:UntagResource |
Operações de gerenciamento |
Operações e remediação |
|
fsx:DescribeBackups |
Operações de gerenciamento |
Visualização, planejamento e análise |
|
fsx:CriarBackup |
Operações de gerenciamento |
Operações e remediação |
|
fsx:CriarVolumeA partirDoBackup |
Operações de gerenciamento |
Operações e remediação |
|
fsx:ExcluirBackup |
Operações de gerenciamento |
Operações e remediação |
|
Obtenha métricas de volume e sistema de arquivos |
cloudwatch: GetMetricData |
Operações de gerenciamento |
Visualização, planejamento e análise |
cloudwatch:GetMetricStatistics |
Operações de gerenciamento |
Visualização, planejamento e análise |
|
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias |
IAM:SimulatePrincipalPolicy |
Implantação |
Todos |
Buscar eventos FSx para ONTAP EMS |
Bedrock:ListInferenceProfiles |
FSx para análise ONTAP EMS |
Operações e remediação |
bedrock:GetInferenceProfile |
FSx para análise ONTAP EMS |
Operações e remediação |
|
bedrock:InvokeModelWithResponseStream |
FSx para análise ONTAP EMS |
Operações e remediação |
|
Bedrock:modelo InvokeModel |
FSx para análise ONTAP EMS |
Operações e remediação |
|
Obtenha dados de custo e uso para sistemas de arquivos FSx para ONTAP no AWS Cost Explorer. |
ce:ObterCustoEUso |
Análise de custos e utilização |
Visualização, planejamento e análise |
ce:ObterTags |
Análise de custos e utilização |
Visualização, planejamento e análise |
Permissões para cargas de trabalho de banco de dados
As políticas do IAM disponíveis para cargas de trabalho de banco de dados fornecem as permissões necessárias para que o Workload Factory gerencie recursos e processos em seu ambiente de nuvem pública.
O banco de dados oferece as seguintes políticas de permissão para escolha:
-
Visualização, planejamento e análise: Visualize o inventário de recursos do banco de dados, aprenda sobre a integridade de seus recursos, revise a análise de arquitetura adequada para suas configurações de banco de dados e explore oportunidades de economia, obtenha análises de logs de erros e explore possíveis economias.
-
Operações e correção: Execute tarefas operacionais para seus recursos de banco de dados e corrija problemas de configuração do banco de dados e do sistema de arquivos FSx para ONTAP subjacente.
-
Criação de hosts de banco de dados: Implante os hosts de banco de dados e o armazenamento do sistema de arquivos FSx para ONTAP subjacente de acordo com as melhores práticas.
Selecione o modo operacional para visualizar as políticas do IAM necessárias:
Políticas de IAM para cargas de trabalho de banco de dados
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource",
"logs:DescribeLogGroups",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
}
]
}[
{
"Sid": "FSxRemediation",
"Effect": "Allow",
"Action": [
"fsx:UpdateFileSystem",
"fsx:UpdateVolume"
],
"Resource": "*"
},
{
"Sid": "EC2Remediation",
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:ModifyInstanceAttribute",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
}
]{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CreationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ValidateTemplate",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:RunInstances",
"ec2:DescribeTags",
"ec2:DescribeLaunchTemplates",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:DescribeFileSystemAliases",
"kms:CreateGrant",
"kms:DescribeCustomKeyStores",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"sns:Publish",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
}
]
}A tabela a seguir exibe as permissões para cargas de trabalho de banco de dados.
Tabela de permissões para workloads de banco de dados
| Finalidade | Ação | Onde usado | Política de permissão |
|---|---|---|---|
Obtenha estatísticas métricas para FSx para ONTAP, EBS e FSx para Windows File Server e para recomendação de otimização de computação |
cloudwatch:GetMetricStatistics |
|
Visualização, planejamento e análise |
Reúna métricas de desempenho salvas no Amazon CloudWatch a partir de nós SQL registrados. Os dados são gerados em gráficos de tendências de desempenho na tela de gerenciamento de instâncias SQL registradas. |
cloudwatch: GetMetricData |
Inventário |
Visualização, planejamento e análise |
Obtenha detalhes para instâncias EC2 |
EC2: DescribeInstances |
|
Visualização, planejamento e análise |
EC2: DescribeKeyPairs |
Implantação |
Visualização, planejamento e análise |
|
EC2:DescribeNetworkInterfaces |
Implantação |
Visualização, planejamento e análise |
|
EC2:DescribeInstanceTypes |
|
Visualização, planejamento e análise |
|
Obtenha detalhes para preencher o formulário de implantação do FSX for ONTAP |
EC2: DescribeVPCs |
|
Visualização, planejamento e análise |
EC2: DescribeSubnets |
|
Visualização, planejamento e análise |
|
EC2:DescribeSecurityGroups |
Implantação |
Visualização, planejamento e análise |
|
EC2: DescribeImages |
Implantação |
Visualização, planejamento e análise |
|
EC2:DescribeRegiões |
Implantação |
Visualização, planejamento e análise |
|
EC2:DescribeRouteTables |
|
Visualização, planejamento e análise |
|
Obtenha quaisquer endpoints VPC existentes para determinar se novos endpoints precisam ser criados antes das implantações |
EC2:DescribeVpcEndpoints |
|
Visualização, planejamento e análise |
Crie endpoints VPC se eles não existirem para serviços necessários, independentemente da conetividade de rede pública em instâncias EC2 |
EC2:CreateVpcEndpoint |
Implantação |
Criação de host de banco de dados |
Obter tipos de instância disponíveis na região para nós de validação (T2.micro/T3.micro) |
EC2:DescribeInstanceTypeOfferings |
Implantação |
Visualização, planejamento e análise |
Obtenha detalhes de snapshot de cada volume EBS anexado para estimativa de preços e economia |
EC2:DescribeSnapshots |
Explore as poupanças |
Visualização, planejamento e análise |
Obtenha detalhes de cada volume EBS anexado para estimativa de preços e economia |
EC2:DescribeVolumes |
|
Visualização, planejamento e análise |
Obtenha detalhes da chave do KMS para criptografia do sistema de arquivos FSX for ONTAP |
Kms:ListAliases |
Implantação |
Visualização, planejamento e análise |
Kms: ListKeys |
Implantação |
Visualização, planejamento e análise |
|
Kms:DescribeKey |
Implantação |
Visualização, planejamento e análise |
|
Obtenha uma lista de pilhas do CloudFormation em execução no ambiente para verificar o limite de cota |
Cloudformation:ListStacks |
Implantação |
Visualização, planejamento e análise |
Verifique os limites de conta para recursos antes de acionar a implantação |
Cloudformation:DescribeAccountLimits |
Implantação |
Visualização, planejamento e análise |
Obtenha a lista de diretórios ativos gerenciados pela AWS na região |
ds:DescribeDirectories |
Implantação |
Visualização, planejamento e análise |
Obtenha listas e detalhes de volumes, backups, SVMs, sistemas de arquivos no AZs e tags para o sistema de arquivos FSX for ONTAP |
fsx:DescribeVolumes |
|
Visualização, planejamento e análise |
fsx:DescribeBackups |
|
Visualização, planejamento e análise |
|
fsx:DescribeStorageVirtualMachines |
|
Visualização, planejamento e análise |
|
fsx:DescribeFileSystems |
|
Visualização, planejamento e análise |
|
fsx:ListTagsForResource |
Gerenciar operações |
Visualização, planejamento e análise |
|
Obtenha os limites de cota de serviço para CloudFormation e VPC / Crie segredos em uma conta de usuário para as credenciais fornecidas para SQL, domínio e FSx para ONTAP |
Servicequotas:ListServiceQuotes |
Implantação |
Visualização, planejamento e análise |
Use a consulta com base no SSM para obter a lista atualizada de regiões compatíveis com o FSX para ONTAP |
ssm:GetParametersByPath |
Implantação |
Visualização, planejamento e análise |
Poll para resposta SSM após o envio do comando para gerenciar operações após a implantação |
ssm:GetCommandInvocation |
|
Visualização, planejamento e análise |
Enviar comandos via SSM para instâncias EC2 para descoberta e gerenciamento. |
ssm:SendCommand |
|
Visualização, planejamento e análise |
Obtenha o status de conetividade SSM em instâncias após a implantação |
ssm:GetConnectionStatus |
|
Visualização, planejamento e análise |
Buscar status de associação SSM para um grupo de instâncias EC2 gerenciadas (nós SQL) |
ssm:DescribeInstanceInformation |
Inventário |
Visualização, planejamento e análise |
Obtenha a lista de linhas de base de patch disponíveis para avaliação de patches do sistema operacional |
ssm:DescribePatchBaselines |
Otimização |
Visualização, planejamento e análise |
Obtenha o estado de correção em instâncias do Windows EC2 para avaliação de patches do sistema operacional |
ssm:DescribeInstancePatchStates |
Otimização |
Visualização, planejamento e análise |
Listar comandos executados pelo AWS Patch Manager em instâncias do EC2 para gerenciamento de patches do sistema operacional |
ssm:ListCommands |
Otimização |
Visualização, planejamento e análise |
Verifique se a conta está inscrita no AWS Compute Optimizer |
Otimizador de computação:GetEnrollmentStatus |
|
Criação de host de banco de dados |
Atualize uma preferência de recomendação existente no AWS Compute Optimizer para personalizar sugestões para cargas de trabalho do servidor SQL |
Otimizador de computação:PutRecommendationPreferences |
|
Criação de host de banco de dados |
Obtenha preferências de recomendação que estão em vigor para um determinado recurso do AWS Compute Optimizer |
Compute-Optimizer:GetEffectiveRecommendationPreferences |
|
Criação de host de banco de dados |
Obtenha recomendações que o AWS Compute Optimizer gera para instâncias do Amazon Elastic Compute Cloud (Amazon EC2) |
Otimizador de computação:GetEC2InstanceRecommendations |
|
Criação de host de banco de dados |
Verifique a associação de instância aos grupos de dimensionamento automático |
Dimensionamento automático:DescribeAutoScalingGroups |
|
Criação de host de banco de dados |
Dimensionamento automático:DescribeAutoScalingInstances |
|
Criação de host de banco de dados |
|
Obtenha, liste, crie e exclua parâmetros SSM para credenciais de usuário do AD, FSX for ONTAP e SQL usadas durante a implantação ou gerenciadas em sua conta da AWS |
ssm: GetParameter 1 |
|
Visualização, planejamento e análise |
ssm: GetParameters 1 |
|
Visualização, planejamento e análise |
|
ssm: PutParameter 1 |
|
Visualização, planejamento e análise |
|
ssm:DeleteParameters 1 |
|
Visualização, planejamento e análise |
|
Associe recursos de rede a nós SQL e nós de validação e adicione IPs secundários adicionais a nós SQL |
EC2:AllocateAddress 1 |
Implantação |
Criação de host de banco de dados |
EC2:AllocateHosts 1 |
Implantação |
Criação de host de banco de dados |
|
EC2:AssignPrivateIpAddresses 1 |
Implantação |
Criação de host de banco de dados |
|
EC2:AssociateAddress 1 |
Implantação |
Criação de host de banco de dados |
|
EC2:AssociateRouteTable 1 |
Implantação |
Criação de host de banco de dados |
|
EC2:AssociateSubnetCidrBlock 1 |
Implantação |
Criação de host de banco de dados |
|
EC2:AssociateVpcCidrBlock 1 |
Implantação |
Criação de host de banco de dados |
|
EC2:AttachInternetGateway 1 |
Implantação |
Criação de host de banco de dados |
|
EC2:AttacNetworkInterface 1 |
Implantação |
Criação de host de banco de dados |
|
Anexe volumes EBS necessários aos nós SQL para implantação |
EC2: Attachvolume |
Implantação |
Criação de host de banco de dados |
Associe grupos de segurança e modifique regras às instâncias EC2 provisionadas. |
EC2:AutorizeSecurityGroupEgress |
Implantação |
Criação de host de banco de dados |
EC2:AutorizeSecurityGroupIngress |
Implantação |
Criação de host de banco de dados |
|
Crie volumes EBS necessários para os nós SQL para implantação |
EC2:Createvolume |
Implantação |
Criação de host de banco de dados |
Remova os nós de validação temporária criados do tipo T2.micro e para reversão ou tentativa de reversão de nós SQL EC2 com falha |
EC2:DeleteNetworkInterface |
Implantação |
Criação de host de banco de dados |
EC2:DeleteSecurityGroup |
Implantação |
Criação de host de banco de dados |
|
EC2:DeleteTags |
Implantação |
Criação de host de banco de dados |
|
EC2:Deletevolume |
Implantação |
Criação de host de banco de dados |
|
EC2: DetachNetworkInterface |
Implantação |
Criação de host de banco de dados |
|
EC2: Detachvolume |
Implantação |
Criação de host de banco de dados |
|
EC2:Endereço Desassociativo |
Implantação |
Criação de host de banco de dados |
|
EC2:DesassociateIamInstanceProfile |
Implantação |
Criação de host de banco de dados |
|
EC2:DesassociateRouteTable |
Implantação |
Criação de host de banco de dados |
|
EC2:DesassociateSubnetCidrBlock |
Implantação |
Criação de host de banco de dados |
|
EC2:DesassociateVpcCidrBlock |
Implantação |
Criação de host de banco de dados |
|
Modifique atributos para instâncias SQL criadas. Apenas aplicável a nomes que começam com WLMDB. |
EC2:ModifyInstanceAttribute |
Implantação |
Operações e remediação |
EC2:ModifyInstancePlacement |
Implantação |
Criação de host de banco de dados |
|
EC2:ModifyNetworkInterfaceAttribute |
Implantação |
Criação de host de banco de dados |
|
EC2:ModifySubnetAttribute |
Implantação |
Criação de host de banco de dados |
|
EC2:Modifyvolume |
Implantação |
Criação de host de banco de dados |
|
EC2:ModifyVolumeAtributo |
Implantação |
Criação de host de banco de dados |
|
EC2:ModifyVpcAttribute |
Implantação |
Criação de host de banco de dados |
|
Desassocie e destrua instâncias de validação |
EC2: Endereço de entrega |
Implantação |
Criação de host de banco de dados |
EC2:ReplaceRoute |
Implantação |
Criação de host de banco de dados |
|
EC2:ReplaceRouteAssociation |
Implantação |
Criação de host de banco de dados |
|
EC2:RevokeSecurityGroupEgress |
Implantação |
Criação de host de banco de dados |
|
EC2:RevokeSecurityGroupIngress |
Implantação |
Criação de host de banco de dados |
|
Inicie as instâncias implantadas |
EC2: StartInstances |
Implantação |
Operações e remediação |
Pare as instâncias implantadas |
EC2:StopInstances |
Implantação |
Operações e remediação |
Marque valores personalizados para os recursos do Amazon FSX for NetApp ONTAP criados pelo WLMDB para obter detalhes de cobrança durante o gerenciamento de recursos |
Bem-vindo ao site 1 |
|
Criação de host de banco de dados |
Crie e valide o modelo do CloudFormation para implantação |
Formação de nuvens: CreateStack |
Implantação |
Criação de host de banco de dados |
Cloudformation:DescribeStackEvents |
Implantação |
Criação de host de banco de dados |
|
Cloudformation:DescribeStacks |
Implantação |
Criação de host de banco de dados |
|
Cloudformation:ListStacks |
Implantação |
Visualização, planejamento e análise |
|
Cloudformation:ValidateTemplate |
Implantação |
Criação de host de banco de dados |
|
Crie modelos de pilha aninhados para tentar novamente e reverter |
EC2:CreateLaunchTemplate |
Implantação |
Criação de host de banco de dados |
EC2:CreateLaunchTemplateVersion |
Implantação |
Criação de host de banco de dados |
|
Gerencie tags e segurança de rede em instâncias criadas |
EC2: CreateNetworkInterface |
Implantação |
Criação de host de banco de dados |
EC2:CreateSecurityGroup |
Implantação |
Criação de host de banco de dados |
|
EC2:CreateTags |
Implantação |
Criação de host de banco de dados |
|
Obter detalhes da instância para provisionamento |
ec2:DescreverEndereços |
Implantação |
Visualização, planejamento e análise |
ec2:DescreverModelos de Lançamento |
Implantação |
Visualização, planejamento e análise |
|
Inicie as instâncias criadas |
EC2:RunInstances |
Implantação |
Criação de host de banco de dados |
Crie recursos do FSX for ONTAP necessários para o provisionamento. Para sistemas FSX para ONTAP existentes, um novo SVM foi criado para hospedar volumes SQL. |
fsx:CreateFileSystem |
Implantação |
Criação de host de banco de dados |
fsx:CreateStorageVirtualMachine |
Implantação |
Criação de host de banco de dados |
|
fsx:Createvolume |
|
Criação de host de banco de dados |
|
Obtenha os detalhes do FSX for ONTAP |
fsx:DescribeFileSystemAliases |
Implantação |
Criação de host de banco de dados |
Redimensione o sistema de arquivos FSX for ONTAP para corrigir o espaço livre do sistema de arquivos |
fsx:UpdateFilesystem |
Otimização |
Operações e remediação |
Redimensione volumes para corrigir os tamanhos de unidades de log e TempDB |
fsx:Updatevolume |
Otimização |
Operações e remediação |
Obtenha os detalhes das chaves do KMS e use a criptografia FSX for ONTAP |
Kms:CreateGrant |
Implantação |
Criação de host de banco de dados |
kms:DescreverCustomKeyStores |
Implantação |
Criação de host de banco de dados |
|
Kms:GenerateDataKey |
Implantação |
Criação de host de banco de dados |
|
Crie logs do CloudWatch para scripts de validação e provisionamento executados em instâncias do EC2 |
Logs:CreateLogGroup |
Implantação |
Criação de host de banco de dados |
Logs:CreateLogStream |
Implantação |
Criação de host de banco de dados |
|
registros:GetLogGroupFields |
Implantação |
Criação de host de banco de dados |
|
registros: Obter Registro de Log |
Implantação |
Criação de host de banco de dados |
|
Registos:ListLogDeliveries |
Implantação |
Criação de host de banco de dados |
|
Logs:PutLogEvents |
|
Criação de host de banco de dados |
|
Logs:TagResource |
Implantação |
Criação de host de banco de dados |
|
O Workload Factory alterna para logs do Amazon CloudWatch para a instância SQL ao encontrar truncamento de saída do SSM |
Logs:GetLogEvents |
|
Visualização, planejamento e análise |
Permitir que o Workload Factory obtenha grupos de log atuais e verificar se a retenção está definida para grupos de log criados pelo Workload Factory |
Logs:DescribeLogGroups |
|
Visualização, planejamento e análise |
Permitir que o Workload Factory defina uma política de retenção de um dia para grupos de log criados pelo Workload Factory para evitar acúmulo desnecessário de fluxos de log para saídas de comando do SSM |
Logs:PutRetentationPolicy |
|
Visualização, planejamento e análise |
Liste os tópicos do SNS do cliente e publique no SNS de back-end do WLMDB, bem como no SNS do cliente, se selecionado |
sns:ListTopics |
Implantação |
Visualização, planejamento e análise |
sns:publicar |
Implantação |
Criação de host de banco de dados |
|
Permissões de SSM necessárias para executar o script de descoberta em instâncias SQL provisionadas e buscar a lista mais recente de regiões AWS compatíveis com o FSX para ONTAP. |
ssm: Aplicação de segurança |
Implantação |
Criação de host de banco de dados |
ssm:PutConfigurePackageResult |
Implantação |
Criação de host de banco de dados |
|
ssm:Stock |
Implantação |
Criação de host de banco de dados |
|
ssm:UpdateAssociationStatus |
Implantação |
Criação de host de banco de dados |
|
ssm:UpdateInstanceAssociationStatus |
Implantação |
Criação de host de banco de dados |
|
ssm:UpdateInstanceInformation |
Implantação |
Criação de host de banco de dados |
|
ssmmessages:CriarCanalDeControle |
Implantação |
Criação de host de banco de dados |
|
ssmmessages:CriarCanalDeDados |
Implantação |
Criação de host de banco de dados |
|
ssmmessages:OpenControlChannel |
Implantação |
Criação de host de banco de dados |
|
ssmmessages:OpenDataChannel |
Implantação |
Criação de host de banco de dados |
|
Sinalize a pilha do CloudFormation com sucesso ou falha. |
Cloudformation: SignalResource 1 |
Implantação |
Criação de host de banco de dados |
Adicione a função EC2 criada por modelo ao perfil de instância do EC2 para permitir que scripts no EC2 acessem os recursos necessários para implantação. |
IAM:AddRoleToInstanceProfile |
Implantação |
Criação de host de banco de dados |
Crie o perfil de instância para EC2 e anexe a função EC2 criada. |
IAM:CreateInstanceProfile |
Implantação |
Criação de host de banco de dados |
Crie uma função EC2D através de modelo com as permissões listadas abaixo |
IAM:CreateRole |
Implantação |
Criação de host de banco de dados |
Criar função vinculada ao serviço EC2 |
ISO:CreateServiceLinkRole 2 |
Implantação |
Criação de host de banco de dados |
Excluir perfil de instância criado durante a implantação especificamente para os nós de validação |
IAM:DeleteInstanceProfile |
Implantação |
Criação de host de banco de dados |
Obtenha os detalhes da função e da política para determinar quaisquer lacunas na permissão e validar para a implantação |
IAM:GetPolicy |
Implantação |
Criação de host de banco de dados |
IAM:GetPolicyVersion |
Implantação |
Criação de host de banco de dados |
|
IAM: GetRole |
Implantação |
Criação de host de banco de dados |
|
IAM:GetRolePolicy |
Implantação |
Criação de host de banco de dados |
|
IAM:GetUser |
Implantação |
Criação de host de banco de dados |
|
Passe a função criada para a instância EC2 |
3 |
Implantação |
Criação de host de banco de dados |
Adicione a política com as permissões necessárias à função EC2 criada |
IAM:PutRolePolicy |
Implantação |
Criação de host de banco de dados |
Separe a função do perfil de instância do EC2 provisionado |
IAM:RemoveRoleFromInstanceProfile |
Implantação |
Criação de host de banco de dados |
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias |
IAM:SimulatePrincipalPolicy |
Implantação |
Todos |
Obtenha os modelos básicos disponíveis para análise de logs de erros. |
Bedrock:GetFoundationModelAvailability |
Análise do registro de erros |
Visualização, planejamento e análise |
Liste os perfis de interface disponíveis no Amazon Bedrock para análise de logs de erros. |
Bedrock:ListInferenceProfiles |
Análise do registro de erros |
Visualização, planejamento e análise |
-
A permissão é restrita a recursos que começam com WLMDB.
-
"IAM:CreateServiceLinkRole" limitado por "iam:AWSServiceName": "ec2.amazonaws.com"*
-
"IAM:PassRole" limitado por "iam:PassedToService": "ec2.amazonaws.com"*
Permissões para cargas de trabalho do GenAI
As políticas do IAM para cargas de trabalho do VMware fornecem as permissões que o Workload Factory for VMware precisa para gerenciar recursos e processos dentro do seu ambiente de nuvem pública com base no modo operacional em que você opera.
As políticas GenAI IAM estão disponíveis apenas com permissões de leitura/gravação:
-
Leitura/Gravação: executa e automatiza operações na AWS em seu nome, utilizando as credenciais atribuídas que possuem as permissões necessárias e validadas para a execução.
Políticas do IAM para workloads do GenAI
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}A tabela a seguir fornece detalhes sobre as permissões para cargas de trabalho do GenAI.
Tabela de permissões para workloads do GenAI
| Finalidade | Ação | Onde usado | Política de permissão |
|---|---|---|---|
Crie uma pilha de formação de nuvem do mecanismo de AI durante as operações de implantação e recriação |
Formação de nuvens: CreateStack |
Implantação |
Leitura/escrita |
Crie a pilha de formação de nuvem do mecanismo de AI |
Cloudformation:DescribeStacks |
Implantação |
Leitura/escrita |
Listar regiões para o assistente de implantação do mecanismo de IA |
EC2:DescribeRegiões |
Implantação |
Leitura/escrita |
Exibir tags de mecanismo AI |
EC2: DescribeTags |
Implantação |
Leitura/escrita |
Listar buckets S3 |
S3:ListAllMyBuckets |
Implantação |
Leitura/escrita |
Listar os endpoints da VPC antes da criação da pilha do mecanismo de IA |
EC2:CreateVpcEndpoint |
Implantação |
Leitura/escrita |
Crie um grupo de segurança do mecanismo de AI durante a criação da stack de mecanismos de AI durante as operações de implantação e reconstrução |
EC2:CreateSecurityGroup |
Implantação |
Leitura/escrita |
Identifique os recursos criados pela criação da pilha do mecanismo de AI durante as operações de implantação e reconstrução |
EC2:CreateTags |
Implantação |
Leitura/escrita |
Publique eventos criptografados no backend WLMAI da pilha de mecanismos de IA |
Kms:GenerateDataKey |
Implantação |
Leitura/escrita |
Kms:desencriptar |
Implantação |
Leitura/escrita |
|
Publique eventos e recursos personalizados no backend WLMAI a partir da pilha de ai-Engine |
sns:publicar |
Implantação |
Leitura/escrita |
Listar VPCs durante o assistente de implantação do mecanismo de IA |
EC2: DescribeVPCs |
Implantação |
Leitura/escrita |
Liste sub-redes no assistente de implantação do AI-Engine |
EC2: DescribeSubnets |
Implantação |
Leitura/escrita |
Obtenha tabelas de rota durante a implantação e reconstrução do mecanismo de IA |
EC2:DescribeRouteTables |
Implantação |
Leitura/escrita |
Listar pares de chaves durante o assistente de implantação do mecanismo de IA |
EC2: DescribeKeyPairs |
Implantação |
Leitura/escrita |
Listar grupos de segurança durante a criação da pilha do mecanismo de IA (para localizar grupos de segurança nos endpoints privados) |
EC2:DescribeSecurityGroups |
Implantação |
Leitura/escrita |
Obtenha endpoints de VPC para determinar se algum deve ser criado durante a implantação do mecanismo de AI |
EC2:DescribeVpcEndpoints |
Implantação |
Leitura/escrita |
Liste os aplicativos do Amazon Q Business |
Qbusiness:ListAplicações |
Implantação |
Leitura/escrita |
Liste instâncias para descobrir o estado do mecanismo de IA |
EC2: DescribeInstances |
Solução de problemas |
Leitura/escrita |
Listar imagens durante a criação da pilha do mecanismo de AI durante as operações de implantação e reconstrução |
EC2: DescribeImages |
Implantação |
Leitura/escrita |
Crie e atualize instância de IA e grupo de segurança de endpoint privado durante a criação da pilha de instâncias de IA durante as operações de implantação e reconstrução |
EC2:RevokeSecurityGroupEgress |
Implantação |
Leitura/escrita |
EC2:RevokeSecurityGroupIngress |
Implantação |
Leitura/escrita |
|
Execute o mecanismo de AI durante a criação da stack de cloudformation durante as operações de implantação e recriação |
EC2:RunInstances |
Implantação |
Leitura/escrita |
Anexe o grupo de segurança e modifique as regras do mecanismo de AI durante a criação da stack durante as operações de implantação e recriação |
EC2:AutorizeSecurityGroupEgress |
Implantação |
Leitura/escrita |
EC2:AutorizeSecurityGroupIngress |
Implantação |
Leitura/escrita |
|
Inicie a solicitação de bate-papo para um dos modelos básicos |
Bedrock:InvokeModelWithResponseStream |
Implantação |
Leitura/escrita |
Inicie a solicitação de bate-papo/incorporação para modelos de base |
Bedrock:modelo InvokeModel |
Implantação |
Leitura/escrita |
Mostre os modelos de fundação disponíveis em uma região |
Bedrock:ListFoundationModels |
Implantação |
Leitura/escrita |
Obtenha informações sobre um modelo de fundação |
Bedrock:GetFoundationModel |
Implantação |
Leitura/escrita |
Verifique o acesso ao modelo da base |
Bedrock:GetFoundationModelAvailability |
Implantação |
Leitura/escrita |
Verifique a necessidade de criar o grupo de log do Amazon CloudWatch durante as operações de implantação e reconstrução |
Logs:DescribeLogGroups |
Implantação |
Leitura/escrita |
Obtenha regiões compatíveis com FSX e Amazon bedrock durante o assistente do mecanismo de AI |
ssm:GetParametersByPath |
Implantação |
Leitura/escrita |
Obtenha a imagem mais recente do Amazon Linux para a implantação do mecanismo de IA durante as operações de implantação e reconstrução |
ssm:GetParameters |
Implantação |
Leitura/escrita |
Obtenha a resposta SSM do comando enviado ao mecanismo de IA |
ssm:GetCommandInvocation |
Implantação |
Leitura/escrita |
Verifique a ligação SSM ao motor AI |
ssm:SendCommand |
Implantação |
Leitura/escrita |
ssm:GetConnectionStatus |
Implantação |
Leitura/escrita |
|
Crie um perfil de instância do mecanismo de AI durante a criação de stack durante as operações de implantação e reconstrução |
IAM:CreateRole |
Implantação |
Leitura/escrita |
IAM:CreateInstanceProfile |
Implantação |
Leitura/escrita |
|
IAM:AddRoleToInstanceProfile |
Implantação |
Leitura/escrita |
|
IAM:PutRolePolicy |
Implantação |
Leitura/escrita |
|
IAM:GetRolePolicy |
Implantação |
Leitura/escrita |
|
IAM: GetRole |
Implantação |
Leitura/escrita |
|
IAM:TagRole |
Implantação |
Leitura/escrita |
|
IAM:PassRole |
Implantação |
Leitura/escrita |
|
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias |
IAM:SimulatePrincipalPolicy |
Implantação |
Leitura/escrita |
Liste o FSX para sistemas de arquivos ONTAP durante o assistente "criar base de conhecimento" |
fsx:DescribeVolumes |
Criação da base de conhecimento |
Leitura/escrita |
Liste os volumes do sistema de arquivos do FSX for ONTAP durante o assistente "criar base de conhecimento" |
fsx:DescribeFileSystems |
Criação da base de conhecimento |
Leitura/escrita |
Gerencie bases de conhecimento no mecanismo de AI durante as operações de reconstrução |
fsx:ListTagsForResource |
Solução de problemas |
Leitura/escrita |
Liste as máquinas virtuais de armazenamento do sistema de arquivos do FSX for ONTAP durante o assistente "criar base de conhecimento" |
fsx:DescribeStorageVirtualMachines |
Implantação |
Leitura/escrita |
Mova a base de conhecimento para uma nova instância |
fsx:UntagResource |
Solução de problemas |
Leitura/escrita |
Gerencie a base de conhecimento no mecanismo de IA durante a reconstrução |
fsx:TagResource |
Solução de problemas |
Leitura/escrita |
Salve segredos SSM (token ECR, credenciais CIFS, chaves de contas de serviço de locação) de forma segura |
ssm: GetParameter |
Implantação |
Leitura/escrita |
ssm: PutParameter |
Implantação |
Leitura/escrita |
|
Envie os logs do mecanismo de IA para o grupo de logs do Amazon CloudWatch durante as operações de implantação e reconstrução |
Logs:CreateLogGroup |
Implantação |
Leitura/escrita |
Logs:PutRetentationPolicy |
Implantação |
Leitura/escrita |
|
Envie os logs do mecanismo de IA para o grupo de logs do Amazon CloudWatch |
Logs:TagResource |
Solução de problemas |
Leitura/escrita |
Obtenha resposta SSM do Amazon CloudWatch (quando a resposta for muito longa) |
Logs:DescribeLogStreams |
Solução de problemas |
Leitura/escrita |
Obtenha a resposta SSM do Amazon CloudWatch |
Logs:GetLogEvents |
Solução de problemas |
Leitura/escrita |
Crie um grupo de log do Amazon CloudWatch para logs do Amazon bedrock durante a criação da pilha durante as operações de implantação e reconstrução |
Logs:CreateLogGroup |
Implantação |
Leitura/escrita |
Logs:PutRetentationPolicy |
Implantação |
Leitura/escrita |
|
Logs:TagResource |
Implantação |
Leitura/escrita |
|
Listar perfis de inferência para o modelo |
Bedrock:ListInferenceProfiles |
Solução de problemas |
Leitura/escrita |
Permissões para cargas de trabalho VMware
As cargas de trabalho do VMware oferecem as seguintes políticas de permissão para escolha:
-
Visualização, planejamento e análise: Visualize o inventário de ambientes de virtualização da EVS, obtenha uma análise bem arquitetada para seus sistemas e explore oportunidades de economia.
-
Implantação e conectividade do armazenamento de dados: Implante os layouts de VM recomendados em clusters Amazon EVS, Amazon EC2 ou VMware Cloud on AWS vSphere e use sistemas de arquivos Amazon FSx for NetApp ONTAP como armazenamentos de dados externos.
Selecione a política de permissões para visualizar as políticas IAM necessárias:
Políticas do IAM para workloads da VMware
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeDhcpOptions",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"secretsmanager:ListSecrets",
"evs:ListEnvironments",
"evs:GetEnvironment",
"evs:ListEnvironmentVlans"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}A tabela a seguir fornece detalhes sobre as permissões para cargas de trabalho VMware.
Tabela de permissões para workloads da VMware
| Finalidade | Ação | Onde usado | Política de permissão |
|---|---|---|---|
Anexe grupos de segurança e modifique regras para os nós provisionados |
EC2:AutorizeSecurityGroupIngress |
Implantação |
Implantação e conectividade do armazenamento de dados |
Criar volumes EBS |
fsx:Createvolume |
Implantação |
Implantação e conectividade do armazenamento de dados |
Marque valores personalizados para os recursos do FSX for NetApp ONTAP criados pelas cargas de trabalho da VMware |
fsx:TagResource |
Implantação |
Implantação e conectividade do armazenamento de dados |
Crie e valide o modelo do CloudFormation |
Formação de nuvens: CreateStack |
Implantação |
Implantação e conectividade do armazenamento de dados |
Gerencie tags e segurança de rede em instâncias criadas |
EC2:CreateSecurityGroup |
Implantação |
Implantação e conectividade do armazenamento de dados |
Inicie as instâncias criadas |
EC2:RunInstances |
Implantação |
Implantação e conectividade do armazenamento de dados |
Obtenha detalhes da instância do EC2 |
EC2: DescribeInstances |
Inventário |
Implantação e conectividade do armazenamento de dados |
Listar imagens durante a criação da pilha durante as operações de implantação e reconstrução |
EC2: DescribeImages |
Inventário |
Implantação e conectividade do armazenamento de dados |
Visualizar detalhes de configuração dos conjuntos de opções DHCP associados às VPCs |
ec2:DescribeDhcpOptions |
Inventário |
Visualização, planejamento e análise |
Obtenha os VPCs no ambiente selecionado para preencher o formulário de implantação |
EC2: DescribeVPCs |
|
Visualização, planejamento e análise |
Obtenha as sub-redes no ambiente selecionado para preencher o formulário de implantação |
EC2: DescribeSubnets |
|
Visualização, planejamento e análise |
Obtenha os grupos de segurança no ambiente selecionado para preencher o formulário de implantação |
EC2:DescribeSecurityGroups |
Implantação |
Visualização, planejamento e análise |
Obtenha as zonas de disponibilidade no ambiente selecionado |
EC2:DescribeDisabilityZones |
|
Visualização, planejamento e análise |
Obtenha as regiões com o suporte do Amazon FSX para NetApp ONTAP |
EC2:DescribeRegiões |
Implantação |
Visualização, planejamento e análise |
Obtenha aliases de chaves KMS para serem usadas para criptografia do Amazon FSX para NetApp ONTAP |
Kms:ListAliases |
Implantação |
Visualização, planejamento e análise |
Obtenha chaves KMS para serem usadas para criptografia do Amazon FSX for NetApp ONTAP |
Kms: ListKeys |
Implantação |
Visualização, planejamento e análise |
Obtenha os detalhes de expiração das chaves KMS a serem usados para a criptografia do Amazon FSX for NetApp ONTAP |
Kms:DescribeKey |
Implantação |
Visualização, planejamento e análise |
Listar segredos no AWS Secrets Manager |
gerenciador de segredos:ListarSegredos |
Inventário |
Visualização, planejamento e análise |
Obtenha uma lista de ambientes do Amazon EVS. |
evs:ListarAmbientes |
Inventário |
Visualização, planejamento e análise |
Obtenha informações detalhadas sobre um ambiente específico do Amazon EVS. |
evs:ObterAmbiente |
Inventário |
Visualização, planejamento e análise |
Liste as VLANs associadas a um ambiente Amazon EVS. |
evs:ListarVlansDeAmbiente |
Inventário |
Visualização, planejamento e análise |
Crie os recursos do Amazon FSX for NetApp ONTAP necessários para o provisionamento |
fsx:CreateFileSystem |
Implantação |
Implantação e conectividade do armazenamento de dados |
fsx:CreateStorageVirtualMachine |
Implantação |
Implantação e conectividade do armazenamento de dados |
|
fsx:Createvolume |
|
Implantação e conectividade do armazenamento de dados |
|
Obtenha detalhes do Amazon FSX para NetApp ONTAP |
fsx:descrever* |
|
Implantação e conectividade do armazenamento de dados |
Obtenha detalhes das chaves do KMS e use a criptografia do Amazon FSX for NetApp ONTAP |
Kms:CreateGrant |
Implantação |
Implantação e conectividade do armazenamento de dados |
Kms: Descrever* |
Implantação |
Visualização, planejamento e análise |
|
Kms:Lista* |
Implantação |
Visualização, planejamento e análise |
|
Kms:desencriptar |
Implantação |
Implantação e conectividade do armazenamento de dados |
|
Kms:GenerateDataKey |
Implantação |
Implantação e conectividade do armazenamento de dados |
|
Liste os tópicos do SNS do cliente e publique no SNS de back-end do WLMVMC, bem como no SNS do cliente, se selecionado |
sns:publicar |
Implantação |
Implantação e conectividade do armazenamento de dados |
Simule operações de carga de trabalho para validar permissões disponíveis e compare com as permissões de conta da AWS necessárias |
IAM:SimulatePrincipalPolicy |
Implantação |
|
Alterar registo
À medida que as permissões são adicionadas e removidas, vamos anotá-las nas seções abaixo.
27 de novembro de 2025
As seguintes permissões foram adicionadas à carga de trabalho de armazenamento:
-
bedrock:ListInferenceProfiles -
bedrock:GetInferenceProfile -
bedrock:InvokeModelWithResponseStream -
bedrock:InvokeModel
2 de novembro de 2025
As políticas de permissão "somente leitura" e "leitura/gravação" foram substituídas em cargas de trabalho de armazenamento, banco de dados e VMware para fornecer mais granularidade e flexibilidade na atribuição de permissões.
5 de outubro de 2025
As seguintes permissões foram removidas do GenAI e agora são gerenciadas pelo mecanismo GenAI:
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
29 de junho de 2025
A seguinte permissão agora está disponível no modo somente leitura para bancos de dados: cloudwatch:GetMetricData .
3 de junho de 2025
A seguinte permissão agora está disponível no modo leitura/gravação para GenAI: s3:ListAllMyBuckets .
4 de maio de 2025
A seguinte permissão agora está disponível no modo leitura/gravação para GenAI: qbusiness:ListApplications .
As seguintes permissões agora estão disponíveis no modo somente leitura para bancos de dados:
-
logs:GetLogEvents -
logs:DescribeLogGroups
A seguinte permissão agora está disponível no modo leitura/gravação para bancos de dados:
logs:PutRetentionPolicy .
2 de abril de 2025
A seguinte permissão agora está disponível no modo somente leitura para bancos de dados: ssm:DescribeInstanceInformation .
30 de março de 2025
Atualização das permissões de workload do GenAI
As seguintes permissões agora estão disponíveis no modo de leitura/gravação para GenAI:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
A seguinte permissão foi removida do modo de leitura/gravação para GenAI: Bedrock:GetFoundationModel .
IAM:SimulatePrincipalPolicy permission update
O iam:SimulatePrincipalPolicy a permissão faz parte de todas as políticas de permissão de carga de trabalho se você habilitar a verificação automática de permissões ao adicionar credenciais de conta adicionais da AWS ou adicionar um novo recurso de carga de trabalho no console do Workload Factory. A permissão simula operações de carga de trabalho e verifica se você tem as permissões de conta da AWS necessárias antes de implantar recursos do Workload Factory. Habilitar essa verificação reduz o tempo e o esforço que você pode precisar para limpar recursos de operações com falha e adicionar permissões ausentes.
2 de março de 2025
A seguinte permissão agora está disponível no modo leitura/gravação para GenAI: bedrock:GetFoundationModel .
3 de fevereiro de 2025
A seguinte permissão agora está disponível no modo somente leitura para bancos de dados: iam:SimulatePrincipalPolicy .