Connector 的 AWS 权限
当BlueXP在AWS中启动Connector实例时、它会向此实例附加一个策略、此策略可为Connector提供管理该AWS帐户中资源和进程的权限。Connector使用这些权限对多个AWS服务进行API调用、包括EC2、S3、CloudFormation、IAM、 密钥管理服务(KMS)等。
IAM策略
下面提供的IAM策略为Connector提供了根据您的AWS区域管理公有 云环境中的资源和流程所需的权限。
请注意以下事项:
-
如果您直接从BlueXP在标准AWS区域中创建Connector、则BlueXP会自动将策略应用到Connector。
-
如果您从AWS Marketplace部署Connector、在Linux主机上手动安装Connector或要向BlueXP添加其他AWS凭据、则需要自行设置策略。
-
无论哪种情况、您都需要确保在后续版本中添加新权限时策略是最新的。如果需要新的权限、这些权限将在发行说明中列出。
-
如果需要、您可以使用IAM来限制IAM策略
Condition
Element。 "AWS文档:条件元素" -
要查看使用这些策略的分步说明、请参见以下页面:
选择您所在的区域以查看所需的策略:
标准区域
对于标准区域、权限会分布在两个策略中。由于AWS中受管策略的字符大小上限、因此需要使用两个策略。
GovCloud (美国)地区
秘密区域
顶级机密区域
如何使用AWS权限
以下各节介绍了如何对每个BlueXP服务使用权限。如果您的公司策略规定仅在需要时提供权限、则此信息会很有用。
适用于 ONTAP 的 Amazon FSX
连接器发出以下API请求来管理Amazon FSx for ONTAP文件系统:
-
EC2:Describe实例
-
EC2:Describe实例状态
-
EC2:Describe实例属性
-
EC2:Describe RouteTables
-
EC2:Describe
-
EC2:CreateTags
-
EC2:Describe卷
-
EC2:Describe安全性组
-
EC2:Describe网络接口
-
EC2:Describe子网
-
EC2:Describe
-
EC2:Describe DhcpOptions
-
EC2:Describe Snapshot
-
EC2:Describe KeyPairs
-
EC2:Describe注册
-
EC2:Describe标记
-
EC2:Describe IamInstanceProfileAssociations
-
EC2:Describe保留实例服务
-
EC2:Describe VpcEndpoints
-
EC2:Describe
-
EC2:Describe卷修改
-
EC2:Describe PlacementGroup
-
公里:列表*
-
公里:描述*
-
公里:CreateGrant
-
Kms:ListAliases
-
FSX:描述*
-
FSX:List*
Amazon S3 存储分段发现
Connector会发出以下API请求来发现Amazon S3存储分段:
S3 : GetEncryptionConfiguration
备份和恢复
Connector会发出以下API请求来管理Amazon S3中的备份:
-
S3 : GetBucketLocation
-
S3 : ListAllMy桶
-
S3 : ListBucket
-
S3 : CreateBucket
-
S3 : GetLifeycleConfiguration
-
S3 : PutLifeycleConfiguration
-
S3 : PutBucketTagging
-
S3 : ListBucketVersions
-
S3 : GetBucketAcl
-
S3:PutBucketPublicAccessBlock
-
公里:列表*
-
公里:描述*
-
S3 : GetObject
-
EC2:Describe VpcEndpoints
-
Kms:ListAliases
-
S3 : PutEncryptionConfiguration
在使用搜索和还原方法还原卷和文件时、Connector会发出以下API请求:
-
S3 : CreateBucket
-
S3 : DeleteObject
-
S3 : DeleteObjectVersion
-
S3 : GetBucketAcl
-
S3 : ListBucket
-
S3 : ListBucketVersions
-
S3 : ListBucketMultipartUploads
-
S3 : PutObject
-
S3:PutBucketAcl
-
S3 : PutLifeycleConfiguration
-
S3:PutBucketPublicAccessBlock
-
S3 : AbortMultipartUpload
-
S3 : ListMultipartUploadPart
-
Athena:StartQueryExecution
-
Athena:GetQueryResults
-
Athena:GetQueryExecution
-
Athena:StopQueryExecution
-
胶水:CreateDatabase
-
胶水:CreateTable
-
粘附:BatechDelete分区
在对卷备份使用DataLock和勒索软件保护时、Connector会发出以下API请求:
-
S3 : GetObjectVersionTagging
-
S3 : GetBucketObjectLockConfiguration
-
S3:GetObjectVersionAcl
-
S3 : PutObjectTagging
-
S3 : DeleteObject
-
S3 : DeleteObjectTagging
-
S3 : GetObjectRetention
-
S3 : DeleteObjectVersionTagging
-
S3 : PutObject
-
S3 : GetObject
-
S3 : PutBucketObjectLockConfiguration
-
S3 : GetLifeycleConfiguration
-
S3:ListBucketByTags
-
S3 : GetBucketTagging
-
S3 : DeleteObjectVersion
-
S3 : ListBucketVersions
-
S3 : ListBucket
-
S3 : PutBucketTagging
-
S3 : GetObjectTagging
-
S3 : PutBucketVersioning
-
S3 : PutObjectVersionTagging
-
S3 : GetBucketVersioning
-
S3 : GetBucketAcl
-
S3:BypassGovernanceRetention
-
S3 : PutObjectRetention
-
S3 : GetBucketLocation
-
S3 : GetObjectVersion
如果您对Cloud Volumes ONTAP 备份使用的AWS帐户与源卷使用的AWS帐户不同、则Connector会发出以下API请求:
-
S3 : PutBucketPolicy
-
S3:PutBucketOwnershipControls.
分类
Connector发出以下API请求以部署BlueXP分类实例:
-
EC2:Describe实例
-
EC2:Describe实例状态
-
EC2:RunInstances
-
EC2:终端状态
-
EC2:CreateTags
-
EC2:CreateVolume
-
EC2:Attach卷
-
EC2:CreateSecurityGroup
-
EC2:DeleteSecurityGroup
-
EC2:Describe安全性组
-
EC2:CreateNetworkInterface
-
EC2:Describe网络接口
-
EC2:DeleteNetworkInterface
-
EC2:Describe子网
-
EC2:Describe
-
EC2:CreateSnapshot
-
EC2:Describe注册
-
CloudFormation:CreateStack
-
CloudFormation:DeleteStack
-
CloudFormation:Describe堆栈
-
CloudFormation:Describe StackEvents
-
IAM:AddRoleToInstanceProfile
-
EC2:AssociateIamInstanceProfile
-
EC2:Describe IamInstanceProfileAssociations
使用BlueXP分类时、Connector会发出以下API请求来扫描S3分段:
-
IAM:AddRoleToInstanceProfile
-
EC2:AssociateIamInstanceProfile
-
EC2:Describe IamInstanceProfileAssociations
-
S3 : GetBucketTagging
-
S3 : GetBucketLocation
-
S3 : ListAllMy桶
-
S3 : ListBucket
-
S3:GetBucketPolicyStatus
-
S3 : GetBucketPolicy
-
S3 : GetBucketAcl
-
S3 : GetObject
-
IAM:GetRole
-
S3 : DeleteObject
-
S3 : DeleteObjectVersion
-
S3 : PutObject
-
STS:AssumeRole
Cloud Volumes ONTAP
Connector会发出以下API请求、以便在AWS中部署和管理Cloud Volumes ONTAP。
目的 | Action | 用于部署? | 用于日常操作? | 用于删除? |
---|---|---|---|---|
创建和管理Cloud Volumes ONTAP 实例的IAM角色和实例配置文件 |
IAM:ListInstanceProfile |
是的。 |
是的。 |
否 |
IAM:CreateRole |
是的。 |
否 |
否 |
|
IAM:DeleteRole |
否 |
是的。 |
是的。 |
|
IAM:PutRolePolicy |
是的。 |
否 |
否 |
|
IAM:CreateInstanceProfile |
是的。 |
否 |
否 |
|
IAM:DeleteRolePolicy |
否 |
是的。 |
是的。 |
|
IAM:AddRoleToInstanceProfile |
是的。 |
否 |
否 |
|
IAM:RemoveRoleFromInstanceProfile |
否 |
是的。 |
是的。 |
|
IAM:DeleteInstanceProfile |
否 |
是的。 |
是的。 |
|
IAM:PassRole |
是的。 |
否 |
否 |
|
EC2:AssociateIamInstanceProfile |
是的。 |
是的。 |
否 |
|
EC2:Describe IamInstanceProfileAssociations |
是的。 |
是的。 |
否 |
|
EC2:DisassociateIamInstanceProfile |
否 |
是的。 |
否 |
|
对授权状态消息进行解码 |
STS:DecodeAuthorizationMessage |
是的。 |
是的。 |
否 |
描述可供帐户使用的指定映像(AMI) |
EC2:Describe |
是的。 |
是的。 |
否 |
描述VPC中的路由表(仅HA对需要) |
EC2:Describe RouteTables |
是的。 |
否 |
否 |
停止、启动和监控实例 |
EC2:StartInstances |
是的。 |
是的。 |
否 |
EC2:StopInstances |
是的。 |
是的。 |
否 |
|
EC2:Describe实例 |
是的。 |
是的。 |
否 |
|
EC2:Describe实例状态 |
是的。 |
是的。 |
否 |
|
EC2:RunInstances |
是的。 |
否 |
否 |
|
EC2:终端状态 |
否 |
否 |
是的。 |
|
EC2:ModifyInstance属性 |
否 |
是的。 |
否 |
|
验证是否已为支持的实例类型启用增强型网络连接 |
EC2:Describe实例属性 |
否 |
是的。 |
否 |
使用"WorkingEnvironment"和"WorkingEnvironmentId"标记标记资源、用于维护和成本分配 |
EC2:CreateTags |
是的。 |
是的。 |
否 |
管理Cloud Volumes ONTAP 用作后端存储的EBS卷 |
EC2:CreateVolume |
是的。 |
是的。 |
否 |
EC2:Describe卷 |
是的。 |
是的。 |
是的。 |
|
EC2:ModifyVolumeAttribute |
否 |
是的。 |
是的。 |
|
EC2:Attach卷 |
是的。 |
是的。 |
否 |
|
EC2:DeleteVolume |
否 |
是的。 |
是的。 |
|
EC2:分离卷 |
否 |
是的。 |
是的。 |
|
创建和管理Cloud Volumes ONTAP 的安全组 |
EC2:CreateSecurityGroup |
是的。 |
否 |
否 |
EC2:DeleteSecurityGroup |
否 |
是的。 |
是的。 |
|
EC2:Describe安全性组 |
是的。 |
是的。 |
是的。 |
|
EC2:RevokeSecurityGroupEgress |
是的。 |
否 |
否 |
|
EC2:AuthorizeSecurityGroupEgress |
是的。 |
否 |
否 |
|
EC2:AuthorizeSecurityGroupIngress |
是的。 |
否 |
否 |
|
EC2:RevokeSecurityGroupIngress |
是的。 |
是的。 |
否 |
|
在目标子网中为Cloud Volumes ONTAP 创建和管理网络接口 |
EC2:CreateNetworkInterface |
是的。 |
否 |
否 |
EC2:Describe网络接口 |
是的。 |
是的。 |
否 |
|
EC2:DeleteNetworkInterface |
否 |
是的。 |
是的。 |
|
EC2:ModifyNetworkInterfaceAttribute |
否 |
是的。 |
否 |
|
获取目标子网和安全组的列表 |
EC2:Describe子网 |
是的。 |
是的。 |
否 |
EC2:Describe |
是的。 |
是的。 |
否 |
|
获取DNS服务器和Cloud Volumes ONTAP 实例的默认域名 |
EC2:Describe DhcpOptions |
是的。 |
否 |
否 |
为Cloud Volumes ONTAP 的EBS卷创建快照 |
EC2:CreateSnapshot |
是的。 |
是的。 |
否 |
EC2:DeleteSnapshot |
否 |
是的。 |
是的。 |
|
EC2:Describe Snapshot |
否 |
是的。 |
否 |
|
捕获附加到AutoSupport 消息的Cloud Volumes ONTAP 控制台 |
EC2:GetConsoleOutput |
是的。 |
是的。 |
否 |
获取可用密钥对的列表 |
EC2:Describe KeyPairs |
是的。 |
否 |
否 |
获取可用AWS区域的列表 |
EC2:Describe注册 |
是的。 |
是的。 |
否 |
管理与Cloud Volumes ONTAP 实例关联的资源的标记 |
EC2:DeleteTags |
否 |
是的。 |
是的。 |
EC2:Describe标记 |
否 |
是的。 |
否 |
|
为AWS CloudFormation模板创建和管理堆栈 |
CloudFormation:CreateStack |
是的。 |
否 |
否 |
CloudFormation:DeleteStack |
是的。 |
否 |
否 |
|
CloudFormation:Describe堆栈 |
是的。 |
是的。 |
否 |
|
CloudFormation:Describe StackEvents |
是的。 |
否 |
否 |
|
CloudFormation:验证模板 |
是的。 |
否 |
否 |
|
创建和管理Cloud Volumes ONTAP 系统用作数据分层容量层的S3存储分段 |
S3 : CreateBucket |
是的。 |
是的。 |
否 |
S3 : DeleteBucket |
否 |
是的。 |
是的。 |
|
S3 : GetLifeycleConfiguration |
否 |
是的。 |
否 |
|
S3 : PutLifeycleConfiguration |
否 |
是的。 |
否 |
|
S3 : PutBucketTagging |
否 |
是的。 |
否 |
|
S3 : ListBucketVersions |
否 |
是的。 |
否 |
|
S3:GetBucketPolicyStatus |
否 |
是的。 |
否 |
|
S3:GetBucketPublicAccessBlock |
否 |
是的。 |
否 |
|
S3 : GetBucketAcl |
否 |
是的。 |
否 |
|
S3 : GetBucketPolicy |
否 |
是的。 |
否 |
|
S3:PutBucketPublicAccessBlock |
否 |
是的。 |
否 |
|
S3 : GetBucketTagging |
否 |
是的。 |
否 |
|
S3 : GetBucketLocation |
否 |
是的。 |
否 |
|
S3 : ListAllMy桶 |
否 |
否 |
否 |
|
S3 : ListBucket |
否 |
是的。 |
否 |
|
使用AWS密钥管理服务(KMS)对Cloud Volumes ONTAP 启用数据加密 |
公里:列表* |
是的。 |
是的。 |
否 |
kms:重新加密* |
是的。 |
否 |
否 |
|
公里:描述* |
是的。 |
是的。 |
否 |
|
公里:CreateGrant |
是的。 |
是的。 |
否 |
|
Kms:GenerateDataKeyWithoutPlaintext |
是的。 |
是的。 |
否 |
|
在一个AWS可用性区域中为两个HA节点和调解器创建和管理一个AWS分布式放置组 |
EC2:CreatePlacementGroup |
是的。 |
否 |
否 |
EC2:DeletePlacementGroup |
否 |
是的。 |
是的。 |
|
创建报告 |
FSX:描述* |
否 |
是的。 |
否 |
FSX:List* |
否 |
是的。 |
否 |
|
创建和管理支持Amazon EBS弹性卷功能的聚合 |
EC2:Describe卷修改 |
否 |
是的。 |
否 |
EC2:ModifyVolume |
否 |
是的。 |
否 |
|
检查可用性区域是否为AWS本地区域、并验证所有部署参数是否兼容 |
EC2:特性可用性区域 |
是的。 |
否 |
是的。 |
更改日志
添加和删除权限后、我们将在以下各节中记录这些权限。
2024年9月9日
已从标准区域的策略2中删除权限、因为BlueXP 不再支持BlueXP 边缘缓存以及Kubnetes集群的发现和管理。
查看已从策略中删除的权限
2024年5月9日
现在、Cloud Volumes ONTAP需要以下权限:
EC2:特性可用性区域
2023年6月6日
现在、Cloud Volumes ONTAP需要以下权限:
Kms:GenerateDataKeyWithoutPlaintext
2023年2月14日
现在、BlueXP层需要以下权限:
EC2:Describe VpcEndpoints