发行说明
Cloud Manager 的 AWS 和 Azure 权限
建议更改
PDF
Cloud Manager 需要权限才能代表您在 AWS 和 Azure 中执行操作。中包括这些权限 "NetApp 提供的策略"。您可能希望了解 Cloud Manager 使用这些权限执行的操作。
Cloud Manager 如何使用 AWS 权限
Cloud Manager 使用 AWS 帐户对几个 AWS 服务进行 API 调用、包括 EC2 、 S3 、 Cloudformation 、 IAM 、 Security Token Service (安全令牌服务, STS )和密钥管理服务( KMS )。
| 操作 | 目的 |
|---|---|
"EC2 : StartInstances " , "EC2 : StopInstances " , "EC2 : Describe Instances " , "EC2 : Describe InstanceStatus" , "EC2 : RunInstances " , "EC2 :终端实例 " , "EC2 : ModifyInstanceAttribute" , |
启动 Cloud Volumes ONTAP 实例并停止、启动和监控实例。 |
"EC2 :描述实例属性 " 、 |
验证是否已为支持的实例类型启用增强网络。 |
"EC2 :描述图 " 、 "EC2 :描述图 " 、 |
启动 Cloud Volumes ONTAP HA 配置。 |
"EC2 :创建标记 " 、 |
标记 Cloud Manager 使用 "Workingviron" 和 "Workingvironmid" 标记创建的每个资源。Cloud Manager 使用这些标签进行维护和成本分配。 |
"EC2 : CreateVolume" , "EC2 : Describe Volumes" , "EC2 : ModifyVolumeAttribute" , "EC2 : AttachVolume" , "EC2 : DeleteVolume" , "EC2 :详细卷 " , |
管理 Cloud Volumes ONTAP 用作后端存储的 EBS 卷。 |
"EC2 : CreateSecurityGroup" , "EC2 : DeleteSecurityGroup" , "EC2 : Describe SecurityGroups" , "EC2 : RevokeSecurityGroupEated" , "EC2 : AuthorizeSecurityGroupEated" , "EC2 : AuthorizeSecurityGroupIn防护 " , "EC2 : RevokeSecurityGroupIn防护 " , |
为 Cloud Volumes ONTAP 创建预定义的安全组。 |
"EC2 : CreateNetworkInterface" , "EC2 : Describe NetworkInterfaces" , "EC2 : DeleteNetworkInterface" , "EC2 : ModifyNetworkInterfaceAttribute" , |
在目标子网中为 Cloud Volumes ONTAP 创建和管理网络接口。 |
"EC2 :描述性子网 " 、 "EC2 :描述性 VPCS" 、 |
获取目标子网和安全组的列表、在为 Cloud Volumes ONTAP 创建新的工作环境时需要这些子网和安全组。 |
"EC2 :说明 " 、 |
确定启动 Cloud Volumes ONTAP 实例时的 DNS 服务器和默认域名。 |
"EC2 : CreateSnapshot " 、 "EC2 : DeleteSnapshot " 、 "EC2 :描述性快照 " 、 |
在初始设置期间和停止 Cloud Volumes ONTAP 实例时拍摄 EBS 卷的快照。 |
"EC2 : GetConsoleOutput " 、 |
捕获附加到 AutoSupport 消息的 Cloud Volumes ONTAP 控制台。 |
"EC2 :描述性密钥对 " 、 |
在启动实例时获取可用密钥对的列表。 |
"EC2 :描述性 " 、 |
获得可用 AWS 区域的列表。 |
"EC2 :删除标记 " 、 "EC2 :描述标记 " 、 |
管理与 Cloud Volumes ONTAP 实例关联的资源标签。 |
"CloudFormation : CreateStack" , "CloudFormation : DeleteStack" , "CloudFormation : Describe Stacks" , "CloudFormation : Describe StackEvents " , "CloudFormation : ValidateTemplate" , |
启动 Cloud Volumes ONTAP 实例。 |
"IAM : PassRole" , "iam : CreateRole" , "iam : DeleteRole" , "iam : PutRolePolicy" , "iam : CreateInstanceProfile" , "IAM : DeleteRolePolicy" , "iam : AddRoleToInstanceProfile" , "iam : RemoveRoleFromInstanceProfile" , "iam : DeleteInstanceProfile" , |
启动 Cloud Volumes ONTAP HA 配置。 |
"IAM : ListInstanceProfiles" , "STS : DecodeAuthorizationMessage" , "EC2 : AssociateIamInstanceProfile" , "EC2 : Describe IamInstanceProfileAssociations" , "EC2 : DisassociateIamInstanceProfile" , |
管理 Cloud Volumes ONTAP 实例的实例配置文件。 |
"S3 : GetBucketTagging" , "S3 : GetBucketLocation" , "S3 : ListAllMyBuckets" , "S3 : ListBucket" |
获取有关 AWS S3 存储槽的信息、以便 Cloud Manager 可以与 NetApp Data Fabric Cloud Sync 服务集成。 |
"S3 : CreateBucket" , "S3 : DeleteBucket" , "S3 : GetLifeycleConfiguration" , "S3 : PutLifeycleConfiguration" , "S3 : PutBucketTagging" , "S3 : ListBucketVersions" , |
管理 Cloud Volumes ONTAP 系统将其用作容量层的 S3 存储区。 |
"KMS: List*" 、 "KMS: 描述 *" |
从 AWS 密钥管理服务获取有关密钥的信息。 |
"CE : GetReservationUtilization" , "ce : GetDimensionValues" , "ce : GetCostAndUsage" , "ce : GetTags " |
获取有关 Cloud Volumes ONTAP 的 AWS 成本数据。 |
"EC2 : CreatePlacementGroup" , "EC2 : DeletePlacementGroup" |
在单个 AWS 可用性区域中部署 HA 配置时, Cloud Manager 会启动 AWS 分布式放置组中的两个 HA 节点和调解器。 |
Cloud Manager 使用 Azure 权限的功能
Cloud Manager Azure 策略包括 Cloud Manager 在 Azure 中部署和管理 Cloud Volumes ONTAP 所需的权限。
| 操作 | 目的 |
|---|---|
Microsoft.Compute/locations/operations/read" , Microsoft.Compute/locations/vmSizes/read" , Microsoft.Compute/operations/read" , Microsoft.Compute/virtualMachines/instanceView/read" , Microsoft.Compute/virtualMachines/powerOff/action" , Microsoft.Compute/virtualMachines/read" , Microsoft.Compute/virtualMachines/restart/action" , Microsoft.Compute/virtualMachines/start/action" , Microsoft.Compute/virtualMachines/deallocate/action" , Microsoft.Compute/virtualMachines/vmSizes/read" , " Microsoft.Compute/virtualMachines/write" , |
创建 Cloud Volumes ONTAP 并停止、启动、删除和获取系统状态。 |
"Microsoft.compute/images/write" 、 "Microsoft.compute/images/read" 、 |
支持从 VHD 部署 Cloud Volumes ONTAP 。 |
Microsoft.Compute/disks/delete" , Microsoft.Compute/disks/read" , Microsoft.Compute/disks/write" , "microsoft.Storage/SchecknameAvailability /Read" , "microsoft.Storage/operations/Read" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/storageAccouns/Read" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/Acces/ Read" , |
管理 Azure 存储帐户和磁盘、并将磁盘连接到 Cloud Volumes ONTAP 。 |
"microsoft.network/networkinterfaces/read" 、 "microsoft.network/networkinterfaces/write" 、 "microsoft.network/networkinterfaces/join/action" 、 |
在目标子网中为 Cloud Volumes ONTAP 创建和管理网络接口。 |
"microsoft.network/networksecuritygroups/read" 、 "microsoft.network/networksecuritygroups/write" 、 "microsoft.network/networksecuritygroups/join/action" 、 |
为 Cloud Volumes ONTAP 创建预定义的网络安全组。 |
"microsoft.resources/subscriptions/locations/read" , Microsoft.Network/locations/operationResults/read" , Microsoft.Network/locations/operations/read" , Microsoft.Network/virtualNetworks/read" , Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read" , Microsoft.Network/virtualNetworks/subnets/read" , Microsoft.Network/virtualNetworks/subnets/virtualMachines/read" , Microsoft.Network/virtualNetworks/virtualMachines/read" , Microsoft.Network/virtualNetworks/subnets/join/action" , |
获取有关区域、目标 VNet 和子网的网络信息、并将 Cloud Volumes ONTAP 添加到 VNETS 。 |
Microsoft.Network/virtualNetworks/subnets/write" , Microsoft.Network/routeTables/join/action" , |
启用 VNet 服务端点以进行数据分层。 |
"Microsoft.Resources/deployments/operations/read" 、 "Microsoft.Resources/deployments/read" 、 "Microsoft.Resources/deployments/write" 、 |
从模板部署 Cloud Volumes ONTAP 。 |
"microsoft.resources/deployments/operations/read" , "microsoft.resources/deployments/read" , "microsoft.resources/deployments/write" , "microsoft.resources/resources/read" , "microsoft.resources/subscriptions/operationresults/read" , "microsoft.resources/subscriptions/resourcegroups/delete" , "microsoft.resources/subscriptions/resourcegroups/read" , "microsoft.resources/subscriptions/resourcegroups/write" , |
为 Cloud Volumes ONTAP 创建和管理资源组。 |
"Microsoft.compute/Snapshots/write" 、 "Microsoft.compute/Snapshots/read" 、 "Microsoft.compute/disks/begingetAccess/Action" |
创建和管理 Azure 管理的快照。 |
"microsoft.compute/availabilitysets/write" 、 "microsoft.compute/availabilitysets/read" 、 |
创建和管理 Cloud Volumes ONTAP 的可用性集。 |
"Microsoft.Marketplac订购 / 服务类型 / 发布者 / 服务 / 计划 / 协议 / 读取 " 、 "Microsoft.Marketplac订购 / 服务类型 / 发布者 / 服务 / 计划 / 协议 / 写入 " |
支持从 Azure Marketplace 进行编程部署。 |
Microsoft.Network/loadBalancers/read" , Microsoft.Network/loadBalancers/write" , Microsoft.Network/loadBalancers/delete" , Microsoft.Network/loadBalancers/backendAddressPools/read" , Microsoft.Network/loadBalancers/backendAddressPools/join/action" , Microsoft.Network/loadBalancers/frontendIPConfigurations/read" , Microsoft.Network/loadBalancers/loadBalancingRules/read" , Microsoft.Network/loadBalancers/probes/read" , Microsoft.Network/loadBalancers/probes/join/action" , |
管理 HA 对的 Azure 负载平衡器。 |
"Microsoft.Authorization/Locks/*" |
支持管理 Azure 磁盘上的锁定。 |
"microsoft.Authorization/roleDefinitions/write" , "microsoft.Authorization/roleAssignments/write" , "microsoft.Web/sites/*" |
管理 HA 对的故障转移。 |