此文档适用于上一版的 Cloud Manager。
转至最新版本的文档。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

Cloud Manager 的 AWS 和 Azure 权限

Cloud Manager 需要权限才能代表您在 AWS 和 Azure 中执行操作。中包括这些权限 "NetApp 提供的策略"。您可能希望了解 Cloud Manager 使用这些权限执行的操作。

Cloud Manager 如何使用 AWS 权限

Cloud Manager 使用 AWS 帐户对几个 AWS 服务进行 API 调用、包括 EC2 、 S3 、 Cloudformation 、 IAM 、 Security Token Service (安全令牌服务, STS )和密钥管理服务( KMS )。

操作 目的

"EC2 : StartInstances " , "EC2 : StopInstances " , "EC2 : Describe Instances " , "EC2 : Describe InstanceStatus" , "EC2 : RunInstances " , "EC2 :终端实例 " , "EC2 : ModifyInstanceAttribute" ,

启动 Cloud Volumes ONTAP 实例并停止、启动和监控实例。

"EC2 :描述实例属性 " 、

验证是否已为支持的实例类型启用增强网络。

"EC2 :描述图 " 、 "EC2 :描述图 " 、

启动 Cloud Volumes ONTAP HA 配置。

"EC2 :创建标记 " 、

标记 Cloud Manager 使用 "Workingviron" 和 "Workingvironmid" 标记创建的每个资源。Cloud Manager 使用这些标签进行维护和成本分配。

"EC2 : CreateVolume" , "EC2 : Describe Volumes" , "EC2 : ModifyVolumeAttribute" , "EC2 : AttachVolume" , "EC2 : DeleteVolume" , "EC2 :详细卷 " ,

管理 Cloud Volumes ONTAP 用作后端存储的 EBS 卷。

"EC2 : CreateSecurityGroup" , "EC2 : DeleteSecurityGroup" , "EC2 : Describe SecurityGroups" , "EC2 : RevokeSecurityGroupEated" , "EC2 : AuthorizeSecurityGroupEated" , "EC2 : AuthorizeSecurityGroupIn防护 " , "EC2 : RevokeSecurityGroupIn防护 " ,

为 Cloud Volumes ONTAP 创建预定义的安全组。

"EC2 : CreateNetworkInterface" , "EC2 : Describe NetworkInterfaces" , "EC2 : DeleteNetworkInterface" , "EC2 : ModifyNetworkInterfaceAttribute" ,

在目标子网中为 Cloud Volumes ONTAP 创建和管理网络接口。

"EC2 :描述性子网 " 、 "EC2 :描述性 VPCS" 、

获取目标子网和安全组的列表、在为 Cloud Volumes ONTAP 创建新的工作环境时需要这些子网和安全组。

"EC2 :说明 " 、

确定启动 Cloud Volumes ONTAP 实例时的 DNS 服务器和默认域名。

"EC2 : CreateSnapshot " 、 "EC2 : DeleteSnapshot " 、 "EC2 :描述性快照 " 、

在初始设置期间和停止 Cloud Volumes ONTAP 实例时拍摄 EBS 卷的快照。

"EC2 : GetConsoleOutput " 、

捕获附加到 AutoSupport 消息的 Cloud Volumes ONTAP 控制台。

"EC2 :描述性密钥对 " 、

在启动实例时获取可用密钥对的列表。

"EC2 :描述性 " 、

获得可用 AWS 区域的列表。

"EC2 :删除标记 " 、 "EC2 :描述标记 " 、

管理与 Cloud Volumes ONTAP 实例关联的资源标签。

"CloudFormation : CreateStack" , "CloudFormation : DeleteStack" , "CloudFormation : Describe Stacks" , "CloudFormation : Describe StackEvents " , "CloudFormation : ValidateTemplate" ,

启动 Cloud Volumes ONTAP 实例。

"IAM : PassRole" , "iam : CreateRole" , "iam : DeleteRole" , "iam : PutRolePolicy" , "iam : CreateInstanceProfile" , "IAM : DeleteRolePolicy" , "iam : AddRoleToInstanceProfile" , "iam : RemoveRoleFromInstanceProfile" , "iam : DeleteInstanceProfile" ,

启动 Cloud Volumes ONTAP HA 配置。

"IAM : ListInstanceProfiles" , "STS : DecodeAuthorizationMessage" , "EC2 : AssociateIamInstanceProfile" , "EC2 : Describe IamInstanceProfileAssociations" , "EC2 : DisassociateIamInstanceProfile" ,

管理 Cloud Volumes ONTAP 实例的实例配置文件。

"S3 : GetBucketTagging" , "S3 : GetBucketLocation" , "S3 : ListAllMyBuckets" , "S3 : ListBucket"

获取有关 AWS S3 存储槽的信息、以便 Cloud Manager 可以与 NetApp Data Fabric Cloud Sync 服务集成。

"S3 : CreateBucket" , "S3 : DeleteBucket" , "S3 : GetLifeycleConfiguration" , "S3 : PutLifeycleConfiguration" , "S3 : PutBucketTagging" , "S3 : ListBucketVersions" ,

管理 Cloud Volumes ONTAP 系统将其用作容量层的 S3 存储区。

"KMS: List*" 、 "KMS: 描述 *"

从 AWS 密钥管理服务获取有关密钥的信息。

"CE : GetReservationUtilization" , "ce : GetDimensionValues" , "ce : GetCostAndUsage" , "ce : GetTags "

获取有关 Cloud Volumes ONTAP 的 AWS 成本数据。

"EC2 : CreatePlacementGroup" , "EC2 : DeletePlacementGroup"

在单个 AWS 可用性区域中部署 HA 配置时, Cloud Manager 会启动 AWS 分布式放置组中的两个 HA 节点和调解器。

Cloud Manager 使用 Azure 权限的功能

Cloud Manager Azure 策略包括 Cloud Manager 在 Azure 中部署和管理 Cloud Volumes ONTAP 所需的权限。

操作 目的

Microsoft.Compute/locations/operations/read" , Microsoft.Compute/locations/vmSizes/read" , Microsoft.Compute/operations/read" , Microsoft.Compute/virtualMachines/instanceView/read" , Microsoft.Compute/virtualMachines/powerOff/action" , Microsoft.Compute/virtualMachines/read" , Microsoft.Compute/virtualMachines/restart/action" , Microsoft.Compute/virtualMachines/start/action" , Microsoft.Compute/virtualMachines/deallocate/action" , Microsoft.Compute/virtualMachines/vmSizes/read" , " Microsoft.Compute/virtualMachines/write" ,

创建 Cloud Volumes ONTAP 并停止、启动、删除和获取系统状态。

"Microsoft.compute/images/write" 、 "Microsoft.compute/images/read" 、

支持从 VHD 部署 Cloud Volumes ONTAP 。

Microsoft.Compute/disks/delete" , Microsoft.Compute/disks/read" , Microsoft.Compute/disks/write" , "microsoft.Storage/SchecknameAvailability /Read" , "microsoft.Storage/operations/Read" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/storageAccouns/Read" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/storageAccounts" , "microsoft.Storage/Acces/ Read" ,

管理 Azure 存储帐户和磁盘、并将磁盘连接到 Cloud Volumes ONTAP 。

"microsoft.network/networkinterfaces/read" 、 "microsoft.network/networkinterfaces/write" 、 "microsoft.network/networkinterfaces/join/action" 、

在目标子网中为 Cloud Volumes ONTAP 创建和管理网络接口。

"microsoft.network/networksecuritygroups/read" 、 "microsoft.network/networksecuritygroups/write" 、 "microsoft.network/networksecuritygroups/join/action" 、

为 Cloud Volumes ONTAP 创建预定义的网络安全组。

"microsoft.resources/subscriptions/locations/read" , Microsoft.Network/locations/operationResults/read" , Microsoft.Network/locations/operations/read" , Microsoft.Network/virtualNetworks/read" , Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read" , Microsoft.Network/virtualNetworks/subnets/read" , Microsoft.Network/virtualNetworks/subnets/virtualMachines/read" , Microsoft.Network/virtualNetworks/virtualMachines/read" , Microsoft.Network/virtualNetworks/subnets/join/action" ,

获取有关区域、目标 VNet 和子网的网络信息、并将 Cloud Volumes ONTAP 添加到 VNETS 。

Microsoft.Network/virtualNetworks/subnets/write" , Microsoft.Network/routeTables/join/action" ,

启用 VNet 服务端点以进行数据分层。

"Microsoft.Resources/deployments/operations/read" 、 "Microsoft.Resources/deployments/read" 、 "Microsoft.Resources/deployments/write" 、

从模板部署 Cloud Volumes ONTAP 。

"microsoft.resources/deployments/operations/read" , "microsoft.resources/deployments/read" , "microsoft.resources/deployments/write" , "microsoft.resources/resources/read" , "microsoft.resources/subscriptions/operationresults/read" , "microsoft.resources/subscriptions/resourcegroups/delete" , "microsoft.resources/subscriptions/resourcegroups/read" , "microsoft.resources/subscriptions/resourcegroups/write" ,

为 Cloud Volumes ONTAP 创建和管理资源组。

"Microsoft.compute/Snapshots/write" 、 "Microsoft.compute/Snapshots/read" 、 "Microsoft.compute/disks/begingetAccess/Action"

创建和管理 Azure 管理的快照。

"microsoft.compute/availabilitysets/write" 、 "microsoft.compute/availabilitysets/read" 、

创建和管理 Cloud Volumes ONTAP 的可用性集。

"Microsoft.Marketplac订购 / 服务类型 / 发布者 / 服务 / 计划 / 协议 / 读取 " 、 "Microsoft.Marketplac订购 / 服务类型 / 发布者 / 服务 / 计划 / 协议 / 写入 "

支持从 Azure Marketplace 进行编程部署。

Microsoft.Network/loadBalancers/read" , Microsoft.Network/loadBalancers/write" , Microsoft.Network/loadBalancers/delete" , Microsoft.Network/loadBalancers/backendAddressPools/read" , Microsoft.Network/loadBalancers/backendAddressPools/join/action" , Microsoft.Network/loadBalancers/frontendIPConfigurations/read" , Microsoft.Network/loadBalancers/loadBalancingRules/read" , Microsoft.Network/loadBalancers/probes/read" , Microsoft.Network/loadBalancers/probes/join/action" ,

管理 HA 对的 Azure 负载平衡器。

"Microsoft.Authorization/Locks/*"

支持管理 Azure 磁盘上的锁定。

"microsoft.Authorization/roleDefinitions/write" , "microsoft.Authorization/roleAssignments/write" , "microsoft.Web/sites/*"

管理 HA 对的故障转移。