NetApp Workload Factory 的权限
建议更改
PDF
要使用NetApp Workload Factory 功能和服务,您需要提供权限,以便 Workload Factory 可以在您的云环境中执行操作。
为什么要使用权限
当您提供_只读_或_读/写_模式权限时,Workload Factory 会将一项策略附加到实例,并授予其管理该 AWS 账户内的资源和流程的权限。这使得 Workload Factory 可以执行各种操作,从发现您的存储环境到部署 AWS 资源(例如存储管理中的文件系统或 GenAI 工作负载的知识库)。
例如,对于数据库工作负载,当 Workload Factory 被授予所需的权限时,它会扫描给定帐户和区域中的所有 EC2 实例,并过滤所有基于 Windows 的机器。如果主机上安装并运行了 AWS Systems Manager (SSM) Agent,并且 System Manager 网络配置正确,则 Workload Factory 可以访问 Windows 机器并验证是否安装了 SQL Server 软件。
按工作负载划分的权限
每个工作负载都使用权限在工作负载工厂中执行某些任务。滚动到您使用的工作负载以查看权限列表、权限的用途、使用位置以及支持它们的模式。
存储的权限
可用于存储的 IAM 策略根据您所处的运行模式提供 Workload Factory 管理公共云环境中的资源和流程所需的权限。
选择操作模式以查看所需的IAM策略:
存储的IAM策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:Describe*",
"fsx:ListTagsForResource",
"ec2:Describe*",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:*",
"ec2:Describe*",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"iam:CreateServiceLinkedRole",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"kms:CreateGrant",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"iam:SimulatePrincipalPolicy",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
}
]
}下表显示了存储的权限。
存储权限表
| 目的 | 操作 | 使用位置 | 模式 |
|---|---|---|---|
创建FSx for ONTAP文件系统 |
FSx:CreateFileSystem* |
部署 |
读/写 |
为FSx for ONTAP文件系统创建安全组 |
EC2:CreateSecurityGroup |
部署 |
读/写 |
为FSx for ONTAP文件系统的安全组添加标记 |
EC2:CreateTags |
部署 |
读/写 |
授权FSx for ONTAP文件系统的安全组传出和传入 |
EC2:AuthorizeSecurityGroupEgress |
部署 |
读/写 |
EC2:AuthorizeSecurityGroupIngress |
部署 |
读/写 |
|
已授予角色可在FSx for ONTAP与其他AWS服务之间进行通信 |
IAM:CreateServiceLinkedIn |
部署 |
读/写 |
获取详细信息以填写FSx for ONTAP文件系统部署表 |
EC2:Describe |
|
|
EC2:Describe子网 |
|
|
|
EC2:Describe注册 |
|
|
|
EC2:Describe安全性组 |
|
|
|
EC2:Describe RouteTables |
|
|
|
EC2:Describe网络接口 |
|
|
|
EC2:描述卷状态 |
|
|
|
获取KMS密钥详细信息并用于FSx以进行ONTAP加密 |
公里:CreateGrant |
部署 |
读/写 |
公里:描述* |
部署 |
|
|
公里:列表* |
部署 |
|
|
获取EC2实例的卷详细信息 |
EC2:Describe卷 |
|
|
获取EC2实例的详细信息 |
EC2:Describe实例 |
了解节省量 |
|
在节省量计算器中描述Elelic File System |
文件系统的设置:描述* |
了解节省量 |
只读 |
列出FSx for ONTAP资源的标记 |
FSx:ListTagsForResource |
清单 |
|
管理FSx for ONTAP文件系统的安全组传出和传入 |
EC2:RevokeSecurityGroupIngress |
管理操作 |
读/写 |
EC2:DeleteSecurityGroup |
管理操作 |
读/写 |
|
创建、查看和管理FSx for ONTAP文件系统资源 |
FSx:CreateVolumes* |
管理操作 |
读/写 |
FSx:TagResource* |
管理操作 |
读/写 |
|
FSx:CreateStorageVirtualMachine* |
管理操作 |
读/写 |
|
FSx:DeleteFileSystem* |
管理操作 |
读/写 |
|
FSx:DeleteStorageVirtualMachine* |
管理操作 |
读/写 |
|
FSx:可通过它来对FileSystems*进行操作 |
清单 |
|
|
FSx:可对StorageVirtualMachines*进行分型 |
清单 |
|
|
FSx:UpdateFileSystem* |
管理操作 |
读/写 |
|
FSx:UpdateStorageVirtualMachine* |
管理操作 |
读/写 |
|
FSx:可对卷进行分过程* |
清单 |
|
|
FSx:UpdateVolumes* |
管理操作 |
读/写 |
|
FSx:DeleteVolumes* |
管理操作 |
读/写 |
|
FSx:UnTagResource* |
管理操作 |
读/写 |
|
FSx:可对备份进行分型* |
管理操作 |
|
|
FSx:CreateBackup* |
管理操作 |
读/写 |
|
FSx:CreateVolume F生成 备份* |
管理操作 |
读/写 |
|
报告CloudWatch指标 |
CloudWatch:PutMetricData |
管理操作 |
读/写 |
获取文件系统和卷指标 |
CloudWatch:GetMetricData |
管理操作 |
|
CloudWatch:GetMetricStatistics |
管理操作 |
|
数据库工作负载的权限
适用于数据库工作负载的 IAM 策略根据您所处的操作模式,提供工作负载工厂管理公共云环境中的资源和流程所需的权限。
选择操作模式以查看所需的IAM策略:
数据库工作负载的 IAM 策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource"
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeAccountLimits",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ds:DescribeDirectories",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeAddresses",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeLaunchTemplates",
"ec2:RunInstances",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:UpdateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:UpdateVolume",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:DescribeFileSystemAliases",
"fsx:DescribeBackups",
"fsx:ListTagsForResource",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:DescribeCustomKeyStores",
"kms:ListAliases",
"kms:ListKeys",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"logs:PutRetentionPolicy",
"servicequotas:ListServiceQuotas",
"sns:ListTopics",
"sns:Publish",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstancePatchStates",
"ssm:DescribePatchBaselines",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:GetConnectionStatus",
"ssm:ListCommands",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:SendCommand",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}下表显示了数据库工作负载的权限。
数据库工作负载的权限表
| 目的 | 操作 | 使用位置 | 模式 |
|---|---|---|---|
获取 FSx for ONTAP、EBS 和 FSx for Windows File Server 的指标统计数据以及计算优化建议 |
CloudWatch:GetMetricStatistics |
|
|
从已注册的 SQL 节点收集已保存到 Amazon CloudWatch 的性能指标。数据将在已注册 SQL 实例的管理实例屏幕上生成性能趋势图。 |
CloudWatch:GetMetricData |
清单 |
只读 |
列出并设置事件触发器 |
SnS:ListTopics |
部署 |
|
获取EC2实例的详细信息 |
EC2:Describe实例 |
|
|
EC2:Describe KeyPairs |
部署 |
|
|
EC2:Describe网络接口 |
部署 |
|
|
EC2:可说明实例型 |
|
|
|
获取详细信息以填写FSx for ONTAP部署表 |
EC2:Describe |
|
|
EC2:Describe子网 |
|
|
|
EC2:Describe安全性组 |
部署 |
|
|
EC2:Describe |
部署 |
|
|
EC2:Describe注册 |
部署 |
|
|
EC2:Describe RouteTables |
|
|
|
获取任何现有VPC端点、以确定是否需要在部署之前创建新端点 |
EC2:Describe VpcEndpoints |
|
|
如果所需服务不存在VPC端点、则无论EC2实例上的公共网络连接如何、均可创建VPC端点 |
EC2:CreateVpcEndpoint |
部署 |
读/写 |
获取验证节点所在地区可用的实例类型(t2.micro/t3.micro) |
EC2:说明InstanceTypeOfferings |
部署 |
|
获取所连接的每个EBS卷的快照详细信息、以了解定价和预计节省量 |
EC2:Describe Snapshot |
了解节省量 |
|
获取所连接的每个EBS卷的详细信息、以了解定价和预计节省量 |
EC2:Describe卷 |
|
|
获取FSx for ONTAP文件系统加密的KMS密钥详细信息 |
Kms:ListAliases |
部署 |
|
Kms:ListKey |
部署 |
|
|
Kms:可通过键进行操作 |
部署 |
|
|
获取环境中运行的CloudFormation堆栈列表以检查配额限制 |
CloudFormation:ListStack |
部署 |
|
在触发部署之前、请检查资源的帐户限制 |
CloudFormation:可进行详细信息帐户限制 |
部署 |
|
获取区域中AWS管理的Active Directory列表 |
DS:可通过子目录进行操作 |
部署 |
|
获取适用于ONTAP文件系统的FSx的卷、备份、SVM、文件系统(以英文)和标记的列表和详细信息 |
FSx:可对卷进行分过程 |
|
|
FSx:对备份进行了分过程 |
|
|
|
FSx:讲解StorageVirtualMachine |
|
|
|
FSx:可对FileSystems进行情况分类 |
|
|
|
FSx:ListTagsForResource |
管理操作 |
|
|
获取CloudFormation和VPC的服务配额限制 |
serviceequotas:ListServiceQuotas |
部署 |
|
使用基于SSM的查询获取FSx for ONTAP支持的区域的更新列表 |
SSM:GetPathetersByPath |
部署 |
|
在部署后发送管理操作命令后轮询SSM响应 |
SSM:GetCommandInvation |
|
|
通过SSM向EC2实例发送命令 |
SSM:SendCommand |
|
|
获取部署后实例的SSM连接状态 |
SSM:GetConnectionStatus |
|
|
提取一组受管EC2实例(SQL节点)的SSM关联状态 |
SSM:说明实例信息 |
清单 |
读取 |
获取可用于操作系统修补程序评估的修补程序基线列表 |
SSM:对修补程序基准线进行了详述 |
优化 |
|
获取Windows EC2实例上的修补状态、以进行操作系统修补程序评估 |
SSM:说明InstancePatchStates |
优化 |
|
列出AWS Patch Manager在EC2实例上执行的命令、用于管理操作系统修补程序 |
SSM:ListCommands |
优化 |
|
检查帐户是否已在AWS计算控制器中注册 |
计算优化器:GetEnrollmentStatus |
|
读/写 |
更新AWS计算改进器中的现有建议首选项、以便为SQL Server工作负载量身定制建议 |
计算优化器:PutRecommentationPreferences |
|
读/写 |
从AWS计算最佳器中获取对给定资源有效的建议首选项 |
计算优化器:GetEffectiveRecommentationPreferences |
|
读/写 |
提取AWS计算最佳器为Amazon Elecic计算云(Amazon EC2)实例生成的建议 |
计算优化器:GetEC2InstanceRecommandations |
|
读/写 |
检查实例是否与自动缩放组关联 |
自动缩放:自适应缩放组的情况 |
|
读/写 |
自动缩放:可通过它来进行自适应缩放 |
|
读/写 |
|
获取、列出、创建和删除在部署期间使用或在AWS帐户中管理的AD、FSx for ONTAP和SQL用户凭据的SSM参数 |
SSM:Get参 比器1 |
|
|
SSM:GetParameters 1 |
管理操作 |
|
|
SSM:Put参 比器1 |
|
|
|
SSM:删除参数1 |
管理操作 |
|
|
将网络资源与SQL节点和验证节点相关联、并向SQL节点添加其他辅助IP |
EC2:AllocateAddress 1 |
部署 |
读/写 |
EC2:AllocateHsts 1 |
部署 |
读/写 |
|
EC2:AssignPrivateIpAddresses 1 |
部署 |
读/写 |
|
EC2:AssociateAddress 1 |
部署 |
读/写 |
|
EC2:AssociateRouteTable 1 |
部署 |
读/写 |
|
EC2:AssociateSubnetCindrBlock 1 |
部署 |
读/写 |
|
EC2:AssociateVpcCindrBlock 1 |
部署 |
读/写 |
|
EC2:AttachInternetGateway 1 |
部署 |
读/写 |
|
EC2:AttachNetworkInterface 1 |
部署 |
读/写 |
|
将所需的EBS卷连接到SQL节点以进行部署 |
EC2:Attach卷 |
部署 |
读/写 |
附加安全组并修改已配置节点的规则 |
EC2:AuthorizeSecurityGroupEgress |
部署 |
读/写 |
EC2:AuthorizeSecurityGroupIngress |
部署 |
读/写 |
|
创建部署SQL节点所需的EBS卷 |
EC2:CreateVolume |
部署 |
读/写 |
删除为类型T2.micro创建的临时验证节点、以便回滚或重试失败的EC2 SQL节点 |
EC2:DeleteNetworkInterface |
部署 |
读/写 |
EC2:DeleteSecurityGroup |
部署 |
读/写 |
|
EC2:DeleteTags |
部署 |
读/写 |
|
EC2:DeleteVolume |
部署 |
读/写 |
|
EC2:DetachNetworkInterface |
部署 |
读/写 |
|
EC2:分离卷 |
部署 |
读/写 |
|
EC2:与地址断开关联 |
部署 |
读/写 |
|
EC2:DisassociateIamInstanceProfile |
部署 |
读/写 |
|
EC2:与RouteTable断开关联 |
部署 |
读/写 |
|
EC2:DisAssociateSubnetCindrBlock |
部署 |
读/写 |
|
EC2:与VpcCindrBlock断开关联 |
部署 |
读/写 |
|
修改已创建SQL实例的属性。仅适用于以“以期名”开头的名称。 |
EC2:ModifyInstance属性 |
部署 |
读/写 |
EC2:可通过实例布局进行设置 |
部署 |
读/写 |
|
EC2:ModifyNetworkInterfaceAttribute |
部署 |
读/写 |
|
EC2:可使用的子网属性 |
部署 |
读/写 |
|
EC2:ModifyVolume |
部署 |
读/写 |
|
EC2:ModifyVolumeAttribute |
部署 |
读/写 |
|
EC2:modfyVpcAttribute. |
部署 |
读/写 |
|
取消关联并销毁验证实例 |
EC2:ReleraAddress |
部署 |
读/写 |
EC2:ReteraRoute |
部署 |
读/写 |
|
EC2:ReporteRouteTableAssociation |
部署 |
读/写 |
|
EC2:RevokeSecurityGroupEgress |
部署 |
读/写 |
|
EC2:RevokeSecurityGroupIngress |
部署 |
读/写 |
|
启动已部署的实例 |
EC2:StartInstances |
部署 |
读/写 |
停止已部署的实例 |
EC2:StopInstances |
部署 |
读/写 |
标记由Windows资源管理组织创建的Amazon FSx for NetApp ONTAP资源的自定义值、以便在资源管理期间获取帐单详细信息 |
FSx:TagResource 1 |
|
读/写 |
创建并验证用于部署的CloudFormation模板 |
CloudFormation:CreateStack |
部署 |
读/写 |
CloudFormation:Describe StackEvents |
部署 |
读/写 |
|
CloudFormation:Describe堆栈 |
部署 |
读/写 |
|
CloudFormation:ListStack |
部署 |
读/写 |
|
CloudFormation:验证模板 |
部署 |
读/写 |
|
提取区域中可用的目录 |
DS:可通过子目录进行操作 |
部署 |
读/写 |
为附加到已配置EC2实例的安全组添加规则 |
EC2:AuthorizeSecurityGroupEgress |
部署 |
读/写 |
EC2:AuthorizeSecurityGroupIngress |
部署 |
读/写 |
|
创建嵌套堆栈模板以重试和回滚 |
EC2:CreateLaunch模板 |
部署 |
读/写 |
EC2:CreateLaunch模板版本 |
部署 |
读/写 |
|
管理已创建实例上的标记和网络安全性 |
EC2:CreateNetworkInterface |
部署 |
读/写 |
EC2:CreateSecurityGroup |
部署 |
读/写 |
|
EC2:CreateTags |
部署 |
读/写 |
|
删除为验证节点临时创建的安全组 |
EC2:DeleteSecurityGroup |
部署 |
读/写 |
获取用于配置的实例详细信息 |
ec2:描述地址 |
部署 |
读/写 |
ec2:描述启动模板 |
部署 |
读/写 |
|
启动已创建的实例 |
EC2:RunInstances |
部署 |
读/写 |
创建配置所需的FSx for ONTAP资源。对于现有FSx for ONTAP系统、将创建一个新的SVM来托管SQL卷。 |
FSx:CreateFileSystem |
部署 |
读/写 |
FSx:CreateStorageVirtualMachine |
部署 |
读/写 |
|
FSx:CreateVolume |
|
读/写 |
|
获取FSx for ONTAP详细信息 |
fsx:描述文件系统别名 |
部署 |
读/写 |
调整FSx for ONTAP文件系统的大小以修复文件系统余量 |
FSx:UpdateFilesystem |
优化 |
|
读/写 |
调整卷大小以修复日志和TempDB驱动器大小 |
FSx:UpdateVolume |
优化 |
读/写 |
获取KMS密钥详细信息并用于FSx以进行ONTAP加密 |
公里:CreateGrant |
部署 |
读/写 |
kms:描述自定义密钥存储 |
部署 |
|
读/写 |
Kms:GenerateDataKey |
部署 |
|
读/写 |
为在EC2实例上运行的验证和配置脚本创建CloudWatch日志 |
日志:CreateLogGroup |
部署 |
读/写 |
日志:CreateLogStream |
部署 |
|
读/写 |
日志:特性日志流 |
|
|
读/写 |
日志:获取日志组字段 |
部署 |
|
读/写 |
日志:获取日志记录 |
部署 |
|
读/写 |
日志:ListLogDelivery |
部署 |
|
读/写 |
日志:PutLogEvents |
|
|
读/写 |
日志:TagResource |
部署 |
|
读/写 |
遇到 SSM 输出截断时,Workload Factory 会切换到 SQL 实例的 Amazon CloudWatch 日志 |
日志:GetLogEvents |
|
|
允许 Workload Factory 获取当前日志组并检查 Workload Factory 创建的日志组是否设置了保留 |
日志:可通过"LogBeLogGroup"进行操作 |
|
只读 |
允许 Workload Factory 为其创建的日志组设置一天的保留策略,以避免 SSM 命令输出的日志流不必要地积累 |
日志:PutRettionPolicy |
|
|
在用户帐户中为为SQL、域和FSx for ONTAP提供的凭据创建机密 |
serviceequotas:ListServiceQuotas |
部署 |
读/写 |
列出客户SNS主题、并发布到符合以下条件的系统日志和客户SNS (如果已选择) |
SnS:ListTopics |
部署 |
读/写 |
SNS:发布 |
部署 |
|
读/写 |
在已配置的SQL实例上运行发现脚本以及提取FSx for ONTAP支持的AWS区域的最新列表所需的SSM权限。 |
SSM:PutCompletianceItems |
部署 |
读/写 |
SSM:PutConfigurePackageResult |
部署 |
|
读/写 |
SSM:PutInventory |
部署 |
|
读/写 |
SSM:SendCommand |
|
|
读/写 |
SSM:UpdateAssociationStatus |
部署 |
|
读/写 |
SSM:UpdateInstanceAssociationStatus |
部署 |
|
读/写 |
SSM:UpdateInstanceInformation |
部署 |
|
读/写 |
ssmmessages:创建控制通道 |
部署 |
|
读/写 |
ssmmessages:创建数据通道 |
部署 |
|
读/写 |
ssmmessages:打开控制通道 |
部署 |
|
读/写 |
ssmmessages:开放数据通道 |
部署 |
|
读/写 |
保存FSx for ONTAP、Active Directory和SQL用户的凭据(仅用于SQL用户身份验证) |
SSM:Get参 比器1 |
|
读/写 |
SSM:GetParameters 1 |
|
|
读/写 |
SSM:Put参 比器1 |
|
|
读/写 |
SSM:删除参数1 |
|
|
读/写 |
成功或失败时向CloudFormation堆栈发送信号。 |
CloudFormation:SignalResource 1 |
部署 |
读/写 |
将模板创建的EC2角色添加到EC2的实例配置文件中、以允许EC2上的脚本访问部署所需的资源。 |
IAM:AddRoleToInstanceProfile |
部署 |
读/写 |
为EC2创建实例配置文件并附加已创建的EC2角色。 |
IAM:CreateInstanceProfile |
部署 |
读/写 |
使用下面列出的权限通过模板创建EC2角色 |
IAM:CreateRole |
部署 |
读/写 |
创建链接到EC2服务的角色 |
IAM:CreateServiceLinkedIn Role 2 |
部署 |
读/写 |
删除在部署期间专为验证节点创建的实例配置文件 |
IAM:DeleteInstanceProfile |
部署 |
读/写 |
获取角色和策略详细信息、以确定权限方面的任何差距并进行部署验证 |
IAM:GetPolicy |
部署 |
读/写 |
IAM:GetPolicyVersion |
部署 |
|
读/写 |
IAM:GetRole |
部署 |
|
读/写 |
IAM:GetRolePolicy |
部署 |
|
读/写 |
IAM:GetUser |
部署 |
|
读/写 |
将创建的角色传递到EC2实例 |
IAM:PassRole 3 |
部署 |
读/写 |
将具有所需权限的策略添加到已创建的EC2角色 |
IAM:PutRolePolicy |
部署 |
读/写 |
从配置的EC2实例配置文件中断开角色 |
IAM:RemoveRoleFromInstanceProfile |
部署 |
读/写 |
模拟工作负载操作以验证可用权限并与所需的AWS帐户权限进行比较 |
IAM:SimulatePrincipalPolicy |
部署 |
-
权限仅限于从“资源管理模块”开始的资源。
-
"IAM:CreateServiceLinkedIn Role"受"iam:AVsServiceName"限制:ec2.amazonaws.com"*
-
"IAM:PassRole"受"iam:PassedToService"限制:ec2.amazonaws.com"*
GenAI工作负载的权限
VMware 工作负载的 IAM 策略根据您所处的运行模式,提供 Workload Factory for VMware 管理公共云环境中的资源和流程所需的权限。
GenAI IAM 策略仅在读/写模式下可用:
适用于GenAI工作负载的IAM策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}下表提供了有关GenAI工作负载的权限的详细信息。
GenAI工作负载的权限表
| 目的 | 操作 | 使用位置 | 模式 |
|---|---|---|---|
在部署和重建操作期间创建AI引擎CloudFormation堆栈 |
CloudFormation:CreateStack |
部署 |
读/写 |
创建AI引擎CloudFormation堆栈 |
CloudFormation:Describe堆栈 |
部署 |
读/写 |
列出AI引擎部署向导的区域 |
EC2:Describe注册 |
部署 |
读/写 |
显示AI引擎标签 |
EC2:Describe标记 |
部署 |
读/写 |
列出 S3 存储桶 |
S3 : ListAllMy桶 |
部署 |
读/写 |
在创建AI引擎堆栈之前列出VPC端点 |
EC2:CreateVpcEndpoint |
部署 |
读/写 |
在部署和重建操作期间创建AI引擎堆栈期间创建AI引擎安全组 |
EC2:CreateSecurityGroup |
部署 |
读/写 |
标记在部署和重建操作期间创建AI引擎堆栈所创建的资源 |
EC2:CreateTags |
部署 |
读/写 |
从AI引擎堆栈将加密事件发布到WLAMAI后端 |
Kms:GenerateDataKey |
部署 |
读/写 |
Kms:解密 |
部署 |
读/写 |
|
将事件和自定义资源从AI引擎堆栈发布到WLAMAI后端 |
SNS:发布 |
部署 |
读/写 |
在AI引擎部署向导期间列出vPC |
EC2:Describe |
部署 |
读/写 |
在AI引擎部署向导上列出子网 |
EC2:Describe子网 |
部署 |
读/写 |
在AI引擎部署和重建期间获取路由表 |
EC2:Describe RouteTables |
部署 |
读/写 |
在AI引擎部署向导期间列出密钥对 |
EC2:Describe KeyPairs |
部署 |
读/写 |
在创建AI引擎堆栈期间列出安全组(以在专用端点上查找安全组) |
EC2:Describe安全性组 |
部署 |
读/写 |
获取VPC端点以确定是否应在AI引擎部署期间创建任何端点 |
EC2:Describe VpcEndpoints |
部署 |
读/写 |
列出Amazon Q Business应用程序 |
qBusiness:ListApplications |
部署 |
读/写 |
列出实例以了解AI引擎状态 |
EC2:Describe实例 |
故障排除 |
读/写 |
在部署和重建操作期间创建AI引擎堆栈期间列出映像 |
EC2:Describe |
部署 |
读/写 |
在部署和重建操作期间创建AI实例堆栈期间、创建并更新AI实例和专用端点安全组 |
EC2:RevokeSecurityGroupEgress |
部署 |
读/写 |
EC2:RevokeSecurityGroupIngress |
部署 |
读/写 |
|
在部署和重建操作期间创建CloudFormation堆栈期间运行AI引擎 |
EC2:RunInstances |
部署 |
读/写 |
在部署和重建操作期间创建堆栈期间、附加安全组并修改AI引擎的规则 |
EC2:AuthorizeSecurityGroupEgress |
部署 |
读/写 |
EC2:AuthorizeSecurityGroupIngress |
部署 |
读/写 |
|
向其中一个基础模型发起聊天请求 |
Bedrock:Invoke的 使用ResponseStream的数据 |
部署 |
读/写 |
开始聊天/嵌入基础模型请求 |
基岩:InvokeModel |
部署 |
读/写 |
显示一个区域中可用的基础模型 |
Bound:ListFoundation们 |
部署 |
读/写 |
获取有关基础模型的信息 |
基岩:GetFoundationModel |
部署 |
读/写 |
验证对基础模型的访问权限 |
Bound:GetFoundation论 可用性 |
部署 |
读/写 |
验证是否需要在部署和重建操作期间创建Amazon CloudWatch日志组 |
日志:可通过"LogBeLogGroup"进行操作 |
部署 |
读/写 |
在AI引擎向导期间获取支持FSx和Amazon Brock的区域 |
SSM:GetPathetersByPath |
部署 |
读/写 |
获取用于在部署和重建操作期间部署AI引擎的最新Amazon Linux映像 |
SSM:GetParameters |
部署 |
读/写 |
从发送到AI引擎的命令中获取SSM响应 |
SSM:GetCommandInvation |
部署 |
读/写 |
检查与AI发动机的SSM连接 |
SSM:SendCommand |
部署 |
读/写 |
SSM:GetConnectionStatus |
部署 |
读/写 |
|
在部署和重建操作期间创建堆栈期间创建AI引擎实例配置文件 |
IAM:CreateRole |
部署 |
读/写 |
IAM:CreateInstanceProfile |
部署 |
读/写 |
|
IAM:AddRoleToInstanceProfile |
部署 |
读/写 |
|
IAM:PutRolePolicy |
部署 |
读/写 |
|
IAM:GetRolePolicy |
部署 |
读/写 |
|
IAM:GetRole |
部署 |
读/写 |
|
IAM:TagRole |
部署 |
读/写 |
|
IAM:PassRole |
部署 |
读/写 |
|
模拟工作负载操作以验证可用权限并与所需的AWS帐户权限进行比较 |
IAM:SimulatePrincipalPolicy |
部署 |
读/写 |
在"创建数据库"向导期间列出FSx for ONTAP文件系统 |
FSx:可对卷进行分过程 |
创建知识库 |
读/写 |
在"创建集群"向导期间列出适用于ONTAP文件系统卷的FSx |
FSx:可对FileSystems进行情况分类 |
创建知识库 |
读/写 |
在重建操作期间管理有关AI引擎的知识库 |
FSx:ListTagsForResource |
故障排除 |
读/写 |
在"创建信息库"向导期间列出FSx for ONTAP文件系统Storage Virtual Machine |
FSx:讲解StorageVirtualMachine |
部署 |
读/写 |
将此信息文档移至新实例 |
FSx:UnTagResource |
故障排除 |
读/写 |
在重建期间管理AI引擎上的信息存储 |
FSx:TagResource |
故障排除 |
读/写 |
以安全的方式保存SSM密钥(ECR令牌、CIFS凭据、租户服务帐户密钥) |
SSM:Get参 比器 |
部署 |
读/写 |
SSM:Put\n参比器 |
部署 |
读/写 |
|
在部署和重建操作期间、将AI引擎日志发送到Amazon CloudWatch日志组 |
日志:CreateLogGroup |
部署 |
读/写 |
日志:PutRettionPolicy |
部署 |
读/写 |
|
将AI引擎日志发送到Amazon CloudWatch日志组 |
日志:TagResource |
故障排除 |
读/写 |
从Amazon CloudWatch获取SSM响应(响应时间过长) |
日志:特性日志流 |
故障排除 |
读/写 |
从Amazon CloudWatch获取SSM响应 |
日志:GetLogEvents |
故障排除 |
读/写 |
在部署和重建操作期间创建堆栈期间、为Amazon基岩日志创建Amazon CloudWatch日志组 |
日志:CreateLogGroup |
部署 |
读/写 |
日志:PutRettionPolicy |
部署 |
读/写 |
|
日志:TagResource |
部署 |
读/写 |
|
列出模型的参考轮廓 |
Bedrock:ListInferenceProfile |
故障排除 |
读/写 |
VMware工作负载的权限
VMware 工作负载的 IAM 策略根据您所处的运行模式,提供 Workload Factory for VMware 管理公共云环境中的资源和流程所需的权限。
选择操作模式以查看所需的IAM策略:
VMware工作负载的IAM策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ssm:GetParametersByPath",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}下表提供了有关VMware工作负载权限的详细信息。
VMware工作负载的权限表
| 目的 | 操作 | 使用位置 | 模式 |
|---|---|---|---|
附加安全组并修改已配置节点的规则 |
EC2:AuthorizeSecurityGroupIngress |
部署 |
读/写 |
创建EBS卷 |
EC2:CreateVolume |
部署 |
读/写 |
为VMware工作负载创建的FSx for NetApp ONTAP资源标记自定义值 |
FSx:TagResource |
部署 |
读/写 |
创建并验证CloudFormation模板 |
CloudFormation:CreateStack |
部署 |
读/写 |
管理已创建实例上的标记和网络安全性 |
EC2:CreateSecurityGroup |
部署 |
读/写 |
启动已创建的实例 |
EC2:RunInstances |
部署 |
读/写 |
获取EC2实例详细信息 |
EC2:Describe实例 |
部署 |
读/写 |
在部署和重建操作期间创建堆栈期间列出映像 |
EC2:Describe |
部署 |
读/写 |
获取选定环境中的vPC以完成部署表单 |
EC2:Describe |
|
|
获取选定环境中的子网以完成部署表单 |
EC2:Describe子网 |
|
|
获取选定环境中的安全组以完成部署表单 |
EC2:Describe安全性组 |
部署 |
|
获取选定环境中的可用性分区 |
EC2:特性可用性区域 |
|
|
通过Amazon FSx for NetApp ONTAP支持获取各个地区的信息 |
EC2:Describe注册 |
部署 |
|
获取用于Amazon FSx for NetApp ONTAP加密的KMS密钥别名 |
Kms:ListAliases |
部署 |
|
获取用于Amazon FSx for NetApp ONTAP加密的KMS密钥 |
Kms:ListKey |
部署 |
|
获取用于Amazon FSx for NetApp ONTAP加密的KMS密钥到期详细信息 |
Kms:可通过键进行操作 |
部署 |
|
基于SSM的查询用于获取Amazon FSx for NetApp ONTAP支持的区域的更新列表 |
SSM:GetPathetersByPath |
部署 |
|
创建配置所需的Amazon FSx for NetApp ONTAP资源 |
FSx:CreateFileSystem |
部署 |
读/写 |
FSx:CreateStorageVirtualMachine |
部署 |
读/写 |
|
FSx:CreateVolume |
|
读/写 |
|
获取Amazon FSx for NetApp ONTAP详细信息 |
FSX:描述* |
|
读/写 |
FSX:List* |
|
读/写 |
|
获取KMS密钥详细信息并用于Amazon FSx以进行NetApp ONTAP加密 |
公里:CreateGrant |
部署 |
读/写 |
公里:描述* |
部署 |
读/写 |
|
公里:列表* |
部署 |
读/写 |
|
Kms:解密 |
部署 |
读/写 |
|
Kms:GenerateDataKey |
部署 |
读/写 |
|
列出客户SNS主题并发布到WLMVMC后端SNS以及客户SNS (如果选择) |
SNS:发布 |
部署 |
读/写 |
用于提取Amazon FSx for NetApp ONTAP支持的AWS区域的最新列表 |
SSM:获取* |
|
读/写 |
模拟工作负载操作以验证可用权限并与所需的AWS帐户权限进行比较 |
IAM:SimulatePrincipalPolicy |
部署 |
读/写 |
SSM参数存储用于保存Amazon FSx for NetApp ONTAP的凭据 |
SSM:Get参 比器 |
|
读/写 |
SSM:PutParameters |
|
读/写 |
|
SSM:Put\n参比器 |
|
读/写 |
|
SSM:删除参数 |
|
读/写 |
更改日志
添加和删除权限后、我们将在以下各节中记录这些权限。
2025年10月5日
以下权限已从 GenAI 中删除,现在由 GenAI 引擎处理:
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
2025年6月29日
现在,数据库在只读模式下具有以下权限: cloudwatch:GetMetricData 。
2025年6月3日
现在,GenAI 在读/写模式下具有以下权限: s3:ListAllMyBuckets 。
2025年5月4日
现在,GenAI 在读/写模式下具有以下权限: qbusiness:ListApplications 。
现在,数据库在只读模式下具有以下权限:
-
logs:GetLogEvents -
logs:DescribeLogGroups
现在,数据库在读/写模式下具有以下权限:
logs:PutRetentionPolicy 。
2025年4月2日
现在,数据库在只读模式下具有以下权限: ssm:DescribeInstanceInformation 。
2025年3月30日
GenAI工作负载权限更新
GenAI 的“读/写模式”下现在提供以下权限:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
已从 GenAI 的“读/写模式”中删除以下权限: Bedrock:GetFoundationModel 。
IAM:SimulatePrincipalPolicy权限更新
这 `iam:SimulatePrincipalPolicy`如果您在添加其他 AWS 账户凭证或从 Workload Factory 控制台添加新的工作负载功能时启用自动权限检查,则权限是所有工作负载权限策略的一部分。该权限模拟工作负载操作,并在从工作负载工厂部署资源之前检查您是否具有所需的 AWS 账户权限。启用此检查可减少清理失败操作的资源和添加缺少的权限所需的时间和精力。
2025年3月2日
现在,GenAI 在读/写模式下具有以下权限: bedrock:GetFoundationModel 。
2025年2月3日
现在,数据库在只读模式下具有以下权限: iam:SimulatePrincipalPolicy 。