NetApp Workload Factory 的權限
建議變更
PDF
若要使用NetApp Workload Factory 功能和服務,您需要提供權限,以便 Workload Factory 可以在您的雲端環境中執行操作。
為何要使用權限
當您提供_唯讀_或_讀/寫_模式權限時,Workload Factory 會將一項政策附加到實例,並授予其管理該 AWS 帳戶內的資源和流程的權限。這使得 Workload Factory 可以執行各種操作,從發現您的儲存環境到部署 AWS 資源(例如儲存管理中的檔案系統或 GenAI 工作負載的知識庫)。
例如,對於資料庫工作負載,當 Workload Factory 被授予所需的權限時,它會掃描給定帳戶和區域中的所有 EC2 實例,並過濾所有基於 Windows 的機器。如果主機上安裝並執行了 AWS Systems Manager (SSM) Agent,且 System Manager 網路配置正確,則 Workload Factory 可以存取 Windows 機器並驗證是否安裝了 SQL Server 軟體。
依工作負載的權限
每個工作負載都使用權限在工作負載工廠中執行某些任務。捲動至您使用的工作負載以查看權限清單、權限的用途、使用位置以及支援它們的模式。
儲存設備的權限
可用於儲存的 IAM 政策會根據您所處的運作模式提供 Workload Factory 管理公有雲環境中的資源和流程所需的權限。
選取您的作業模式以檢視所需的 IAM 原則:
儲存設備的 IAM 原則
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:Describe*",
"fsx:ListTagsForResource",
"ec2:Describe*",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:*",
"ec2:Describe*",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"iam:CreateServiceLinkedRole",
"kms:Describe*",
"elasticfilesystem:Describe*",
"kms:List*",
"kms:CreateGrant",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"iam:SimulatePrincipalPolicy",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/AppCreator": "NetappFSxWF"
}
}
}
]
}下表顯示儲存設備的權限。
儲存設備權限表
| 目的 | 行動 | 使用處 | 模式 |
|---|---|---|---|
為 ONTAP 檔案系統建立 FSX |
fsx:CreateFileSystem* |
部署 |
讀取/寫入 |
為 ONTAP 檔案系統的 FSX 建立安全群組 |
EC2:建立安全性群組 |
部署 |
讀取/寫入 |
將標籤新增至適用於 ONTAP 檔案系統的 FSX 安全性群組 |
EC2:建立標記 |
部署 |
讀取/寫入 |
授權 ONTAP 檔案系統的 FSX 安全性群組外傳和進入 |
EC2:授權安全性群組出口 |
部署 |
讀取/寫入 |
EC2:授權安全性群組入口 |
部署 |
讀取/寫入 |
|
授與角色可在適用於 ONTAP 的 FSX 與其他 AWS 服務之間提供通訊 |
IAM : CreateServiceLinkedIn 角色 |
部署 |
讀取/寫入 |
取得詳細資料以填寫適用於 ONTAP 檔案系統部署的 FSX 表單 |
EC2:取消功能Vpcs |
|
|
EC2:無資料子網路 |
|
|
|
EC2:取消註冊 |
|
|
|
EC2:取消安全性群組 |
|
|
|
EC2:取消功能表 |
|
|
|
EC2:網路介面 |
|
|
|
EC2 : DescribeVolume 狀態 |
|
|
|
取得 KMS 金鑰詳細資料,並使用適用於 ONTAP 加密的 FSX |
公里:建立授予 |
部署 |
讀取/寫入 |
公里:描述* |
部署 |
|
|
公里:清單* |
部署 |
|
|
取得 EC2 執行個體的 Volume 詳細資料 |
EC2:減量磁碟區 |
|
|
取得 EC2 執行個體的詳細資料 |
EC2:資料說明 |
探索節約效益 |
|
在節約計算機中說明彈性檔案系統 |
彈性檔案系統:描述 * |
探索節約效益 |
唯讀 |
列出適用於 ONTAP 資源的 FSX 標籤 |
FSX : ListTagsForResource |
庫存 |
|
管理適用於 ONTAP 檔案系統的 FSX 的安全性群組外傳和進入 |
EC2:RevokeSecurity GroupIngress |
管理作業 |
讀取/寫入 |
EC2:刪除安全性群組 |
管理作業 |
讀取/寫入 |
|
建立,檢視及管理 ONTAP 檔案系統資源的 FSX |
fsx:CreateVolume* |
管理作業 |
讀取/寫入 |
FSX : TagResource * |
管理作業 |
讀取/寫入 |
|
fsx:CreateStorageVirtualMachine* |
管理作業 |
讀取/寫入 |
|
fsx:DeleteFileSystem* |
管理作業 |
讀取/寫入 |
|
fsx:DeleteStorageVirtualMachine* |
管理作業 |
讀取/寫入 |
|
fsx:DescrubeFileSystem* |
庫存 |
|
|
fsx:DescrubeStorageVirtualMachines* |
庫存 |
|
|
fsx:UpdateFileSystem* |
管理作業 |
讀取/寫入 |
|
fsx:UpdateStorageVirtualMachine* |
管理作業 |
讀取/寫入 |
|
fsx:DescribeVolumes * |
庫存 |
|
|
fsx:UpdateVolume* |
管理作業 |
讀取/寫入 |
|
fsx:DeleteVolume * |
管理作業 |
讀取/寫入 |
|
FSX : UntagResource * |
管理作業 |
讀取/寫入 |
|
fsx:DescrubeBackups* |
管理作業 |
|
|
fsx:CreateBackup* |
管理作業 |
讀取/寫入 |
|
fsx:CreateVolume FromBackup* |
管理作業 |
讀取/寫入 |
|
回報 CloudWatch 指標 |
cloudwatch : PutMetricData |
管理作業 |
讀取/寫入 |
取得檔案系統和 Volume 度量 |
cloudswatch : GetMetricData |
管理作業 |
|
cloudwatch:GetMetricStatistics |
管理作業 |
|
資料庫工作負載的權限
適用於資料庫工作負載的 IAM 策略根據您所處的操作模式,提供工作負載工廠管理公有雲環境中的資源和流程所需的權限。
選取您的作業模式以檢視所需的 IAM 原則:
資料庫工作負載的 IAM 策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"sns:ListTopics",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:DescribeAddresses",
"kms:ListAliases",
"kms:ListKeys",
"kms:DescribeKey",
"cloudformation:ListStacks",
"cloudformation:DescribeAccountLimits",
"ds:DescribeDirectories",
"fsx:DescribeVolumes",
"fsx:DescribeBackups",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeFileSystems",
"servicequotas:ListServiceQuotas",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:SendCommand",
"ssm:GetConnectionStatus",
"ssm:DescribePatchBaselines",
"ssm:DescribeInstancePatchStates",
"ssm:ListCommands",
"ssm:DescribeInstanceInformation",
"fsx:ListTagsForResource"
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Sid": "SSMResponseCloudWatch",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagGroup",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateVolume",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DetachNetworkInterface",
"ec2:DetachVolume",
"ec2:DisassociateAddress",
"ec2:DisassociateIamInstanceProfile",
"ec2:DisassociateRouteTable",
"ec2:DisassociateSubnetCidrBlock",
"ec2:DisassociateVpcCidrBlock",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyInstancePlacement",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVolume",
"ec2:ModifyVolumeAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRoute",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "FSxNGroup",
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/aws:cloudformation:stack-name": "WLMDB*"
}
}
},
{
"Sid": "CommonGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:ValidateTemplate",
"cloudformation:DescribeAccountLimits",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ds:DescribeDirectories",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVpcEndpoint",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeAddresses",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeInstanceTypes",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeSnapshots",
"ec2:DescribeLaunchTemplates",
"ec2:RunInstances",
"ec2:ModifyVpcAttribute",
"fsx:CreateFileSystem",
"fsx:UpdateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:CreateVolume",
"fsx:UpdateVolume",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:DescribeFileSystemAliases",
"fsx:DescribeBackups",
"fsx:ListTagsForResource",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:DescribeCustomKeyStores",
"kms:ListAliases",
"kms:ListKeys",
"kms:GenerateDataKey",
"kms:Decrypt",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:GetLogGroupFields",
"logs:GetLogRecord",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:TagResource",
"logs:PutRetentionPolicy",
"servicequotas:ListServiceQuotas",
"sns:ListTopics",
"sns:Publish",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstancePatchStates",
"ssm:DescribePatchBaselines",
"ssm:GetParametersByPath",
"ssm:GetCommandInvocation",
"ssm:GetConnectionStatus",
"ssm:ListCommands",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:PutInventory",
"ssm:SendCommand",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:PutRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetEC2InstanceRecommendations",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"bedrock:GetFoundationModelAvailability",
"bedrock:ListInferenceProfiles",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser"
],
"Resource": "*"
},
{
"Sid": "ArnGroup",
"Effect": "Allow",
"Action": [
"cloudformation:SignalResource"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/WLMDB*",
"arn:aws:logs:*:*:log-group:WLMDB*"
]
},
{
"Sid": "IAMGroup1",
"Effect": "Allow",
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:PutRolePolicy",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
]
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup3",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*",
"arn:aws:iam::*:role/WLMDB*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "IAMGroup4",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/WLMDB*"
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:PutParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmdb/*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}下表顯示資料庫工作負載的權限。
資料庫工作負載的權限表
| 目的 | 行動 | 使用處 | 模式 |
|---|---|---|---|
取得 FSx for ONTAP、EBS 和 FSx for Windows File Server 的指標統計資料以及計算最佳化建議 |
cloudwatch:GetMetricStatistics |
|
|
從已註冊的 SQL 節點收集已儲存至 Amazon CloudWatch 的效能指標。資料將在已註冊 SQL 實例的管理實例畫面上產生效能趨勢圖。 |
cloudswatch : GetMetricData |
庫存 |
唯讀 |
列出並設定事件觸發條件 |
SnS:ListTopics |
部署 |
|
取得 EC2 執行個體的詳細資料 |
EC2:資料說明 |
|
|
EC2:評量會議 |
部署 |
|
|
EC2:網路介面 |
部署 |
|
|
EC2 : DescribeInstanceTypes |
|
|
|
取得詳細資料以填寫適用於 ONTAP 部署的 FSX 表單 |
EC2:取消功能Vpcs |
|
|
EC2:無資料子網路 |
|
|
|
EC2:取消安全性群組 |
部署 |
|
|
EC2:取消影像 |
部署 |
|
|
EC2:取消註冊 |
部署 |
|
|
EC2:取消功能表 |
|
|
|
取得任何現有的 VPC 端點,判斷是否需要在部署之前建立新的端點 |
EC2:取消資料VpcEndpoints |
|
|
如果在 EC2 執行個體上的公用網路連線不存在所需服務的 VPC 端點,請建立這些端點 |
EC2 : CreateVpcEndpoint |
部署 |
讀取/寫入 |
取得適用於驗證節點的區域執行個體類型( T2.micro/T3.micro ) |
EC2 : DescrubeInstanceTypeOffing |
部署 |
|
取得每個附加 EBS 磁碟區的快照詳細資料,以瞭解價格與成本預估 |
EC2:取消快照 |
探索節約效益 |
|
取得每個附加 EBS 磁碟區的詳細資料,以瞭解價格與預估節約效益 |
EC2:減量磁碟區 |
|
|
取得適用於 ONTAP 檔案系統加密之 FSX 的 KMS 金鑰詳細資料 |
kms:清單別名 |
部署 |
|
kms : ListKeys |
部署 |
|
|
KMS : DescribeKey |
部署 |
|
|
取得在環境中執行的 CloudForgation 堆疊清單,以檢查配額限制 |
雲端:清單堆疊 |
部署 |
|
在觸發部署之前,請先檢查資源的帳戶限制 |
雲端: DescrubeAccountLimits |
部署 |
|
取得區域中 AWS 管理的 Active Directory 清單 |
DS:DescrubeDirectories |
部署 |
|
取得適用於 ONTAP 檔案系統的磁碟區,備份, SVM , AZs 檔案系統和 FSX 標籤的清單和詳細資料 |
FSX : DescribeVolumes |
|
|
FSX : DescrubeBackups |
|
|
|
FSX : DescrubeStorageVirtualMachines |
|
|
|
fsx:DescribeFileSystems |
|
|
|
FSX : ListTagsForResource |
管理營運 |
|
|
取得 CloudForquation 和 VPC 的服務配額限制 |
serviceEquotas : ListServiceQuotas |
部署 |
|
使用 SSM) 查詢取得適用於 ONTAP 支援區域的 FSX 更新清單 |
SSM) : GetParametersByPath |
部署 |
|
在傳送命令以管理部署後的作業之後,輪詢 SSM 回應 |
SSM) : GetCommandInvocation |
|
|
透過 SSM 傳送命令至 EC2 執行個體 |
S10:SendCommand |
|
|
取得部署後執行個體的 SSM 連線狀態 |
SSM) : GetConnectionStatus |
|
|
擷取一組受管理 EC2 執行個體( SQL 節點)的 SSM 關聯狀態 |
SSM) : DescrubeInstanceInformation |
庫存 |
讀取 |
取得作業系統修補程式評估可用的修補程式基準清單 |
SSM) : DescrubePatchBasines |
最佳化 |
|
取得 Windows EC2 執行個體的修補狀態,以進行作業系統修補程式評估 |
SSM) : DescribeInstancePatchStates |
最佳化 |
|
列出 AWS Patch Manager 在 EC2 執行個體上執行的命令,以進行作業系統修補程式管理 |
SSM/ListCommands |
最佳化 |
|
檢查帳戶是否已註冊 AWS 運算最佳化工具 |
運算最佳化工具: GetEnrollmentStatus |
|
讀取/寫入 |
更新 AWS 運算最佳化工具中現有的建議偏好選項,針對 SQL Server 工作負載量提供量身打造的建議 |
運算最佳化工具:推桿建議偏好設定 |
|
讀取/寫入 |
從 AWS 運算最佳化工具取得對指定資源有效的建議偏好選項 |
運算最佳化工具: GetEffectiveRecompendationPreferences |
|
讀取/寫入 |
取得 AWS 運算最佳化工具為 Amazon Elastic Compute Cloud ( Amazon EC2 )執行個體所產生的建議 |
運算最佳化工具: GetEC2InstanceRecompendations |
|
讀取/寫入 |
檢查執行個體與自動縮放群組的關聯 |
自動縮放:去除自動縮放群組 |
|
讀取/寫入 |
自動縮放:去除自動縮放的實例 |
|
讀取/寫入 |
|
取得,列出,建立及刪除 AD 的 SSM 參數, ONTAP 的 FSX 參數,以及在 AWS 帳戶中部署或管理時所使用的 SQL 使用者認證 |
SSM) : GetParameter 1 |
|
|
S10:GetParameters 1 |
管理營運 |
|
|
SSM) :推桿參數 1 |
|
|
|
S10:DeleteParameters 1 |
管理營運 |
|
|
將網路資源與 SQL 節點和驗證節點建立關聯,並將其他次要 IP 新增至 SQL 節點 |
EC2 : AllocateAddress 1 |
部署 |
讀取/寫入 |
EC2 : AllocateHos1 |
部署 |
讀取/寫入 |
|
EC2 : AssignPrivate IpAddresses 1 |
部署 |
讀取/寫入 |
|
EC2 : AssociateAddress 1 |
部署 |
讀取/寫入 |
|
EC2 : AssociateRouteTable 1 |
部署 |
讀取/寫入 |
|
EC2 : AssociateSubnetCidrBlock 1 |
部署 |
讀取/寫入 |
|
EC2 : AssociateVpcCidrBlock 1 |
部署 |
讀取/寫入 |
|
EC2 : AttachInternetGateway 1 |
部署 |
讀取/寫入 |
|
EC2 : AttachNetworkInterface 1 |
部署 |
讀取/寫入 |
|
將部署所需的 EBS 磁碟區附加至 SQL 節點 |
EC2:AttachVolume |
部署 |
讀取/寫入 |
附加安全性群組並修改已佈建節點的規則 |
EC2:授權安全性群組出口 |
部署 |
讀取/寫入 |
EC2:授權安全性群組入口 |
部署 |
讀取/寫入 |
|
建立部署 SQL 節點所需的 EBS 磁碟區 |
EC2:建立磁碟區 |
部署 |
讀取/寫入 |
移除以 T2.micro 類型建立的暫存驗證節點,以及用於復原或重試失敗的 EC2 SQL 節點 |
EC2:刪除網路介面 |
部署 |
讀取/寫入 |
EC2:刪除安全性群組 |
部署 |
讀取/寫入 |
|
EC2:刪除標記 |
部署 |
讀取/寫入 |
|
EC2:刪除Volume |
部署 |
讀取/寫入 |
|
EC2 : DetachNetwork Interface |
部署 |
讀取/寫入 |
|
EC2:分離Volume |
部署 |
讀取/寫入 |
|
EC2 : DiscassociateAddress |
部署 |
讀取/寫入 |
|
EC2:中斷IamInstanceProfile |
部署 |
讀取/寫入 |
|
EC2 : DiscassociateRouteTable |
部署 |
讀取/寫入 |
|
EC2 : DiscassociateSubnetCidrBlock |
部署 |
讀取/寫入 |
|
EC2 : DiscassociateVpcCidrBlock |
部署 |
讀取/寫入 |
|
修改已建立 SQL 執行個體的屬性。僅適用於以 WLMDB 開頭的名稱。 |
EC2:修改實例屬性 |
部署 |
讀取/寫入 |
EC2 : ModifyInstancePlacement |
部署 |
讀取/寫入 |
|
EC2:修改網路互連屬性 |
部署 |
讀取/寫入 |
|
EC2 : ModifySubnetAttribute. |
部署 |
讀取/寫入 |
|
EC2:修改Volume |
部署 |
讀取/寫入 |
|
EC2:修改Volume屬性 |
部署 |
讀取/寫入 |
|
EC2 : ModifyVpcAttribute |
部署 |
讀取/寫入 |
|
解除關聯並銷毀驗證執行個體 |
EC2 : ReleaseAddress |
部署 |
讀取/寫入 |
EC2 :安慰劑 Route |
部署 |
讀取/寫入 |
|
EC2 : ReplaceRouteTableAssociation |
部署 |
讀取/寫入 |
|
EC2:RevokeSecurity GroupEgress |
部署 |
讀取/寫入 |
|
EC2:RevokeSecurity GroupIngress |
部署 |
讀取/寫入 |
|
啟動部署的執行個體 |
EC2:啟動安裝 |
部署 |
讀取/寫入 |
停止部署的執行個體 |
EC2:停止執行 |
部署 |
讀取/寫入 |
為 NetApp ONTAP 資源標記 Amazon FSX 的自訂值,以在資源管理期間取得帳單詳細資料 |
fsx:TagResource 1 |
|
讀取/寫入 |
建立並驗證 CloudForgation 範本以進行部署 |
雲端:建立堆疊 |
部署 |
讀取/寫入 |
雲端:取消功能堆疊事件 |
部署 |
讀取/寫入 |
|
雲端:無標準堆疊 |
部署 |
讀取/寫入 |
|
雲端:清單堆疊 |
部署 |
讀取/寫入 |
|
cloudformation:驗證範本 |
部署 |
讀取/寫入 |
|
擷取區域中可用的目錄 |
DS:DescrubeDirectories |
部署 |
讀取/寫入 |
新增附加至已佈建 EC2 執行個體的安全性群組規則 |
EC2:授權安全性群組出口 |
部署 |
讀取/寫入 |
EC2:授權安全性群組入口 |
部署 |
讀取/寫入 |
|
建立巢狀堆疊範本以重試及復原 |
EC2 : CreateLaunchTemplate |
部署 |
讀取/寫入 |
EC2 : CreateLaunchTemplateVersion |
部署 |
讀取/寫入 |
|
管理已建立執行個體的標記和網路安全性 |
EC2:建立網路介面 |
部署 |
讀取/寫入 |
EC2:建立安全性群組 |
部署 |
讀取/寫入 |
|
EC2:建立標記 |
部署 |
讀取/寫入 |
|
刪除為驗證節點暫時建立的安全性群組 |
EC2:刪除安全性群組 |
部署 |
讀取/寫入 |
取得資源配置的執行個體詳細資料 |
ec2:描述地址 |
部署 |
讀取/寫入 |
ec2:描述啟動模板 |
部署 |
讀取/寫入 |
|
啟動建立的執行個體 |
EC2:RunInstances |
部署 |
讀取/寫入 |
為佈建所需的 ONTAP 資源建立 FSX 。對於現有的適用於 ONTAP 系統的 FSX ,系統會建立新的 SVM 來裝載 SQL Volume 。 |
fsx:CreateFileSystem |
部署 |
讀取/寫入 |
fsx:CreateStorageVirtualMachine |
部署 |
讀取/寫入 |
|
fsx:CreateVolume |
|
讀取/寫入 |
|
取得 ONTAP 詳細資料的 FSX |
fsx:描述檔案系統別名 |
部署 |
讀取/寫入 |
調整 ONTAP 檔案系統的 FSX 大小,以修正檔案系統保留空間 |
fsx:UpdateFilesystem |
最佳化 |
|
讀取/寫入 |
調整磁碟區大小以修正記錄和 TempDB 磁碟機大小 |
fsx:UpdateVolume |
最佳化 |
讀取/寫入 |
取得 KMS 金鑰詳細資料,並使用適用於 ONTAP 加密的 FSX |
公里:建立授予 |
部署 |
讀取/寫入 |
kms:描述自訂密鑰存儲 |
部署 |
|
讀取/寫入 |
KMS : GenerateDataKey |
部署 |
|
讀取/寫入 |
建立 CloudWatch 記錄檔,用於在 EC2 執行個體上執行驗證和資源配置指令碼 |
記錄檔: CreateLogGroup |
部署 |
讀取/寫入 |
記錄: CreateLogStream |
部署 |
|
讀取/寫入 |
記錄: DescribeLogStreams |
|
|
讀取/寫入 |
日誌:取得日誌群組字段 |
部署 |
|
讀取/寫入 |
日誌:取得日誌記錄 |
部署 |
|
讀取/寫入 |
記錄: ListLogDeliverys |
部署 |
|
讀取/寫入 |
記錄: PutLogEvents |
|
|
讀取/寫入 |
記錄: TagResource |
部署 |
|
讀取/寫入 |
遇到 SSM 輸出截斷時,Workload Factory 會切換到 SQL 執行個體的 Amazon CloudWatch 日誌 |
記錄檔: GetLogEvents |
|
|
允許 Workload Factory 取得目前日誌組並檢查 Workload Factory 建立的日誌組是否設定了保留 |
記錄: DescribeLogGroups |
|
唯讀 |
允許 Workload Factory 為其建立的日誌組設定一天的保留策略,以避免 SSM 指令輸出的日誌流不必要地積累 |
記錄: PutRetentionPolicy |
|
|
在使用者帳戶中建立 ONTAP SQL ,網域和 FSX 所提供認證的機密 |
serviceEquotas : ListServiceQuotas |
部署 |
讀取/寫入 |
列出客戶 SNS 主題,並在選取時發佈至 WLMDB 後端 SNS 和客戶 SNS |
SnS:ListTopics |
部署 |
讀取/寫入 |
SnS :發佈 |
部署 |
|
讀取/寫入 |
必要的 SSM 權限,可在已佈建的 SQL 執行個體上執行探索指令碼,並擷取 ONTAP 支援的 AWS 區域的最新 FSX 清單。 |
SSM) : PuttinianceItem |
部署 |
讀取/寫入 |
S10:PutConfigurePackageResult |
部署 |
|
讀取/寫入 |
SSM) : PuttInventory |
部署 |
|
讀取/寫入 |
S10:SendCommand |
|
|
讀取/寫入 |
SSM) :更新關聯狀態 |
部署 |
|
讀取/寫入 |
SSM) : UpdateInstanceAssociationStatus |
部署 |
|
讀取/寫入 |
SSM) : UpdateInstanceInformation |
部署 |
|
讀取/寫入 |
ssmmessages:建立控制通道 |
部署 |
|
讀取/寫入 |
ssmmessages:建立資料通道 |
部署 |
|
讀取/寫入 |
ssmmessages:開啟控制通道 |
部署 |
|
讀取/寫入 |
ssmmessages:開放式資料通道 |
部署 |
|
讀取/寫入 |
儲存適用於 ONTAP , Active Directory 和 SQL 使用者的 FSX 認證(僅適用於 SQL 使用者驗證) |
SSM) : GetParameter 1 |
|
讀取/寫入 |
S10:GetParameters 1 |
|
|
讀取/寫入 |
SSM) :推桿參數 1 |
|
|
讀取/寫入 |
S10:DeleteParameters 1 |
|
|
讀取/寫入 |
在成功或失敗時發出 CloudForgation 堆疊訊號。 |
雲端: SignalResource 1 |
部署 |
讀取/寫入 |
將範本建立的 EC2 角色新增至 EC2 的執行個體設定檔,以允許 EC2 上的指令碼存取部署所需的資源。 |
IAM:AddRoleToInstanceProfile |
部署 |
讀取/寫入 |
為 EC2 建立執行個體設定檔,並附加建立的 EC2 角色。 |
IAM:CreatanceProfile |
部署 |
讀取/寫入 |
透過下列權限範本建立 EC2 角色 |
IAM:建立角色 |
部署 |
讀取/寫入 |
建立連結至 EC2 服務的角色 |
IAM : CreateServiceLinkedIn 角色 2 |
部署 |
讀取/寫入 |
刪除部署期間為驗證節點所建立的執行個體設定檔 |
IAM:刪除InstanceProfile |
部署 |
讀取/寫入 |
取得角色和原則詳細資料,以判斷權限的任何落差,並驗證部署 |
IAM : GetPolicy |
部署 |
讀取/寫入 |
IAM : GetPolicyVersion |
部署 |
|
讀取/寫入 |
IAM:GetRole |
部署 |
|
讀取/寫入 |
IAM : GetRolePolicy |
部署 |
|
讀取/寫入 |
IAM : GetUser |
部署 |
|
讀取/寫入 |
將建立的角色傳遞給 EC2 執行個體 |
IAM : PassRole 3 |
部署 |
讀取/寫入 |
將具有必要權限的原則新增至所建立的 EC2 角色 |
IAM:Putt角色 原則 |
部署 |
讀取/寫入 |
從已配置的 EC2 執行個體設定檔中分離角色 |
IAM:RemoveRoleFromInstanceProfile |
部署 |
讀取/寫入 |
模擬工作負載作業,以驗證可用權限,並與所需的 AWS 帳戶權限進行比較 |
IAM : SimulatePrincipalPolicy |
部署 |
-
權限僅限於從 WLMDB 開始的資源。
-
"IAM:CreateServiceLinkedIn Role" 受 "iam:AWSServiceName" 限制: "ec2.amazonaws.com"*
-
"IAM:PassRole" 受 "iAM:PassedToService" 限制: "ec2.amazonaws.com"*
GenAI 工作負載的權限
VMware 工作負載的 IAM 策略會根據您所處的運作模式,提供 Workload Factory for VMware 管理公有雲環境中的資源和流程所需的權限。
GenAI IAM 策略僅在讀取/寫入模式下可用:
GenAI 工作負載的 IAM 原則
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudformationGroup",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/wlmai*/*"
},
{
"Sid": "EC2Group",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "wlmai*"
}
}
},
{
"Sid": "EC2DescribeGroup",
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeTags",
"ec2:CreateVpcEndpoint",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances"
],
"Resource": "*"
},
{
"Sid": "IAMGroup",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "*"
},
{
"Sid": "IAMGroup2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Sid": "FSXNGroup",
"Effect": "Allow",
"Action": [
"fsx:DescribeVolumes",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "FSXNGroup2",
"Effect": "Allow",
"Action": [
"fsx:UntagResource",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:*:*:volume/*/*",
"arn:aws:fsx:*:*:storage-virtual-machine/*/*"
]
},
{
"Sid": "SSMParameterStore",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:PutParameter"
],
"Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:GetParameters",
"ssm:GetParametersByPath"
],
"Resource": "arn:aws:ssm:*:*:parameter/aws/service/*"
},
{
"Sid": "SSMMessages",
"Effect": "Allow",
"Action": [
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMCommandDocument",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-RunShellScript"
]
},
{
"Sid": "SSMCommandInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetConnectionStatus"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "wlmai-*"
}
}
},
{
"Sid": "KMS",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "SNS",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "CloudWatchAiEngine",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*"
},
{
"Sid": "CloudWatchAiEngineLogStream",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/netapp/wlmai*:*"
},
{
"Sid": "BedrockGroup",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModelWithResponseStream",
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModelAvailability",
"bedrock:GetModelInvocationLoggingConfiguration",
"bedrock:PutModelInvocationLoggingConfiguration",
"bedrock:ListInferenceProfiles"
],
"Resource": "*"
},
{
"Sid": "CloudWatchBedrock",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/bedrock*"
},
{
"Sid": "BedrockLoggingAttachRole",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/NetApp_AI_Bedrock*"
},
{
"Sid": "BedrockLoggingIamOperations",
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "*"
},
{
"Sid": "QBusiness",
"Effect": "Allow",
"Action": [
"qbusiness:ListApplications"
],
"Resource": "*"
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}下表提供 GenAI 工作負載權限的詳細資料。
GenAI 工作負載的權限表
| 目的 | 行動 | 使用處 | 模式 |
|---|---|---|---|
在部署和重建作業期間建立 AI 引擎雲端堆疊 |
雲端:建立堆疊 |
部署 |
讀取/寫入 |
建立 AI 引擎雲端堆疊 |
雲端:無標準堆疊 |
部署 |
讀取/寫入 |
列出 AI 引擎部署精靈的區域 |
EC2:取消註冊 |
部署 |
讀取/寫入 |
顯示 AI 引擎標籤 |
EC2:取消標示 |
部署 |
讀取/寫入 |
列出 S3 儲存桶 |
S3:ListAllMyb桶 |
部署 |
讀取/寫入 |
在建立 AI 引擎堆疊之前列出 VPC 端點 |
EC2 : CreateVpcEndpoint |
部署 |
讀取/寫入 |
在部署和重建作業期間,在 AI 引擎堆疊建立期間建立 AI 引擎安全性群組 |
EC2:建立安全性群組 |
部署 |
讀取/寫入 |
在部署和重建作業期間,標記由 AI 引擎堆疊建立所建立的資源 |
EC2:建立標記 |
部署 |
讀取/寫入 |
從 AI 引擎堆疊將加密事件發佈至 WLMAI 後端 |
KMS : GenerateDataKey |
部署 |
讀取/寫入 |
kms :解密 |
部署 |
讀取/寫入 |
|
將事件和自訂資源從 AI 引擎堆疊發佈至 WLMAI 後端 |
SnS :發佈 |
部署 |
讀取/寫入 |
在 AI 引擎部署精靈期間列出 VPC |
EC2:取消功能Vpcs |
部署 |
讀取/寫入 |
在「 AI 引擎部署精靈」中列出子網路 |
EC2:無資料子網路 |
部署 |
讀取/寫入 |
在 AI 引擎部署和重建期間取得路由表 |
EC2:取消功能表 |
部署 |
讀取/寫入 |
在 AI 引擎部署精靈期間列出金鑰配對 |
EC2:評量會議 |
部署 |
讀取/寫入 |
在 AI 引擎堆疊建立期間列出安全性群組(以在私有端點上尋找安全性群組) |
EC2:取消安全性群組 |
部署 |
讀取/寫入 |
取得 VPC 端點,判斷是否應在 AI 引擎部署期間建立任何端點 |
EC2:取消資料VpcEndpoints |
部署 |
讀取/寫入 |
列出 Amazon Q Business 應用程式 |
qbusiness : ListApplications |
部署 |
讀取/寫入 |
列出執行個體以瞭解 AI 引擎狀態 |
EC2:資料說明 |
疑難排解 |
讀取/寫入 |
在部署和重建作業期間,列出 AI 引擎堆疊建立期間的映像 |
EC2:取消影像 |
部署 |
讀取/寫入 |
在部署和重建作業期間建立 AI 執行個體堆疊期間,建立並更新 AI 執行個體和私有端點安全群組 |
EC2:RevokeSecurity GroupEgress |
部署 |
讀取/寫入 |
EC2:RevokeSecurity GroupIngress |
部署 |
讀取/寫入 |
|
在部署和重建作業期間,在雲端堆疊建立期間執行 AI 引擎 |
EC2:RunInstances |
部署 |
讀取/寫入 |
在部署和重建作業期間,在堆疊建立期間附加安全群組並修改 AI 引擎的規則 |
EC2:授權安全性群組出口 |
部署 |
讀取/寫入 |
EC2:授權安全性群組入口 |
部署 |
讀取/寫入 |
|
向其中一個基礎模式提出聊天要求 |
Bedrock : InvokeModelWithResponseStream |
部署 |
讀取/寫入 |
開始對基礎模型進行聊天 / 嵌入要求 |
Bedrock : InvokeModel |
部署 |
讀取/寫入 |
顯示區域中可用的基礎模型 |
Bedrock:ListFoundationModels |
部署 |
讀取/寫入 |
取得基礎模型的相關資訊 |
Bedrock:GetFoundationModel |
部署 |
讀取/寫入 |
驗證對基礎模型的存取 |
Bedrock:GetFoundationModelAvailability |
部署 |
讀取/寫入 |
確認在部署和重建作業期間需要建立 Amazon CloudWatch 記錄群組 |
記錄: DescribeLogGroups |
部署 |
讀取/寫入 |
在 AI 引擎精靈期間取得支援 FSX 和 Amazon bedrock 的區域 |
SSM) : GetParametersByPath |
部署 |
讀取/寫入 |
在部署和重建作業期間,取得 AI 引擎部署的最新 Amazon Linux 映像 |
S10:GetParameters |
部署 |
讀取/寫入 |
從傳送至 AI 引擎的命令取得 SSM 回應 |
SSM) : GetCommandInvocation |
部署 |
讀取/寫入 |
檢查與 AI 引擎的 SSM 連線 |
S10:SendCommand |
部署 |
讀取/寫入 |
SSM) : GetConnectionStatus |
部署 |
讀取/寫入 |
|
在部署和重建作業期間,於堆疊建立期間建立 AI 引擎執行個體設定檔 |
IAM:建立角色 |
部署 |
讀取/寫入 |
IAM:CreatanceProfile |
部署 |
讀取/寫入 |
|
IAM:AddRoleToInstanceProfile |
部署 |
讀取/寫入 |
|
IAM:Putt角色 原則 |
部署 |
讀取/寫入 |
|
IAM : GetRolePolicy |
部署 |
讀取/寫入 |
|
IAM:GetRole |
部署 |
讀取/寫入 |
|
IAM : TagRole |
部署 |
讀取/寫入 |
|
IAM:密碼 |
部署 |
讀取/寫入 |
|
模擬工作負載作業,以驗證可用權限,並與所需的 AWS 帳戶權限進行比較 |
IAM : SimulatePrincipalPolicy |
部署 |
讀取/寫入 |
在「建立知識庫」精靈中列出 ONTAP 檔案系統的 FSX |
FSX : DescribeVolumes |
知識庫建立 |
讀取/寫入 |
在「建立知識庫」精靈中列出 ONTAP 檔案系統磁碟區的 FSX |
fsx:DescribeFileSystems |
知識庫建立 |
讀取/寫入 |
在重建作業期間,管理 AI 引擎上的知識庫 |
FSX : ListTagsForResource |
疑難排解 |
讀取/寫入 |
在「建立知識庫」精靈中,列出適用於 ONTAP 檔案系統儲存虛擬機器的 FSX |
FSX : DescrubeStorageVirtualMachines |
部署 |
讀取/寫入 |
將知識庫移至新執行個體 |
FSX : UntagResource |
疑難排解 |
讀取/寫入 |
在重建期間管理 AI 引擎上的知識庫 |
FSX : TagResource |
疑難排解 |
讀取/寫入 |
以安全的方式儲存 SSM 機密( ECR 權杖, CIFS 認證,租賃服務帳戶金鑰) |
SSM) : GetParameter |
部署 |
讀取/寫入 |
SSM) : Puttarameter |
部署 |
讀取/寫入 |
|
在部署和重建作業期間,將 AI 引擎記錄傳送至 Amazon CloudWatch 記錄群組 |
記錄檔: CreateLogGroup |
部署 |
讀取/寫入 |
記錄: PutRetentionPolicy |
部署 |
讀取/寫入 |
|
將 AI 引擎記錄傳送至 Amazon CloudWatch 記錄群組 |
記錄: TagResource |
疑難排解 |
讀取/寫入 |
從 Amazon CloudWatch 取得 SSM 回應(回應時間過長時) |
記錄: DescribeLogStreams |
疑難排解 |
讀取/寫入 |
取得 Amazon CloudWatch 的 SSM 回應 |
記錄檔: GetLogEvents |
疑難排解 |
讀取/寫入 |
在部署和重建作業期間建立堆疊時,為 Amazon 基礎記錄建立 Amazon CloudWatch 記錄群組 |
記錄檔: CreateLogGroup |
部署 |
讀取/寫入 |
記錄: PutRetentionPolicy |
部署 |
讀取/寫入 |
|
記錄: TagResource |
部署 |
讀取/寫入 |
|
列出模型的推斷輪廓 |
Bedrock : ListInferenceProfiles |
疑難排解 |
讀取/寫入 |
VMware 工作負載的權限
VMware 工作負載的 IAM 策略會根據您所處的運作模式,提供 Workload Factory for VMware 管理公有雲環境中的資源和流程所需的權限。
選取您的作業模式以檢視所需的 IAM 原則:
適用於 VMware 工作負載的 IAM 原則
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ssm:GetParametersByPath",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:DescribeFileSystems",
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeStorageVirtualMachines",
"fsx:CreateVolume",
"fsx:DescribeVolumes",
"fsx:TagResource",
"sns:Publish",
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:RunInstances",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeImages"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}下表提供 VMware 工作負載權限的詳細資料。
VMware 工作負載的權限表
| 目的 | 行動 | 使用處 | 模式 |
|---|---|---|---|
附加安全性群組並修改已佈建節點的規則 |
EC2:授權安全性群組入口 |
部署 |
讀取/寫入 |
建立 EBS 磁碟區 |
EC2:建立磁碟區 |
部署 |
讀取/寫入 |
為 VMware 工作負載所建立的 NetApp ONTAP 資源標記 FSX 的自訂值 |
FSX : TagResource |
部署 |
讀取/寫入 |
建立並驗證 CloudForgation 範本 |
雲端:建立堆疊 |
部署 |
讀取/寫入 |
管理已建立執行個體的標記和網路安全性 |
EC2:建立安全性群組 |
部署 |
讀取/寫入 |
啟動建立的執行個體 |
EC2:RunInstances |
部署 |
讀取/寫入 |
取得 EC2 執行個體詳細資料 |
EC2:資料說明 |
部署 |
讀取/寫入 |
在部署和重建作業期間,列出堆疊建立期間的映像 |
EC2:取消影像 |
部署 |
讀取/寫入 |
取得所選環境中的 VPC 以完成部署表單 |
EC2:取消功能Vpcs |
|
|
取得所選環境中的子網路以完成部署表單 |
EC2:無資料子網路 |
|
|
取得所選環境中的安全性群組,以完成部署表單 |
EC2:取消安全性群組 |
部署 |
|
取得所選環境中的可用性區域 |
EC2 :去除可用性區域 |
|
|
透過 Amazon FSX for NetApp ONTAP 支援取得地區資訊 |
EC2:取消註冊 |
部署 |
|
取得 KMS 金鑰的別名,以用於 Amazon FSX 進行 NetApp ONTAP 加密 |
kms:清單別名 |
部署 |
|
取得 KMS 金鑰以用於 Amazon FSX 的 NetApp ONTAP 加密 |
kms : ListKeys |
部署 |
|
取得 KMS 金鑰到期詳細資料,以用於 Amazon FSX 進行 NetApp ONTAP 加密 |
KMS : DescribeKey |
部署 |
|
以 SSM 為基礎的查詢可用來取得適用於 NetApp ONTAP 支援地區的 Amazon FSX 更新清單 |
SSM) : GetParametersByPath |
部署 |
|
為資源配置所需的 NetApp ONTAP 資源建立 Amazon FSX |
fsx:CreateFileSystem |
部署 |
讀取/寫入 |
fsx:CreateStorageVirtualMachine |
部署 |
讀取/寫入 |
|
fsx:CreateVolume |
|
讀取/寫入 |
|
取得 Amazon FSX 以取得 NetApp ONTAP 詳細資料 |
FSX:說明* |
|
讀取/寫入 |
FSX:清單* |
|
讀取/寫入 |
|
取得 KMS 金鑰詳細資料,並使用 Amazon FSX 進行 NetApp ONTAP 加密 |
公里:建立授予 |
部署 |
讀取/寫入 |
公里:描述* |
部署 |
讀取/寫入 |
|
公里:清單* |
部署 |
讀取/寫入 |
|
kms :解密 |
部署 |
讀取/寫入 |
|
KMS : GenerateDataKey |
部署 |
讀取/寫入 |
|
列出客戶 SNS 主題,並在選取的情況下發佈至 WLMVMC 後端 SNS 和客戶 SNS |
SnS :發佈 |
部署 |
讀取/寫入 |
用於擷取適用於 NetApp ONTAP 支援 AWS 區域的 Amazon FSX 最新清單 |
SSM) :取得 * |
|
讀取/寫入 |
模擬工作負載作業,以驗證可用權限,並與所需的 AWS 帳戶權限進行比較 |
IAM : SimulatePrincipalPolicy |
部署 |
讀取/寫入 |
SSM 參數儲存區可用來儲存 Amazon FSX for NetApp ONTAP 的認證資料 |
SSM) : GetParameter |
|
讀取/寫入 |
SSM) : PuttParameters |
|
讀取/寫入 |
|
SSM) : Puttarameter |
|
讀取/寫入 |
|
SSM/DeleteParameters |
|
讀取/寫入 |
變更記錄
新增和移除權限時、我們會在下方各節中加以註記。
2025年10月5日
以下權限已從 GenAI 中刪除,現在由 GenAI 引擎處理:
-
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:CreatePolicy
2025 年 6 月 29 日
現在,資料庫在唯讀模式下具有以下權限: cloudwatch:GetMetricData 。
2025 年 6 月 3 日
現在,GenAI 在讀取/寫入模式下具有以下權限: s3:ListAllMyBuckets 。
2025 年 4 月 5 日
現在,GenAI 在讀取/寫入模式下具有以下權限: qbusiness:ListApplications 。
現在,資料庫在唯讀模式下具有以下權限:
-
logs:GetLogEvents -
logs:DescribeLogGroups
現在,資料庫在讀取/寫入模式下具有以下權限:
logs:PutRetentionPolicy 。
2025 年 4 月 2 日
現在,資料庫在唯讀模式下具有以下權限: ssm:DescribeInstanceInformation 。
2025 年 3 月 30 日
GenAI 工作負載權限更新
GenAI 的「讀取/寫入模式」下現在提供以下權限:
-
bedrock:PutModelInvocationLoggingConfiguration -
iam:AttachRolePolicy -
iam:PassRole -
iam:createPolicy -
bedrock:ListInferenceProfiles
已從 GenAI 的「讀取/寫入模式」中刪除以下權限: Bedrock:GetFoundationModel 。
IAM : SimulatePrincipalPolicy 權限更新
這 `iam:SimulatePrincipalPolicy`如果您在新增其他 AWS 帳戶憑證或從 Workload Factory 控制台新增新的工作負載功能時啟用自動權限檢查,則權限是所有工作負載權限原則的一部分。此權限模擬工作負載操作,並在從工作負載工廠部署資源之前檢查您是否具有所需的 AWS 帳戶權限。啟用此檢查可減少清理失敗操作的資源和新增缺少的權限所需的時間和精力。
2025 年 3 月 2 日
現在,GenAI 在讀取/寫入模式下具有以下權限: bedrock:GetFoundationModel 。
2025 年 3 月 2 日
現在,資料庫在唯讀模式下具有以下權限: iam:SimulatePrincipalPolicy 。