Cloud Managerでは、AWSアカウントを使用してAPI呼び出しを実行することで、EC2、S3、 CloudFormation、IAM、Security Token Service(STS)、Key Management Service(KMS)など
の各種のAWSサービスにアクセスします。Cloud Managerが各権限で実行できる処理を次に 示します。
権限 目的
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:ModifyInstanceAttribute",
ONTAP Cloudインスタンスを起動し、イ
ンスタンスの停止、開始、監視などを行 います。
"ec2:DescribeRouteTables",
"ec2:DescribeImages",
ONTAP Cloud HA構成を起動します。
"ec2:CreateTags",
Cloud Managerで作成したすべてのリ ソースに「WorkingEnvironment」および
「WorkingEnvironmentId」のタグを付けま す。これらのタグは、Cloud Managerによ るメンテナンスやコスト配分で使用され ます。
"ec2:CreateVolume",
"ec2:DescribeVolumes",
"ec2:ModifyVolumeAttribute",
"ec2:AttachVolume",
"ec2:DeleteVolume",
"ec2:DetachVolume",
ONTAP Cloudのバックエンドストレージ
として使用するEBSボリュームを管理し ます。
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
ONTAP Cloudの事前定義されたセキュリ
ティグループを作成します。
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
ターゲットサブネットのONTAP Cloudの ネットワークインターフェイスを作成 および管理します。
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
デスティネーションのサブネットとセ キュリティグループの一覧を取得しま す。ONTAP Cloudの新しい作業環境を作 成する際に必要になります。
"ec2:DescribeDhcpOptions", ONTAP Cloudインスタンスの起動時に
DNSサーバおよびデフォルトのドメイン 名を決定します。
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeSnapshots",
初期セットアップの実行時とONTAP Cloudインスタンスの停止時にEBSボ リュームのSnapshotを作成します。
権限 目的
"ec2:GetConsoleOutput", AutoSupportメッセージに添付するため
に、ONTAP Cloudコンソールをキャプ チャします。
"ec2:DescribeKeyPairs", インスタンスの起動時に利用可能なキー
ペアのリストを取得します。
"ec2:DescribeRegions", 利用可能なAWSリージョンのリストを取
得します。
"ec2:DeleteTags",
"ec2:DescribeTags",
ONTAP Cloudインスタンスに関連付けら
れたリソースのタグを管理します。
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ValidateTemplate",
ONTAP Cloudインスタンスを起動しま
す。
"iam:PassRole",
"iam:CreateRole",
"iam:DeleteRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:DeleteRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
ONTAP Cloud HA構成を起動します。
"iam:ListInstanceProfiles",
"sts:DecodeAuthorizationMessage",
"ec2:AssociateIamInstanceProfile",
"ec2:DescribeIamInstanceProfileAssociati ons",
"ec2:DisassociateIamInstanceProfile",
ONTAP Cloudインスタンスのインスタン
スプロファイルを管理します。
"s3:GetObject",
"s3:ListBucket"
AWSからONTAP Cloudのコストデータ を取得します。
"s3:GetBucketTagging",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
Cloud Managerをネットアップデータ ファブリックCloud Syncサービスと統合 するために、AWS S3バケットの情報を取 得します。
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetLifecycleConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutBucketTagging",
"s3:ListBucketVersions",
ONTAP Cloudシステムで大容量階層とし
て使用するS3バケットを管理します。
"kms:List*",
"kms:Describe*"
AWS Key Management Serviceからキーの 情報を取得します。
関連概念
Cloud ManagerへのAWS権限の付与(16ページ)