Planejando perfis de usuário e permissões do IAM no AWS

Para implementar e gerenciar o software IBM Spectrum Virtualize for Public Cloud no AWS, os perfis do usuário devem ser criados no serviço do Amazon Identity and Access Management (IAM) com permissões específicas para executar e gerenciar serviços e recursos do AWS que são necessários para o software IBM Spectrum Virtualize for Public Cloud.

Perfis do usuário do IAM

É recomendável que dois perfis de usuário sejam definidos antes de instalar e gerenciar o software IBM Spectrum Virtualize for Public Cloud.

Perfil do usuário do instalador
O perfil do usuário do instalador é necessário para a implementação do software IBM Spectrum Virtualize for Public Cloud no AWS. Ele inclui mais permissões para ações que estão relacionadas a compras, criação de instâncias e exclusão de recursos relacionados à configuração. O perfil do usuário do instalador deve ser criado no console de gerenciamento IAM do AWS antes de executar o modelo de instalação no AWS Marketplace. Se permissões não forem designadas, ações que são necessárias para a instalação bem-sucedida do software IBM Spectrum Virtualize for Public Cloud falham. É possível usar o perfil do administrador padrão do AWS para instalar o software IBM Spectrum Virtualize for Public Cloud ou é possível criar um perfil do usuário do instalador que inclua apenas as permissões necessárias para implementar o software. Para obter mais informações, consulte Criando perfis do usuário IAM.
Assegure-se de que um perfil do usuário do instalador seja criado com as seguintes permissões relacionadas ao serviço do AWS:
Tabela 1. Permissões do perfil do usuário do instalador e ações permitidas
Serviço do AWS Nome da Permissão Descrição Ações Permitidas
Permissões do Amazon Simple Storage Service (S3) s3 Necessário para acessar o repositório que contém os modelos IBM Spectrum Virtualize for Public Cloud.
CreateBucket
DeleteBucket
DeleteObject
GetObject
ListAllMyBuckets
PutObject
Serviço do Amazon Identity and Access Management (IAM) iam Necessário para que o perfil do usuário do instalador crie e designe a função IAM necessária às instâncias do EC2. Para obter mais informações, consulte Funções IAM.
AddRoleToInstanceProfile
CreateInstanceProfile
CreateRole
DeleteRole
DeleteRolePolicy
GetRole
GetInstanceProfile
ListInstanceProfiles
ListRoles
PassRoles
PutRolePolicy
RemoveRoleFromInstanceProfile
Serviço de Notificação Simples sns Necessário para que o perfil do usuário do instalador envie e receba mensagens que estejam relacionadas à instalação e ao gerenciamento do software IBM Spectrum Virtualize for Public Cloud.
CreateTopic
DeleteTopic
GetParameters
GetTopicAttribute
ListTopics
Subscrever
Remover Assinatura
Serviço AWS CloudFormation cloudformation Necessário para executar modelos de instalação do IBM Spectrum Virtualize for Public Cloud dentro da pilha do CloudFormation.
CreateChangeSet
CreateStack
CreateUploadBucket
DeleteStack
DeleteChangeSet
DescribeChangeSet
DescribeStackEvents
DescribeStackResources
DescribeStacks
GetStackPolicy
GetTemplate
GetTemplateSummary
ListStackResources
ListStacks
SetStackPolicy
UpdateStack
UpdateTerminationProtection
O serviço Amazon Elastic Compute Cloud (Amazon EC2) ec2 Necessário para criar e mudar instâncias do EC2 nas quais o software IBM Spectrum Virtualize for Public Cloud é executado.
AllocateAddress
AssignPrivateIpAddresses
AssociateAddress
AssociateDhcpOptions
AssociateRouteTable
AttachInternetGateway
AttachNetworkInterface
AttachVolume
AuthorizeSecurityGroupIngress
CreateDefaultSubnet
CreateDefaultVpc
CreateDhcpOptions
CreateInternetGateway
CreateKeyPair
CreateNatGateway
CreateNetworkInterface
CreateNetworkInterfacePermission
CreatePlacementGroup
CreateRoute
CreateRouteTable
CreateSecurityGroup
CreateSubnet
CreateTags
CreateVolume
CreateVpc
CreateVpcEndpoint
DetachInternetGateway
DetachNetworkInterface
DetachVolume
DeleteDhcpOptions
DeleteInternetGateway
DeleteKeyPair
DeleteNatGateway
DeleteNetworkInterface
DeleteNetworkInterfacePermission
DeletePlacementGroup
DeleteRoute
DeleteRouteTable
DeleteSecurityGroup
DeleteSubnet
DeleteTags
DeleteVolume
DeleteVpc
DeleteVpcEndpoints
Describe*
DisassociateAddress
DisassociateRouteTable
Get*
ModifyInstancePlacement
ModifyNetworkInterfaceAttribute
ModifyVolumeAttribute
ModifyVpcAttribute
RebootInstances
ReleaseAddress
RevokeSecurityGroupEgress
RunInstances
StartInstances
StopInstances
TerminateInstances
Serviço AWS Systems Manager ssm Necessário para transmitir parâmetros entre as instâncias do EC2. DescribeParameters
Serviço AWS Secrets Manager secretmanager Obrigatório para gerenciar a senha do administrador do software IBM Spectrum Virtualize for Public Cloud.
CreateSecret
DeleteSecret
TagResource

Para obter mais informações, consulte Criando perfis do usuário IAM.

Perfil do Usuário
Perfis de usuário adicionais podem ser definidos com base em sua própria política de segurança de TI. É recomendável limitar as permissões desses usuários para as ações que eles concluem como parte de seu trabalho diário. Esses perfis de usuário não são necessários para instalar o software IBM Spectrum Virtualize for Public Cloud em instâncias do EC2. Todos os usuários com este perfil do usuário têm permissões limitadas na ordem e na criação de instâncias ou recursos, mas podem acessar recursos do EC2 como parte de seu trabalho com base nessas permissões e ações:
Tabela 2. Permissões do perfil do usuário e ações permitidas
Serviço do AWS Nome de permissões Descrição Ações Permitidas
O serviço Amazon Elastic Compute Cloud (Amazon EC2) ec2 Descreve as instâncias do EC2 que são usadas na configuração.
RebootInstances
StartInstances
StopInstances
Serviço do Amazon Identity and Access Management (IAM) iam Descreve as informações de função que estão associadas com as instâncias do EC2.
GetRole
GetRolePolicy
ListAttachedRolePolicies
ListInstanceProfiles
ListPolicies
ListRolePolicies
ListRoles
ListRoleTags
Amazon Secrets Manager secretsmanager Obrigatório para gerenciar a senha do administrador do software IBM Spectrum Virtualize for Public Cloud.
CreateSecret
DeleteSecret
TagResource

Para obter mais informações, consulte Criando perfis do usuário IAM.

Funções IAM

O modelo de instalação cria duas funções do IAM. A primeira função do IAM é usada para instâncias do EC2 que executam o software IBM Spectrum Virtualize for Public Cloud. A segunda é usada para instâncias do EC2 que são usadas para gerenciamento de quorum para a configuração. Cada função possui um conjunto exclusivo de permissões e ações permitidas:
Tabela 3. Permissão e ações para a função do IAM para instâncias do EC2 que executam o software IBM Spectrum Virtualize for Public Cloud
Permissões e ações Descrição
ec2:AssignPrivateIpAddresses Designa automaticamente o endereço IP de gerenciamento ao segundo nó durante o failover do IP. O failover do IP ocorre quando o nó de configuração nas instâncias do EC2 falha e o gerenciamento para o sistema inteiro é movido para o segundo nó na configuração.
ec2:AttachVolume Conecta um volume EBS à instância do EC2 quando o software IBM Spectrum Virtualize for Public Cloud executa o comando addmdisk
ec2:CreateTags Cria tags para marcar os recursos que o software IBM Spectrum Virtualize for Public Cloud usa exclusivamente.
ec2:DescribeVolumes Recupera todos os volumes EBS disponíveis quando o software IBM Spectrum Virtualize for Public Cloud executa o comando detectmdisk.
ec2:DetachVolume Remove o volume EBS da instância EC2 quando o software IBM Spectrum Virtualize for Public Cloud executa o comando rmmdisk.
ec2:DeleteTags Exclui tags que são criadas para o software IBM Spectrum Virtualize for Public Cloud.
ec2:DescribeInstances Recupera instâncias do EC2.
ec2:DescribeTags Recupera tags que são criadas pelo software IBM Spectrum Virtualize for Public Cloud.
ec2:DescribeVpcEndpoints Consulta os terminais configurados criados durante a instalação do IBM Spectrum Virtualize for Public Cloud.
ec2:StartInstances Reinicia as instâncias do EC2 após um desligamento planejado da instância.
ssm:DescribeParameters Consulta os parâmetros que são usados durante a instalação do IBM Spectrum Virtualize for Public Cloud.
ssm:GetParameter Recupera parâmetro que foi usado durante a instalação do IBM Spectrum Virtualize for Public Cloud.
sns:Publish Envia notificações por e-mail para usuários durante o envio de e-mails para notificar os usuários durante a instalação do IBM Spectrum Virtualize for Public Cloud.
Além de duas instâncias do EC2 que executam o software IBM Spectrum Virtualize for Public Cloud para a configuração do nó, uma terceira instância do EC2 é criada durante a instalação para gerenciar o quorum do IP. Essa instância atua em disco quorum quando as comunicações entre os nós são interrompidas. Essa instância também monitora o processo de implementação e requer algum acesso adicional.
Tabela 4. Permissão e ações para a função IAM para instâncias do EC2 que executam o gerenciamento de quorum de IP
Permissões e ações Descrição
ec2:DescribeInstances Recupera as instâncias do EC2.
ec2:DescribeSubnets Recupera a sub-rede.
cloudformation:ListStacks Consulta o status da pilha para a instalação do IBM Spectrum Virtualize for Public Cloud.
cloudformation:SetStackPolicy Cria uma política para a pilha para a instalação do IBM Spectrum Virtualize for Public Cloud.
secretsmanager:DeleteSecret Exclui um segredo para as credenciais que o software IBM Spectrum Virtualize for Public Cloud usa exclusivamente.
secretsmanager:GetSecretValue Permite que o usuário recupere e decriptografe os dados criptografados.
ssm:DeleteParameters Limpa os parâmetros durante a instalação do IBM Spectrum Virtualize for Public Cloud.
sns:Publish Envia notificações por e-mail para usuários durante o envio de e-mails para notificar os usuários durante a instalação do IBM Spectrum Virtualize for Public Cloud.
ssm:PutParameter Gerencia o processo da pilha durante a instalação do IBM Spectrum Virtualize for Public Cloud.