在 AWS 上规划 IAM 用户概要文件和权限

要在 AWS 中部署和管理 IBM Spectrum Virtualize for Public Cloud 软件，必须在 Amazon Identity and Access Management (IAM) 服务中创建用户概要文件，并具有运行和管理 IBM Spectrum Virtualize for Public Cloud 软件所需的 AWS 服务和资源的特定权限。

IAM 用户概要文件

建议先定义两个用户概要文件，然后再安装和管理 IBM Spectrum Virtualize for Public Cloud 软件。

安装程序用户概要文件

在 AWS 中部署 IBM Spectrum Virtualize for Public Cloud 软件需要安装程序用户概要文件。其包含与购买、创建实例和删除配置相关资源相关的操作的更多权限。必须先在 AWS IAM 管理控制台中创建安装程序用户概要文件，然后在 AWS Marketplace 中运行安装模板。如果未分配权限，那么成功安装 IBM Spectrum Virtualize for Public Cloud 软件所需的操作将失败。您可以使用 AWS 缺省管理员概要文件以安装 IBM Spectrum Virtualize for Public Cloud 软件，或者可以创建一个安装程序用户概要文件，其中只包含部署该软件所需的权限。有关更多信息，请参阅创建 IAM 用户概要文件。

确保使用以下 AWS 服务相关权限创建安装程序用户概要文件：

表 1. 安装程序用户概要文件权限和允许的操作
AWS 服务	权限名称	描述	允许的操作
Amazon Simple Storage Service (S3) 权限	s3	需要此权限才能访问包含 IBM Spectrum Virtualize for Public Cloud 模板的存储库。	CreateBucketDeleteBucketDeleteObjectGetObjectListAllMyBucketsPutObject
Amazon Identity and Access Management (IAM) 服务	iam	需要此权限安装程序用户概要文件才能创建必需的 IAM 角色并分配给 EC2 实例。有关更多信息，请参阅IAM 角色。	AddRoleToInstanceProfileCreateInstanceProfileCreateRoleDeleteRoleDeleteRolePolicyGetRoleGetInstanceProfileListInstanceProfilesListRolesPassRoles PutRolePolicyRemoveRoleFromInstanceProfile
简单通知服务	sns	需要此权限安装程序用户概要文件才能发送和接收与 IBM Spectrum Virtualize for Public Cloud 软件的安装和管理相关的消息。	CreateTopicDeleteTopicGetParametersGetTopicAttributeListTopicsSubscribeUnsubscribe
AWS CloudFormation 服务	cloudformation	需要此权限才能在 CloudFormation 堆栈中运行 IBM Spectrum Virtualize for Public Cloud 安装模板。	CreateChangeSet CreateStackCreateUploadBucketDeleteStackDeleteChangeSet DescribeChangeSet DescribeStackEventsDescribeStackResourcesDescribeStacksGetStackPolicyGetTemplateGetTemplateSummaryListStackResourcesListStacksSetStackPolicy UpdateStackUpdateTerminationProtection
Amazon Elastic Compute Cloud (Amazon EC2) 服务	ec2	需要此权限才能创建和更改 IBM Spectrum Virtualize for Public Cloud 软件运行所在的 EC2 实例。	AllocateAddress AssignPrivateIpAddressesAssociateAddress AssociateDhcpOptions AssociateRouteTable AttachInternetGateway AttachNetworkInterfaceAttachVolumeAuthorizeSecurityGroupIngress CreateDefaultSubnet CreateDefaultVpc CreateDhcpOptions CreateInternetGateway CreateKeyPairCreateNatGateway CreateNetworkInterfaceCreateNetworkInterfacePermission CreatePlacementGroupCreateRoute CreateRouteTable CreateSecurityGroup CreateSubnet CreateTagsCreateVolumeCreateVpc CreateVpcEndpoint DetachInternetGateway DetachNetworkInterfaceDetachVolumeDeleteDhcpOptions DeleteInternetGateway DeleteKeyPairDeleteNatGateway DeleteNetworkInterfaceDeleteNetworkInterfacePermission DeletePlacementGroupDeleteRoute DeleteRouteTable DeleteSecurityGroup DeleteSubnet DeleteTagsDeleteVolumeDeleteVpc DeleteVpcEndpoints Describe* DisassociateAddress DisassociateRouteTable Get* ModifyInstancePlacement ModifyNetworkInterfaceAttributeModifyVolumeAttribute ModifyVpcAttribute RebootInstancesReleaseAddress RevokeSecurityGroupEgress RunInstancesStartInstancesStopInstancesTerminateInstances
AWS Systems Manager 服务	ssm	需要此权限才能在 EC2 实例之间传递参数。	DescribeParameters
AWS Secrets Manager 服务	secretmanager	需要此权限才能管理 IBM Spectrum Virtualize for Public Cloud 软件管理员的密码。	CreateSecret DeleteSecret TagResource

有关更多信息，请参阅创建 IAM 用户概要文件。

用户概要文件

可根据自己的 IT 安全策略定义其他用户概要文件。建议将这些用户的权限限制为在日常工作期间完成的操作。在 EC2 实例上安装 IBM Spectrum Virtualize for Public Cloud 软件不需要这些用户概要文件。使用此用户概要文件的所有用户在订购和创建实例或资源方面的权限都有限，但是可根据这些权限和操作在工作期间访问 EC2 资源：

表 2. 用户概要文件权限和允许的操作
AWS 服务	权限名称	描述	允许的操作
Amazon Elastic Compute Cloud (Amazon EC2) 服务	ec2	描述在配置中使用的 EC2 实例。	RebootInstancesStartInstancesStopInstances
Amazon Identity and Access Management (IAM) 服务	iam	描述与 EC2 实例相关联的角色信息。	GetRoleGetRolePolicyListAttachedRolePoliciesListInstanceProfilesListPoliciesListRolePolicies ListRolesListRoleTags
Amazon Secrets Manager	secretsmanager	需要此权限才能管理 IBM Spectrum Virtualize for Public Cloud 软件管理员的密码。	CreateSecret DeleteSecret TagResource

有关更多信息，请参阅创建 IAM 用户概要文件。

IAM 角色

安装模板将创建两个 IAM 角色。第一个 IAM 角色用于运行 IBM Spectrum Virtualize for Public Cloud 软件的 EC2 实例。第二个用于可用于配置的定额管理的 EC2 实例。每个角色都有一组唯一的权限和允许的操作：

表 3. 运行 IBM Spectrum Virtualize for Public Cloud 软件的 EC2 实例的 IAM 角色的权限和操作
权限和操作	描述
ec2:AssignPrivateIpAddresses	在 IP 故障转移期间，自动将管理 IP 地址分配给第二个节点。EC2 实例上的配置节点发生故障并且整个系统的管理移至配置中的第二个节点时，发生 IP 故障转移。
ec2:AttachVolume	在 IBM Spectrum Virtualize for Public Cloud 软件运行 addmdisk 命令时，将 EBS 卷附加到 EC2 实例
ec2:CreateTags	创建标记来标记 IBM Spectrum Virtualize for Public Cloud 软件独占使用的资源。
ec2:DescribeVolumes	在 IBM Spectrum Virtualize for Public Cloud 软件运行 detectmdisk 命令时，检索所有可用 EBS 卷。
ec2:DetachVolume	在 IBM Spectrum Virtualize for Public Cloud 软件运行 rmmdisk 命令时，从 EC2 实例拆离 EBS 卷。
ec2:DeleteTags	删除针对 IBM Spectrum Virtualize for Public Cloud 软件创建的标记。
ec2:DescribeInstances	检索 EC2 实例。
ec2:DescribeTags	检索 IBM Spectrum Virtualize for Public Cloud 软件创建的标记。
ec2:DescribeVpcEndpoints	查询 IBM Spectrum Virtualize for Public Cloud 安装期间创建的已配置端点。
ec2:StartInstances	在实例的计划电源关闭后重新启动 EC2 实例。
ssm:DescribeParameters	查询 IBM Spectrum Virtualize for Public Cloud 安装期间使用的参数。
ssm:GetParameter	检索 IBM Spectrum Virtualize for Public Cloud 安装期间使用的参数。
sns:Publish	在 IBM Spectrum Virtualize for Public Cloud 安装期间发送电子邮件以通知用户时，向用户发送电子邮件通知。

除了针对节点配置运行 IBM Spectrum Virtualize for Public Cloud 软件的两个 EC2 实例，还会在安装期间创建第三个 EC2 实例来管理 IP 定额。如果节点间通信中断，此实例充当定额磁盘。此实例还监视部署过程并且需要一些其他访问权。

表 4. 运行 IP 定额管理的 EC2 实例的 IAM 角色的权限和操作
权限和操作	描述
ec2:DescribeInstances	检索 EC2 实例。
ec2:DescribeSubnets	检索子网。
cloudformation:ListStacks	查询 IBM Spectrum Virtualize for Public Cloud 安装的堆栈的状态。
cloudformation:SetStackPolicy	为 IBM Spectrum Virtualize for Public Cloud 安装的堆栈创建策略。
secretsmanager:DeleteSecret	删除 IBM Spectrum Virtualize for Public Cloud 软件专用的凭证的密钥。
secretsmanager:GetSecretValue	支持用户检索和解密已加密数据。
ssm:DeleteParameters	在 IBM Spectrum Virtualize for Public Cloud 安装期间清除参数。
sns:Publish	在 IBM Spectrum Virtualize for Public Cloud 安装期间发送电子邮件以通知用户时，向用户发送电子邮件通知。
ssm:PutParameter	在 IBM Spectrum Virtualize for Public Cloud 安装期间，管理堆栈的进程。