在 AWS 上規劃 IAM 使用者設定檔及許可權

如果要在 AWS 中部署及管理 IBM Spectrum Virtualize for Public Cloud 軟體，必須以特定許可權在 Amazon Identity and Access Management (IAM) 服務中建立使用者設定檔，以執行及管理 IBM Spectrum Virtualize for Public Cloud 軟體所需的 AWS 服務和資源。

IAM 使用者設定檔

在安裝及管理 IBM Spectrum Virtualize for Public Cloud 軟體之前，建議先定義兩個使用者設定檔。

安裝程式使用者設定檔

在 AWS 中部署 IBM Spectrum Virtualize for Public Cloud 軟體需要安裝程式使用者設定檔。它包括對與採購、建立實例以及刪除與配置相關的資源相關的動作的更多許可權。在 AWS Marketplace 內執行安裝範本之前，必須先在 AWS IAM 管理主控台中建立安裝程式使用者設定檔。如果未指派許可權，則順利安裝 IBM Spectrum Virtualize for Public Cloud 軟體所需的動作會失敗。您可以使用 AWS 預設管理者設定檔來安裝 IBM Spectrum Virtualize for Public Cloud 軟體，也可以建立僅包含部署軟體所需的許可權的安裝程式使用者設定檔。如需相關資訊，請參閱建立 IAM 使用者設定檔。

請確保使用下列與 AWS 服務相關的許可權建立安裝程式使用者設定檔：

表 1. 安裝程式使用者設定檔許可權及容許的動作
AWS 服務	許可權名稱	說明	容許的動作
Amazon Simple Storage Service (S3) 許可權	s3	存取包含 IBM Spectrum Virtualize for Public Cloud 範本的儲存庫時需要。	CreateBucketDeleteBucketDeleteObjectGetObjectListAllMyBucketsPutObject
Amazon Identity and Access Management (IAM) 服務	iam	安裝程式使用者設定檔所必需，以建立所需的 IAM 角色並將其指派給 EC2 實例。如需相關資訊，請參閱IAM 角色。	AddRoleToInstanceProfileCreateInstanceProfileCreateRoleDeleteRoleDeleteRolePolicyGetRoleGetInstanceProfileListInstanceProfilesListRolesPassRoles PutRolePolicyRemoveRoleFromInstanceProfile
簡式通知服務	sns	安裝程式使用者設定檔所必需，以傳送及接收與 IBM Spectrum Virtualize for Public Cloud 軟體的安裝和管理相關的訊息。	CreateTopicDeleteTopicGetParametersGetTopicAttributeListTopicsSubscribeUnsubscribe
AWS CloudFormation 服務	cloudformation	在 CloudFormation 堆疊內執行 IBM Spectrum Virtualize for Public Cloud 安裝範本時需要。	CreateChangeSet CreateStackCreateUploadBucketDeleteStackDeleteChangeSet DescribeChangeSet DescribeStackEventsDescribeStackResourcesDescribeStacksGetStackPolicyGetTemplateGetTemplateSummaryListStackResourcesListStacksSetStackPolicy UpdateStackUpdateTerminationProtection
Amazon Elastic Compute Cloud (Amazon EC2) 服務	ec2	建立及變更 IBM Spectrum Virtualize for Public Cloud 軟體在其中執行的 EC2 實例時需要。	AllocateAddress AssignPrivateIpAddressesAssociateAddress AssociateDhcpOptions AssociateRouteTable AttachInternetGateway AttachNetworkInterfaceAttachVolumeAuthorizeSecurityGroupIngress CreateDefaultSubnet CreateDefaultVpc CreateDhcpOptions CreateInternetGateway CreateKeyPairCreateNatGateway CreateNetworkInterfaceCreateNetworkInterfacePermission CreatePlacementGroupCreateRoute CreateRouteTable CreateSecurityGroup CreateSubnet CreateTagsCreateVolumeCreateVpc CreateVpcEndpoint DetachInternetGateway DetachNetworkInterfaceDetachVolumeDeleteDhcpOptions DeleteInternetGateway DeleteKeyPairDeleteNatGateway DeleteNetworkInterfaceDeleteNetworkInterfacePermission DeletePlacementGroupDeleteRoute DeleteRouteTable DeleteSecurityGroup DeleteSubnet DeleteTagsDeleteVolumeDeleteVpc DeleteVpcEndpoints Describe* DisassociateAddress DisassociateRouteTable Get* ModifyInstancePlacement ModifyNetworkInterfaceAttributeModifyVolumeAttribute ModifyVpcAttribute RebootInstancesReleaseAddress RevokeSecurityGroupEgress RunInstancesStartInstancesStopInstancesTerminateInstances
AWS Systems Manager 服務	ssm	在 EC2 實例之間傳遞參數時需要。	DescribeParameters
AWS Secrets Manager 服務	secretmanager	需要用來管理 IBM Spectrum Virtualize for Public Cloud 軟體管理者的密碼。	CreateSecret DeleteSecret TagResource

如需相關資訊，請參閱建立 IAM 使用者設定檔。

使用者設定檔

您可以根據自己的 IT 安全原則定義其他使用者設定檔。建議將這些使用者的許可權限制為使用者在每日工作過程中完成的動作。在 EC2 實例上安裝 IBM Spectrum Virtualize for Public Cloud 軟體時不需要這些使用者設定檔。具有此使用者設定檔的所有使用者在排序及建立實例或資源時都具有有限的許可權，但可以根據這些許可權及動作在工作過程中存取 EC2 資源：

表 2. 使用者設定檔許可權及容許的動作
AWS 服務	許可權名稱	說明	容許的動作
Amazon Elastic Compute Cloud (Amazon EC2) 服務	ec2	說明配置中使用的 EC2 實例。	RebootInstancesStartInstancesStopInstances
Amazon Identity and Access Management (IAM) 服務	iam	說明與 EC2 實例相關聯的角色資訊。	GetRoleGetRolePolicyListAttachedRolePoliciesListInstanceProfilesListPoliciesListRolePolicies ListRolesListRoleTags
Amazon Secrets Manager	secretsmanager	需要用來管理 IBM Spectrum Virtualize for Public Cloud 軟體管理者的密碼。	CreateSecret DeleteSecret TagResource

如需相關資訊，請參閱建立 IAM 使用者設定檔。

IAM 角色

安裝範本會建立兩個 IAM 角色。第一個 IAM 角色用於執行 IBM Spectrum Virtualize for Public Cloud 軟體的 EC2 實例。第二個用於配置的仲裁管理的 EC2 實例。每個角色都具有一組唯一的許可權和允許的動作：

表 3. 用於執行 IBM Spectrum Virtualize for Public Cloud 軟體的 EC2 實例的權限和動作及 IAM 角色
許可權及動作	說明
ec2:AssignPrivateIpAddresses	在 IP 失效接手期間，自動將管理 IP 位址指派給第二個節點。當 EC2 實例上的配置節點失敗，且整個系統的管理移至配置中的第二個節點時，會發生 IP 失效接手。
ec2:AttachVolume	當 IBM Spectrum Virtualize for Public Cloud 軟體執行 addmdisk 指令時，將 EBS 磁區連接至 EC2 實例
ec2:CreateTags	建立標籤，以標示 IBM Spectrum Virtualize for Public Cloud 軟體專用的資源。
ec2:DescribeVolumes	當 IBM Spectrum Virtualize for Public Cloud 軟體執行 detectmdisk 指令時，擷取所有可用的 EBS 磁區。
ec2:DetachVolume	當 IBM Spectrum Virtualize for Public Cloud 軟體執行 rmmdisk 指令時，從 EC2 實例分離 EBS 磁區。
ec2:DeleteTags	刪除為 IBM Spectrum Virtualize for Public Cloud 軟體建立的標籤。
ec2:DescribeInstances	擷取 EC2 實例。
ec2:DescribeTags	擷取 IBM Spectrum Virtualize for Public Cloud 軟體建立的標籤。
ec2:DescribeVpcEndpoints	查詢 IBM Spectrum Virtualize for Public Cloud 安裝期間建立的已配置端點。
ec2:StartInstances	在 EC2 實例發生計劃的電源關閉之後重新啟動該實例。
ssm:DescribeParameters	查詢 IBM Spectrum Virtualize for Public Cloud 安裝期間使用的參數。
ssm:GetParameter	擷取 IBM Spectrum Virtualize for Public Cloud 安裝期間使用的參數。
sns:Publish	在傳送郵件期間將電子郵件通知傳送給使用者，以在 IBM Spectrum Virtualize for Public Cloud 安裝期間通知使用者。

除了用於執行 IBM Spectrum Virtualize for Public Cloud 軟體進行節點配置的兩個 EC2 實例之外，還會在安裝期間建立第三個 EC2 實例來管理 IP 仲裁。如果節點之間的通訊已中斷，此實例會處理仲裁磁碟。此實例也會監視部署程序，且需要一些其他存取權。

表 4. 用於執行 IP 仲裁管理之 EC2 實例的 IAM 角色的權限及動作
權限及動作	說明
ec2:DescribeInstances	擷取 EC2 實例。
ec2:DescribeSubnets	擷取子網路。
cloudformation:ListStacks	查詢 IBM Spectrum Virtualize for Public Cloud 安裝的堆疊狀態。
cloudformation:SetStackPolicy	建立 IBM Spectrum Virtualize for Public Cloud 安裝的堆疊原則。
secretsmanager:DeleteSecret	刪除 IBM Spectrum Virtualize for Public Cloud 軟體專用認證的密碼。
secretsmanager:GetSecretValue	讓使用者能夠擷取及解密已加密的資料。
ssm:DeleteParameters	在 IBM Spectrum Virtualize for Public Cloud 安裝期間清除參數。
sns:Publish	在傳送郵件期間將電子郵件通知傳送給使用者，以在 IBM Spectrum Virtualize for Public Cloud 安裝期間通知使用者。
ssm:PutParameter	在 IBM Spectrum Virtualize for Public Cloud 安裝期間管理堆疊的程序。