Autorizzazioni richieste per Import/Export VM - VM Import/Export
Autorizzazioni richiesteRuolo di servizio necessario

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni richieste per Import/Export VM

VM Import/Export richiede determinate autorizzazioni per utenti, gruppi e ruoli. Inoltre, è necessario un ruolo di servizio per eseguire determinate operazioni per conto tuo.

Autorizzazioni richieste

I tuoi utenti, gruppi e ruoli necessitano delle seguenti autorizzazioni nella loro policy IAM per utilizzare Import/Export VM.

Nota

Alcune azioni richiedono l'uso di un bucket Amazon Simple Storage Service (Amazon S3). Questa politica di esempio non concede l'autorizzazione per creare bucket S3. L'utente o il ruolo che utilizzi dovrà specificare un bucket esistente o disporre delle autorizzazioni per creare un nuovo bucket con l'azione. s3:CreateBucket

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-import-bucket",
        "arn:aws:s3:::amzn-s3-demo-import-bucket/*",
        "arn:aws:s3:::amzn-s3-demo-export-bucket",
        "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CancelConversionTask",
        "ec2:CancelExportTask",
        "ec2:CreateImage",
        "ec2:CreateInstanceExportTask",
        "ec2:CreateTags",
        "ec2:DescribeConversionTasks",
        "ec2:DescribeExportTasks",
        "ec2:DescribeExportImageTasks",
        "ec2:DescribeImages",
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:ExportImage",
        "ec2:ImportInstance",
        "ec2:ImportVolume",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances",
        "ec2:ImportImage",
        "ec2:ImportSnapshot",
        "ec2:DescribeImportImageTasks",
        "ec2:DescribeImportSnapshotTasks",
        "ec2:CancelImportTask"
      ],
      "Resource": "*"
    }
  ]
}

Ruolo di servizio necessario

La VM Import/Export richiede un ruolo per eseguire determinate operazioni per tuo conto. È necessario creare un ruolo di servizio denominato vmimport con un documento di policy sulle relazioni di fiducia che Import/Export consenta a VM di assumere il ruolo e al ruolo è necessario allegare una policy IAM. Per ulteriori informazioni, consulta Ruoli IAM nella Guida per l'utente di IAM.

Prerequisito

È necessario abilitare AWS Security Token Service (AWS STS) in qualsiasi regione in cui si prevede di utilizzare VM Import/Export. Per ulteriori informazioni, vedere Attivazione e AWS STS disattivazione in una regione. AWS

Per creare il ruolo del servizio

  1. Sul tuo computer, crea un file denominato trust-policy.json. Aggiungere la seguente policy al file:

    JSON
    {
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Principal": { "Service": "vmie.amazonaws.com" },
         "Action": "sts:AssumeRole",
         "Condition": {
            "StringEquals":{
               "sts:Externalid": "vmimport"
            }
         }
      }
   ]
}

  2. Usa il create-rolecomando per creare un ruolo denominato vmimport e concedere l'accesso alla VM Import/Export ad esso. Verificare di aver specificato il percorso completo per l'ubicazione del file trust-policy.json creato nella fase precedente e di includere il prefisso file:// come mostrato nell'esempio seguente:

    aws iam create-role --role-name vmimport --assume-role-policy-document "file://C:\import\trust-policy.json"

  3. Crea un file denominato role-policy.json con la seguente politica, dove si amzn-s3-demo-import-bucket trova il bucket per le immagini del disco importate e amzn-s3-demo-export-bucket il bucket per le immagini del disco esportate:

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket" 
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-import-bucket",
            "arn:aws:s3:::amzn-s3-demo-import-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketAcl"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-export-bucket",
            "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "ec2:ModifySnapshotAttribute",
            "ec2:CopySnapshot",
            "ec2:RegisterImage",
            "ec2:Describe*"
         ],
         "Resource": "*"
      }
   ]
}

  4. (Facoltativo) Per importare risorse crittografate utilizzando una AWS KMS chiave da AWS Key Management Service, aggiungete le seguenti autorizzazioni al file. role-policy.json

    {
  "Effect": "Allow",
  "Action": [
    "kms:CreateGrant",
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:GenerateDataKey*",
    "kms:ReEncrypt*"
  ],
  "Resource": "*"
}

    Se utilizzi una chiave KMS diversa da quella predefinita fornita da Amazon EBS, devi concedere l' Import/Export autorizzazione VM alla chiave KMS se abiliti la crittografia Amazon EBS per impostazione predefinita o abiliti la crittografia in un'operazione di importazione. Puoi specificare il nome della risorsa Amazon (ARN) della chiave KMS come risorsa anziché *.

  5. (Facoltativo) Per allegare configurazioni di licenze a una AMI, aggiungi le seguenti autorizzazioni License Manager al file role-policy.json.

    {
  "Effect": "Allow",
  "Action": [
    "license-manager:GetLicenseConfiguration",
    "license-manager:UpdateLicenseSpecificationsForResource",
    "license-manager:ListLicenseSpecificationsForResource"
  ],
  "Resource": "*"
}

  6. Utilizza il seguente comando put-role-policy per collegare la policy al ruolo creato in precedenza. Assicurarsi di specificare l'intero percorso della posizione del file role-policy.json.

    aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://C:\import\role-policy.json"

  7. Per ulteriori controlli di sicurezza, puoi aggiungere le chiavi contestuali aws:SourceAccount e aws:SourceArn alla politica di attendibilità per questo ruolo appena creato. VM Import/Export pubblicherà le SourceArn chiavi SourceAccount and come specificato nell'esempio seguente per assumere questo ruolo:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "vmie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:Externalid": "vmimport",
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:vmie:*:111122223333:*"
                }
            }
        }
    ]
}