Autorizzazioni richieste per Import/Export VM - VM Import/Export
Autorizzazioni richiesteRuolo di servizio necessario

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni richieste per Import/Export VM

Import/Export VM richiede determinate autorizzazioni per utenti, gruppi e ruoli. Inoltre, è necessario un ruolo di servizio per eseguire determinate operazioni per conto tuo.

Autorizzazioni richieste

I tuoi utenti, gruppi e ruoli necessitano delle seguenti autorizzazioni nella loro policy IAM per utilizzare Import/Export VM.

Nota

Alcune azioni richiedono l'uso di un bucket Amazon Simple Storage Service (Amazon S3). Questa politica di esempio non concede l'autorizzazione per creare bucket S3. L'utente o il ruolo che utilizzi dovrà specificare un bucket esistente o disporre delle autorizzazioni per creare un nuovo bucket con l'azione. s3:CreateBucket

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-import-bucket",
        "arn:aws:s3:::amzn-s3-demo-import-bucket/*",
        "arn:aws:s3:::amzn-s3-demo-export-bucket",
        "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CancelConversionTask",
        "ec2:CancelExportTask",
        "ec2:CreateImage",
        "ec2:CreateInstanceExportTask",
        "ec2:CreateTags",
        "ec2:DescribeConversionTasks",
        "ec2:DescribeExportTasks",
        "ec2:DescribeExportImageTasks",
        "ec2:DescribeImages",
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:ExportImage",
        "ec2:ImportInstance",
        "ec2:ImportVolume",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances",
        "ec2:ImportImage",
        "ec2:ImportSnapshot",
        "ec2:DescribeImportImageTasks",
        "ec2:DescribeImportSnapshotTasks",
        "ec2:CancelImportTask"
      ],
      "Resource": "*"
    }
  ]
}

Ruolo di servizio necessario

Import/Export VM richiede un ruolo per eseguire determinate operazioni per conto dell'utente. Devi creare un ruolo di servizio denominato vmimport con un documento di policy per una relazione di attendibilità che consenta a Import/Export VM di assumere il ruolo. Quindi, devi collegare una policy IAM al ruolo. Per ulteriori informazioni, consulta Ruoli IAM nella Guida per l'utente di IAM.

Prerequisito

È necessario abilitare AWS Security Token Service (AWS STS) in qualsiasi regione in cui si prevede di utilizzare VM Import/Export. Per ulteriori informazioni, vedere Attivazione e AWS STS disattivazione in una regione. AWS

Per creare il ruolo del servizio

  1. Sul tuo computer, crea un file denominato trust-policy.json. Aggiungere la seguente policy al file:

    {
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Principal": { "Service": "vmie.amazonaws.com" },
         "Action": "sts:AssumeRole",
         "Condition": {
            "StringEquals":{
               "sts:Externalid": "vmimport"
            }
         }
      }
   ]
}

  2. Utilizza il comando create-role per creare un ruolo denominato vmimport a cui Import/Export VM deve avere accesso. Verificare di aver specificato il percorso completo per l'ubicazione del file trust-policy.json creato nella fase precedente e di includere il prefisso file:// come mostrato nell'esempio seguente:

    aws iam create-role --role-name vmimport --assume-role-policy-document "file://C:\import\trust-policy.json"

  3. Crea un file denominato role-policy.json con la seguente politica, dove si amzn-s3-demo-import-bucket trova il bucket per le immagini del disco importate e amzn-s3-demo-export-bucket il bucket per le immagini del disco esportate:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket" 
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-import-bucket",
            "arn:aws:s3:::amzn-s3-demo-import-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketAcl"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-export-bucket",
            "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "ec2:ModifySnapshotAttribute",
            "ec2:CopySnapshot",
            "ec2:RegisterImage",
            "ec2:Describe*"
         ],
         "Resource": "*"
      }
   ]
}

  4. (Facoltativo) Per importare risorse crittografate utilizzando una AWS KMS chiave da AWS Key Management Service, aggiungete le seguenti autorizzazioni al file. role-policy.json

    {
  "Effect": "Allow",
  "Action": [
    "kms:CreateGrant",
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:GenerateDataKey*",
    "kms:ReEncrypt*"
  ],
  "Resource": "*"
}

    Se utilizzi una chiave KMS diversa da quella predefinita fornita da Amazon EBS, devi concedere l'autorizzazione Import/Export VM alla chiave KMS se abiliti la crittografia Amazon EBS per impostazione predefinita o abiliti la crittografia su un'operazione di importazione. Puoi specificare il nome della risorsa Amazon (ARN) della chiave KMS come risorsa anziché *.

  5. (Facoltativo) Per allegare configurazioni di licenze a una AMI, aggiungi le seguenti autorizzazioni License Manager al file role-policy.json.

    {
  "Effect": "Allow",
  "Action": [
    "license-manager:GetLicenseConfiguration",
    "license-manager:UpdateLicenseSpecificationsForResource",
    "license-manager:ListLicenseSpecificationsForResource"
  ],
  "Resource": "*"
}

  6. Utilizza il seguente comando put-role-policy per collegare la policy al ruolo creato in precedenza. Assicurarsi di specificare l'intero percorso della posizione del file role-policy.json.

    aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://C:\import\role-policy.json"

  7. Per ulteriori controlli di sicurezza, puoi aggiungere le chiavi contestuali aws:SourceAccount e aws:SourceArn alla politica di attendibilità per questo ruolo appena creato. Import/Export VM pubblicherà le chiavi SourceAccount e SourceArn come specificato nell'esempio seguente per assumere questo ruolo:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "vmie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:Externalid": "vmimport",
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:vmie:*:111122223333:*"
                }
            }
        }
    ]
}