Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autorizzazioni richieste per la macchina virtuale Import/Export
VM Import/Export richiede determinate autorizzazioni per utenti, gruppi e ruoli. Inoltre, è necessario un ruolo di servizio per eseguire determinate operazioni per conto tuo.
**Topics**
+ [Autorizzazioni richieste](#iam-permissions-image)
+ [Ruolo di servizio necessario](#vmimport-role)
## Autorizzazioni richieste
I tuoi utenti, gruppi e ruoli necessitano delle seguenti autorizzazioni nella loro policy IAM per utilizzare la VM: Import/Export
**Importante**
VM Import/Export verifica che l'utente disponga dell'`iam:PassRole`autorizzazione per il ruolo specificato nel `RoleName` parametro o per il `vmimport` ruolo predefinito se non è specificata alcuna. Assicurati che la tua policy IAM garantisca `iam:PassRole` il ruolo ARN che intendi utilizzare. Per ulteriori informazioni, consulta [Concedere a un utente le autorizzazioni per passare un ruolo a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella Guida per l'utente *IAM*.
**Nota**
Alcune azioni richiedono l'uso di un bucket Amazon Simple Storage Service (Amazon S3). Questa politica di esempio non concede l'autorizzazione per creare bucket S3. L'utente o il ruolo che utilizzi dovrà specificare un bucket esistente o disporre delle autorizzazioni per creare un nuovo bucket con l'azione. `s3:CreateBucket`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-import-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-import-bucket}}/*",
"arn:aws:s3:::{{amzn-s3-demo-export-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-export-bucket}}/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CancelConversionTask",
"ec2:CancelExportTask",
"ec2:CreateImage",
"ec2:CreateInstanceExportTask",
"ec2:CreateTags",
"ec2:DescribeConversionTasks",
"ec2:DescribeExportTasks",
"ec2:DescribeExportImageTasks",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:ExportImage",
"ec2:ImportInstance",
"ec2:ImportVolume",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:ImportImage",
"ec2:ImportSnapshot",
"ec2:DescribeImportImageTasks",
"ec2:DescribeImportSnapshotTasks",
"ec2:CancelImportTask"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/{{vmimport}}"
}
]
}
```
------
## Ruolo di servizio necessario
La VM Import/Export richiede un ruolo per eseguire determinate operazioni per conto dell'utente. È necessario creare un ruolo di servizio denominato `vmimport` con un documento di policy sulle relazioni di fiducia che Import/Export consenta a VM di assumere il ruolo e al ruolo è necessario allegare una policy IAM. Per ulteriori informazioni, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html) nella *Guida per l'utente di IAM*.
**Prerequisito**
È necessario abilitare AWS Security Token Service (AWS STS) in qualsiasi regione in cui si prevede di utilizzare la macchina virtuale Import/Export. Per ulteriori informazioni, vedere [Attivazione e disattivazione AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#sts-regions-activate-deactivate) in una regione. AWS
**Per creare il ruolo del servizio**
1. Sul tuo computer, crea un file denominato `trust-policy.json`. Aggiungere la seguente policy al file:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "vmie.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals":{
"sts:Externalid": "vmimport"
}
}
}
]
}
```
------
1. Usa il [https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)comando per creare un ruolo denominato `vmimport` e concedere l'accesso alla VM Import/Export ad esso. Verificare di aver specificato il percorso completo per l'ubicazione del file `trust-policy.json` creato nella fase precedente e di includere il prefisso `file://` come mostrato nell'esempio seguente:
```
aws iam create-role --role-name vmimport --assume-role-policy-document "file://{{C:\import\trust-policy.json}}"
```
1. Crea un file denominato `role-policy.json` con la seguente politica, dove si {{amzn-s3-demo-import-bucket}} trova il bucket per le immagini del disco importate e {{amzn-s3-demo-export-bucket}} il bucket per le immagini del disco esportate:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-import-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-import-bucket}}/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-export-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-export-bucket}}/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute",
"ec2:CopySnapshot",
"ec2:RegisterImage",
"ec2:Describe*"
],
"Resource": "*"
}
]
}
```
------
1. (Facoltativo) Per importare risorse crittografate utilizzando una AWS KMS chiave da AWS Key Management Service, aggiungete le seguenti autorizzazioni al file. `role-policy.json`
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Resource": "*"
}
```
Se utilizzi una chiave KMS diversa da quella predefinita fornita da Amazon EBS, devi concedere l' Import/Export autorizzazione VM alla chiave KMS se abiliti la crittografia Amazon EBS per impostazione predefinita o abiliti la crittografia in un'operazione di importazione. Puoi specificare il nome della risorsa Amazon (ARN) della chiave KMS come risorsa anziché \*.
1. (Facoltativo) Per allegare configurazioni di licenze a una AMI, aggiungi le seguenti autorizzazioni License Manager al file `role-policy.json`.
```
{
"Effect": "Allow",
"Action": [
"license-manager:GetLicenseConfiguration",
"license-manager:UpdateLicenseSpecificationsForResource",
"license-manager:ListLicenseSpecificationsForResource"
],
"Resource": "*"
}
```
1. Utilizza il seguente comando [https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html) per collegare la policy al ruolo creato in precedenza. Assicurarsi di specificare l'intero percorso della posizione del file `role-policy.json`.
```
aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://{{C:\import\role-policy.json}}"
```
1. Per ulteriori controlli di sicurezza, puoi aggiungere le chiavi contestuali `aws:SourceAccount` e `aws:SourceArn` alla politica di attendibilità per questo ruolo appena creato. VM Import/Export pubblicherà le `SourceArn` chiavi `SourceAccount` and come specificato nell'esempio seguente per assumere questo ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vmie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:Externalid": "vmimport",
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:vmie:*:{{111122223333}}:*"
}
}
}
]
}
```
------