Erforderliche Berechtigungen für VM Import/Export - VM Import/Export
Erforderliche BerechtigungenErforderliche Servicerolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche Berechtigungen für VM Import/Export

VM Import/Export erfordert bestimmte Berechtigungen für Ihre Benutzer, Gruppen und Rollen. Darüber hinaus ist eine Servicerolle erforderlich, um bestimmte Vorgänge in Ihrem Namen auszuführen.

Erforderliche Berechtigungen

Ihre Benutzer, Gruppen und Rollen benötigen die folgenden Berechtigungen in ihrer IAM Richtlinie, um VM Import/Export verwenden zu können:

Anmerkung

Für einige Aktionen ist die Verwendung eines Amazon Simple Storage Service (Amazon S3) -Buckets erforderlich. Diese Beispielrichtlinie gewährt keine Erlaubnis zum Erstellen von S3-Buckets. Der Benutzer oder die Rolle, die Sie verwenden, muss einen vorhandenen Bucket angeben oder über die Berechtigungen verfügen, um mit der s3:CreateBucket Aktion einen neuen Bucket zu erstellen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-import-bucket",
        "arn:aws:s3:::amzn-s3-demo-import-bucket/*",
        "arn:aws:s3:::amzn-s3-demo-export-bucket",
        "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CancelConversionTask",
        "ec2:CancelExportTask",
        "ec2:CreateImage",
        "ec2:CreateInstanceExportTask",
        "ec2:CreateTags",
        "ec2:DescribeConversionTasks",
        "ec2:DescribeExportTasks",
        "ec2:DescribeExportImageTasks",
        "ec2:DescribeImages",
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:ExportImage",
        "ec2:ImportInstance",
        "ec2:ImportVolume",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances",
        "ec2:ImportImage",
        "ec2:ImportSnapshot",
        "ec2:DescribeImportImageTasks",
        "ec2:DescribeImportSnapshotTasks",
        "ec2:CancelImportTask"
      ],
      "Resource": "*"
    }
  ]
}

Erforderliche Servicerolle

VM Import/Export erfordert eine Rolle, um in Ihrem Namen bestimmte Operationen durchzuführen. Sie müssen eine Servicerolle erstellen, die vmimport mit einem Dokument mit einer Vertrauensstellungsrichtlinie benannt ist, das es VM Import/Export ermöglicht, die Rolle zu übernehmen, und Sie müssen der Rolle eine IAM Richtlinie anhängen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRollen.

Voraussetzung

Sie müssen aktivieren AWS Security Token Service (AWS STS) in jeder Region, in der Sie VM Import/Export verwenden möchten. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren AWS STS in einem AWS Region.

So erstellen Sie die Servicerolle

  1. Erstellen Sie auf Ihrem Computer eine Datei mit dem Namen trust-policy.json. Fügen Sie der Datei die folgende Richtlinie hinzu:

    {
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Principal": { "Service": "vmie.amazonaws.com" },
         "Action": "sts:AssumeRole",
         "Condition": {
            "StringEquals":{
               "sts:Externalid": "vmimport"
            }
         }
      }
   ]
}

  2. Verwenden der create-roleBefehl, um eine Rolle mit dem Namen zu erstellen vmimport und VM Import/Export Zugriff darauf zu gewähren. Geben Sie unbedingt den vollständigen Pfad zum Speicherort der trust-policy.json-Datei an, die Sie im vorherigen Schritt erstellt haben. Und fügen Sie das Präfix file:// hinzu, wie im folgenden Beispiel gezeigt:

    aws iam create-role --role-name vmimport --assume-role-policy-document "file://C:\import\trust-policy.json"

  3. Erstellen Sie eine Datei role-policy.json mit dem Namen der folgenden Richtlinie, wobei amzn-s3-demo-import-bucket ist der Bucket für importierte Disk-Images und amzn-s3-demo-export-bucket ist der Bucket für exportierte Disk-Images:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket" 
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-import-bucket",
            "arn:aws:s3:::amzn-s3-demo-import-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketAcl"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-export-bucket",
            "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "ec2:ModifySnapshotAttribute",
            "ec2:CopySnapshot",
            "ec2:RegisterImage",
            "ec2:Describe*"
         ],
         "Resource": "*"
      }
   ]
}

  4. (Optional) Um Ressourcen zu importieren, die mit einem verschlüsselt wurden AWS KMS Schlüssel von AWS Key Management Service, fügen Sie der role-policy.json Datei die folgenden Berechtigungen hinzu.

    {
  "Effect": "Allow",
  "Action": [
    "kms:CreateGrant",
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:GenerateDataKey*",
    "kms:ReEncrypt*"
  ],
  "Resource": "*"
}

    Wenn Sie einen anderen als den von Amazon bereitgestellten KMS Standardschlüssel verwendenEBS, müssen Sie dem KMS Schlüssel die VM-Import-/Exportberechtigung erteilen, wenn Sie die EBS Amazon-Verschlüsselung standardmäßig aktivieren oder die Verschlüsselung bei einem Importvorgang aktivieren. Sie können anstelle von * den Amazon-Ressourcennamen (ARN) des KMS Schlüssels als Ressource angeben.

  5. (Optional) Um Lizenzkonfigurationen an eine anzuhängenAMI, fügen Sie der role-policy.json Datei die folgenden License Manager Manager-Berechtigungen hinzu.

    {
  "Effect": "Allow",
  "Action": [
    "license-manager:GetLicenseConfiguration",
    "license-manager:UpdateLicenseSpecificationsForResource",
    "license-manager:ListLicenseSpecificationsForResource"
  ],
  "Resource": "*"
}

  6. Verwenden Sie Folgendes put-role-policyBefehl, um die Richtlinie an die oben erstellte Rolle anzuhängen. Stellen Sie sicher, dass Sie den vollständigen Pfad zum Speicherort der Datei role-policy.json angeben.

    aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://C:\import\role-policy.json"

  7. Für zusätzliche Sicherheitskontrollen können Kontextschlüssel wie aws:SourceAccount und aws:SourceArn zur Vertrauensrichtlinie für diese neu erstellte Rolle hinzugefügt werden. VM Import/Export veröffentlicht die Schlüssel SourceAccount und SourceArn, wie im Beispiel unten angegeben, um diese Rolle zu übernehmen:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "vmie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:Externalid": "vmimport",
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:vmie:*:111122223333:*"
                }
            }
        }
    ]
}