Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos necesarios para VM Import/Export
VM Import/Export necesita ciertos permisos para sus usuarios, grupos y roles. Además, es necesario un rol de servicio para llevar a cabo determinadas operaciones en su nombre.
Permisos necesarios
Sus usuarios, grupos y roles necesitan los siguientes permisos en su política de IAM para usar VM Import/Export:
nota
Para algunas acciones es necesario utilizar un bucket de Amazon Simple Storage Service (Amazon S3). Esta política de ejemplo no concede permiso para crear buckets de S3. El usuario o rol que utilice deberá especificar un bucket existente, o tener permisos para crear un nuevo bucket con la acción s3:CreateBucket.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-import-bucket", "arn:aws:s3:::amzn-s3-demo-import-bucket/*", "arn:aws:s3:::amzn-s3-demo-export-bucket", "arn:aws:s3:::amzn-s3-demo-export-bucket/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CancelConversionTask", "ec2:CancelExportTask", "ec2:CreateImage", "ec2:CreateInstanceExportTask", "ec2:CreateTags", "ec2:DescribeConversionTasks", "ec2:DescribeExportTasks", "ec2:DescribeExportImageTasks", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:ExportImage", "ec2:ImportInstance", "ec2:ImportVolume", "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:ImportImage", "ec2:ImportSnapshot", "ec2:DescribeImportImageTasks", "ec2:DescribeImportSnapshotTasks", "ec2:CancelImportTask" ], "Resource": "*" } ] }
Rol de servicio requerido
VM Import/Export requiere un rol para realizar determinadas operaciones en su nombre. Debe crear un rol de servicio denominado vmimport con un documento de política de relación de confianza que permita a VM Import/Export asumir el rol y debe adjuntar una política de IAM al rol. Para obtener más información, consulte Roles de IAM en la Guía del usuario de IAM.
Requisito previo
Debe habilitar AWS Security Token Service (AWS STS) en cualquier región en la que vaya a utilizar VM Import/Export. Para obtener más información, consulte Activación y desactivación AWS STS en una región. AWS
Para crear el rol de servicio
-
Cree un archivo denominado
trust-policy.jsonen su equipo. Añada la siguiente política al archivo:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vmie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals":{ "sts:Externalid": "vmimport" } } } ] } -
Utilizar create-rolecomando para crear un rol denominado
vmimporty conceder acceso a VM Import/Export al mismo. Asegúrese de especificar la ruta completa a la ubicación del archivotrust-policy.jsonque creó en el paso anterior y que incluye el prefijofile://tal como se muestra en el ejemplo siguiente:aws iam create-role --role-name vmimport --assume-role-policy-document "file://C:\import\trust-policy.json" -
Cree un archivo
role-policy.jsoncon el nombre siguiente, dondeamzn-s3-demo-import-bucketesté el depósito para las imágenes de disco importadas yamzn-s3-demo-export-bucketel depósito para las imágenes de disco exportadas:{ "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-import-bucket", "arn:aws:s3:::amzn-s3-demo-import-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketAcl" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-export-bucket", "arn:aws:s3:::amzn-s3-demo-export-bucket/*" ] }, { "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute", "ec2:CopySnapshot", "ec2:RegisterImage", "ec2:Describe*" ], "Resource": "*" } ] } -
(Opcional) Para importar recursos cifrados con una AWS KMS clave desde AWS Key Management Service, añada los siguientes permisos al
role-policy.jsonarchivo.{ "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" }Si usa una clave KMS distinta a la proporcionada por Amazon EBS de forma predeterminada, debe conceder permiso de clave KMS a VM Import/Export si habilita el cifrado de Amazon EBS de forma predeterminada o si habilita el cifrado en una operación de importación. Puede especificar el nombre de recurso de Amazon (ARN) de la clave KMS como recurso en lugar de *.
-
(Opcional) Para asociar configuraciones de licencia a una AMI, añada los siguientes permisos de License Manager al archivo
role-policy.json.{ "Effect": "Allow", "Action": [ "license-manager:GetLicenseConfiguration", "license-manager:UpdateLicenseSpecificationsForResource", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" } -
Utilice lo siguiente put-role-policycomando para adjuntar la política al rol creado anteriormente. Asegúrese de que especifica la ruta completa de la ubicación del archivo
role-policy.json.aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://C:\import\role-policy.json" -
Para implantar controles de seguridad adicionales, es posible añadir claves de contexto, como
aws:SourceAccountyaws:SourceArn, a la política de confianza de este rol recién creado. VM Import/Export publicará las clavesSourceAccountySourceArn, tal como se muestra en el siguiente ejemplo, para asumir este rol:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vmie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:Externalid": "vmimport", "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:vmie:*:111122223333:*" } } } ] }
