Izin yang diperlukan untuk Impor/Ekspor VM - VM Import/Export
Izin yang diperlukanPeran layanan yang diperlukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin yang diperlukan untuk Impor/Ekspor VM

Impor/Ekspor VM memerlukan izin tertentu untuk pengguna, grup, dan peran Anda. Selain itu, peran layanan diperlukan untuk melakukan operasi tertentu atas nama Anda.

Izin yang diperlukan

Pengguna, grup, dan peran Anda memerlukan izin berikut dalam IAM kebijakan mereka untuk menggunakan Impor/Ekspor VM:

catatan

Beberapa tindakan memerlukan penggunaan bucket Amazon Simple Storage Service (Amazon S3). Kebijakan contoh ini tidak memberikan izin untuk membuat bucket S3. Pengguna atau peran yang Anda gunakan harus menentukan bucket yang sudah ada, atau memiliki izin untuk membuat bucket baru dengan s3:CreateBucket tindakan tersebut.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-import-bucket",
        "arn:aws:s3:::amzn-s3-demo-import-bucket/*",
        "arn:aws:s3:::amzn-s3-demo-export-bucket",
        "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CancelConversionTask",
        "ec2:CancelExportTask",
        "ec2:CreateImage",
        "ec2:CreateInstanceExportTask",
        "ec2:CreateTags",
        "ec2:DescribeConversionTasks",
        "ec2:DescribeExportTasks",
        "ec2:DescribeExportImageTasks",
        "ec2:DescribeImages",
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:ExportImage",
        "ec2:ImportInstance",
        "ec2:ImportVolume",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances",
        "ec2:ImportImage",
        "ec2:ImportSnapshot",
        "ec2:DescribeImportImageTasks",
        "ec2:DescribeImportSnapshotTasks",
        "ec2:CancelImportTask"
      ],
      "Resource": "*"
    }
  ]
}

Peran layanan yang diperlukan

VM Import/Export memerlukan peran untuk melakukan operasi tertentu atas nama Anda. Anda harus membuat peran layanan bernama vmimport dengan dokumen kebijakan hubungan kepercayaan yang memungkinkan Impor/Ekspor VM untuk mengambil peran tersebut, dan Anda harus melampirkan IAM kebijakan ke peran tersebut. Untuk informasi selengkapnya, lihat IAMPeran di Panduan IAM Pengguna.

Prasyarat

Anda harus mengaktifkan AWS Security Token Service (AWS STS) di Wilayah mana pun di mana Anda berencana untuk menggunakan Impor/Ekspor VM. Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan AWS STS di Wilayah. AWS

Untuk membuat peran layanan

  1. Buat file bernama trust-policy.json di komputer Anda. Tambahkan kebijakan berikut ke file:

    {
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Principal": { "Service": "vmie.amazonaws.com" },
         "Action": "sts:AssumeRole",
         "Condition": {
            "StringEquals":{
               "sts:Externalid": "vmimport"
            }
         }
      }
   ]
}

  2. Gunakan create-roleperintah untuk membuat peran bernama vmimport dan memberikan akses Impor/Ekspor VM ke sana. Pastikan Anda menentukan jalur lengkap ke lokasi file trust-policy.json yang Anda buat di langkah sebelumnya, dan Anda menyertakan awalan file:// seperti yang diperlihatkan contoh berikut:

    aws iam create-role --role-name vmimport --assume-role-policy-document "file://C:\import\trust-policy.json"

  3. Buat file bernama role-policy.json dengan kebijakan berikut, di mana amzn-s3-demo-import-bucket adalah ember untuk gambar disk yang diimpor dan amzn-s3-demo-export-bucket adalah ember untuk gambar disk yang diekspor:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket" 
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-import-bucket",
            "arn:aws:s3:::amzn-s3-demo-import-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketAcl"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-export-bucket",
            "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "ec2:ModifySnapshotAttribute",
            "ec2:CopySnapshot",
            "ec2:RegisterImage",
            "ec2:Describe*"
         ],
         "Resource": "*"
      }
   ]
}

  4. (Opsional) Untuk mengimpor sumber daya yang dienkripsi menggunakan AWS KMS kunci dari AWS Key Management Service, tambahkan izin berikut ke file. role-policy.json

    {
  "Effect": "Allow",
  "Action": [
    "kms:CreateGrant",
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:GenerateDataKey*",
    "kms:ReEncrypt*"
  ],
  "Resource": "*"
}

    Jika Anda menggunakan KMS kunci selain default yang disediakan oleh AmazonEBS, Anda harus memberikan izin Impor/Ekspor VM ke KMS kunci jika Anda mengaktifkan EBS enkripsi Amazon secara default atau mengaktifkan enkripsi pada operasi impor. Anda dapat menentukan Amazon Resource Name (ARN) KMS kunci sebagai sumber daya, bukan *.

  5. (Opsional) Untuk melampirkan konfigurasi lisensi keAMI, tambahkan izin License Manager berikut ke file. role-policy.json

    {
  "Effect": "Allow",
  "Action": [
    "license-manager:GetLicenseConfiguration",
    "license-manager:UpdateLicenseSpecificationsForResource",
    "license-manager:ListLicenseSpecificationsForResource"
  ],
  "Resource": "*"
}

  6. Gunakan yang berikut put-role-policyperintah untuk melampirkan kebijakan ke peran yang dibuat di atas. Pastikan bahwa Anda menentukan jalur lengkap ke lokasi file role-policy.json.

    aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://C:\import\role-policy.json"

  7. Untuk kontrol keamanan tambahan, kunci konteks seperti aws:SourceAccount dan aws:SourceArn dapat ditambahkan ke kebijakan kepercayaan untuk peran yang baru dibuat ini. VM Impor/Ekspor akan mempublikasikan SourceArn kunci SourceAccount dan seperti yang ditentukan dalam contoh di bawah ini untuk mengambil peran ini:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "vmie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:Externalid": "vmimport",
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:vmie:*:111122223333:*"
                }
            }
        }
    ]
}