View a markdown version of this page

Autorizzazioni richieste per la macchina virtuale Import/Export - VM Import/Export
Autorizzazioni richiesteRuolo di servizio necessario

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni richieste per la macchina virtuale Import/Export

VM Import/Export richiede determinate autorizzazioni per utenti, gruppi e ruoli. Inoltre, è necessario un ruolo di servizio per eseguire determinate operazioni per conto tuo.

Autorizzazioni richieste

I tuoi utenti, gruppi e ruoli necessitano delle seguenti autorizzazioni nella loro policy IAM per utilizzare la VM: Import/Export

Importante

VM Import/Export verifica che l'utente disponga dell'iam:PassRoleautorizzazione per il ruolo specificato nel RoleName parametro o per il vmimport ruolo predefinito se non è specificata alcuna. Assicurati che la tua policy IAM garantisca iam:PassRole il ruolo ARN che intendi utilizzare. Per ulteriori informazioni, consulta Concedere a un utente le autorizzazioni per passare un ruolo a un AWS servizio nella Guida per l'utente IAM.

Nota

Alcune azioni richiedono l'uso di un bucket Amazon Simple Storage Service (Amazon S3). Questa politica di esempio non concede l'autorizzazione per creare bucket S3. L'utente o il ruolo che utilizzi dovrà specificare un bucket esistente o disporre delle autorizzazioni per creare un nuovo bucket con l'azione. s3:CreateBucket

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-import-bucket",
        "arn:aws:s3:::amzn-s3-demo-import-bucket/*",
        "arn:aws:s3:::amzn-s3-demo-export-bucket",
        "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CancelConversionTask",
        "ec2:CancelExportTask",
        "ec2:CreateImage",
        "ec2:CreateInstanceExportTask",
        "ec2:CreateTags",
        "ec2:DescribeConversionTasks",
        "ec2:DescribeExportTasks",
        "ec2:DescribeExportImageTasks",
        "ec2:DescribeImages",
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:ExportImage",
        "ec2:ImportInstance",
        "ec2:ImportVolume",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:TerminateInstances",
        "ec2:ImportImage",
        "ec2:ImportSnapshot",
        "ec2:DescribeImportImageTasks",
        "ec2:DescribeImportSnapshotTasks",
        "ec2:CancelImportTask"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::111122223333:role/vmimport"
    }
  ]
}

Ruolo di servizio necessario

La VM Import/Export richiede un ruolo per eseguire determinate operazioni per conto dell'utente. È necessario creare un ruolo di servizio denominato vmimport con un documento di policy sulle relazioni di fiducia che Import/Export consenta a VM di assumere il ruolo e al ruolo è necessario allegare una policy IAM. Per ulteriori informazioni, consulta Ruoli IAM nella Guida per l'utente di IAM.

Prerequisito

È necessario abilitare AWS Security Token Service (AWS STS) in qualsiasi regione in cui si prevede di utilizzare la macchina virtuale Import/Export. Per ulteriori informazioni, vedere Attivazione e disattivazione AWS STS in una regione. AWS

Per creare il ruolo del servizio

  1. Sul tuo computer, crea un file denominato trust-policy.json. Aggiungere la seguente policy al file:

    JSON
    {
   "Version":"2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Principal": { "Service": "vmie.amazonaws.com" },
         "Action": "sts:AssumeRole",
         "Condition": {
            "StringEquals":{
               "sts:Externalid": "vmimport"
            }
         }
      }
   ]
}

  2. Usa il create-rolecomando per creare un ruolo denominato vmimport e concedere l'accesso alla VM Import/Export ad esso. Verificare di aver specificato il percorso completo per l'ubicazione del file trust-policy.json creato nella fase precedente e di includere il prefisso file:// come mostrato nell'esempio seguente:

    aws iam create-role --role-name vmimport --assume-role-policy-document "file://C:\import\trust-policy.json"

  3. Crea un file denominato role-policy.json con la seguente politica, dove si amzn-s3-demo-import-bucket trova il bucket per le immagini del disco importate e amzn-s3-demo-export-bucket il bucket per le immagini del disco esportate:

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket" 
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-import-bucket",
            "arn:aws:s3:::amzn-s3-demo-import-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetBucketLocation",
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketAcl"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-export-bucket",
            "arn:aws:s3:::amzn-s3-demo-export-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "ec2:ModifySnapshotAttribute",
            "ec2:CopySnapshot",
            "ec2:RegisterImage",
            "ec2:Describe*"
         ],
         "Resource": "*"
      }
   ]
}

  4. (Facoltativo) Per importare risorse crittografate utilizzando una AWS KMS chiave da AWS Key Management Service, aggiungete le seguenti autorizzazioni al file. role-policy.json

    {
  "Effect": "Allow",
  "Action": [
    "kms:CreateGrant",
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:GenerateDataKey*",
    "kms:ReEncrypt*"
  ],
  "Resource": "*"
}

    Se utilizzi una chiave KMS diversa da quella predefinita fornita da Amazon EBS, devi concedere l' Import/Export autorizzazione VM alla chiave KMS se abiliti la crittografia Amazon EBS per impostazione predefinita o abiliti la crittografia in un'operazione di importazione. Puoi specificare il nome della risorsa Amazon (ARN) della chiave KMS come risorsa anziché *.

  5. (Facoltativo) Per allegare configurazioni di licenze a una AMI, aggiungi le seguenti autorizzazioni License Manager al file role-policy.json.

    {
  "Effect": "Allow",
  "Action": [
    "license-manager:GetLicenseConfiguration",
    "license-manager:UpdateLicenseSpecificationsForResource",
    "license-manager:ListLicenseSpecificationsForResource"
  ],
  "Resource": "*"
}

  6. Utilizza il seguente comando put-role-policy per collegare la policy al ruolo creato in precedenza. Assicurarsi di specificare l'intero percorso della posizione del file role-policy.json.

    aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://C:\import\role-policy.json"

  7. Per ulteriori controlli di sicurezza, puoi aggiungere le chiavi contestuali aws:SourceAccount e aws:SourceArn alla politica di attendibilità per questo ruolo appena creato. VM Import/Export pubblicherà le SourceArn chiavi SourceAccount and come specificato nell'esempio seguente per assumere questo ruolo:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "vmie.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:Externalid": "vmimport",
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:vmie:*:111122223333:*"
                }
            }
        }
    ]
}