本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
VM Import/Export 必要許可
VM Import/Export 需要使用者、群組和角色的特定許可。此外,需要服務角色才能代表您執行特定作業。
所需的許可
您的使用者、群組和角色在其IAM政策中需要下列許可,才能使用 VM Import/Export:
注意
有些動作需要使用 Amazon Simple Storage Service (Amazon S3) 儲存貯體。此範例政策不會授予建立 S3 儲存貯體的許可。您使用的使用者或角色需要指定現有的儲存貯體,或具有使用 s3:CreateBucket
動作建立新儲存貯體的許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::
amzn-s3-demo-import-bucket
", "arn:aws:s3:::amzn-s3-demo-import-bucket
/*", "arn:aws:s3:::amzn-s3-demo-export-bucket
", "arn:aws:s3:::amzn-s3-demo-export-bucket
/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CancelConversionTask", "ec2:CancelExportTask", "ec2:CreateImage", "ec2:CreateInstanceExportTask", "ec2:CreateTags", "ec2:DescribeConversionTasks", "ec2:DescribeExportTasks", "ec2:DescribeExportImageTasks", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:ExportImage", "ec2:ImportInstance", "ec2:ImportVolume", "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:ImportImage", "ec2:ImportSnapshot", "ec2:DescribeImportImageTasks", "ec2:DescribeImportSnapshotTasks", "ec2:CancelImportTask" ], "Resource": "*" } ] }
必要的服務角色
VM Import/Export 需要代表您執行特定操作的角色。您必須建立名為 的服務角色,vmimport
其中包含允許 VM Import/Export 擔任該角色的信任關係政策文件,而且必須將IAM政策連接至該角色。如需詳細資訊,請參閱 IAM 使用者指南 中的IAM角色。
先決條件
您必須在您計劃使用 VM Import/Export 的任何區域中啟用 AWS Security Token Service (AWS STS)。如需詳細資訊,請參閱在 AWS 區域 AWS STS 中啟用和停用。
建立服務角色
-
在您的電腦上建立名為
trust-policy.json
的檔案。將下列政策新增至檔案:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vmie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals":{ "sts:Externalid": "vmimport" } } } ] }
-
使用 create-role 命令來建立名為 的角色,
vmimport
並授予 VM Import/Export 對其的存取權。請確定您已針對在上個步驟中建立的trust-policy.json
檔案指定完整的位置路徑,且您已如以下範例所示,在路徑中加入file://
字首:aws iam create-role --role-name vmimport --assume-role-policy-document "file://
C:\import\trust-policy.json
" -
使用
role-policy.json
下列政策建立名為 的檔案,其中amzn-s3-demo-import-bucket
是匯入磁碟映像的儲存貯體,以及amzn-s3-demo-export-bucket
是匯出磁碟映像的儲存貯體:{ "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
amzn-s3-demo-import-bucket
", "arn:aws:s3:::amzn-s3-demo-import-bucket
/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketAcl" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-export-bucket
", "arn:aws:s3:::amzn-s3-demo-export-bucket
/*" ] }, { "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute", "ec2:CopySnapshot", "ec2:RegisterImage", "ec2:Describe*" ], "Resource": "*" } ] } -
(選用) 若要從 使用 AWS KMS 金鑰匯入加密的資源 AWS Key Management Service,請將下列許可新增至
role-policy.json
檔案。{ "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" }
如果您使用非 Amazon 提供的預設KMS金鑰EBS,且預設啟用 Amazon EBS加密或在匯入操作上啟用加密,則必須將 VM Import/Export 許可授予KMS金鑰。您可以指定KMS金鑰的 Amazon Resource Name (ARN) 作為資源,而不是 *。
-
(選用) 若要將授權組態連接至 AMI,請將下列 License Manager 許可新增至
role-policy.json
檔案。{ "Effect": "Allow", "Action": [ "license-manager:GetLicenseConfiguration", "license-manager:UpdateLicenseSpecificationsForResource", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }
-
使用下列 put-role-policy 命令,將政策連接至上述建立的角色。確認您已指定
role-policy.json
檔案的完整位置路徑。aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://
C:\import\role-policy.json
" -
對於其他安全控制項,可以將內容金鑰 (例如
aws:SourceAccount
和aws:SourceArn
) 新增至此新建立角色的信任政策。VM Import/Export 將依照下列範例中指定的方式發佈SourceAccount
和SourceArn
金鑰,以承擔此角色:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vmie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:Externalid": "vmimport", "aws:SourceAccount": "
111122223333
" }, "ArnLike": { "aws:SourceArn": "arn:aws:vmie:*:111122223333
:*" } } } ] }