VM Import/Export 必要許可 - VM Import/Export

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VM Import/Export 必要許可

VM Import/Export 需要使用者、群組和角色的特定許可。此外,需要服務角色才能代表您執行特定作業。

所需的許可

您的使用者、群組和角色在其IAM政策中需要下列許可,才能使用 VM Import/Export:

注意

有些動作需要使用 Amazon Simple Storage Service (Amazon S3) 儲存貯體。此範例政策不會授予建立 S3 儲存貯體的許可。您使用的使用者或角色需要指定現有的儲存貯體,或具有使用 s3:CreateBucket動作建立新儲存貯體的許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-import-bucket", "arn:aws:s3:::amzn-s3-demo-import-bucket/*", "arn:aws:s3:::amzn-s3-demo-export-bucket", "arn:aws:s3:::amzn-s3-demo-export-bucket/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CancelConversionTask", "ec2:CancelExportTask", "ec2:CreateImage", "ec2:CreateInstanceExportTask", "ec2:CreateTags", "ec2:DescribeConversionTasks", "ec2:DescribeExportTasks", "ec2:DescribeExportImageTasks", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:ExportImage", "ec2:ImportInstance", "ec2:ImportVolume", "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:ImportImage", "ec2:ImportSnapshot", "ec2:DescribeImportImageTasks", "ec2:DescribeImportSnapshotTasks", "ec2:CancelImportTask" ], "Resource": "*" } ] }

必要的服務角色

VM Import/Export 需要代表您執行特定操作的角色。您必須建立名為 的服務角色,vmimport其中包含允許 VM Import/Export 擔任該角色的信任關係政策文件,而且必須將IAM政策連接至該角色。如需詳細資訊,請參閱 IAM 使用者指南 中的IAM角色

先決條件

您必須在您計劃使用 VM Import/Export 的任何區域中啟用 AWS Security Token Service (AWS STS)。如需詳細資訊,請參閱在 AWS 區域 AWS STS 中啟用和停用

建立服務角色
  1. 在您的電腦上建立名為 trust-policy.json 的檔案。將下列政策新增至檔案:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vmie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals":{ "sts:Externalid": "vmimport" } } } ] }
  2. 使用 create-role 命令來建立名為 的角色,vmimport並授予 VM Import/Export 對其的存取權。請確定您已針對在上個步驟中建立的 trust-policy.json 檔案指定完整的位置路徑,且您已如以下範例所示,在路徑中加入 file:// 字首:

    aws iam create-role --role-name vmimport --assume-role-policy-document "file://C:\import\trust-policy.json"
  3. 使用role-policy.json下列政策建立名為 的檔案,其中 amzn-s3-demo-import-bucket 是匯入磁碟映像的儲存貯體,以及 amzn-s3-demo-export-bucket 是匯出磁碟映像的儲存貯體:

    { "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-import-bucket", "arn:aws:s3:::amzn-s3-demo-import-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketAcl" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-export-bucket", "arn:aws:s3:::amzn-s3-demo-export-bucket/*" ] }, { "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute", "ec2:CopySnapshot", "ec2:RegisterImage", "ec2:Describe*" ], "Resource": "*" } ] }
  4. (選用) 若要從 使用 AWS KMS 金鑰匯入加密的資源 AWS Key Management Service,請將下列許可新增至 role-policy.json 檔案。

    { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" }

    如果您使用非 Amazon 提供的預設KMS金鑰EBS,且預設啟用 Amazon EBS加密或在匯入操作上啟用加密,則必須將 VM Import/Export 許可授予KMS金鑰。您可以指定KMS金鑰的 Amazon Resource Name (ARN) 作為資源,而不是 *。

  5. (選用) 若要將授權組態連接至 AMI,請將下列 License Manager 許可新增至 role-policy.json 檔案。

    { "Effect": "Allow", "Action": [ "license-manager:GetLicenseConfiguration", "license-manager:UpdateLicenseSpecificationsForResource", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }
  6. 使用下列 put-role-policy 命令,將政策連接至上述建立的角色。確認您已指定 role-policy.json 檔案的完整位置路徑。

    aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://C:\import\role-policy.json"
  7. 對於其他安全控制項,可以將內容金鑰 (例如 aws:SourceAccountaws:SourceArn) 新增至此新建立角色的信任政策。VM Import/Export 將依照下列範例中指定的方式發佈 SourceAccountSourceArn 金鑰,以承擔此角色:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vmie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:Externalid": "vmimport", "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:vmie:*:111122223333:*" } } } ] }