VM Import/Export所需的权限 - VM Import/Export

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VM Import/Export所需的权限

VM Import /导出需要您的用户、组和角色具有某些权限。此外,需要服务角色才能代表您执行某些操作。

所需的权限

您的用户、群组和角色需要在其 IAM 策略中具有以下权限才能使用 VM Import /导出:

注意

某些操作需要使用 Amazon S3 存储桶。此示例策略不授予创建 Amazon S3 存储桶的权限。用户或角色需要指定现有存储桶,或者拥有创建新存储桶的权限 ( s3:CreateBucket)。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject" ], "Resource": ["arn:aws:s3:::mys3bucket","arn:aws:s3:::mys3bucket/*"] }, { "Effect": "Allow", "Action": [ "ec2:CancelConversionTask", "ec2:CancelExportTask", "ec2:CreateImage", "ec2:CreateInstanceExportTask", "ec2:CreateTags", "ec2:DescribeConversionTasks", "ec2:DescribeExportTasks", "ec2:DescribeExportImageTasks", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:ExportImage", "ec2:ImportInstance", "ec2:ImportVolume", "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:ImportImage", "ec2:ImportSnapshot", "ec2:DescribeImportImageTasks", "ec2:DescribeImportSnapshotTasks", "ec2:CancelImportTask" ], "Resource": "*" } ] }

必需的服务角色

VM Import /导出需要一个角色来代表你执行某些操作。您必须vmimport使用允许 VM Import/Export 代入该角色的信任关系策略文档创建名为的服务角色,并且必须向该角色附加 IAM 策略。有关更多信息,请参阅《IAM 用户指南》中的 IAM 角色

先决条件

您必须在计划使用 VM Import /导出的任何区域启用AWS Security Token Service (AWS STS)。有关更多信息,请参阅在 AWS 区域中激活和停用 AWS STS

若要创建服务角色
  1. 在您的计算机上创建一个名为 trust-policy.json 的文件。将以下策略添加到该文件中:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vmie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals":{ "sts:Externalid": "vmimport" } } } ] }
  2. 使用create-role命令创建名为的角色vmimport并向其授予VM Import /导出访问权限。确保您已指定在上一步中创建的 trust-policy.json 文件的位置的完整路径,并包含 file:// 前缀,如下例所示:

    aws iam create-role --role-name vmimport --assume-role-policy-document "file://C:\import\trust-policy.json"
  3. 使用以下策略创建一个名为role-policy.json的文件,其中存储磁盘映像的存储桶,disk-image-file-buckete xport-bucket 是用于存放导出图像的存储桶:

    { "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::disk-image-file-bucket", "arn:aws:s3:::disk-image-file-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketAcl" ], "Resource": [ "arn:aws:s3:::export-bucket", "arn:aws:s3:::export-bucket/*" ] }, { "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute", "ec2:CopySnapshot", "ec2:RegisterImage", "ec2:Describe*" ], "Resource": "*" } ] }
  4. (可选)要导入使用来自的AWS KMS密钥加密的资源AWS Key Management Service,请向role-policy.json文件添加以下权限。

    { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" }

    如果您使用 Amazon EBS 提供的默认密钥以外的 KMS 密钥,则如果您默认启用 Amazon EBS 加密或在导入操作中启用加密,则必须授予 KMS 密钥的VM Import /导出权限。您可将 KMS 密钥的 Amazon Resource Name (ARN) 指定为资源而不是*。

  5. (可选)要将许可证配置附加到 AMI,请向role-policy.json文件添加以下License Manager 权限。

    { "Effect": "Allow", "Action": [ "license-manager:GetLicenseConfiguration", "license-manager:UpdateLicenseSpecificationsForResource", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }
  6. 使用以下put-role-policy命令将策略附加到上面创建的角色。请务必指定 role-policy.json 文件位置的完整路径。

    aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://C:\import\role-policy.json"
  7. 要进行其他安全控制,aws:SourceArn可以将aws:SourceAccount和等上下文密钥添加到此新创建角色的信任策略中。VM Import/Export 将发布以下示例中指定的SourceAccountSourceArn密钥以担任此角色:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vmie.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:Externalid": "vmimport", "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:vmie:*:111122223333:*" } } } ] }