Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erforderliche Berechtigungen für VM Import/Export
VM Import/Export benötigt bestimmte Berechtigungen für Ihre Benutzer, Gruppen und Rollen. Darüber hinaus ist eine Servicerolle erforderlich, um bestimmte Vorgänge in Ihrem Namen auszuführen.
**Topics**
+ [Erforderliche Berechtigungen](#iam-permissions-image)
+ [Erforderliche Servicerolle](#vmimport-role)
## Erforderliche Berechtigungen
Ihre Benutzer, Gruppen und Rollen erfordern die folgenden Berechtigungen in ihrer IAM-Richtlinie, um VM Import/Export verwenden zu können:
**Anmerkung**
Für einige Aktionen ist die Verwendung eines Amazon Simple Storage Service (Amazon S3) -Buckets erforderlich. Diese Beispielrichtlinie gewährt keine Erlaubnis zum Erstellen von S3-Buckets. Der Benutzer oder die Rolle, die Sie verwenden, muss einen vorhandenen Bucket angeben oder über die Berechtigungen verfügen, um mit der `s3:CreateBucket` Aktion einen neuen Bucket zu erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-import-bucket",
"arn:aws:s3:::amzn-s3-demo-import-bucket/*",
"arn:aws:s3:::amzn-s3-demo-export-bucket",
"arn:aws:s3:::amzn-s3-demo-export-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CancelConversionTask",
"ec2:CancelExportTask",
"ec2:CreateImage",
"ec2:CreateInstanceExportTask",
"ec2:CreateTags",
"ec2:DescribeConversionTasks",
"ec2:DescribeExportTasks",
"ec2:DescribeExportImageTasks",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:ExportImage",
"ec2:ImportInstance",
"ec2:ImportVolume",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:ImportImage",
"ec2:ImportSnapshot",
"ec2:DescribeImportImageTasks",
"ec2:DescribeImportSnapshotTasks",
"ec2:CancelImportTask"
],
"Resource": "*"
}
]
}
```
------
## Erforderliche Servicerolle
VM Import/Export benötigt eine Rolle, um bestimmte Operationen in Ihrem Namen auszuführen. Sie müssen eine Servicerolle mit einem Dokument `vmimport` mit einer Vertrauensstellungsrichtlinie erstellen, das es der VM ermöglicht, die Rolle Import/Export zu übernehmen, und Sie müssen der Rolle eine IAM-Richtlinie anhängen. Weitere Informationen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html) im *IAM-Benutzerhandbuch*.
**Voraussetzung**
Sie müssen AWS -Security-Token-Service (AWS STS) in jeder Region aktivieren, in der Sie VM Import/Export verwenden möchten. Weitere Informationen finden Sie unter [Aktivierung und Deaktivierung AWS STS in einer Region](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#sts-regions-activate-deactivate). AWS
**So erstellen Sie die Servicerolle**
1. Erstellen Sie auf Ihrem Computer eine Datei mit dem Namen `trust-policy.json`. Fügen Sie der Datei die folgende Richtlinie hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "vmie.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals":{
"sts:Externalid": "vmimport"
}
}
}
]
}
```
------
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)Befehl, um eine Rolle mit dem Namen zu erstellen `vmimport` und der VM Import/Export Zugriff darauf zu gewähren. Geben Sie unbedingt den vollständigen Pfad zum Speicherort der `trust-policy.json`-Datei an, die Sie im vorherigen Schritt erstellt haben. Und fügen Sie das Präfix `file://` hinzu, wie im folgenden Beispiel gezeigt:
```
aws iam create-role --role-name vmimport --assume-role-policy-document "file://C:\import\trust-policy.json"
```
1. Erstellen Sie eine Datei `role-policy.json` mit dem Namen der folgenden Richtlinie, wobei *amzn-s3-demo-import-bucket* sich der Bucket für importierte Disk-Images und der Bucket für exportierte Disk-Images *amzn-s3-demo-export-bucket* befindet:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-import-bucket",
"arn:aws:s3:::amzn-s3-demo-import-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-export-bucket",
"arn:aws:s3:::amzn-s3-demo-export-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute",
"ec2:CopySnapshot",
"ec2:RegisterImage",
"ec2:Describe*"
],
"Resource": "*"
}
]
}
```
------
1. (Optional) Um Ressourcen zu importieren, die mit einem AWS KMS Schlüssel von verschlüsselt wurden AWS Key Management Service, fügen Sie der `role-policy.json` Datei die folgenden Berechtigungen hinzu.
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Resource": "*"
}
```
Wenn Sie einen anderen KMS-Schlüssel als den von Amazon EBS bereitgestellten Standardschlüssel verwenden, müssen Sie Import/Export VM-Berechtigungen für den KMS-Schlüssel erteilen, wenn Sie die Amazon EBS-Verschlüsselung standardmäßig aktivieren oder die Verschlüsselung bei einem Importvorgang aktivieren. Sie können anstelle von \$1 den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels als Ressource angeben.
1. (Optional) Um AMI Lizenzkonfigurationen zuzuweisen, fügen Sie der `role-policy.json`-Datei die folgenden Lizenzmanager-Berechtigungen hinzu.
```
{
"Effect": "Allow",
"Action": [
"license-manager:GetLicenseConfiguration",
"license-manager:UpdateLicenseSpecificationsForResource",
"license-manager:ListLicenseSpecificationsForResource"
],
"Resource": "*"
}
```
1. Verwenden Sie den folgenden Befehl [https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html), um die Richtlinie an die oben erstellte Rolle anzuhängen. Stellen Sie sicher, dass Sie den vollständigen Pfad zum Speicherort der Datei `role-policy.json` angeben.
```
aws iam put-role-policy --role-name vmimport --policy-name vmimport --policy-document "file://C:\import\role-policy.json"
```
1. Für zusätzliche Sicherheitskontrollen können Kontextschlüssel wie `aws:SourceAccount` und `aws:SourceArn` zur Vertrauensrichtlinie für diese neu erstellte Rolle hinzugefügt werden. VM veröffentlicht Import/Export die `SourceArn` Schlüssel `SourceAccount` und wie im folgenden Beispiel angegeben, um diese Rolle zu übernehmen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vmie.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:Externalid": "vmimport",
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:vmie:*:111122223333:*"
}
}
}
]
}
```
------