Questo documento contiene un riferimento ai diversi ruoli e autorizzazioni richiesti da Migrate to Virtual Machines. In Google Cloud, i ruoli e le autorizzazioni sono in genere associati a un account di servizio o a un account utente.
Le sezioni seguenti descrivono questi ruoli e queste autorizzazioni organizzati in base ai principali componenti di Migrate to Virtual Machines:
- Account utente della console Google Cloud
- Account di servizio predefinito di Migrate to Virtual Machines
- Account di servizio del progetto di destinazione
Inoltre, Cloud Identity and Access Management (IAM) include due ruoli predefiniti che puoi utilizzare per controllare l'accesso degli utenti della tua organizzazione.
Ruolo | Titolo | Descrizione |
---|---|---|
roles/vmmigration.admin | VM Migration Administrator | Consente agli utenti di creare nuove origini Migrate to Virtual Machines ed eseguire tutte le altre operazioni di migrazione. |
roles/vmmigration.viewer | VM Migration Viewer | Consente agli utenti di recuperare informazioni su Migrate to Virtual Machines nella console Google Cloud. Destinato agli utenti che monitorano le migrazioni, ma non le eseguono. |
Ad esempio, se vuoi consentire a un utente della tua organizzazione di visualizzare informazioni su una migrazione, ma non di eseguirla, assegnagli il ruolo roles/vmmigration.viewer
.
Account utente della console Google Cloud
Un progetto di destinazione di Migrate to Virtual Machines definisce il progetto di destinazione per un'istanza Compute Engine che esegue la VM di cui è stata eseguita la migrazione. Il progetto host Migrate to Virtual Machines può essere utilizzato come progetto di destinazione. Se vuoi eseguire la migrazione delle VM in progetti aggiuntivi, devi aggiungerli come progetti di destinazione a Migrate to Virtual Machines.
Affinché un utente possa aggiungere un progetto di destinazione e configurare i dettagli dell'istanza Compute Engine nel progetto di destinazione, deve disporre dei ruoli e delle autorizzazioni Identity and Access Management (IAM) necessari.
Poiché esegui queste azioni nella console Google Cloud, l'account utente che richiede queste autorizzazioni è quello che utilizzi per accedere alla console Google Cloud:
Per aggiungere un progetto di destinazione a Migrate to Virtual Machines, l'account utente che utilizzi per accedere alla console Google Cloud richiede le autorizzazioni descritte in Autorizzazioni per aggiungere un progetto di destinazione.
Per configurare i dettagli del target dell'istanza Compute Engine in esecuzione nel progetto di destinazione, l'account utente che utilizzi per accedere alla console Google Cloud richiede le autorizzazioni per accedere ai dati nel progetto di destinazione, come reti, tipi di istanze e altro ancora. Vedi Autorizzazioni per configurare un'istanza di destinazione.
A seconda di come configuri IAM per il tuo ambiente, puoi configurare un singolo utente per eseguire entrambe le azioni o due utenti distinti.
Autorizzazioni per aggiungere un progetto di destinazione
Per aggiungere un progetto di destinazione, l'account utente che utilizzi per accedere alla console Google Cloud richiede:
- Il ruolo
vmmigration.admin
nel progetto host Il ruolo
resourcemanager.projectIamAdmin
nel progetto di destinazione
Per istruzioni su come impostare queste autorizzazioni, consulta Configurare le autorizzazioni sull'account di servizio predefinito del progetto host.
Autorizzazioni per configurare i dettagli di destinazione per un'istanza Compute Engine
Per configurare i dettagli di destinazione dell'istanza Compute Engine nel progetto di destinazione, l'account utente che utilizzi per accedere alla console Google Cloud richiede:
Il ruolo
roles/compute.viewer
nel progetto di destinazione
Per istruzioni su come impostare queste autorizzazioni, consulta Configurare le autorizzazioni sull'account di servizio predefinito del progetto host.
Account di servizio predefinito di Migrate to Virtual Machines
Migrate to Virtual Machines crea un account di servizio predefinito nel progetto host quando attivi l'API Migrate to Virtual Machines e gli assegna il ruolovmmigration.serviceAgent
. Migrate to Virtual Machines utilizza questo account di servizio per creare l'istanza Compute Engine nel progetto di destinazione nell'ambito del clone di test e del cut over.
A seconda dell'ambiente, potrebbe essere necessario modificare le autorizzazioni dell'account di servizio predefinito.
Autorizzazioni per l'utilizzo di un VPC condiviso nel progetto di destinazione
Per eseguire il deployment di un'istanza Compute Engine in un progetto di destinazione che accede a un VPC condiviso, devi aggiungere il ruolo compute.networkUser
all'account di servizio predefinito di Migrate to Virtual Machines per consentirgli di accedere alle sottoreti nel progetto host VPC condiviso.
Per istruzioni su come impostare queste autorizzazioni, consulta Configurare le autorizzazioni per un VPC condiviso.
Account di servizio del progetto di destinazione
Per impostazione predefinita, quando esegui il deployment della VM di cui è stata eseguita la migrazione in un'istanza Compute Engine di destinazione, all'istanza non viene assegnato alcun account di servizio.
Se l'istanza Compute Engine richiede l'accesso ai servizi e alle API Google Cloud, crea un account di servizio nel progetto di destinazione con le autorizzazioni necessarie per accedere a questi servizi e API. Quindi, collega l'account di servizio all'istanza Compute Engine nell'ambito della configurazione dei dettagli di destinazione.
Tuttavia, per collegare l'account di servizio di destinazione all'istanza Compute Engine, l'account di servizio predefinito di Migrate to Virtual Machines richiede le autorizzazioni necessarie, come descritto in Configurare le autorizzazioni nell'account di servizio del progetto di destinazione.
Autorizzazioni per configurare AWS come origine
Questa sezione descrive in dettaglio i campi del modello JSON delle autorizzazioni. Per informazioni dettagliate su come implementare le autorizzazioni di migrazione, consulta la sezione Creare un criterio AWS IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeInstanceTypes",
"ec2:DescribeSnapshots",
"ec2:CreateTags",
"ec2:CreateSnapshots",
"ec2:StopInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock",
"ec2:DeleteSnapshot",
"ec2:DeleteTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/m2vm-resource": "snapshot"
}
}
}
]
}
Per mostrare l'inventario delle istanze candidate alla migrazione, concedi a Migrate to Virtual Machines le autorizzazioni per ec2:DescribeInstances, ec2:DescribeVolumes e ec2:DescribeInstanceTypes.
Migrate to Virtual Machines richiede le seguenti autorizzazioni per eseguire la migrazione dei volumi EC2 da AWS a Google Cloud:
- Per creare uno snapshot dei volumi, concedi le autorizzazioni per ec2:DescribeSnapshots, ec2:CreateSnapshots e ec2:CreateTags.
- Per copiare i dati in Google Cloud, concedi le autorizzazioni per ebs:ListSnapshotBlocks, ebs:ListChangedBlocks e ebs:GetSnapshotBlock.
- Per eliminare le istantanee precedenti, concedi le autorizzazioni per ec2:DeleteSnapshot e ec2:DeleteTags.
Per eseguire un passaggio di proprietà, concedi le autorizzazioni Migrate to Virtual Machines per ec2:StopInstances.
Autorizzazioni per configurare Azure come origine
Questa sezione descrive i campi del modello JSON delle autorizzazioni. Per maggiori dettagli su come implementare le autorizzazioni di migrazione, consulta la sezione Creare un ruolo personalizzato.
Per creare un gruppo di risorse associato all'origine, verificarne l'esistenza, elencare le risorse in esso contenute ed eliminarlo quando viene eliminata l'origine, sono necessarie le seguenti autorizzazioni:
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete"
Per ottenere l'elenco dell'inventario e i dettagli delle VM di cui viene eseguita la migrazione, è necessaria la seguente autorizzazione:
"Microsoft.Compute/virtualMachines/read"
Per annullare la allocazione di una VM durante il passaggio a una VM Google Cloud è necessaria la seguente autorizzazione:
"Microsoft.Compute/virtualMachines/deallocate/action"
Per creare, elencare ed eliminare snapshot/ punti di ripristino della VM di cui viene eseguita la migrazione, sono necessarie le seguenti autorizzazioni:
"Microsoft.Compute/restorePointCollections/read",
"Microsoft.Compute/restorePointCollections/write",
"Microsoft.Compute/restorePointCollections/delete",
"Microsoft.Compute/restorePointCollections/restorePoints/read",
"Microsoft.Compute/restorePointCollections/restorePoints/write",
"Microsoft.Compute/restorePointCollections/restorePoints/delete",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read"
Per leggere i dati degli snapshot / punti di ripristino sono necessarie le seguenti autorizzazioni:
"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/read",
"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/beginGetAccess/action",
"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action"