Riferimento per ruoli e autorizzazioni

Questo documento contiene un riferimento per i diversi ruoli e autorizzazioni richiesto da Migrate to Virtual Machines. In Google Cloud, ruoli e autorizzazioni In genere sono associati all'account di servizio o un account utente.

Le sezioni seguenti descrivono questi ruoli e queste autorizzazioni organizzati in base ai principali componenti di Migrate to Virtual Machines:

Inoltre, Cloud Identity and Access Management (IAM) include due ruoli predefiniti che puoi utilizzare per controllare l'accesso degli utenti dell'organizzazione.

Ruolo Titolo Descrizione
roles/vmmigration.admin VM Migration Administrator Consente agli utenti di creare nuove origini Migrate to Virtual Machines ed eseguire tutte le altre operazioni di migrazione.
roles/vmmigration.viewer VM Migration Viewer Consente agli utenti di recuperare informazioni su Migrate to Virtual Machines nel nella console Google Cloud. Destinato agli utenti che monitorano le migrazioni, ma non le eseguono.

Ad esempio, se vuoi consentire a un utente della tua organizzazione di visualizzare informazioni su una migrazione, ma non sei in grado di eseguirne una, assegnale il ruolo roles/vmmigration.viewer.

Account utente della console Google Cloud

Un progetto di destinazione di Migrazione a macchine virtuali definisce il progetto di destinazione per un'istanza Compute Engine che esegue la VM di cui è stata eseguita la migrazione. Migrate to Virtual Machines il progetto host può essere utilizzato come progetto di destinazione. Se vuoi eseguire la migrazione delle VM progetti aggiuntivi, devi aggiungerli come progetti target a Migrate to Virtual Machines.

Affinché un utente sia in grado di aggiungere un progetto di destinazione dell'istanza Compute Engine sul progetto di destinazione, quell'utente richiede la funzionalità Identity and Access Management (IAM) necessaria ruoli e autorizzazioni.

Poiché esegui queste azioni nella console Google Cloud, l'account utente che richiede queste autorizzazioni è quello che utilizzi per accedere alla console Google Cloud:

  • Per aggiungere un progetto di destinazione a Migrate to Virtual Machines, l'account utente che utilizzi per accedere alla console Google Cloud sono necessarie le autorizzazioni descritte in Autorizzazioni per aggiungere un progetto di destinazione.

  • Per configurare i dettagli della destinazione dell'istanza Compute Engine in esecuzione: nel progetto di destinazione, l'account utente che utilizzi per accedere La console Google Cloud richiede le autorizzazioni per accedere ai dati nel progetto di destinazione. come reti, tipi di istanza e altro ancora. Consulta Autorizzazioni per configurare un'istanza di destinazione.

A seconda di come configuri IAM per il tuo ambiente, puoi configurare un singolo utente affinché esegua entrambe le azioni oppure utenti separati.

Autorizzazioni per aggiungere un progetto di destinazione

Per aggiungere un progetto di destinazione, l'account utente che utilizzi per accedere La console Google Cloud richiede:

  • Ruolo vmmigration.admin nel progetto host

  • Ruolo resourcemanager.projectIamAdmin nel progetto target

Per istruzioni su come impostare queste autorizzazioni, consulta Configurare le autorizzazioni sull'account di servizio predefinito del progetto host.

Autorizzazioni per configurare i dettagli di destinazione per un'istanza Compute Engine

a configurare i dettagli della destinazione dell'istanza Compute Engine nella destinazione. progetto, l'account utente che utilizzi per accedere alla console Google Cloud richiede:

  • Ruolo roles/compute.viewer nel progetto target

Per istruzioni su come impostare queste autorizzazioni, consulta Configurare le autorizzazioni sull'account di servizio predefinito del progetto host.

Service account predefinito di Migrate to Virtual Machines

Migrate to Virtual Machines crea un account di servizio predefinito nel progetto host quando attivi l'API Migrate to Virtual Machines e gli assegna il ruolovmmigration.serviceAgent. Migrate to Virtual Machines utilizza questo account di servizio per creare l'istanza Compute Engine nel progetto di destinazione nell'ambito del clone di test e del cut over.

A seconda dell'ambiente, potrebbe essere necessario modificare le autorizzazioni nell'account di servizio predefinito.

Autorizzazioni per l'utilizzo di un VPC condiviso nel progetto di destinazione

Per eseguire il deployment di un'istanza Compute Engine in un progetto di destinazione che accede a un VPC condiviso, devi aggiungere il ruolo compute.networkUser alla Account di servizio predefinito Migrate to Virtual Machines per consentire l'accesso alle subnet nel progetto host del VPC condiviso.

Consulta Configurazione delle autorizzazioni per un VPC condiviso per istruzioni sull'impostazione di queste autorizzazioni.

Account di servizio del progetto di destinazione

Per impostazione predefinita, quando esegui il deployment della VM migrata in un Compute Engine di destinazione all'istanza non viene assegnato alcun account di servizio.

Se l'istanza Compute Engine richiede l'accesso a Google Cloud e API, crea un account di servizio nel progetto di destinazione con le autorizzazioni necessarie per accedere a questi servizi e API. Quindi, collega l'account di servizio all'istanza Compute Engine nell'ambito della configurazione dei dettagli di destinazione.

Tuttavia, per collegare l'account di servizio di destinazione all'istanza Compute Engine, l'account di servizio predefinito di Migrate to Virtual Machines richiede le autorizzazioni necessarie, come descritto in Configurare le autorizzazioni nell'account di servizio del progetto di destinazione.

Autorizzazioni per configurare AWS come origine

Questa sezione descrive in dettaglio i campi del modello JSON delle autorizzazioni. Per informazioni dettagliate su come implementare le autorizzazioni di migrazione, consulta la sezione Creare un criterio AWS IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeSnapshots",
                "ec2:CreateTags",
                "ec2:CreateSnapshots",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ebs:GetSnapshotBlock",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/m2vm-resource": "snapshot"
                }
            }
        }
    ]
}

Per mostrare l'inventario delle istanze candidate alla migrazione, concedi a Migrate to Virtual Machines le autorizzazioni per ec2:DescribeInstances, ec2:DescribeVolumes e ec2:DescribeInstanceTypes.

Migrate to Virtual Machines richiede le seguenti autorizzazioni per eseguire la migrazione dei volumi EC2 da AWS a Google Cloud:

  1. Per creare uno snapshot dei volumi, concedi le autorizzazioni per ec2:DescribeSnapshots, ec2:CreateSnapshots e ec2:CreateTag.
  2. Per copiare i dati in Google Cloud, concedi le autorizzazioni per ebs:ListSnapshotBlocks, ebs:ListChangedBlocks e ebs:GetSnapshotBlock.
  3. Per eliminare gli snapshot precedenti, concedi le autorizzazioni per ec2:DeleteSnapshot e ec2:DeleteTag.

Per eseguire un cutover, concedi le autorizzazioni Migrate to Virtual Machines per ec2:StopInstances.

Autorizzazioni per configurare Azure come origine

Questa sezione descrive i campi del modello JSON di autorizzazioni. Per maggiori dettagli Per informazioni su come implementare le autorizzazioni di migrazione, consulta la sezione Creare un ruolo personalizzato.

Per creare un gruppo di risorse associato a, sono necessarie le seguenti autorizzazioni l'origine, verificare che esista, elencare le risorse che contiene ed eliminarla quando la fonte viene eliminata:

"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete"

Per ottenere l'elenco degli inventari e per ottenere i dettagli delle VM di cui viene eseguita la migrazione:

"Microsoft.Compute/virtualMachines/read"

Per annullare la allocazione di una VM durante il passaggio a una VM Google Cloud è richiesta la seguente autorizzazione:

"Microsoft.Compute/virtualMachines/deallocate/action"

Per creare, elencare ed eliminare snapshot, sono necessarie le seguenti autorizzazioni / i punti di ripristino della VM di cui viene eseguita la migrazione:

"Microsoft.Compute/restorePointCollections/read",
"Microsoft.Compute/restorePointCollections/write",
"Microsoft.Compute/restorePointCollections/delete",
"Microsoft.Compute/restorePointCollections/restorePoints/read",
"Microsoft.Compute/restorePointCollections/restorePoints/write",
"Microsoft.Compute/restorePointCollections/restorePoints/delete",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read"

Per leggere i dati dello snapshot / del punto di ripristino, sono necessarie le seguenti autorizzazioni:

"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/read",
"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/beginGetAccess/action",
"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action"