Referenz zu Rollen und Berechtigungen

Dieses Dokument enthält eine Referenz für die verschiedenen Rollen und Berechtigungen, die für Migrate to Virtual Machines erforderlich sind. In Google Cloudsind Rollen und Berechtigungen in der Regel mit Dienstkonten oder Nutzerkonten verknüpft.

In den folgenden Abschnitten werden diese Rollen und Berechtigungen beschrieben. Sie sind nach den Hauptkomponenten von Migrate to Virtual Machines sortiert:

Darüber hinaus umfasst Cloud Identity and Access Management (IAM) zwei vordefinierte Rollen, mit denen Sie den Zugriff für Nutzer in Ihrer Organisation steuern können.

Rolle Titel Beschreibung
roles/vmmigration.admin VM-Migrationsadministrator Nutzer können neue Quellen für Migrate to Virtual Machines erstellen und alle anderen Migrationsvorgänge ausführen.
roles/vmmigration.viewer VM-Migrationsbetrachter Nutzer können Informationen zu Migrate to Virtual Machines in der Google Cloud Console abrufen. Für Nutzer gedacht, die Migrationen überwachen, aber nicht ausführen.

Wenn Sie zum Beispiel einem Nutzer in Ihrer Organisation die Möglichkeit geben möchten, Informationen zu einer Migration aufzurufen, er diese aber nicht ausführen soll, weisen Sie ihm die Rolle roles/vmmigration.viewer zu.

Google Cloud Console-Nutzerkonten

Das Zielprojekt von Migrate to Virtual Machines definiert das Ziel für eine Compute Engine-Instanz, auf der die migrierte VM ausgeführt wird. Das Hostprojekt von Migrate to Virtual Machines kann als Zielprojekt verwendet werden. Wenn Sie VMs zu zusätzlichen Projekten migrieren möchten, müssen Sie diese als Zielprojekte zu Migrate to Virtual Machines hinzufügen.

Damit ein Nutzer ein Zielprojekt hinzufügen und darin die Details der Compute Engine-Instanz konfigurieren kann, benötigt er die erforderlichen IAM-Rollen und ‑Berechtigungen.

Da Sie diese Aktionen in der Google Cloud consoleausführen, sind diese Berechtigungen für das Nutzerkonto erforderlich, das Sie für die Anmeldung in derGoogle Cloud Console verwenden:

  • Zum Hinzufügen eines Zielprojekts zu Migrate to Virtual Machines benötigt das Nutzerkonto, mit dem Sie sich in der Google Cloud Console anmelden, die Berechtigungen, die im Abschnitt Berechtigungen zum Hinzufügen eines Zielprojekts beschrieben sind.

  • Zum Konfigurieren der Zieldetails der Compute Engine-Instanz, die im Zielprojekt ausgeführt wird, benötigt das Nutzerkonto, mit dem Sie sich in derGoogle Cloud Console anmelden, Zugriffsberechtigungen auf Daten im Zielprojekt, wie Netzwerke und Instanztypen. Siehe Berechtigungen zum Konfigurieren einer Zielinstanz.

Je nachdem, wie Sie IAM für Ihre Umgebung konfigurieren möchten, entscheiden Sie sich vielleicht, einen einzelnen Nutzer so zu konfigurieren, dass er beide Aktionen ausführen kann, oder Sie konfigurieren zwei separate Nutzer.

Berechtigungen zum Hinzufügen eines Zielprojekts

Zum Hinzufügen eines Zielprojekts benötigt das Nutzerkonto, mit dem Sie sich in derGoogle Cloud Console anmelden:

  • die Rolle vmmigration.admin im Hostprojekt

  • die Rolle resourcemanager.projectIamAdmin im Zielprojekt

Eine Anleitung zum Festlegen dieser Berechtigungen finden Sie unter Berechtigungen für das Standarddienstkonto des Hostprojekts konfigurieren.

Berechtigungen zum Konfigurieren von Zieldetails für eine Compute Engine-Instanz

Zum Konfigurieren der Zieldetails der Compute Engine-Instanz im Zielprojekt benötigt das Nutzerkonto, mit dem Sie sich in der Google Cloud Console anmelden:

  • die Rolle roles/compute.viewer im Zielprojekt

Eine Anleitung zum Festlegen dieser Berechtigungen finden Sie unter Berechtigungen für das Standarddienstkonto des Hostprojekts konfigurieren.

Standarddienstkonto von Migrate to Virtual Machines

Migrate to Virtual Machines erstellt ein Standarddienstkonto im Hostprojekt, wenn Sie die Migrate to Virtual Machines API aktivieren, und weist ihm die Rolle vmmigration.serviceAgent zu. Migrate to Virtual Machines verwendet dieses Dienstkonto, um die Compute Engine-Instanz im Zielprojekt im Rahmen des Testklons und der Umstellung zu erstellen.

Je nach Umgebung müssen Sie möglicherweise die Berechtigungen für das Standarddienstkonto bearbeiten.

Berechtigungen bei Verwendung einer gemeinsam genutzten VPC im Zielprojekt

Zum Bereitstellen einer Compute Engine-Instanz in einem Zielprojekt, das auf eine gemeinsam genutzte VPC zugreift, müssen Sie die Rolle compute.networkUser dem Standarddienstkonto von Migrate to Virtual Machines hinzufügen, damit es auf Subnetzwerke im Hostprojekt der gemeinsam genutzten VPC zugreifen kann.

Eine Anleitung zum Festlegen dieser Berechtigungen finden Sie unter Berechtigungen für ein gemeinsam genutztes VPC konfigurieren.

Dienstkonto des Zielprojekts

Wenn Sie die migrierte VM in einer Compute Engine-Zielinstanz bereitstellen, wird der Instanz standardmäßig kein Dienstkonto zugewiesen.

Falls die Compute Engine-Instanz Zugriff auf Google Cloud-Dienste und ‑APIs benötigt, erstellen Sie ein Dienstkonto im Zielprojekt mit den erforderlichen Berechtigungen für den Zugriff auf diese Dienste und APIs. Hängen Sie dann das Dienstkonto bei der Konfiguration der Zieldetails an die Compute Engine-Instanz an.

Zum Anhängen des Zieldienstkontos an die Compute Engine-Instanz benötigt das Standarddienstkonto von Migrate to Virtual Machines jedoch die erforderlichen Berechtigungen, wie unter Berechtigungen für das Dienstkonto des Zielprojekts konfigurieren beschrieben.

Berechtigungen zum Konfigurieren von AWS als Quelle

In diesem Abschnitt werden die Felder der JSON-Vorlage für Berechtigungen beschrieben. Weitere Informationen zum Implementieren von Migrationsberechtigungen finden Sie im Abschnitt AWS IAM-Richtlinie erstellen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeSnapshots",
                "ec2:CreateTags",
                "ec2:CreateSnapshots",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ebs:GetSnapshotBlock",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/m2vm-resource": "snapshot"
                }
            }
        }
    ]
}

Erteilen Sie Migrate to Virtual Machines die Berechtigungen ec2:DescribeInstances, ec2:DescribeVolumes und ec2:DescribeInstanceTypes, um das Inventar der zu migrierenden Kandidateninstanzen aufzurufen.

Migrate to Virtual Machines benötigt die folgenden Berechtigungen, um EC2-Volumes von AWS zu Google Cloudzu migrieren:

  1. Zum Erstellen eines Snapshots der Volumes: ec2:DescribeSnapshots, ec2:CreateSnapshots und ec2:CreateTags.
  2. Zum Kopieren der Daten nach Google Cloud : ebs:ListSnapshotBlocks, ebs:ListChangedBlocks und ebs:GetSnapshotBlock.
  3. Zum Löschen alter Snapshots: ec2:DeleteSnapshot und ec2:DeleteTags.

Gewähren Sie Migrate to Virtual Machines für Umstellungen die Berechtigung ec2:StopInstances.

Berechtigungen zum Konfigurieren von Azure als Quelle

In diesem Abschnitt werden die Felder der JSON-Vorlage für Berechtigungen beschrieben. Weitere Informationen zum Implementieren von Migrationsberechtigungen finden Sie im Abschnitt Benutzerdefinierte Rolle erstellen.

Die folgenden Berechtigungen sind erforderlich, um eine mit der Quelle verbundene Ressourcengruppe zu erstellen, ihre Existenz zu prüfen, die darin enthaltenen Ressourcen aufzulisten und sie zu löschen, wenn die Quelle gelöscht wird:

"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete"

Die folgende Berechtigung ist erforderlich, um die Inventarliste und die Details der VMs abzurufen, die migriert werden:

"Microsoft.Compute/virtualMachines/read"

Die folgende Berechtigung ist erforderlich, um die Zuweisung einer VM bei der Umstellung auf eine Google Cloud -VM aufzuheben:

"Microsoft.Compute/virtualMachines/deallocate/action"

Die folgenden Berechtigungen sind erforderlich, um Snapshots/Wiederherstellungspunkte der VM, die migriert wird, zu erstellen, aufzulisten und zu löschen:

"Microsoft.Compute/restorePointCollections/read",
"Microsoft.Compute/restorePointCollections/write",
"Microsoft.Compute/restorePointCollections/delete",
"Microsoft.Compute/restorePointCollections/restorePoints/read",
"Microsoft.Compute/restorePointCollections/restorePoints/write",
"Microsoft.Compute/restorePointCollections/restorePoints/delete",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read"

Die folgenden Berechtigungen sind erforderlich, um Snapshot- oder Wiederherstellungspunkt-Daten zu lesen:

"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/read",
"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/beginGetAccess/action",
"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action"

Netzwerkzugriff gewähren

Sie müssen nicht nur Berechtigungen erteilen, sondern auch prüfen, ob der Zugriff auf Ihre Laufwerke nicht blockiert oder auf ein bestimmtes Netzwerk beschränkt ist. Die Laufwerke müssen für öffentliche Netzwerke zugänglich sein.

So sorgen Sie dafür, dass die Laufwerke für öffentliche Netzwerke zugänglich sind:

  1. Rufen Sie in Ihrem Azure-Konto die Laufwerkseinstellungen auf.
  2. Öffnen Sie in den Einstellungen die Seite Netzwerk.
  3. Wählen Sie Aktivieren des öffentlichen Zugriffs aus allen Netzwerken aus.
  4. Klicken Sie auf Speichern.

Weitere Informationen finden Sie unter Netzwerkzugriff für verwaltete Laufwerke verwalten.