AWS Server Migration Service
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

配置您的 AWS 账户权限

以下先决条件适用于 AWS SMS 支持的任一平台。

如果已为您的 IAM 用户账户、组或角色分配管理员权限,则您可以访问 AWS SMS。要使用对 AWS 账户没有管理访问权限的 IAM 用户的凭证调用 SMS API,请创建一个由以下 JSON 代码定义的自定义内联策略并将其应用于该 IAM 用户:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sms:*" ], "Resource": "*" } ] }

注意

如果您使用多个连接器,我们建议您为每个连接器创建唯一的 IAM 角色,以避免出现单点故障。

在您的 AWS 账户中创建 IAM 用户

  1. 为您的连接器创建新的 IAM 用户,以便与 AWS 进行通信。保存生成的访问密钥和私有密钥以便在初始连接器设置期间使用。有关管理 IAM 用户和权限的信息,请参阅在您的 AWS 账户中创建 IAM 用户

  2. 将托管的 IAM 策略 ServerMigrationConnector 附加到 IAM 用户。有关更多信息,请参阅托管策略与内联策略

  3. 使用以下过程之一创建 IAM 角色,该角色向 AWS SMS 授予将迁移的资源放入 Amazon EC2 账户的权限。在提供 IAM 角色模板的 AWS 区域中,可以使用选项 1。如果您发现 AWS 区域中没有 AWS Server Migration Service 的模板,请继续执行选项 2

使用模板创建 IAM 角色 (选项 1)

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 RolesCreate new role

  3. Search role type 页面上,找到 AWS Server Migration Service 并选择 Select

  4. Attach Policy 页面上,选择 ServerMigrationServiceRole,然后选择 Next Step

  5. Set role name and review 页面上,对于 Role name,键入 sms (推荐)。(可选) 您可以应用不同的名称,但以后每次创建复制任务时均需明确指定该角色名称。

  6. 选择 Create role。您现在应该能够在可用角色列表中看到 sms 角色。

在不提供 IAM 角色模板的 AWS 区域中,请使用下文的选项。此选项也可以在所有区域中用作 option 1 的手动替代项。

手动创建 IAM 角色 (选项 2)

  1. 创建一个名为 trust-policy.json 的本地文件,其中包含以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "sms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "sms" } } } ] }
  2. 创建一个名为 role-policy.json 的本地文件,其中包含以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute", "ec2:CopySnapshot", "ec2:CopyImage", "ec2:Describe*", "ec2:DeleteSnapshot", "ec2:DeregisterImage", "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": "*" } ] }
  3. 在命令提示符处,转到存储两个 JSON 策略文件的目录,并运行以下命令来创建 AWS SMS 服务角色:

    aws iam create-role --role-name sms --assume-role-policy-document file://trust-policy.json aws iam put-role-policy --role-name sms --policy-name sms --policy-document file://role-policy.json

注意

您的 AWS CLI 用户必须对 IAM 拥有权限。可通过将 IAMFullAccess 托管策略附加到 AWS CLI 用户来授予这些权限。有关管理 IAM 用户和权限的信息,请参阅在您的 AWS 账户中创建 IAM 用户