מסמך עזר בנושא תפקידים והרשאות

במאמר הזה מפורטים התפקידים וההרשאות השונים שנדרשים לשימוש ב-Migrate to Virtual Machines. ב- Google Cloud, תפקידים והרשאות משויכים בדרך כלל לחשבון שירות או לחשבון משתמש.

בקטעים הבאים מתוארים התפקידים וההרשאות האלה, לפי הרכיבים העיקריים של Migrate to Virtual Machines:

בנוסף, ב-Cloud Identity and Access Management (IAM) יש שני תפקידים מוגדרים מראש שבהם אפשר להשתמש כדי לשלוט בגישה של משתמשים בארגון.

תפקיד שם תיאור
roles/vmmigration.admin אדמין ב-VM Migration מאפשרת למשתמשים ליצור מקורות חדשים של Migrate to Virtual Machines ולבצע את כל פעולות ההעברה האחרות.
roles/vmmigration.viewer VM Migration Viewer ההרשאה הזו מאפשרת למשתמשים לאחזר מידע על Migrate to Virtual Machines ב Google Cloud מסוף. מיועד למשתמשים שעוקבים אחרי העברות אבל לא מבצעים אותן.

לדוגמה, אם רוצים לאפשר למשתמש בארגון לצפות במידע על העברה, אבל לא לבצע העברה, צריך להקצות לו את התפקיד roles/vmmigration.viewer.

Google Cloud חשבונות משתמשים במסוף

פרויקט היעד של Migrate to Virtual Machines מגדיר את פרויקט היעד למכונת Compute Engine שמריצה את המכונה הווירטואלית שהועברה. אפשר להשתמש בפרויקט המארח של Migrate to Virtual Machines כפרויקט יעד. אם רוצים להעביר מכונות וירטואליות לפרויקטים נוספים, צריך להוסיף אותם כפרויקטים יעד ל-Migrate to Virtual Machines.

כדי שמשתמש יוכל להוסיף פרויקט יעד ולהגדיר את הפרטים של מכונת Compute Engine בפרויקט היעד, הוא צריך את התפקידים וההרשאות הנדרשים בניהול הזהויות והרשאות הגישה (IAM).

מכיוון שאתם מבצעים את הפעולות האלה ב- Google Cloud console, חשבון המשתמש שנדרשות לו ההרשאות האלה הוא החשבון שבו אתם משתמשים כדי להיכנס למסוףGoogle Cloud :

  • כדי להוסיף פרויקט יעד ל-Migrate to Virtual Machines, לחשבון המשתמש שבו אתם משתמשים כדי להיכנס למסוף Google Cloud נדרשות ההרשאות שמתוארות במאמר הרשאות להוספת פרויקט יעד.

  • כדי להגדיר את פרטי היעד של מופע Compute Engine שפועל בפרויקט היעד, לחשבון המשתמש שבו אתם משתמשים כדי להיכנס למסוףGoogle Cloud צריכות להיות הרשאות גישה לנתונים בפרויקט היעד, כמו רשתות, סוגי מופעים ועוד. הרשאות להגדרת מופע יעד

בהתאם להגדרות IAM בסביבה שלכם, יכול להיות שתגדירו משתמש יחיד שיבצע את שתי הפעולות, או שתגדירו שני משתמשים נפרדים.

הרשאות להוספת פרויקט יעד

כדי להוסיף פרויקט יעד, לחשבון המשתמש שבו אתם משתמשים כדי להיכנס לGoogle Cloud מסוף נדרשים:

  • התפקיד vmmigration.admin בפרויקט המארח

  • התפקיד resourcemanager.projectIamAdmin בפרויקט היעד

הוראות להגדרת ההרשאות האלה מופיעות במאמר בנושא הגדרת הרשאות לחשבון השירות שמוגדר כברירת מחדל בפרויקט המארח.

הרשאות להגדרת פרטי היעד למכונה של Compute Engine

כדי להגדיר את פרטי היעד של מכונת Compute Engine בפרויקט היעד, חשבון המשתמש שבו אתם משתמשים כדי להיכנס למסוף Google Cloud צריך:

  • התפקיד roles/compute.viewer בפרויקט היעד

הוראות להגדרת ההרשאות האלה מופיעות במאמר בנושא הגדרת הרשאות לחשבון השירות שמוגדר כברירת מחדל בפרויקט המארח.

מעבר לחשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines

כשמפעילים את Migrate to Virtual Machines API, המערכת יוצרת חשבון שירות שמוגדר כברירת מחדל בפרויקט המארח ומקצה לו את התפקיד vmmigration.serviceAgent. הכלי Migrate to Virtual Machines משתמש בחשבון השירות הזה כדי ליצור את מופע Compute Engine בפרויקט היעד כחלק מהבדיקה של שיבוט והעברה.

יכול להיות שתצטרכו לערוך את ההרשאות בחשבון השירות שמוגדר כברירת מחדל, בהתאם לסביבה שלכם.

הרשאות כשמשתמשים ב-VPC משותף בפרויקט היעד

כדי לפרוס מכונת Compute Engine בפרויקט יעד שיש לו גישה ל-VPC משותף, צריך להוסיף את התפקיד compute.networkUser לחשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines כדי לאפשר לו גישה לרשתות משנה בפרויקט המארח של ה-VPC המשותף.

הוראות להגדרת ההרשאות האלה מופיעות במאמר הגדרת הרשאות ל-VPC משותף.

חשבון השירות של פרויקט היעד

כברירת מחדל, כשפורסים את המכונה הווירטואלית שהועברה למופע יעד של Compute Engine, לא מוקצה למופע חשבון שירות.

אם למכונת Compute Engine נדרשת גישה לשירותים ולממשקי API, צריך ליצור חשבון שירות בפרויקט היעד עם ההרשאות הנדרשות לגישה לשירותים ולממשקי ה-API האלה. Google Cloudלאחר מכן, מצמידים את חשבון השירות למכונה של Compute Engine כחלק מהגדרת פרטי היעד.

עם זאת, כדי לצרף את חשבון השירות של היעד למכונת Compute Engine, חשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines צריך את ההרשאות הנדרשות, כפי שמתואר במאמר הגדרת הרשאות בחשבון השירות של פרויקט היעד.

הרשאות להגדרת AWS כמקור

בקטע הזה מפורטים השדות בתבנית ה-JSON של ההרשאות. פרטים על הטמעה של הרשאות העברה מופיעים בקטע יצירה של מדיניות AWS IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeInstanceTypes",
                "ec2:DescribeSnapshots",
                "ec2:CreateTags",
                "ec2:CreateSnapshots",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:ListChangedBlocks",
                "ebs:GetSnapshotBlock",
                "ec2:DeleteSnapshot",
                "ec2:DeleteTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/m2vm-resource": "snapshot"
                }
            }
        }
    ]
}

כדי להציג את המלאי של המופעים שמועמדים להעברה, צריך להעניק ל-Migrate to Virtual Machines הרשאות ל-ec2:DescribeInstances,‏ ec2:DescribeVolumes ול-ec2:DescribeInstanceTypes.

כדי להעביר נפחי EC2 מ-AWS אל Migrate to Virtual Machines, נדרשות ההרשאות הבאות: Google Cloud

  1. כדי ליצור snapshot של אמצעי האחסון, צריך לתת הרשאות ל-ec2:DescribeSnapshots,‏ ec2:CreateSnapshots ו-ec2:CreateTags.
  2. כדי להעתיק את הנתונים אל Google Cloud צריך לתת הרשאות ל-ebs:ListSnapshotBlocks, ebs:ListChangedBlocks וגם ל-ebs:GetSnapshotBlock.
  3. כדי למחוק תמונות מצב ישנות, צריך לתת הרשאות ל-ec2:DeleteSnapshot ול-ec2:DeleteTags.

כדי לבצע מעבר, צריך להעניק ל-Migrate to Virtual Machines הרשאות ל-ec2:StopInstances.

הרשאות להגדרת Azure כמקור

בקטע הזה מתוארים השדות בתבנית ה-JSON של ההרשאות. פרטים נוספים על הטמעה של הרשאות העברה מופיעים בקטע יצירת תפקיד בהתאמה אישית.

כדי ליצור קבוצת משאבים שמשויכת למקור, לוודא שהיא קיימת, להציג את רשימת המשאבים שהיא מכילה ולמחוק אותה כשהמקור נמחק, צריך את ההרשאות הבאות:

"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete"

כדי לקבל את רשימת המלאי ואת הפרטים של המכונות הווירטואליות שמועברות, נדרשת ההרשאה הבאה:

"Microsoft.Compute/virtualMachines/read"

כדי לבטל את ההקצאה של מכונת VM כשמעבירים אותה ל-VM של Google Cloud , נדרשת ההרשאה הבאה:

"Microsoft.Compute/virtualMachines/deallocate/action"

כדי ליצור, למחוק ולרשום קובצי snapshot או נקודות שחזור של מכונה וירטואלית שמועברת, נדרשות ההרשאות הבאות:

"Microsoft.Compute/restorePointCollections/read",
"Microsoft.Compute/restorePointCollections/write",
"Microsoft.Compute/restorePointCollections/delete",
"Microsoft.Compute/restorePointCollections/restorePoints/read",
"Microsoft.Compute/restorePointCollections/restorePoints/write",
"Microsoft.Compute/restorePointCollections/restorePoints/delete",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read"

כדי לקרוא נתונים של תמונת מצב או נקודת שחזור, נדרשות ההרשאות הבאות:

"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/read",
"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/beginGetAccess/action",
"Microsoft.Compute/restorePointCollections/restorePoints/diskRestorePoints/endGetAccess/action",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action"

הענקת גישה לרשת

בנוסף להענקת הרשאות, צריך לוודא שהגישה לדיסקים לא חסומה או מוגבלת לרשת ספציפית. הדיסקים צריכים להיות נגישים לרשתות ציבוריות.

כדי לוודא שהדיסקים שלכם נגישים לרשתות ציבוריות, צריך לפעול לפי השלבים הבאים:

  1. בחשבון Azure, עוברים להגדרות הדיסק.
  2. בהגדרות, פותחים את הדף רשת.
  3. בוחרים באפשרות הפעלת גישה ציבורית מכל הרשתות.
  4. לוחצים על Save.

מידע נוסף זמין במאמר בנושא ניהול גישה לרשת לדיסקים מנוהלים.