文档首页/ 迁移中心 MGC/ 最佳实践/ 主机迁移权限配置
更新时间:2024-12-06 GMT+08:00
查看PDF
分享

主机迁移权限配置

概述

  1. 创建一个新的用户组migration_users,赋予MgC和SMS所需要的最小权限,后续使用的AK/SK权限以此为准。
  2. 用户通过属于admin组的用户,创建属于migration_users组的、仅支持编程访问的用户mgc-user(同时勾选访问密钥,在创建用户后下载访问密钥),该用户无法通过华为云console密码登录,仅支持编程访问。
  3. 后续提供创建mgc-user用户时下载的AK/SK给Edge,该AK/SK负责Edge注册到MgC以及迁移过程中的接口调用鉴权。

步骤一:创建用户组

  1. 登录华为云IAM管理控制台
  2. 在统一身份认证服务,左侧导航栏,选择“用户组”,单击右上方的“创建用户组”。

    图1 创建用户组

步骤二:创建权限策略

  1. 在统一身份认证服务,左侧导航栏,选择“权限管理>权限”,单击右上方的“创建自定义策略”。

    图2 创建自定义策略

  2. 创建SMS-全局云服务策略。输入“策略名称”,策略配置方式选择“JSON视图”,将以下内容复制粘贴到策略内容中。 

    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                 "sms:server:registerServer",
                 "sms:server:migrationServer",
                 "sms:server:queryServer"
            ]
        },
        {
            "Action": [
                "mgc:*:*",
                "iam:agencies:listAgencies",
                "iam:roles:listRoles",
                "iam:quotas:listQuotas",
                "iam:permissions:listRolesForAgency"
            ],
            "Effect": "Allow"
        }
    ]
}
    图3 创建SMS-全局云服务策略

  3. 创建SMS-项目级云服务策略。输入自定义“策略名称”,策略配置方式选择“JSON视图”,将以下内容复制粘贴到策略内容中。 

    {
 "Version": "1.1",
 "Statement": [
 {
 "Action": [
 "vpc:securityGroups:create",
 "vpc:securityGroupRules:create",
 "vpc:vpcs:create",
 "vpc:publicIps:create",
 "vpc:subnets:create",
 "ecs:cloudServers:create",
 "ecs:cloudServers:attach",
 "ecs:cloudServers:detachVolume",
 "ecs:cloudServers:start",
 "ecs:cloudServers:stop",
 "ecs:cloudServers:delete",
 "ecs:cloudServers:reboot",
 "ecs:cloudServers:updateMetadata",
 "ecs:serverPasswords:manage",
 "ecs:serverKeypairs:delete",
 "ecs:diskConfigs:use",
 "ecs:CloudServers:create",
 "ecs:servers:setMetadata",
 "ecs:serverVolumes:use",
 "ecs:serverKeypairs:create",
 "ecs:serverInterfaces:use",
 "ecs:serverGroups:manage",
 "ecs:securityGroups:use",
 "ecs:servers:unlock",
 "ecs:servers:rebuild",
 "ecs:servers:lock",
 "ecs:servers:reboot",
 "evs:volumes:use",
 "evs:volumes:create",
 "evs:volumes:update",
 "evs:volumes:delete",
 "evs:volumes:attach",
 "evs:volumes:detach",
 "evs:snapshots:create",
 "evs:snapshots:delete",
 "evs:snapshots:rollback",
 "ecs:*:get*",
 "ecs:*:list*",
 "evs:*:get*",
 "evs:*:list*",
 "vpc:*:list*",
 "vpc:*:get*",
 "ims:*:get*",
 "ims:*:list*"
 ],
 "Effect": "Allow"
 }
 ]
 }
    图4 SMS项目级资料

步骤三:授权

  1. 在统一身份认证服务,左侧导航栏,选择“用户组”。
  2. 在用户组列表中,单击步骤一创建的用户组操作列的“授权”。

    图5 为用户组授权

  3. 搜索并勾选步骤二创建的两个自定义策略,单击“下一步”。

    图6 选择自定义策略

  4. 授权范围方案选择“指定区域项目资源”,选择指定区域项目,用户可以根据权限使用该区域项目中的资源。

    图7 选择指定区域项目

  5. 单击“确定”,完成用户组授权。

步骤四:创建用户

  1. 在统一身份认证服务,左侧导航栏,选择“用户”,单击右上方的“创建用户”。

    图8 创建用户

  2. 输入自定义用户名,去勾选“管理控制台访问”,单击“下一步”。

    图9 配置基本信息

  3. 勾选步骤一创建的用户组,单击“创建用户”。

    图10 选择用户组

  4. 创建用户成功,弹出的下载访问密钥窗口,单击“确定”,将AK/SK下载到本地。

    图11 下载访问密钥

相关文档