更新时间:2024-12-10 GMT+08:00
配置权限
基于企业项目功能,在迁移实施时,对IAM子用户实施精确授权,确保IAM子用户只能对迁移涉及的资源拥有操作权限,对迁移不涉及的资源没有对应操作权限。使迁移实施用户满足权限最小化原则,降低迁移实施过程中的风险。
用户组的企业项目视图和IAM项目视图需要分别配置不同的IAM自定义策略,并且都需要完成授权。
创建IAM自定义策略并为用户组企业项目授权
- 参考创建自定义策略中的“JSON视图配置自定义策略”,创建IAM自定义策略“SMS Custom Policy For EPS”。
JSON视图策略内容如下:(将如下内容复制到策略内容中)
{ "Version": "1.1", "Statement": [ { "Action": [ "vpc:securityGroups:create", "vpc:securityGroups:delete", "vpc:vpcs:create", "vpc:vpcs:delete", "vpc:publicIps:create", "vpc:publicIps:delete", "vpc:subnets:create", "vpc:subnets:delete", "ecs:cloudServers:create", "ecs:cloudServers:attach", "ecs:cloudServers:detachVolume", "ecs:cloudServers:start", "ecs:cloudServers:stop", "ecs:cloudServers:delete", "ecs:cloudServers:reboot", "ecs:cloudServers:updateMetadata", "ecs:cloudServers:vnc", "ecs:serverPasswords:manage", "ecs:serverKeypairs:delete", "ecs:diskConfigs:use", "ecs:CloudServers:create", "ecs:servers:setMetadata", "ecs:serverVolumes:use", "ecs:serverKeypairs:create", "ecs:serverInterfaces:use", "ecs:serverGroups:manage", "ecs:securityGroups:use", "ecs:servers:unlock", "ecs:servers:rebuild", "ecs:servers:lock", "evs:volumes:use", "evs:volumes:create", "evs:volumes:update", "evs:volumes:delete", "evs:snapshots:create", "evs:snapshots:delete", "evs:snapshots:rollback", "kms:cmk:list", "kms:cmk:get", "kms:dek:create", "kms:dek:decrypt", "ecs:*:get*", "ecs:*:list*", "evs:*:get*", "evs:*:list*", "vpc:*:list*", "vpc:*:get*", "ims:*:get*", "ims:*:list*" ], "Effect": "Allow" } ] }
- 在统一身份认证服务,左侧导航窗格中,选择“用户组”,进入用户组列表页面。
- 单击创建的用户组“Test_EPS”名称,进入“授权记录”页签。
- 单击“授权”,勾选”SMS FullAccess” 和“SMS Custom Policy For EPS”策略,单击“下一步”。
- 授权范围选择“指定企业项目资源”,在项目资源列表中选择开通并创建企业项目所创建的企业项目,单击“确定”。
创建IAM自定义策略并为用户组IAM项目授权
- 参考创建自定义策略中的“JSON视图配置自定义策略”,创建IAM自定义策略“SMS Custom Policy For EPS At IAM”。
JSON视图策略内容如下:(将如下内容复制到策略内容中)
{ "Version": "1.1", "Statement": [ { "Action": [ "ecs:availabilityZones:list", "ecs:servers:list", "ecs:servers:unlock", "ecs:servers:lock", "ecs:servers:reboot", "ecs:serverPasswords:manage", "ecs:diskConfigs:use", "ecs:servers:setMetadata", "ecs:serverVolumes:use", "ecs:serverKeypairs:create", "ecs:serverKeypairs:get", "ecs:serverKeypairs:delete", "ecs:serverInterfaces:use", "ecs:serverGroups:manage", "ecs:securityGroups:use", "vpc:securityGroupRules:create", "vpc:securityGroupRules:delete", "vpc:securityGroupRules:get", "vpc:securityGroupRules:update", "vpc:networks:get", "vpc:ports:get", "vpc:vpcTags:get", "vpc:subnetTags:get", "vpc:routers:get", "vpc:securityGroups:get", "evs:volumes:list", "evs:types:get" ], "Effect": "Allow" } ] }
- 在统一身份认证服务,左侧导航窗格中,选择“用户组”,进入用户组列表页面。
- 单击创建的用户组“Test_EPS”名称,进入“授权记录”页签。
- 单击“授权”,勾选“SMS Custom Policy For EPS At IAM”策略,单击“下一步”。
- 授权范围选择“所有资源”,单击“确定”。
创建SMS全局级云服务自定义策略
- 参考创建自定义策略中的“JSON视图配置自定义策略”,创建IAM自定义策略。
JSON视图策略内容如下:(将如下内容复制到策略内容中)
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "sms:server:registerServer", "sms:server:migrationServer", "sms:server:queryServer" ] } ] }
- 在统一身份认证服务,左侧导航窗格中,选择“用户组”,进入用户组列表页面。
- 单击创建的用户组“Test_EPS”名称,进入“授权记录”页签。
- 单击“授权”,勾选创建的SMS全局级云服务自定义策略,单击“下一步”。
- 授权范围选择“所有资源”,单击“确定”。
父主题: 将主机迁移至企业项目