更新时间:2024-12-10 GMT+08:00
分享

配置权限

基于企业项目功能,在迁移实施时,对IAM子用户实施精确授权,确保IAM子用户只能对迁移涉及的资源拥有操作权限,对迁移不涉及的资源没有对应操作权限。使迁移实施用户满足权限最小化原则,降低迁移实施过程中的风险。

用户组的企业项目视图IAM项目视图需要分别配置不同的IAM自定义策略,并且都需要完成授权。

创建IAM自定义策略并为用户组企业项目授权

  1. 参考创建自定义策略中的“JSON视图配置自定义策略”,创建IAM自定义策略“SMS Custom Policy For EPS”。

    JSON视图策略内容如下:(将如下内容复制到策略内容中)
    {
        "Version": "1.1",
        "Statement": [
            {
                "Action": [
                    "vpc:securityGroups:create",
                    "vpc:securityGroups:delete",
                    "vpc:vpcs:create",
                    "vpc:vpcs:delete",
                    "vpc:publicIps:create",
                    "vpc:publicIps:delete",
                    "vpc:subnets:create",
                    "vpc:subnets:delete",
                    "ecs:cloudServers:create",
                    "ecs:cloudServers:attach",
                    "ecs:cloudServers:detachVolume",
                    "ecs:cloudServers:start",
                    "ecs:cloudServers:stop",
                    "ecs:cloudServers:delete",
                    "ecs:cloudServers:reboot",
                    "ecs:cloudServers:updateMetadata",
                    "ecs:cloudServers:vnc",
                    "ecs:serverPasswords:manage",
                    "ecs:serverKeypairs:delete",
                    "ecs:diskConfigs:use",
                    "ecs:CloudServers:create",
                    "ecs:servers:setMetadata",
                    "ecs:serverVolumes:use",
                    "ecs:serverKeypairs:create",
                    "ecs:serverInterfaces:use",
                    "ecs:serverGroups:manage",
                    "ecs:securityGroups:use",
                    "ecs:servers:unlock",
                    "ecs:servers:rebuild",
                    "ecs:servers:lock",
                    "evs:volumes:use",
                    "evs:volumes:create",
                    "evs:volumes:update",
                    "evs:volumes:delete",
                    "evs:snapshots:create",
                    "evs:snapshots:delete",
                    "evs:snapshots:rollback",
                    "kms:cmk:list",
                    "kms:cmk:get",
                    "kms:dek:create",
                    "kms:dek:decrypt",
                    "ecs:*:get*",
                    "ecs:*:list*",
                    "evs:*:get*",
                    "evs:*:list*",
                    "vpc:*:list*",
                    "vpc:*:get*",
                    "ims:*:get*",
                    "ims:*:list*"
                ],
                "Effect": "Allow"
            }
        ]
    }

  2. 在统一身份认证服务,左侧导航窗格中,选择“用户组”,进入用户组列表页面。
  3. 单击创建的用户组Test_EPS名称,进入“授权记录”页签。
  4. 单击“授权”,勾选”SMS FullAccess” 和“SMS Custom Policy For EPS”策略,单击“下一步”。
  5. 授权范围选择“指定企业项目资源”,在项目资源列表中选择开通并创建企业项目所创建的企业项目,单击“确定”。

创建IAM自定义策略并为用户组IAM项目授权

  1. 参考创建自定义策略中的“JSON视图配置自定义策略”,创建IAM自定义策略“SMS Custom Policy For EPS At IAM”。

    JSON视图策略内容如下:(将如下内容复制到策略内容中)
    {
        "Version": "1.1",
        "Statement": [
            {
                "Action": [
                    "ecs:availabilityZones:list",
                    "ecs:servers:list",
                    "ecs:servers:unlock",
                    "ecs:servers:lock",
                    "ecs:servers:reboot",
                    "ecs:serverPasswords:manage",
                    "ecs:diskConfigs:use",
                    "ecs:servers:setMetadata",
                    "ecs:serverVolumes:use",
                    "ecs:serverKeypairs:create",
                    "ecs:serverKeypairs:get",
                    "ecs:serverKeypairs:delete",
                    "ecs:serverInterfaces:use",
                    "ecs:serverGroups:manage",
                    "ecs:securityGroups:use",
                    "vpc:securityGroupRules:create",
                    "vpc:securityGroupRules:delete",
                    "vpc:securityGroupRules:get",
                    "vpc:securityGroupRules:update",
                    "vpc:networks:get",
                    "vpc:ports:get",
                    "vpc:vpcTags:get",
                    "vpc:subnetTags:get",
                    "vpc:routers:get",
                    "vpc:securityGroups:get",
                    "evs:volumes:list",
                    "evs:types:get"
                ],
                "Effect": "Allow"
            }
        ]
    }

  2. 在统一身份认证服务,左侧导航窗格中,选择“用户组”,进入用户组列表页面。
  3. 单击创建的用户组Test_EPS名称,进入“授权记录”页签。
  4. 单击“授权”,勾选“SMS Custom Policy For EPS At IAM”策略,单击“下一步”。
  5. 授权范围选择“所有资源”,单击“确定”。

创建SMS全局级云服务自定义策略

  1. 参考创建自定义策略中的“JSON视图配置自定义策略”,创建IAM自定义策略。

    JSON视图策略内容如下:(将如下内容复制到策略内容中)

    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                     "sms:server:registerServer",
                     "sms:server:migrationServer",
                     "sms:server:queryServer"
                ]
            }
        ]
    }

  2. 在统一身份认证服务,左侧导航窗格中,选择“用户组”,进入用户组列表页面。
  3. 单击创建的用户组Test_EPS名称,进入“授权记录”页签。
  4. 单击“授权”,勾选创建的SMS全局级云服务自定义策略,单击“下一步”。
  5. 授权范围选择“所有资源”,单击“确定”。

相关文档