文档首页/ 迁移中心 MgC/ 用户指南/ 权限管理/ 通过IAM授予使用MgC的权限/ 通过IAM角色与策略授予使用MgC的权限
更新时间:2025-10-09 GMT+08:00
查看PDF
分享

通过IAM角色与策略授予使用MgC的权限

如果您需要对您所拥有的MgC进行角色与策略的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)。通过IAM,您可以:

  • 根据企业的业务组织,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用MgC资源。
  • 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
  • 将MgC资源委托给更专业、高效的其他华为账号或者云服务,这些账号或者云服务可以根据权限进行代运维。

如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用MgC的其他功能。

本章节为您介绍使用角色与策略的授权方法,操作流程如图1所示。

前提条件

给用户组授权之前,请您了解用户组可以添加的MgC权限,并结合实际需求进行选择,MgC支持的系统权限,请参见角色与策略权限管理的MgC系统权限。若您需要对除MgC之外的其它服务授权,IAM支持服务的所有权限请参见系统权限

示例流程

图1 给用户授予MgC权限流程
  1. 创建用户组并授权
    • 系统策略:在IAM控制台创建用户组,并根据MgC系统策略说明以及实际的权限要求,为用户组授权MgC系统策略,授权范围方案选择“所有资源”。
      表1 MgC系统策略说明

      策略名称

      描述

      策略类别

      MgC FullAccess

      迁移中心管理员权限,拥有操作MgC的所有权限。

      系统策略

      MgC ReadOnlyAccess

      迁移中心只读权限,仅能查看MgC资源,无法进行操作。

      系统策略

      MgC DiscoveryAccess

      迁移中心资源发现操作权限,拥有操作资源发现功能的权限和只读权限。

      系统策略

      MgC AssessAccess

      迁移中心评估操作权限,拥有操作评估功能、资源发现功能的权限和只读权限。

      系统策略

      MgC MigrateAccess

      迁移中心迁移操作权限,拥有操作迁移功能、评估功能、资源发现功能的权限和只读权限。

      系统策略

      MgC AppDiscoveryAccess

      迁移中心资源采集操作权限,拥有操作资源采集功能、资源发现功能的权限和只读权限。

      系统策略

      MgC MrrAccess

      迁移中心业务验证操作权限,拥有业务验证功能的权限和只读权限。

      系统策略

      MgC AZ MigrateAccess

      迁移中心可用区迁移操作权限。

      系统策略
    • 自定义策略:如果IAM用户只需要拥有迁移中心 MgC部分操作权限,则创建自定义策略,并为用户组授权所创建的MgC自定义策略,授权范围方案选择“所有资源”。
  2. 创建用户并加入用户组

    在IAM控制台创建用户,并将其加入1.创建用户组并授权中创建的用户组。

    当IAM用户首次使用MgC的特定功能时,需要通过以下两种方式授予委托权限:

    • 推荐方式:请管理员登录MgC控制台,进入相关功能界面,同意相关委托权限。
    • 备选方式:请管理员登录“统一身份认证服务 IAM”服务,为当前IAM用户配置创建委托所需的权限,确保其拥有MgC相关系统策略以及"iam:agencies:createAgency"、"iam:permissions:grantRoleToAgency"、"iam:roles:createRole"和"iam:roles:updateRole"的权限。
  3. 用户登录并验证权限
    新创建的用户登录控制台,切换至授权区域,验证权限:
    • 在“服务列表”中选择迁移中心 MgC,进入MgC主界面,根据您授予的权限可以进行对应操作,表示授予的权限已生效。
    • 在“服务列表”中选择除迁移中心 MgC外的任一服务,若提示权限不足,表示授予的权限已生效。

MgC自定义策略样例

如果系统预置的MgC权限,不满足您的授权要求,可以创建自定义策略。。

目前华为云支持以下两种方式创建自定义策略:

  • 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
  • JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。

具体创建步骤请参见:创建自定义策略。下面为您介绍常用的MgC自定义策略样例。

  • 示例1:资源采集权限策略 
    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "mgc:*:query*",
                "mgc:*:discovery",
                "iam:agencies:listAgencies",
                "iam:roles:listRoles",
                "iam:quotas:listQuotas",
                "iam:permissions:listRolesForAgency"
            ]
        }
    ]
}
  • 示例2:评估推荐权限策略 
    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "mgc:*:query*",
                "mgc:*:discovery",
                "mgc:*:assess*",
                "iam:agencies:listAgencies",
                "iam:roles:listRoles",
                "iam:quotas:listQuotas",
                "iam:permissions:listRolesForAgency"
            ]
        }
    ]
}
父主题: 通过IAM授予使用MgC的权限

相关文档