基于角色与策略的IAM用户自定义权限
迁移中心MgC在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对账号下的IAM用户设置不同的MgC资源权限,结合权限策略实现权限隔离。
本节介绍IAM用户在使用MgC各场景及其相应功能时需要配置的自定义权限策略。配置自定义策略权限的方法,请参考创建自定义策略。
IAM用户委托授权权限
IAM用户在首次使用MgC的特定功能时,需要通过授予MgC创建自定义策略的委托权限。有关该委托授权权限的自定义策略,请参见表1。
|
使用场景 |
功能 |
功能说明 |
是否必选 |
权限Action |
|---|---|---|---|---|
|
IAM委托权限 |
委托授权 |
使用MgC部分功能时需要进行委托授权操作。 |
必选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:agencies:listAgencies",
"iam:agencies:createAgency",
"iam:roles:listRoles",
"iam:roles:updateRole",
"iam:quotas:listQuotas",
"iam:permissions:listRolesForAgency",
"iam:permissions:grantRoleToAgency",
"iam:permissions:revokeRoleFromAgency",
"iam:permissions:grantRoleToAgencyOnProject",
"iam:permissions:checkRoleForAgencyOnProject"
]
}
]
} |
主机批量迁移
在进行主机批量迁移时,所需的功能及相关权限配置,请参见表2。
|
使用场景 |
功能 |
功能说明 |
是否必选 |
权限Action |
|---|---|---|---|---|
|
主机批量迁移 |
项目管理 |
创建应用迁移项目。 |
必选 |
需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”、“MgC MigrateAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明。 |
|
主机资源采集 |
采集需要迁移的主机信息。 |
必选 |
||
|
创建主机批量迁移计划 |
创建主机迁移计划,规划主机迁移批次,配置迁移参数。 |
必选 |
||
|
添加源端待迁移主机 |
访问资源列表权限,勾选待迁移主机。 |
必选 |
||
|
绑定已有目的端 |
为源端主机绑定华为云已购买的主机作为目的端。 |
目的端已存在时必选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServers:list",
"deh:dedicatedHosts:list",
"deh:dedicatedHostResourceTypes:list",
"evs:volumes:list",
"ims:images:list",
"eps:enterpriseProjects:list",
"vpc:securityGroups:get",
"tms:predefineTags:list"
]
}
]
} |
|
|
规格评估 |
根据源端主机规格,系统会自动推荐在华为云与之对应的主机规格作为目的端。 |
通过系统自动购买目的端时必选。 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServerFlavors:get",
"ecs:cloudServers:list",
"ims:images:list",
"ims:images:get",
"evs:volumes:list",
"evs:types:get"
]
}
]
} |
|
|
消息通知 |
要启用迁移参数配置中的消息通知功能需要SMN相关权限。 |
可选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic"
]
}
]
} |
|
|
创建主机批量迁移工作流 |
创建主机迁移工作流并执行,完成主机批量迁移。 |
必选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc:vpcs:list",
"vpc:vpcs:get",
"vpc:subnets:get",
"vpc:securityGroups:get",
"eps:enterpriseProjects:list",
"eps:enterpriseProjects:get",
"kms:cmk:list",
"kms:cmk:get",
"kms:dek:create",
"kms:dek:decrypt",
"sms:server:migrationServer",
"sms:server:queryServer",
"smn:topic:list"
]
}
]
} |
|
|
主机迁移配额校验 |
检查迁移账号在目的端区域的资源配额是否满足要求。 |
必选 |
系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1。 系统自动创建的自定义策略以及包含的Action,请参见委托权限说明。 |
|
|
工作流添加后置阶段和脚本步骤 |
在迁移工作流标准流程中迁移阶段或步骤。 |
可选 |
主机跨可用区批量迁移
在进行主机可用区批量迁移时,所需的功能及相关权限配置,请参见表3。
|
使用场景 |
功能 |
功能说明 |
是否必选 |
权限Action |
|---|---|---|---|---|
|
主机跨可用区批量迁移 |
项目管理 |
创建应用迁移项目。 |
必选 |
需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”、“MgC MigrateAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明。 |
|
主机资源采集 |
采集需要迁移的主机信息。 |
必选 |
||
|
创建主机跨可用区批量迁移计划 |
创建主机迁移计划,规划主机迁移批次,配置迁移参数。 |
必选 |
||
|
选择源端可用区 |
选择待迁移主机所在的区域及可用区。 |
必选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServers:list"
]
}
]
} |
|
|
配置目的端 |
系统默认匹配与源端主机相同规格的目的端主机。 |
可选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evs:volumes:list"
}
]
} |
|
|
消息通知 |
要启用迁移参数配置中的消息通知功能需要SMN相关权限。 |
可选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic"
]
}
]
} |
|
|
创建主机跨可用区批量迁移工作流 |
创建主机跨可用区迁移工作流并执行,完成主机批量迁移。 |
必选 |
系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1。 系统自动创建的自定义策略以及包含的Action,请参见委托权限说明。 |
|
|
工作流添加后置阶段和脚本步骤 |
在迁移工作流标准流程中迁移阶段或步骤。 |
可选 |
主机跨区域迁移
在进行主机跨区域迁移时,所需的功能及相关权限配置,请参见表4。
|
使用场景 |
功能 |
功能说明 |
是否必选 |
权限Action |
|---|---|---|---|---|
|
主机跨区域迁移 |
项目管理 |
创建应用迁移项目 |
必选 |
需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”、“MgC MigrateAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明。 |
|
主机资源采集 |
采集需要迁移的主机信息。 |
必选 |
||
|
创建主机可用区批量迁移计划 |
创建主机跨区域迁移计划,规划主机迁移批次,配置迁移参数。 |
必选 |
||
|
选择源端待迁移主机 |
选择源端主机所在区域,并勾选需要迁移的主机。 |
必选 |
||
|
配置目的端 |
选择目的端区域以及可用区,可自动或手动配置目的端网络,自定义目的端规格。 |
可选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evs:volumes:list",
"ecs:cloudServers:list",
"vpc:vpcs:list",
"vpc:subnets:get",
"vpc:securityGroups:get",
"vpc:securityGroups:list"
}
]
} |
|
|
消息通知 |
要启用迁移参数配置中的消息通知功能需要SMN相关权限。 |
可选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic"
]
}
]
} |
|
|
创建主机跨区域迁移工作流 |
创建主机跨区域迁移工作流并执行,完成主机批量迁移。 |
必选 |
系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1。 系统自动创建的自定义策略以及包含的Action,请参见委托权限说明。 |
|
|
工作流添加后置阶段和脚本步骤 |
在迁移工作流标准流程中迁移阶段或步骤。 |
可选 |
存储迁移
在进行存储类型的资源迁移时,所需的功能及相关权限配置,请参见表5。
|
使用场景 |
功能 |
功能说明 |
是否必选 |
权限Action |
|---|---|---|---|---|
|
存储迁移 |
项目管理 |
创建应用迁移项目。 |
必选 |
需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”、“MgC MigrateAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明。 |
|
采集存储资源 |
采集需要迁移的存储资源信息。 |
必选 |
||
|
创建对象存储/文件存储迁移计划,规划存储资源迁移批次,配置迁移参数。 |
必选 |
||
|
创建目的端 |
迁移中心支持将对象存储数据迁移到弹性文件系统,也支持将文件存储数据迁移到OBS桶。请根据实际需求,提前在华为云创建目的端对象桶或弹性文件系统。 |
必选 |
创建OBS桶和弹性文件系统所需权限,请分别参考: |
|
|
迁移集群管理 |
迁移集群是专为存储工作流提供协作中的核心组件,通过集群可以创建和管理迁移节点、列举节点,部署和升级迁移插件,确保存储工作流顺利运行。 |
必选 |
需要授予IAM用户“OMS Administrator”系统策略。同时,还需要创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kps:SSHKeyPair:list",
"nat:natGateways:list",
"vpc:vpcs:list",
"vpc:subnets:get",
"ecs:cloudServerFlavors:get"
]
}
]
} |
|
|
消息通知 |
要启用消息通知功能所需的SMN相关权限。 |
可选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic",
"smn:topic:listAttributes",
"smn:topic:get"
]
}
]
} |
|
|
凭证加密 |
创建迁移计划时使用KMS密钥加密所需权限。 |
可选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:cmk:get",
"kms:cmk:list"
]
}
]
} |
|
|
文件存储批量迁移计划模板批量导入 |
通过模板批量导入源端文件存储资源。 |
可选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"obs:object:GetObject",
"obs:bucket:ListBucket",
"obs:bucket:ListAllMyBuckets"
]
}
]
} |
|
|
创建存储迁移工作流 |
通过迁移计划创建工作流,完成存储迁移。 |
必选 |
系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1。 系统自动创建的自定义策略以及包含的Action,请参见委托权限说明。 |
|
|
工作流添加后置阶段和脚本步骤 |
在迁移工作流标准流程中迁移阶段或步骤。 |
可选 |
大数据迁移
在进行大数据迁移时,所需的功能及相关权限配置,请参见表6。
|
使用场景 |
功能 |
功能说明 |
是否必选 |
权限Action |
|---|---|---|---|---|
|
大数据迁移 |
项目管理 |
创建大数据迁移项目。 |
必选 |
需要授予IAM用户“MgC DiscoveryAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明。 |
|
连接管理 |
创建源端、目的端连接。
说明:
若使用采集资源功能,则需要MRS服务的只读权限(MRS ReadOnlyAccess)和DLI服务的只读权限(DLI ReadOnlyAccess)。 |
必选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dli:queue:list",
"mrs:host:list",
]
}
]
} |
|
|
数据迁移 |
创建大数据迁移迁移任务并执行。 |
必选 |
需要授予IAM用户“MgC MigrateAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明。 |
大数据校验
在进行大数据校验时,所需的功能及相关权限配置,请参见表7。
|
使用场景 |
功能 |
功能说明 |
是否必选 |
权限Action |
|---|---|---|---|---|
|
大数据校验 |
项目管理 |
创建大数据迁移项目。 |
必选 |
需要授予IAM用户“MgC DiscoveryAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明。 |
|
连接管理 |
创建源端、目的端连接。
说明:
若使用采集资源功能,则需要MRS服务的只读权限(MRS ReadOnlyAccess)和DLI服务的只读权限(DLI ReadOnlyAccess)。 |
必选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dli:queue:list",
"mrs:host:list",
]
}
]
} |
|
|
任务管理 |
创建并执行源端、目的端对数任务,如需使用通知功能,则需要SMN通知权限,创建自定义任务对数需有OBS上传、下载权限。 |
必选 |
需要授予IAM用户“SMN FullAccess”系统策略。同时,还需要创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic"
]
}
]
} |
|
|
实例管理 |
可查看任务执行进度、导出错误表、上传错误日志等操作,上传日志需要用户有OBS上传、下载权限。 |
可选 |
创建以下自定义策略并授权给IAM用户。 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"obs:object:GetObject",
"obs:object:PutObject"
]
}
]
} |
