文档首页/ 迁移中心 MgC/ 用户指南/ 权限管理/ 基于角色与策略的IAM用户自定义权限
更新时间:2026-07-02 GMT+08:00
分享

基于角色与策略的IAM用户自定义权限

迁移中心MgC在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对账号下的IAM用户设置不同的MgC资源权限,结合权限策略实现权限隔离。

本节介绍IAM用户在使用MgC各场景及其相应功能时需要配置的自定义权限策略。配置自定义策略权限的方法,请参考创建自定义策略

在实际业务场景中,如果同一场景下需要使用多个功能,可以将这些功能所需的权限Action整合到一个自定义权限策略中,无需为每个功能单独创建自定义策略。

IAM用户委托授权权限

IAM用户在首次使用MgC的特定功能时,需要通过授予MgC创建自定义策略的委托权限。有关该委托授权权限的自定义策略,请参见表1

表1 IAM用户委托授权所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

IAM委托权限

委托授权

使用MgC部分功能时需要进行委托授权操作。

必选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:agencies:listAgencies",
                "iam:agencies:createAgency",
                "iam:roles:listRoles",
                "iam:roles:updateRole",
                "iam:quotas:listQuotas",
                "iam:roles:createRole",
                "iam:permissions:listRolesForAgency",
                "iam:permissions:grantRoleToAgency",
                "iam:permissions:revokeRoleFromAgency",
                "iam:permissions:grantRoleToAgencyOnProject",
                "iam:permissions:checkRoleForAgencyOnProject"
            ]
        }
    ]
}

主机批量迁移

在进行主机批量迁移时,所需的功能及相关权限配置,请参见表2

表2 主机批量迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

主机批量迁移

项目管理

创建应用迁移项目。

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”、“MgC MigrateAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

主机资源采集

采集需要迁移的主机信息。

必选

创建主机批量迁移计划

创建主机迁移计划,规划主机迁移批次,配置迁移参数。

必选

添加源端待迁移主机

访问资源列表权限,勾选待迁移主机。

必选

绑定已有目的端

为源端主机绑定华为云已购买的主机作为目的端。

目的端已存在时必选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "ecs:cloudServers:listServersDetails",
                "vpc:securityGroups:get",
                "vpc:vpcs:list",
                "vpc:subnets:get",
                "evs:volumes:list",
                "ims:images:get"
            ]
        }
    ]
}

规格评估

根据源端主机规格,系统会自动推荐在华为云与之对应的主机规格作为目的端。

通过系统自动购买目的端时必选。

分别创建以下两个自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "ecs:availabilityZones:list",
                "vpc:securityGroups:get",
                "vpc:subnets:get",
                "vpc:vpcs:list",
                "kms:cmk:list",
                "deh:dedicatedHosts:list",
                "deh:dedicatedHostTypes:list",
                "evs:types:get",
                "ims:images:list"
            ]
        }
    ]
}
{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "tms:predefineTags:list"
            ]
        }
    ]
}

消息通知

要启用迁移参数配置中的消息通知功能需要SMN相关权限。

可选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:list"
            ]
        }
    ]
}

创建主机批量迁移工作流

创建主机迁移工作流并执行,完成主机批量迁移。

必选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:vpcs:list",
                "vpc:vpcs:get",
                "vpc:subnets:get",
                "vpc:securityGroups:get",
                "eps:enterpriseProjects:list",
                "eps:enterpriseProjects:get",
                "kms:cmk:list",
                "kms:cmk:get",
                "kms:dek:create",
                "kms:dek:decrypt",
                "sms:server:migrationServer",
                "sms:server:queryServer",
                "smn:topic:list"
            ]
        }
    ]
}

主机迁移配额校验

检查迁移账号在目的端区域的资源配额是否满足要求。

必选

系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

工作流添加后置阶段和脚本步骤

在迁移工作流标准流程中迁移阶段或步骤。

可选

主机跨可用区批量迁移

在进行主机可用区批量迁移时,所需的功能及相关权限配置,请参见表3

表3 主机跨可用区批量迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

主机跨可用区批量迁移

项目管理

创建应用迁移项目。

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”、“MgC MigrateAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

主机资源采集

采集需要迁移的主机信息。

必选

创建主机跨可用区批量迁移计划

创建主机迁移计划,规划主机迁移批次,配置迁移参数。

必选

选择源端可用区

选择待迁移主机所在的区域及可用区。

必选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "ecs:availabilityZones:list"
            ]
        }
    ]
}

配置目的端

系统默认匹配与源端主机相同规格的目的端主机。

可选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "evs:types:get"
        }
    ]
}

消息通知

要启用迁移参数配置中的消息通知功能需要SMN相关权限。

可选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:list"
            ]
        }
    ]
}

创建主机跨可用区批量迁移工作流

创建主机跨可用区迁移工作流并执行,完成主机批量迁移。

必选

系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

工作流添加后置阶段和脚本步骤

在迁移工作流标准流程中迁移阶段或步骤。

可选

主机跨区域迁移

在进行主机跨区域迁移时,所需的功能及相关权限配置,请参见表4

表4 主机跨区域迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

主机跨区域迁移

项目管理

创建应用迁移项目

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”、“MgC MigrateAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

主机资源采集

采集需要迁移的主机信息。

必选

创建主机跨区域批量迁移计划

创建主机跨区域迁移计划,规划主机迁移批次,配置迁移参数。

必选

选择源端待迁移主机

选择源端主机所在区域,并勾选需要迁移的主机。

必选

配置目的端

选择目的端区域以及可用区,可自动或手动配置目的端网络,自定义目的端规格。

可选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:vpcs:list",
                "vpc:subnets:get",
                "vpc:securityGroups:get",
                "ecs:availabilityZones:list",
                "ecs:cloudServerFlavors:get",
                "evs:types:get"
            ]
        }
    ]
}

消息通知

要启用迁移参数配置中的消息通知功能需要SMN相关权限。

可选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:list"
            ]
        }
    ]
}

创建主机跨区域迁移工作流

创建主机跨区域迁移工作流并执行,完成主机批量迁移。

必选

系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

工作流添加后置阶段和脚本步骤

在迁移工作流标准流程中迁移阶段或步骤。

可选

存储迁移

在进行存储类型的资源迁移时,所需的功能及相关权限配置,请参见表5

表5 存储迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

存储迁移

项目管理

创建应用迁移项目。

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”、“MgC MigrateAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

采集存储资源

采集需要迁移的存储资源信息。

必选

  • 创建对象存储批量迁移计划
  • 创建文件存储批量迁移计划
  • 创建对象存储跨区域批量迁移计划

创建对象存储/文件存储/对象存储跨区域批量迁移计划,规划存储资源迁移批次,配置迁移参数。

必选

创建目的端

迁移中心支持将对象存储数据迁移到弹性文件系统,也支持将文件存储数据迁移到OBS桶。请根据实际需求,提前在华为云创建目的端对象桶或弹性文件系统。

必选

创建OBS桶和弹性文件系统所需权限,请分别参考:

迁移集群管理

迁移集群是专为存储工作流提供协作中的核心组件,通过集群可以创建和管理迁移节点、列举节点,部署和升级迁移插件,确保存储工作流顺利运行。

必选

需要授予IAM用户“OMS Administrator”系统策略。同时,还需要创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kps:domainKeypairs:list",
                "nat:natGateways:list",
                "vpc:vpcs:list",
                "vpc:subnets:get",
                "ecs:cloudServerFlavors:get"
            ]
        }
    ]
}

消息通知

要启用消息通知功能所需的SMN相关权限。

可选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:list"
            ]
        }
    ]
}

凭证加密

创建迁移计划时使用KMS密钥加密所需权限。

可选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:cmk:get",
                "kms:cmk:list"
            ]
        }
    ]
}

文件存储批量迁移计划模板批量导入

通过模板批量导入源端文件存储资源。

可选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:ListBucket",
                "obs:bucket:ListAllMyBuckets"
            ]
        }
    ]
}

创建存储迁移工作流

通过迁移计划创建工作流,完成存储迁移。

必选

系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

工作流添加后置阶段和脚本步骤

在迁移工作流标准流程中迁移阶段或步骤。

可选

大数据迁移

在进行大数据迁移时,所需的功能及相关权限配置,请参见表6

表6 大数据迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

大数据迁移

项目管理

创建大数据迁移项目。

必选

需要授予IAM用户“MgC MigrateAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

连接管理

创建源端、目的端连接。

说明:

若使用采集资源功能,则需要MRS服务的只读权限(MRS ReadOnlyAccess)和DLI服务的只读权限(DLI ReadOnlyAccess)。

必选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dli:resource:listAllResource",
                "mrs:host:list"
            ]
        }
    ]
}

数据迁移

创建大数据迁移迁移任务并执行。

必选

需要授予IAM用户“MgC MigrateAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

大数据校验

在进行大数据校验时,所需的功能及相关权限配置,请参见表7

表7 大数据校验及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

大数据校验

项目管理

创建大数据迁移项目。

必选

需要授予IAM用户“MgC MigrateAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

连接管理

创建源端、目的端连接。

说明:

若使用采集资源功能,则需要MRS服务的只读权限(MRS ReadOnlyAccess)和DLI服务的只读权限(DLI ReadOnlyAccess)。

必选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dli:queue:list",
                "mrs:host:list"
            ]
        }
    ]
}

任务管理

创建并执行源端、目的端对数任务,如需使用通知功能,则需要SMN通知权限,创建自定义任务对数需有OBS上传、下载权限。

必选

需要授予IAM用户“SMN FullAccess”系统策略。同时,还需要创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:list"
            ]
        }
    ]
}

实例管理

可查看任务执行进度、导出错误表、上传错误日志等操作,上传日志需要用户有OBS上传、下载权限。

可选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:object:PutObject"
            ]
        }
    ]
}

采集

在进行资源采集时,所需的功能及相关权限配置,请参见资源采集及其相应功能所需权限策略

表8 资源采集及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

云平台采集

项目管理

创建应用迁移项目

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

在线调研-云平台采集

采集云平台的资源信息

必选

在线调研-SMS主机同步

支持将SMS采集的主机同步至MgC的资源清单

必选

采集方式-凭证

通过凭证采集资源信息

必选

华为云云平台采集方式-委托

通过委托权限采集资源信息

必选

  • 需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明
  • 系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

    系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

SMS主机同步

在线调研-SMS主机同步

支持将SMS采集的主机同步至MgC的资源清单

必选

  • 需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明
  • 系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

    系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

内网采集

IDC采集

通过网段扫描的方式发现IDC机房主机

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

VMware采集

依靠VMware凭证,采集vCenter上的主机、磁盘信息

必选

手工导入

RVTools导入

从RVTools应用程序中导出资源列表,然后将其导入迁移中心,以获取主机资源列表信息

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

云资源清单导入

  1. 支持阿里云的资源管理服务导出件(全部资源)
  2. 支持Azure的资源管理服务导出件(全部资源)

必选

工具采集结果导入

支持通过MgC Agent采集器采集的本地资源信息的导入

必选

模板文件导入

通过模板的形式,批量导入资源信息,并绑定凭证

必选

问卷调研

项目管理

创建应用迁移项目

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

架构调研-导入答复

导入架构调研答复文件

必选

架构调研-选择OBS桶中的答复文件

选择需要导入的文件,进行架构调研答复文件导入

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket"
            ]
        }
    ]
}

成熟度调研

成熟度调研

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

资源列表

资源管理

查询指定迁移项目下的资源:主机、容器、数据库、中间件、大数据、网络、存储,并提供对资源的管理

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

应用列表

关联资源到应用实现资源分组

查询指定迁移项目下的应用列表

必选

需要授予IAM用户“MgC DiscoveryAccess”、“MgC AppDiscoveryAccess”和“MgC AssessAccess”这些系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

新建/修改应用

  1. 业务场景-云内迁移-跨可用区迁移
  2. 业务场景-云内迁移-跨区域迁移

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:availabilityZones:list"
            ]
        }
    ]
}

评估

在进行评估时,所需的功能及相关权限配置,请参见表9

表9 评估及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

TCO分析-IDC上云成本对比

创建任务

通过输入IDC的详细信息和相关假设条件,系统将自动匹配源端IDC与华为云的对应产品及用量,并计算费用对比

必选

需要授予IAM用户“MgC AssessAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

保存/下载/删除报告

保存/下载/删除费用对比报告

必选

TCO分析-跨云迁移成本分析(凭证)

创建/删除分析任务

依赖源端云厂商凭证,实现源端资源与目的端资源映射与成本分析,为您提供迁移成本分析报告

必选

  • 需要授予IAM用户“MgC AssessAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明
  • 系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

    系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

下载账单

系统会从产品计费项的维度分析您指定时间段内的账单,解析出每款产品的规格、月均使用量以及月均消耗

必选

产品对比

在使用成本方面,系统会对指定时间内,源端云厂商使用费用和华为云使用费用进行比较

必选

查看配置

通过查看配置进入产品映射明细列表,在这个列表中,您可以添加、修改、删除产品和规格映射,调整程序预定义的资源映射逻辑,从而获取您真实需要的产品规格列表

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "evs:types:get",
                "ims:images:list"
            ]
        }
    ]
}

迁移旅程(旧版)

创建/删除迁移旅程

针对数据库与LLM模型等复杂迁移任务,提供标准化迁移框架指导模板

必选

需要授予IAM用户“MgC AssessAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

调研评估旅程(新版)

创建/删除调研评估旅程

调研评估旅程适用于迁移前阶段,通过标准化流程完成源端环境调研、迁移评估及迁移策略分析,并最终输出迁移上云报告。在需要对多资源类型进行规模化调研评估的场景中,可以显著提高效率。

必选

  • 需要授予IAM用户“MgC AssessAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明
  • 系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

    系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "mgc:journey:*",
                "mgc::listJourneyTemplates",
                "mgc:journeyData:*",
                "mgc:journeyNode:changeStatus"
            ]
        }
    ]
}

偏好设置

推荐目的端时优先推荐满足偏好设置要求的主机

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "deh:dedicatedHostTypes:list",
                "deh:dedicatedHosts:list",
                "deh:dedicatedHostResourceTypes:list",
                "deh:dedicatedHostResourcesType:get"
            ]
        }
    ]
}

重新评估

修改评估策略后重新进行规格评估

必选

修改资源评估结果

选择“自定义修改”,可以更换计费模式,产品,迁移策略和自定义设置目的端规格信息

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "evs:types:get",
                "ims:images:list"
            ]
        }
    ]
}

查看资源详情

在规格评估报告中,查看资源详情

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "vpc:vpcs:list",
                "vpc:securityGroups:get",
                "vpc:subnets:get"
            ]
        }
    ]
}

上云规划-导入规划文件

导入规划文件

通过控制台上传迁移评估报告,上传后的文件将保存15天

必选

需要授予IAM用户“MgC AssessAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

上云规划-目的端规格评估

创建/删除规格评估

根据源端规格,系统会自动推荐在华为云与之对应的规格作为目的端

必选

  • 需要授予IAM用户“MgC AssessAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明
  • 系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

    系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

导出评估结果

导出评估结果

必选

跨区域、跨可用区评估

按应用评估,且应用的业务场景为“跨可用区迁移或跨区域迁移”,选择该策略后应用中的目的端资源将与源端规格保持一致,在源端规格不可用时将自动选择最接近的规格

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:availabilityZones:list"
            ]
        }
    ]
}

偏好设置-主机

推荐目的端时优先推荐满足偏好设置要求的主机

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "deh:dedicatedHostTypes:list",
                "deh:dedicatedHosts:list",
                "deh:dedicatedHostResourceTypes:list",
                "deh:dedicatedHostResourcesType:get"
            ]
        }
    ]
}

重新评估

修改评估策略后重新进行规格评估

必选

修改资源评估结果

选择“自定义修改”,可以更换计费模式,产品,迁移策略和自定义设置目的端规格信息

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "evs:types:get",
                "ims:images:list"
            ]
        }
    ]
}

查看资源详情

在规格评估报告中,查看资源详情

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "vpc:vpcs:list",
                "vpc:securityGroups:get",
                "vpc:subnets:get"
            ]
        }
    ]
}

上云规划-迁移风险评估

创建/导出/删除迁移风险评估

创建风险评估报告,通过风险评估,提前检查可能影响迁移的风险项

必选

需要授予IAM用户“MgC AssessAccess”系统策略。有关MgC包含的系统策略,请参见MgC系统策略说明

上云规划-存储迁移评估

创建/导出/删除存储迁移评估

创建存储迁移评估报告,系统会自动计算迁移所需的集群规格、网络带宽和迁移成本,并给出不同的迁移方案

必选

上云规划-大数据迁移评估

创建/导出/删除大数据迁移评估

创建大数据迁移评估,基于项目最佳实践,根据表的数量及变化量来评估对接集群队列需要的资源

必选

迁移旅程(新版)

迁移旅程包含的场景及相关功能所需的权限配置,请参见表10

表10 迁移旅程相关场景及权限配置

使用场景

功能

功能说明

是否必选

权限Action

访问迁移旅程

创建迁移旅程

迁移旅程的基本功能

必选

创建以下自定义策略并授权给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "mgc:journey:create",
                "mgc:journey:list",
                "mgc:journey:get",
                "mgc:journey:update",
                "mgc:journey:delete",
                "mgc:journeyData:create",
                "mgc:journeyData:list",
                "mgc:journeyNode:delete",
                "mgc:journeyNode:changeStatus",
                "mgc:journeyNode:add",
                "mgc:journeyNode:update",
                "mgc:journeyNode:query",
                "mgc:journeyNode:batchChangeStatus"
            ]
        }
    ]
}

查看旅程信息

删除迁移旅程

创建旅程节点

更新节点状态

批量更新节点状态

插入子节点

批量更新节点数据

获取节点详情

删除节点

创建标准存储迁移旅程

独享集群迁移

用户自行搭建的专用集群,可提供更高的灵活性与控制力。

必选

首先需要授予IAM用户“OMS Administrator”系统策略。然后创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kps:domainKeypairs:list",
                "nat:natGateways:list",
                "vpc:vpcs:list",
                "vpc:subnets:get",
                "ecs:cloudServerFlavors:get"
            ]
        }
    ]
}

系统会自动创建OMS ObsMigrationAgencyPolicy

和ECS ObsMigrationAgencyPolicy自定义策略,策略包含的Action,请参见委托权限说明

独享集群迁移-集群管理

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oms:workflowTask:create",
                "oms:workflowTask:list",
                "oms:workflowTask:get",
                "oms:workflowTask:delete",
                "oms:workflowTask:showMonitoring",
                "oms:workflowTask:start",
                "oms:workflowTask:pause",
                "oms:workflowTask:listJourneySummary",
                "oms:workflowTask:listTaskJourneyReport",
                "oms:workflowTask:update",
                "oms:journey:save",
                "oms:journey:get",
                "oms:journey:finish",
                "oms:bucket:listBuckets"
            ]
        }
    ]
}

系统会自动创建OMS AgencyOperator、MgC QueryKMSKeyAgencyPolicy、OMS EncryptCredentialAgencyPolicy和MgC ExecuteScriptAgencyPolicy自定义策略,策略包含的Action,请参见委托权限说明

凭据管理-创建/查询凭据

凭据用于验证身份和授权访问的证明信息。是确保只有授权用户才能访问系统、资源或服务的关键机制。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oms:credential:save",
                "oms:credential:list"
            ]
        }
    ]
}

系统会自动创建oms_trust_agency_to_csms自定义策略,策略包含的Action,请参见委托权限说明

相关文档