通过IAM身份策略授予使用MgC的权限(新版)
如果您需要对您所拥有的MgC进行身份策略的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以:
- 根据企业的业务组织,在您的华为云账号中,给企业中不同职能部门的员工创建用户或用户组,让员工拥有唯一安全凭证,并使用MgC资源。
- 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
- 将MgC资源委托给更专业、高效的其他华为云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
如果华为云账号已经能满足您的要求,您可以跳过本章节,不影响您使用MgC服务的其它功能。
本章节为您介绍基于策略授权的授权方法,操作流程如图1所示。
前提条件
在授权操作前,请您了解可以添加的MgC权限,并结合实际需求进行选择。MgC支持的系统策略,请参见身份策略权限管理的MgC系统策略。若您需要对除MgC之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。
示例流程
- 创建用户或创建用户组
在IAM控制台创建用户或用户组。
- 将身份策略附加至用户或用户组 需要同时为用户或用户组附加“系统身份策略”和“自定义身份策略”。
两种策略类型的授权范围方案均选择“所有资源”。
- 系统身份策略:迁移中心包含的系统身份策略参见表1,请根据实际的权限需求选择为用户组附加的系统身份策略。
表1 MgC系统身份策略 系统身份策略名称
描述
策略类别
MGCFullAccessPolicy
迁移中心服务的所有权限策略。
系统身份策略
MGCReadOnlyPolicy
迁移中心服务的只读权限。
系统身份策略
MGCCollectionAccessPolicy
迁移中心服务资源采集的权限。
系统身份策略
MGCAssessmentAccessPolicy
迁移中心服务评估的权限。
系统身份策略
MGCManagementAccessPolicy
迁移中心服务迁移配置管理的权限。
系统身份策略
MGCWorkflowAccessPolicy
迁移中心服务迁移工作流的权限。
系统身份策略
MGCMigrationPlanAccessPolicy
迁移中心服务迁移计划的权限。
系统身份策略
MGCBigdataAccessPolicy
迁移中心服务大数据的权限。
系统身份策略
MGCJourneyAccessPolicy
迁移中心服务迁移旅程的权限。
系统身份策略
- 自定义身份策略:自定义身份策略作为系统身份策略的扩展和补充,提供了更为精细的权限控制。请您根据实际业务场景,创建相应功能的自定义身份策略并附加给用户组。迁移中心各场景及其功能所需的授权项请参见3.1.2.4-基于身份策略的IAM用户自定义权限(新版)。创建方法请参考创建自定义身份策略并附加至主体。
- 系统身份策略:迁移中心包含的系统身份策略参见表1,请根据实际的权限需求选择为用户组附加的系统身份策略。
- 用户登录并验证权限
使用已授权的用户登录控制台,验证权限:
- 在“服务列表”中选择迁移中心 MgC,进入MgC主界面,根据您授予的权限可以进行对应操作,表示授予的权限已生效。
- 在“服务列表”中选择除迁移中心 MgC外的任一服务,若提示权限不足,表示授予的权限已生效。
MgC自定义身份策略样例
如果系统预置的MgC系统策略,不满足您的授权要求,可以创建自定义身份策略。
目前华为云支持以下两种方式创建自定义身份策略:
- 可视化视图创建自定义身份策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
- JSON视图创建自定义身份策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见:创建自定义身份策略并附加至主体。
您可以在创建自定义身份策略时,可以通过资源类型(Resource)元素来选择特定资源,以及服务级条件键(Condition)元素来控制策略何时生效。下面为您介绍常用的MgC自定义身份策略样例。使用MgC不同功能时,IAM用户需要配置的权限请参考IAM用户自定义权限配置说明。
- 示例1:创建/删除迁移项目。
{ "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "mgc:project:create", "mgc:project:delete" ] } ] }
- 示例2:创建/删除工作流。
{ "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "mgc:workflow:create", "mgc:workflow:delete" ] } ] }
