文档首页/ 迁移中心 MgC/ 用户指南/ 权限管理/ 基于身份策略的IAM用户自定义权限(新版)
更新时间:2026-02-12 GMT+08:00
查看PDF
分享

基于身份策略的IAM用户自定义权限(新版)

迁移中心MgC在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对账号下的IAM用户设置不同的MgC资源权限,结合权限策略实现权限隔离。

本节介绍IAM用户在使用MgC各场景及其相应功能时需要配置的自定义权限策略。配置自定义身份策略权限的方法,请参考创建自定义身份策略并附加至主体

IAM用户委托授权权限

IAM用户在首次使用MgC的特定功能时,需要通过授予MgC创建自定义身份策略的委托权限。有关该委托授权权限的自定义身份策略,请参见表1

表1 IAM用户委托授权所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

IAM委托权限

委托授权

使用MgC部分功能时需要进行委托授权操作。

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:agencies:list",
                "iam:agencies:create",
                "iam:roles:list",
                "iam:roles:update",
                "iam:quotas:list",
                "iam:agencies:listRoles",
                "iam:agencies:grantRole",
                "iam:agencies:revokeRole",
                "iam:agencies:grantRoleOnProject",
                "iam:agencies:checkRoleOnProject"
            ]
        }
    ]
}

主机批量迁移

在进行主机批量迁移时,所需的功能及相关权限配置,请参见表2

表2 主机批量迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

主机批量迁移

项目管理

创建应用迁移项目。

必选

需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCMigrationPlanAccessPolicy”、“MGCAssessmentAccessPolicy”、“MGCWorkflowAccessPolicy”和“MGCManagementAccessPolicy”这些系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明

主机资源采集

采集需要迁移的主机信息。

必选

创建主机批量迁移计划

创建主机迁移计划,规划主机迁移批次,配置迁移参数。

必选

添加源端待迁移主机

访问资源列表权限,勾选待迁移主机。

必选

绑定已有目的端

为源端主机绑定华为云已购买的主机作为目的端。

目的端已存在时必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServers:listServerGroups",
                "deh:dedicatedHosts:list",
                "deh:dedicatedHostResourceTypes:list",
                "evs:volumes:list",
                "ims:images:list",
                "eps:enterpriseProjects:list",
                "vpc:securityGroups:get",
                "tms:predefineTags:list"
            ]
        }
    ]
}

规格评估

根据源端主机规格,系统会自动推荐在华为云与之对应的主机规格作为目的端。

通过系统自动购买目的端时必选。

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServerFlavors:get",
                "ecs:cloudServers:listServersDetails",
                "ims:images:list",
                "ims:images:get",
                "evs:volumes:list",
                "evs:types:get",
                "deh:dedicatedHosts:list",
                "deh:dedicatedHostTypes:list"
            ]
        }
    ]
}

消息通知

要启用迁移参数配置中的消息通知功能需要SMN相关权限。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:listTopic"
            ]
        }
    ]
}

创建主机批量迁移工作流

创建主机迁移工作流并执行,完成主机批量迁移。

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:vpcs:list",
                "vpc:vpcs:get",
                "vpc:subnets:get",
                "vpc:subnets:list",
                "vpc:securityGroups:get",
                "vpc:securityGroups:list",
                "eps:enterpriseProjects:list",
                "kms:cmk:list",
                "kms:cmk:get",
                "kms:dek:decrypt",
                "sms:server:migrationServer",
                "sms:server:queryServer",
                "smn:topic:listTopic",
                "smn:topic:get",
                "deh:dedicatedHosts:list",
                "deh:dedicatedHostTypes:list"

            ]
        }
    ]
}

主机迁移配额校验

检查迁移账号在目的端区域的资源配额是否满足要求。

必选

系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

工作流添加后置阶段和脚本步骤

在迁移工作流标准流程中迁移阶段或步骤。

可选

主机跨可用区批量迁移

在进行主机可用区批量迁移时,所需的功能及相关权限配置,请参见表3

表3 主机跨可用区批量迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

主机跨可用区批量迁移

项目管理

创建应用迁移项目。

必选

需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCMigrationPlanAccessPolicy”、“MGCAssessmentAccessPolicy”、“MGCWorkflowAccessPolicy”和“MGCManagementAccessPolicy”这些系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明

主机资源采集

采集需要迁移的主机信息。

必选

创建主机跨可用区批量迁移计划

创建主机迁移计划,规划主机迁移批次,配置迁移参数。

必选

选择源端可用区

选择待迁移主机所在的区域及可用区。

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:cloudServers:listServersDetails"
            ]
        }
    ]
}

配置目的端

系统默认匹配与源端主机相同规格的目的端主机。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "evs:volumes:list"
        }
    ]
}

消息通知

要启用迁移参数配置中的消息通知功能需要SMN相关权限。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:listTopic"
            ]
        }
    ]
}

创建主机跨可用区批量迁移工作流

创建主机跨可用区迁移工作流并执行,完成主机批量迁移。

必选

系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

工作流添加后置阶段和脚本步骤

在迁移工作流标准流程中迁移阶段或步骤。

可选

主机跨区域迁移

在进行主机跨区域迁移时,所需的功能及相关权限配置,请参见表4

表4 主机跨区域迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

主机跨区域迁移

项目管理

创建应用迁移项目

必选

需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCMigrationPlanAccessPolicy”、“MGCAssessmentAccessPolicy”、“MGCWorkflowAccessPolicy”和“MGCManagementAccessPolicy”这些系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明

主机资源采集

采集需要迁移的主机信息。

必选

创建主机可用区批量迁移计划

创建主机跨区域迁移计划,规划主机迁移批次,配置迁移参数。

必选

选择源端待迁移主机

选择源端主机所在区域,并勾选需要迁移的主机。

必选

配置目的端

选择目的端区域以及可用区,可自动或手动配置目的端网络,自定义目的端规格。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "evs:volumes:list",
                "ecs:cloudServers:listServersDetails",
                "vpc:vpcs:list",
                "vpc:subnets:get",
                "vpc:securityGroups:get",
                "vpc:securityGroups:list"
        }
    ]
}

消息通知

要启用迁移参数配置中的消息通知功能需要SMN相关权限。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:listTopic"
            ]
        }
    ]
}

创建主机跨区域迁移工作流

创建主机跨区域迁移工作流并执行,完成主机批量迁移。

必选

系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

工作流添加后置阶段和脚本步骤

在迁移工作流标准流程中迁移阶段或步骤。

可选

存储迁移

在进行存储类型的资源迁移时,所需的功能及相关权限配置,请参见表5

表5 存储迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

存储迁移

项目管理

创建应用迁移项目。

必选

需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCMigrationPlanAccessPolicy”、“MGCAssessmentAccessPolicy”、“MGCWorkflowAccessPolicy”和“MGCManagementAccessPolicy”这些系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明

采集存储资源

采集需要迁移的存储资源信息。

必选
  • 创建对象存储迁移计划
  • 创建文件存储迁移计划

创建对象存储/文件存储迁移计划,规划存储资源迁移批次,配置迁移参数。

必选

创建目的端

迁移中心支持将对象存储数据迁移到弹性文件系统,也支持将文件存储数据迁移到OBS桶。请根据实际需求,提前在华为云创建目的端对象桶或弹性文件系统。

必选

创建OBS桶和弹性文件系统所需权限,请分别参考:

迁移集群管理

迁移集群是专为存储工作流提供协作中的核心组件,通过集群可以创建和管理迁移节点、列举节点,部署和升级迁移插件,确保存储工作流顺利运行。

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kps:SSHKeyPair:list",
                "nat:natGateways:list",
                "vpc:vpcs:list",
                "vpc:subnets:get",
                "ecs:cloudServerFlavors:get",
                "oms:cluster:list",
                "oms:cluster:create",
                "oms:cluster:get",
                "oms:bucket:listBuckets",
                "oms:bucket:listObjects",
                "oms:task:get",
                "oms:workflowTask:showMonitoring",
                "oms:workflowTask:update",
                "oms:cluster:upgradeVersion",
                "oms:cluster:updateBaseInfo",
                "oms:node:extend",
                "oms:cluster:retry",
                "oms:cluster:delete",
                "oms:node:retry",
                "oms:node:reinstall",
                "oms:node:delete",
                "oms:cluster:updateExtendProperty",
                "oms:cluster:retryExtendProperty"
            ]
        }
    ]
}

消息通知

要启用消息通知功能所需的SMN相关权限。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:listTopic",
                "smn:topic:listAttributes",
                "smn:topic:get",
                "oms:cluster:list",
                "oms:cluster:create",
                "oms:cluster:get",
                "oms:bucket:listBuckets",
                "oms:bucket:listObjects",
                "oms:task:get",
                "oms:workflowTask:showMonitoring",
                "oms:workflowTask:update",
                "oms:cluster:upgradeVersion",
                "oms:cluster:updateBaseInfo",
                "oms:node:extend",
                "oms:cluster:retry",
                "oms:cluster:delete",
                "oms:node:retry",
                "oms:node:reinstall",
                "oms:node:delete",
                "oms:cluster:updateExtendProperty",
                "oms:cluster:retryExtendProperty"
            ]
        }
    ]
}

凭证加密

创建迁移计划时使用KMS密钥加密所需权限。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:cmk:get",
                "kms:cmk:list"
            ]
        }
    ]
}

文件存储批量迁移计划模板批量导入

通过模板批量导入源端文件存储资源。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:ListBucket",
                "obs:bucket:ListAllMyBuckets"
            ]
        }
    ]
}

创建存储迁移工作流

通过迁移计划创建工作流,完成存储迁移。

必选

系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1

系统自动创建的自定义策略以及包含的Action,请参见委托权限说明

工作流添加后置阶段和脚本步骤

在迁移工作流标准流程中迁移阶段或步骤。

可选

大数据迁移

在进行大数据迁移时,所需的功能及相关权限配置,请参见表6

表6 大数据迁移及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

大数据迁移

项目管理

创建大数据迁移项目。

必选

需要授予IAM用户“MGCManagementAccessPolicy”系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明

连接管理

创建源端、目的端连接。

说明:

若使用采集资源功能,则需要MRS服务的只读权限(MRSReadOnlyAccessPolicy)和DLI服务的只读权限(DLIReadOnlyPolicy)。

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dli:queue:list",
                "mrs:cluster:listHosts",
            ]
        }
    ]
}

数据迁移

创建大数据迁移迁移任务并执行。

必选

需要授予IAM用户“MGCBigdataAccessPolicy”系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明

大数据校验

在进行大数据校验时,所需的功能及相关权限配置,请参见表7

表7 大数据校验及其相应功能所需权限策略

使用场景

功能

功能说明

是否必选

权限Action

大数据校验

项目管理

创建大数据迁移项目。

必选

需要授予IAM用户“MGCManagementAccessPolicy”系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明

连接管理

创建源端、目的端连接。

说明:

若使用采集资源功能,则需要MRS服务的只读权限(MRSReadOnlyAccessPolicy)和DLI服务的只读权限(DLIReadOnlyPolicy)。

必选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dli:queue:list",
                "mrs:cluster:listHosts",
            ]
        }
    ]
}

任务管理

创建并执行源端、目的端对数任务,如需使用通知功能,则需要SMN通知权限,创建自定义任务对数需有OBS上传、下载权限。

必选

需要授予IAM用户“SMN FullAccess”系统身份策略。同时,还需要创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "smn:topic:listTopic"
            ]
        }
    ]
}

实例管理

可查看任务执行进度、导出错误表、上传错误日志等操作,上传日志需要用户有OBS上传、下载权限。

可选

创建以下自定义身份策略并附加给IAM用户。

{
    "Version": "5.0",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:object:PutObject"
            ]
        }
    ]
}
父主题: 权限管理

相关文档