基于身份策略的IAM用户自定义权限(新版)
迁移中心MgC在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对账号下的IAM用户设置不同的MgC资源权限,结合权限策略实现权限隔离。
本节介绍IAM用户在使用MgC各场景及其相应功能时需要配置的自定义权限策略。配置自定义身份策略权限的方法,请参考创建自定义身份策略并附加至主体。
在实际业务场景中,如果同一场景下需要使用多个功能,可以将这些功能所需的权限Action整合到一个自定义权限策略中,无需为每个功能单独创建自定义策略。
IAM用户委托授权权限
IAM用户在首次使用MgC的特定功能时,需要通过授予MgC创建自定义身份策略的委托权限。有关该委托授权权限的自定义身份策略,请参见表1。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| IAM委托权限 | 委托授权 | 使用MgC部分功能时需要进行委托授权操作。 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:agencies:list",
"iam:agencies:create",
"iam:roles:list",
"iam:roles:update",
"iam:roles:create",
"iam:quotas:list",
"iam:agencies:listRoles",
"iam:agencies:grantRole",
"iam:agencies:revokeRole",
"iam:agencies:grantRoleOnProject",
"iam:agencies:checkRoleOnProject"
]
}
]
} |
主机批量迁移
在进行主机批量迁移时,所需的功能及相关权限配置,请参见表2。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| 主机批量迁移 | 项目管理 | 创建应用迁移项目。 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCMigrationPlanAccessPolicy”、“MGCAssessmentAccessPolicy”、“MGCWorkflowAccessPolicy”和“MGCManagementAccessPolicy”这些系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明。 |
| 主机资源采集 | 采集需要迁移的主机信息。 | 必选 | ||
| 创建主机批量迁移计划 | 创建主机迁移计划,规划主机迁移批次,配置迁移参数。 | 必选 | ||
| 添加源端待迁移主机 | 访问资源列表权限,勾选待迁移主机。 | 必选 | ||
| 绑定已有目的端 | 为源端主机绑定华为云已购买的主机作为目的端。 | 目的端已存在时必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServerFlavors:get",
"ecs:cloudServers:listServersDetails",
"evs:volumes:list",
"ims:images:get",
"vpc:ports:get",
"vpc:securityGroups:get",
"vpc:vpcs:list",
"vpc:subnets:list"
]
}
]
} | |
| 规格评估 | 根据源端主机规格,系统会自动推荐在华为云与之对应的主机规格作为目的端。 | 通过系统自动购买目的端时必选。 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc:subnets:list",
"vpc:vpcs:list",
"vpc:securityGroups:list",
"tms:predefineTags:list",
"kms:cmk:list",
"deh:dedicatedHostTypes:list",
"deh:dedicatedHosts:list",
"ecs:availabilityZones:list",
"ecs:cloudServerFlavors:get",
"evs:types:get",
"ims:images:list",
"eps:enterpriseProjects:list",
"obs:bucket:listAllMyBuckets",
"obs:bucket:listBucket"
]
}
]
} | |
| 消息通知 | 要启用迁移参数配置中的消息通知功能需要SMN相关权限。 | 可选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic"
]
}
]
} | |
| 创建主机批量迁移工作流 | 创建主机迁移工作流并执行,完成主机批量迁移。 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc:vpcs:list",
"vpc:vpcs:get",
"vpc:subnets:get",
"vpc:subnets:list",
"vpc:securityGroups:get",
"vpc:securityGroups:list",
"eps:enterpriseProjects:list",
"kms:cmk:list",
"kms:cmk:get",
"kms:dek:decrypt",
"sms:server:migrationServer",
"sms:server:queryServer",
"smn:topic:listTopic",
"smn:topic:get",
"deh:dedicatedHosts:list",
"deh:dedicatedHostTypes:list"
]
}
]
} | |
| 主机迁移配额校验 | 检查迁移账号在目的端区域的资源配额是否满足要求。 | 必选 | 系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1。 系统自动创建的自定义策略以及包含的Action,请参见委托权限说明。 | |
| 工作流添加后置阶段和脚本步骤 | 在迁移工作流标准流程中迁移阶段或步骤。 | 可选 |
主机跨可用区批量迁移
在进行主机可用区批量迁移时,所需的功能及相关权限配置,请参见表3。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| 主机跨可用区批量迁移 | 项目管理 | 创建应用迁移项目。 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCMigrationPlanAccessPolicy”、“MGCAssessmentAccessPolicy”、“MGCWorkflowAccessPolicy”和“MGCManagementAccessPolicy”这些系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明。 |
| 主机资源采集 | 采集需要迁移的主机信息。 | 必选 | ||
| 创建主机跨可用区批量迁移计划 | 创建主机迁移计划,规划主机迁移批次,配置迁移参数。 | 必选 | ||
| 选择源端可用区 | 选择待迁移主机所在的区域及可用区。 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServers:listServersDetails",
"ecs:availabilityZones:list"
]
}
]
} | |
| 配置目的端 | 系统默认匹配与源端主机相同规格的目的端主机。 | 可选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evs:volumes:list",
"ecs:cloudServerFlavors:get",
"evs:types:get"
]
}
]
} | |
| 消息通知 | 要启用迁移参数配置中的消息通知功能需要SMN相关权限。 | 可选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic"
]
}
]
} | |
| 创建主机跨可用区批量迁移工作流 | 创建主机跨可用区迁移工作流并执行,完成主机批量迁移。 | 必选 | 系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1。 系统自动创建的自定义策略以及包含的Action,请参见委托权限说明。 | |
| 工作流添加后置阶段和脚本步骤 | 在迁移工作流标准流程中迁移阶段或步骤。 | 可选 |
主机跨区域迁移
在进行主机跨区域迁移时,所需的功能及相关权限配置,请参见表4。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| 主机跨区域迁移 | 项目管理 | 创建应用迁移项目 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCMigrationPlanAccessPolicy”、“MGCAssessmentAccessPolicy”、“MGCWorkflowAccessPolicy”和“MGCManagementAccessPolicy”这些系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明。 |
| 主机资源采集 | 采集需要迁移的主机信息。 | 必选 | ||
| 创建主机跨区域迁移计划 | 创建主机跨区域迁移计划,规划主机迁移批次,配置迁移参数。 | 必选 | ||
| 选择源端待迁移主机 | 选择源端主机所在区域,并勾选需要迁移的主机。 | 必选 | ||
| 配置目的端 | 选择目的端区域以及可用区,可自动或手动配置目的端网络,自定义目的端规格。 | 可选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"evs:volumes:list",
"ecs:cloudServers:listServersDetails",
"ecs:availabilityZones:list",
"vpc:vpcs:list",
"vpc:subnets:get",
"vpc:securityGroups:get",
"vpc:securityGroups:list"
]
}
]
} | |
| 消息通知 | 要启用迁移参数配置中的消息通知功能需要SMN相关权限。 | 可选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic"
]
}
]
} | |
| 创建主机跨区域迁移工作流 | 创建主机跨区域迁移工作流并执行,完成主机批量迁移。 | 必选 | 系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1。 系统自动创建的自定义策略以及包含的Action,请参见委托权限说明。 | |
| 工作流添加后置阶段和脚本步骤 | 在迁移工作流标准流程中迁移阶段或步骤。 | 可选 |
存储迁移
在进行存储类型的资源迁移时,所需的功能及相关权限配置,请参见表5。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| 存储迁移 | 项目管理 | 创建应用迁移项目。 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCMigrationPlanAccessPolicy”、“MGCAssessmentAccessPolicy”、“MGCWorkflowAccessPolicy”和“MGCManagementAccessPolicy”这些系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明。 |
| 采集存储资源 | 采集需要迁移的存储资源信息。 | 必选 | ||
| 创建对象存储/文件存储迁移计划,规划存储资源迁移批次,配置迁移参数。 | 必选 | ||
| 创建目的端 | 迁移中心支持将对象存储数据迁移到弹性文件系统,也支持将文件存储数据迁移到OBS桶。请根据实际需求,提前在华为云创建目的端对象桶或弹性文件系统。 | 必选 | 创建OBS桶和弹性文件系统所需权限,请分别参考: | |
| 配置目的端桶 | 配置用于接收源端桶数据的目的端桶。 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"obs:bucket:ListAllMyBuckets"
]
}
]
} | |
| 迁移集群管理 | 迁移集群是专为存储工作流提供协作中的核心组件,通过集群可以创建和管理迁移节点、列举节点,部署和升级迁移插件,确保存储工作流顺利运行。 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kps:SSHKeyPair:list",
"nat:natGateways:list",
"vpc:vpcs:list",
"vpc:subnets:get",
"ecs:cloudServerFlavors:get",
"oms:cluster:list",
"oms:cluster:create",
"oms:cluster:get",
"oms:bucket:listBuckets",
"oms:bucket:listObjects",
"oms:task:get",
"oms:workflowTask:showMonitoring",
"oms:workflowTask:update",
"oms:cluster:upgradeVersion",
"oms:cluster:updateBaseInfo",
"oms:node:extend",
"oms:cluster:retry",
"oms:cluster:delete",
"oms:node:retry",
"oms:node:reinstall",
"oms:node:delete",
"oms:cluster:updateExtendProperty",
"oms:cluster:retryExtendProperty",
"eps:enterpriseProjects:list"
]
}
]
} | |
| 创建通用存储迁移计划 | 创建通用存储迁移计划,启用消息通知功能需要SMN相关权限。 | 必选 | {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic",
"smn:topic:listAttributes",
"smn:topic:get",
"obs:bucket:listAllMyBuckets"
]
}
]
} | |
| 消息通知 | 要启用消息通知功能所需的SMN相关权限。 | 可选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic",
"smn:topic:listAttributes",
"smn:topic:get"
]
}
]
} | |
| 密钥加密 | 创建迁移计划时使用KMS密钥加密所需权限。 | 可选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:cmk:get",
"kms:cmk:list"
]
}
]
} | |
| 文件存储批量迁移计划模板批量导入 | 通过模板批量导入源端文件存储资源。 | 可选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"obs:object:GetObject",
"obs:bucket:ListBucket"
]
}
]
} | |
| 创建存储迁移工作流 | 通过迁移计划创建工作流,完成存储迁移。 | 必选 | 系统委托授权功能,使用相关功能时,系统将自动创建自定义策略,无需用户手动创建,但用户需要拥有委托授权权限,详情请参见表1。 系统自动创建的自定义策略以及包含的Action,请参见委托权限说明。 | |
| 工作流添加后置阶段和脚本步骤 | 在迁移工作流标准流程中迁移阶段或步骤。 | 可选 |
大数据迁移
在进行大数据迁移时,所需的功能及相关权限配置,请参见表6。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| 大数据迁移 | 项目管理 | 创建大数据迁移项目。 | 必选 | 需要授予IAM用户“MGCBigdataAccessPolicy”系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明。 |
| 连接管理 | 创建源端、目的端连接。 说明: 若使用采集资源功能,则需要MRS服务的只读权限(MRSReadOnlyAccessPolicy)和DLI服务的只读权限(DLIReadOnlyPolicy)。 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dli:queue:list",
"mrs:cluster:listHosts"
]
}
]
} | |
| 数据迁移 | 创建大数据迁移迁移任务并执行。 | 必选 | 需要授予IAM用户“MGCBigdataAccessPolicy”系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明。 |
大数据校验
在进行大数据校验时,所需的功能及相关权限配置,请参见表7。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| 大数据校验 | 项目管理 | 创建大数据迁移项目。 | 必选 | 需要授予IAM用户“MGCBigdataAccessPolicy”系统身份策略。有关MgC包含的系统身份策略,请参见MgC系统身份策略说明。 |
| 连接管理 | 创建源端、目的端连接。 说明: 若使用采集资源功能,则需要MRS服务的只读权限(MRSReadOnlyAccessPolicy)和DLI服务的只读权限(DLIReadOnlyPolicy)。 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dli:queue:list",
"mrs:cluster:listHosts"
]
}
]
} | |
| 任务管理 | 创建并执行源端、目的端对数任务,如需使用通知功能,则需要SMN通知权限,创建自定义任务对数需有OBS上传、下载权限。 | 必选 | 需要授予IAM用户“SMN FullAccess”系统身份策略。同时,还需要创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"smn:topic:listTopic"
]
}
]
} | |
| 实例管理 | 可查看任务执行进度、导出错误表、上传错误日志等操作,上传日志需要用户有OBS上传、下载权限。 | 可选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"obs:object:GetObject",
"obs:object:PutObject"
]
}
]
} |
采集
在进行资源采集时,所需的功能及相关权限配置,请参见资源采集及其相应功能所需权限策略。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| 云平台采集 | 项目管理 | 创建应用迁移项目 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”这些系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 |
| 在线调研-云平台采集 | 采集云平台的资源信息 | 必选 | ||
| 采集方式-凭证 | 通过凭证采集资源信息 | 必选 | ||
| 华为云云平台采集方式-委托 | 通过委托权限采集资源信息 | 必选 |
| |
| SMS主机同步 | 在线调研-SMS主机同步 | 支持将SMS采集的主机同步至MgC的资源清单 | 必选 |
|
| 内网采集 | IDC采集 | 通过网段扫描的方式发现IDC机房主机 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”这些系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 |
| VMware采集 | 依靠VMware凭证,采集vCenter上的主机、磁盘信息 | 必选 | ||
| 手工导入 | RVTools导入 | 从RVTools应用程序中导出资源列表,然后将其导入迁移中心,以获取主机资源列表信息 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”这些系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 |
| 云资源清单导入 |
| 必选 | ||
| 工具采集结果导入 | 支持通过MgC Agent采集器采集的本地资源信息的导入 | 必选 | ||
| 模板文件导入 | 通过模板的形式,批量导入资源信息,并绑定凭证 | 必选 | ||
| 问卷调研 | 项目管理 | 创建应用迁移项目 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”这些系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 |
| 架构调研-导入答复 | 导入架构调研答复文件 | 必选 | ||
| 架构调研-选择OBS桶中的答复文件 | 选择需要导入的文件,进行架构调研答复文件导入 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"obs:object:GetObject",
"obs:bucket:ListAllMyBuckets",
"obs:bucket:ListBucket"
]
}
]
} | |
| 成熟度调研 | 成熟度调研 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”这些系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 | |
| 资源列表 | 资源管理 | 查询指定迁移项目下的资源:主机、容器、数据库、中间件、大数据、网络、存储,并提供对资源的管理 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”这些系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 |
| 应用列表 | 关联资源到应用实现资源分组 | 查询指定迁移项目下的应用列表 | 必选 | 需要授予IAM用户“MGCCollectionAccessPolicy”、“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”这些系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 |
| 新建/修改应用 |
| 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:availabilityZones:list"
]
}
]
} |
评估
在进行评估时,所需的功能及相关权限配置,请参见表 评估及其相应功能所需权限策略。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| TCO分析-IDC上云成本对比 | 创建任务 | 通过输入IDC的详细信息和相关假设条件,系统将自动匹配源端IDC与华为云的对应产品及用量,并计算费用对比 | 必选 | 需要授予IAM用户“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 |
| 保存/下载/删除报告 | 保存/下载/删除费用对比报告 | 必选 | ||
| TCO分析-跨云迁移成本分析(凭证) | 创建/删除分析任务 | 依赖源端云厂商凭证,实现源端资源与目的端资源映射与成本分析,为您提供迁移成本分析报告 | 必选 |
|
| 下载账单 | 系统会从产品计费项的维度分析您指定时间段内的账单,解析出每款产品的规格、月均使用量以及月均消耗 | 必选 | ||
| 产品对比 | 在使用成本方面,系统会对指定时间内,源端云厂商使用费用和华为云使用费用进行比较 | 必选 | ||
| 查看配置 | 通过查看配置进入产品映射明细列表,在这个列表中,您可以添加、修改、删除产品和规格映射,调整程序预定义的资源映射逻辑,从而获取您真实需要的产品规格列表 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServerFlavors:get",
"evs:types:get",
"ims:images:list"
]
}
]
} | |
| 迁移旅程(旧版) | 创建/删除迁移旅程 | 针对数据库与LLM模型等复杂迁移任务,提供标准化迁移框架指导模板 | 必选 | 需要授予IAM用户“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mgc:journey:*"
]
}
]
} |
| 调研评估旅程(新版) | 创建/删除调研评估旅程 | 调研评估旅程适用于迁移前阶段,通过标准化流程完成源端环境调研、迁移评估及迁移策略分析,并最终输出迁移上云报告。在需要对多资源类型进行规模化调研评估的场景中,可以显著提高效率。 | 必选 | 需要授予IAM用户“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mgc:journey:*",
"mgc::listJourneyTemplates",
"mgc:journeyData:*",
"mgc:journeyNode:changeStatus",
"mgc::showMigrationToolAgencyPolicy"
]
}
]
} |
| 偏好设置 | 推荐目的端时优先推荐满足偏好设置要求的主机 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServerFlavors:get",
"deh:dedicatedHosts:list",
"deh:dedicatedHostTypes:list"
]
}
]
} 部分区域专属主机服务尚未开通基于身份策略的IAM用户自定义权限,需降级配置角色与策略的IAM用户自定义权限,请参考迁移旅程(新版)-偏好设置。 | |
| 重新评估 | 修改评估策略后重新进行规格评估 | 必选 | ||
| 修改资源评估结果 | 选择“自定义修改”,可以更换计费模式,产品,迁移策略和自定义设置目的端规格信息 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServerFlavors:get",
"evs:types:get",
"ims:images:list"
]
}
]
} | |
| 查看资源详情 | 在规格评估报告中,查看资源详情 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServerFlavors:get",
"vpc:vpcs:list",
"vpc:securityGroups:list",
"vpc:subnets:list"
]
}
]
} | |
| 上云规划-导入规划文件 | 导入规划文件 | 通过控制台上传迁移评估报告,上传后的文件将保存15天 | 必选 | 需要授予IAM用户“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 |
| 上云规划-目的端规格评估 | 创建/删除规格评估 | 根据源端规格,系统会自动推荐在华为云与之对应的规格作为目的端 | 必选 |
|
| 导出评估结果 | 导出评估结果 | 必选 | ||
| 跨区域、跨可用区评估 | 按应用评估,且应用的业务场景为“跨可用区迁移或跨区域迁移”,选择该策略后应用中的目的端资源将与源端规格保持一致,在源端规格不可用时将自动选择最接近的规格 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:availabilityZones:list"
]
}
]
} | |
| 偏好设置-主机 | 推荐目的端时优先推荐满足偏好设置要求的主机 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServerFlavors:get",
"deh:dedicatedHosts:list",
"deh:dedicatedHostTypes:list"
]
}
]
} 部分区域专属主机服务尚未开通基于身份策略的IAM用户自定义权限,需降级配置角色与策略的IAM用户自定义权限,请参考上云规划-目的端规格评估-偏好设置。 | |
| 重新评估 | 修改评估策略后重新进行规格评估 | 必选 | ||
| 修改资源评估结果 | 选择“自定义修改”,可以更换计费模式,产品,迁移策略和自定义设置目的端规格信息 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServerFlavors:get",
"evs:types:get",
"ims:images:list"
]
}
]
} | |
| 查看资源详情 | 在规格评估报告中,查看资源详情 | 必选 | 创建以下自定义身份策略并附加给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:cloudServerFlavors:get",
"vpc:vpcs:list",
"vpc:securityGroups:list",
"vpc:subnets:list"
]
}
]
} | |
| 上云规划-迁移风险评估 | 创建/导出/删除迁移风险评估 | 创建风险评估报告,通过风险评估,提前检查可能影响迁移的风险项 | 必选 | 需要授予IAM用户“MGCAssessmentAccessPolicy”和“MGCManagementAccessPolicy”系统策略。有关MgC包含的系统策略,请参见MgC系统身份策略说明。 |
| 上云规划-存储迁移评估 | 创建/导出/删除存储迁移评估 | 创建存储迁移评估报告,系统会自动计算迁移所需的集群规格、网络带宽和迁移成本,并给出不同的迁移方案 | 必选 | |
| 上云规划-大数据迁移评估 | 创建/导出/删除大数据迁移评估 | 创建大数据迁移评估,基于项目最佳实践,根据表的数量及变化量来评估对接集群队列需要的资源 | 必选 |
迁移旅程(新版)
迁移旅程包含的场景及相关功能所需的权限配置,请参见表10。
| 使用场景 | 功能 | 功能说明 | 是否必选 | 权限Action |
|---|---|---|---|---|
| 访问迁移旅程 | 创建迁移旅程 | 迁移旅程的基本功能 | 必选 | 创建以下自定义策略并授权给IAM用户。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mgc:journey:create",
"mgc:journey:list",
"mgc:journey:get",
"mgc:journey:update",
"mgc:journey:delete",
"mgc:journeyData:create",
"mgc:journeyData:list",
"mgc:journeyNode:delete",
"mgc:journeyNode:changeStatus",
"mgc:journeyNode:add",
"mgc:journeyNode:update",
"mgc:journeyNode:query",
"mgc:journeyNode:batchChangeStatus"
]
}
]
} |
| 查看旅程信息 | ||||
| 删除迁移旅程 | ||||
| 创建旅程节点 | ||||
| 更新节点状态 | ||||
| 批量更新节点状态 | ||||
| 插入子节点 | ||||
| 批量更新节点数据 | ||||
| 获取节点详情 | ||||
| 删除节点 |
