如果您需要對天翼云上的主機遷移服務 （Server Migration Service），給企業中的員工設置不同的訪問權限，以達到不同員工之間的權限隔離，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM）進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助您安全的控制云服務資源的訪問。

通過IAM，您可以在帳號中給員工創建IAM用戶，并使用策略來控制對資源的訪問范圍。

如果天翼云賬號已經能滿足您的要求，不需要創建獨立的IAM用戶進行權限管理，您可以跳過本章節，不影響您使用SMS的其它功能。

SMS權限

默認情況下，天翼云賬號（管理員賬號擁有SMS遷移所需要的所有權限，使用管理員賬號進行遷移時，不需要進行授權。）創建的IAM用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操作。

SMS部署時不區分物理區域，為全局級服務。授權時，在全局項目中設置策略，訪問SMS時，不需要切換區域。

如下表所示，包括了主機遷移服務 （SMS）的所有系統角色。由于天翼云各服務之間存在業務交互關系，主機遷移服務的角色依賴其他服務的角色實現功能。因此給用戶主機遷移服務的角色時，需要同時授予依賴的角色，主機遷移服務的權限才能生效。

表 常用操作和系統策略的關系

IAM支持以下兩種形式的策略：

• 系統策略：如果IAM用戶需要擁有主機遷移服務(SMS)的所有操作權限，則為IAM用戶授予系統策略。
• 自定義策略：如果IAM用戶只需要擁有主機遷移服務(SMS)的部分操作權限，則采用自定義策略。

依賴服務的權限設置

如果IAM用戶需要在SMS Console控制臺擁有相應功能的查看或使用權限，請確認已經對該用戶所在的用戶組設置了SMS FullAccess或SMS ReadOnlyAccess策略的集群權限，再按如下下表增加依賴服務的角色或策略。

表 SMS Console依賴服務的角色或策略