創建用戶并授權使用SMS

本章節為您介紹對IAM用戶授權的方法。

管理員帳號擁有SMS遷移所需要的所有權限，使用管理員帳號進行遷移時，不需要進行授權。如果您需要對您所擁有的SMS進行精細的權限管理，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM），通過IAM，您可以：

• 根據企業的業務組織，在您的天翼云帳號中，給企業中不同職能部門的員工創建IAM用戶，讓員工擁有唯一安全憑證，并使用SMS。
• 根據企業用戶的職能，設置不同的訪問權限，以達到用戶之間的權限隔離。
• 將SMS委托給更專業、高效的其他天翼云帳號或者云服務，這些帳號或者云服務可以根據權限進行代運維。

前提條件

給用戶組授權之前，請您了解用戶組可以添加的SMS權限，并結合實際需求進行選擇，SMS支持的系統權限，請參見：SMS系統權限。若您需要對除SMS之外的其它服務授權，IAM支持服務的所有權限請參見權限策略。

示例流程

操作步驟

1. 創建用戶組并授權：

   1. 系統策略：如果IAM用戶需要主機遷移服務(SMS)的所有操作權限，則為IAM用戶授予系統策略。在IAM控制臺創建用戶組，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。
   2. 自定義策略：如果IAM用戶只需要擁有主機遷移服務(SMS)的部分操作權限，則使用自定義策略。自定義策略相比于系統策略，粒度更細，更安全。

2. 創建用戶并加入用戶組，在IAM控制臺創建用戶，并將其加入步驟1中創建的用戶組。

3. 用戶登錄并驗證權限，新創建的用戶登錄控制臺，切換至授權區域，驗證權限：

• 在“服務列表”中選擇“遷移>主機遷移服務”，進入主機遷移服務界面，在遷移服務器列表頁面找到待遷移的服務器，在“目的端”列下單擊“設置目的端”，設置目的端服務器。若可以設置目的端服務器，表示授予的權限已生效。
• 在“服務列表”中選擇除主機遷移服務和依賴服務外的任一服務，若提示權限不足，表示授予的權限已生效。

SMS自定義策略

目前天翼云支持以下兩種方式創建自定義權限策略：

• 可視化視圖創建自定義策略：無需了解策略語法，按可視化視圖導航欄選擇云服務、操作、資源、條件等策略內容，可自動生成策略。
• JSON視圖創建自定義策略：可以在選擇策略模板后，根據具體需求編輯策略內容；也可以直接在編輯框內編寫JSON格式的策略內容。

如果需要將主機遷移至企業項目，請參見企業項目進行權限配置。

SMS自定義策略樣例如下。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "vpc:securityGroups:create", 
                "vpc:securityGroupRules:create", 
                "vpc:vpcs:create", 
                "vpc:publicIps:create", 
                "vpc:subnets:create", 
                "ecs:cloudServers:create", 
                "ecs:cloudServers:attach", 
                "ecs:cloudServers:detachVolume", 
                "ecs:cloudServers:start", 
                "ecs:cloudServers:stop", 
                "ecs:cloudServers:delete", 
                "ecs:cloudServers:reboot", 
                "ecs:cloudServers:updateMetadata", 
                "ecs:serverPasswords:manage", 
                "ecs:serverKeypairs:delete", 
                "ecs:diskConfigs:use", 
                "ecs:CloudServers:create", 
                "ecs:servers:setMetadata", 
                "ecs:serverVolumes:use", 
                "ecs:serverKeypairs:create", 
                "ecs:serverInterfaces:use", 
                "ecs:serverGroups:manage", 
                "ecs:securityGroups:use", 
                "ecs:servers:unlock", 
                "ecs:servers:rebuild", 
                "ecs:servers:lock", 
                "ecs:servers:reboot", 
                "evs:volumes:use", 
                "evs:volumes:create", 
                "evs:volumes:update", 
                "evs:volumes:delete", 
                "evs:volumes:attach", 
                "evs:volumes:detach", 
                "evs:snapshots:create", 
                "evs:snapshots:delete", 
                "evs:snapshots:rollback", 
                "ecs:*:get*", 
                "ecs:*:list*", 
                "evs:*:get*", 
                "evs:*:list*", 
                "vpc:*:list*", 
                "vpc:*:get*", 
                "ims:*:get*", 
                "ims:*:list*" 
            ], 
            "Effect": "Allow" 
        } 
    ] 
}

SMS策略權限說明參見下表