本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
权限管理
AWS 上的 Cloud Migration Factory 解决方案为解决方案中提供的数据和自动化功能提供了基于角色的精细访问控制,其基础是提供用户目录和身份验证引擎的 Amazon Cognito。
下表显示了构成 Cloud Migration Factory on AWS 解决方案中访问控制框架的各种元素,以及每个元素的管理位置。
| 访问控制元素 | 管理界面 | 描述 |
|---|---|---|
|
用户 |
AWS 上的 Amazon Cognito 和云迁移工厂 |
在 Amazon Cognito 中创建、删除和更新用户,可以在其中建立用户的个人资料,并在需要时进行多因素身份验证 (MFA)。在 AWS CMF 用户界面中,您只能在组中添加和删除用户。 |
|
组 |
Cloud Migration Factory on AWS |
您可以在 AWS CMF 用户界面中创建或删除组。 |
|
角色 |
Cloud Migration Factory on AWS |
角色映射到一个或多个群组,在 AWS CMF 管理部分中更改分配角色的群组。作为分配给角色的组的成员,任何用户都将被分配给映射到该角色的所有策略。 可以将一个或多个策略分配给一个角色。 |
|
策略 |
Cloud Migration Factory on AWS |
策略包含分配给该策略所适用的任何用户(通过组员身份)的详细权限。单个策略可以包括多个实体或单个实体的数据访问权限,以及在 AWS CMF 用户界面中运行自动化任务和其他操作的访问权限。当用户与 AWS CMF APIs 交互时,这些策略也适用。 |
策略
策略在 AWS 上的 Cloud Migration Factory 中提供了尽可能精细的权限,它包含了向用户提供哪些权限的任务级别定义。在策略中,可以向用户组授予两种主要的权限类型:元数据权限和自动化操作权限。元数据权限允许管理员控制组对单个架构及其属性的访问级别,并根据需要指定创建、读取、更新、 and/or 删除的权限。自动化操作权限授予用户运行特定自动化操作的权限,例如 AWS MGN 集成操作。
元数据权限
对于 AWS CMF 中的每个架构或实体,管理员可以定义允许用户访问特定属性的策略,还可以定义他们对这些属性的访问级别。创建新策略时,所有架构的默认权限均为无访问权限。首先要设置的是该级别上此策略所需的访问 item/record 级别。下表列出了可用的记录级访问权限。
| 访问级别 | 描述 |
|---|---|
|
创建 |
选中后,适用此策略的用户将能够向元数据存储中添加此类新 records/items 内容。当选择创建但不允许有其他权限时,用户将能够创建记录,并只将所需属性设置为一个值,而不考虑所选属性。 |
|
读取 |
尚未实现 选中后,用户将拥有该实体类型的所有 records/items 读取权限,如果未选中,则他们将看不到用户界面或 API 中的数据项。 |
|
更新 |
选中后,应用此策略的用户将能够更新 records/items 到元数据存储,但只能更新属性级别访问列表中指定的属性。如果选择了更新,则必须至少选择一个属性,否则保存时会显示错误。 |
|
删除 |
选中后,适用此策略的用户将能够从元数据存储中删除 records/items 此类内容。 |
角色
角色允许将一个或多个策略分配给一个或多个组。分配给角色的所有策略的组合可提供访问权限。可以根据项目或组织内的工作角色或职能来创建角色。
