本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
許可管理
Cloud Migration Factory on AWS 解決方案為解決方案中可用的資料和自動化函數提供精細的角色型存取控制,基礎是 Amazon Cognito,提供使用者目錄和身分驗證引擎。
下表顯示組成 AWS 上 Cloud Migration Factory 解決方案中存取控制架構的各種元素,以及管理每個元素的來源。
| 存取控制元素 | 管理界面 | 描述 |
|---|---|---|
|
使用者 |
AWS 上的 Amazon Cognito 和雲端遷移工廠 |
使用者會在 Amazon Cognito 中建立、刪除和更新,其中可建立使用者的設定檔,並視需要建立多重要素驗證 (MFA)。在 AWS CMF 使用者介面中,您只能從群組新增和移除使用者。 |
|
群組 |
AWS 上的雲端遷移工廠 |
您可以從 AWS CMF 使用者介面內建立或刪除群組。 |
|
角色 |
AWS 上的雲端遷移工廠 |
角色會對應至一或多個群組,在 AWS CMF 管理區段中變更角色指派給的群組。任何屬於指派給角色之群組成員的使用者,都會獲指派對應至該角色的所有政策。 一個或多個政策可以指派給角色。 |
|
政策 |
AWS 上的雲端遷移工廠 |
政策包含指派給政策套用的任何使用者的詳細權限 (透過群組成員資格)。單一政策可以包含多個實體或單一實體的資料存取權,以及在 AWS CMF 使用者介面中執行自動化任務和其他動作的存取權。當使用者與 AWS CMF APIs 互動時,這些政策也適用。 |
政策
政策在 AWS 上的 Cloud Migration Factory 中盡可能提供最精細的許可,其會保留為使用者提供哪些權利的任務層級定義。在政策中,有兩種主要許可類型可以授予使用者群組:中繼資料許可和自動化動作許可。中繼資料許可可讓管理員控制群組對個別結構描述及其屬性的存取層級,並視需要指定建立、讀取、更新和/或刪除的權限。自動化動作許可會授予使用者執行特定自動化動作的存取權,例如 AWS MGN 整合動作。
中繼資料許可
對於 AWS CMF 中的每個結構描述或實體,管理員可以定義一個政策,允許使用者存取特定屬性,也可以定義他們對這些屬性的存取層級。建立新政策時,所有結構描述的預設權限都是無法存取的。應該設定的第一件事是此政策在項目/記錄層級所需的存取層級。下表說明可用的記錄層級存取許可。
| 存取層級 | 描述 |
|---|---|
|
建立 |
選取時,套用此政策的使用者將能夠將此類型的新記錄/項目新增至中繼資料存放區。選取建立但不允許其他權限時,無論選取的屬性為何,使用者都能夠建立記錄,並將僅必要屬性設定為值。 |
|
讀取 |
尚未實作 選取時,使用者將有權讀取此實體類型的所有記錄/項目,如果未選取,他們將不會在 UI 或 API 中看到資料項目。 |
|
更新 |
選取時,套用此政策的使用者將能夠將此類型的記錄/項目更新至中繼資料存放區,但僅限於屬性層級存取清單中指定的屬性。選取更新時,至少必須選取一個屬性,否則儲存時會顯示錯誤。 |
|
Delete |
選取此選項時,套用此政策的使用者將能夠從中繼資料存放區刪除此類型的記錄/項目。 |
角色
角色允許將一或多個政策指派給一或多個群組。指派給角色的所有政策組合都會提供存取許可。您可以根據專案或組織內的任務角色或函數來建立角色。
