權限管理 - AWS 上的雲端移轉工廠

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

權限管理

雲端移轉工廠 AWS 解決方案針對解決方案中可用的資料和自動化功能提供精細的角色型存取控制,其基礎是 Amazon Cognito,提供使用者目錄和身份驗證引擎。

下表顯示在 AWS 上的雲端遷移工廠解決方案中構成存取控制架構的各種元素,以及每個元素的管理位置。

存取控制元素 管理介面 描述
使用者 Amazon Cognito 和雲遷移工廠 AWS 在 Amazon Cognito 中建立、刪除和更新使用者,可在其中建立使用者的設定檔以及多重要素身份驗證 (MFA) (如有需要)。在 AWS CMF 使用者界面中,您只能在群組中新增和移除使用者。
群組 雲端移轉工廠 AWS 您可以在 AWS CMF 使用者界面中建立或刪除群組。
角色 雲端移轉工廠 AWS

角色會對應至一或多個群組,變更指派角色的群組會在 AWS CMF 管理區段中執行。屬於指派給角色之群組成員的任何使用者,都會被指派對應至該角色的所有策略。

可以將一個或多個策略指派給角色。

政策 雲端移轉工廠 AWS 策略包含指派給適用策略之任何使用者的詳細權限 (透過群組成員資格)。單一原則可包含多個實體或單一實體的資料存取權限,以及在 AWS CMF 使用者介面中執行自動化工作和其他動作的存取權限。當使用者與 AWS CMF API 互動時,也會套用這些原則。

政策

原則會在 Cloud Migration Factory 中提供最精細的權限 AWS,它會保留提供給使用者哪些權限的工作層級定義。在原則中,可授與使用者群組的兩種主要權限類型:中繼資料權限自動動作權限。中繼資料權限可讓管理員控制群組對個別綱要及其屬性的存取層級,並視需要指定建立、讀取、更新和/或刪除的權限。「自動動作」權限可授與使用者執行特定自動化動作 (例如 AWS MGN 整合動作) 的存取權。

元數據權限

對於 AWS CMF 中的每個結構描述或實體,管理員可以定義策略,允許使用者存取特定屬性,並定義他們對這些屬性的存取層級。建立新原則時,所有結構描述的預設權限都是沒有存取權,首先應該設定的是項目/記錄層級此原則所需的存取層級。以下是描述可用記錄層級存取權限的表格。

存取層級 描述
建立 選取此選項時,套用此原則的使用者將能夠將此類型的新記錄/項目新增至中繼資料存放區。選取建立但不允許其他權限時,使用者將能夠建立記錄並僅將必要屬性設定為值,而不論選取的屬性為何。
讀取

尚未實施

選取時,使用者將擁有此實體類型之所有記錄/項目的讀取權限,如果未選取,則不會在 UI 或 API 中看到資料項目。

更新 選取此選項時,套用此策略的使用者將能夠將此類型的記錄/項目更新至中繼資料儲存區,但僅限於「屬性」層級存取清單中指定的屬性。選取更新時,至少必須選取一個屬性,否則儲存時會顯示錯誤。
Delete 選取此選項時,套用此原則的使用者將能夠從中繼資料存放區刪除此類型的記錄/項目。

角色

角色允許將一或多個策略指派給一或多個群組。指派給角色的所有原則組合可提供存取權限。您可以根據專案或組織內的工作角色或職能來建立角色。