Azure Migrate 是一个统一的迁移平台,可让客户发现、评估和迁移各种工作负载,包括服务器、数据库和 Web 应用。 典型的客户的迁移旅程包括三 个阶段:发现工作负载的“决定”阶段、计划阶段以评估工作负荷的 Azure 就绪情况、适当调整 Azure 目标大小和执行阶段以迁移和现代化工作负荷。 本文介绍如何实现 Azure 基于角色的访问控制,以使用内置角色在 Azure Migrate 中授予最低特权 Azure 访问权限。 内置角色有目的地映射到“决定”、“计划和执行”阶段,因此用户只有迁移旅程的该阶段所需的权限。
使用内置角色可以强制实施最低特权原则、授予精细访问权限并确保符合法规要求。 建议通过分配内置角色,而不是在订阅或资源组级别授予用户广泛的所有者或参与者访问权限。
Azure Migrate 服务的内置角色
| S.no。 | 内置角色 | Description | ID | Scope |
|---|---|---|---|---|
| 1 | Azure Migrate 所有者 | 授予创建和管理 Azure Migrate 项目的完全访问权限,包括基于设备或导入的发现、业务案例的创建、迁移的评估和执行;此外,还授予在 Azure Role-Based 访问控制(或 RBAC)中分配 Azure Migrate 特定角色的能力。 | fd8ea4d5-6509-4db0-bada-356ab233b4fa | 范围是创建 Azure Migrate 项目的资源组或订阅。 |
| 2 | Azure Migrate 策略规划专家 | 授予对 Azure Migrate 项目的受限访问权限,仅可进行规划操作,包括工具或基于导入的发现、管理资产清单、识别服务器依赖项、创建业务案例、应用程序及评估报告。 | 7859c0b0-0bb9-4994-bd12-cd529af7d646 | 范围是创建 Azure Migrate 项目的资源组或订阅。 |
| 3 | Azure Migrate 执行专家 | 授予 对 Azure Migrate 项目的受限访问权限 ,以仅执行 迁移相关作,包括复制、测试迁移的执行、跟踪和监视迁移进度,以及启动无代理和基于代理的迁移。 | 1cfa4eac-9a23-481c-a793-bfb6958e836b | 在其中创建 Azure Migrate 项目的源资源组或订阅;将服务器和工作负荷迁移到 的目标资源组或订阅 。 |
Azure Migrate 所有者
Azure Migrate 所有者角色提供更广泛的权限,用于在所有迁移步骤(决定、计划和执行)中执行端到端操作。 用户必须是 Azure Migrate 所有者或更高特权角色的一部分才能创建 Azure Migrate 项目。
Scope
在其中创建 Azure Migrate 项目的资源组或订阅。
角色分配
具有 Azure Migrate 所有者角色的用户可以为其他用户或组分配或删除 Azure Migrate 决定和计划专家和 Azure Migrate 执行专家角色 。 该角色不授予分配或删除非 Azure Migrate 内置角色的权限。
Azure Migrate 策略规划专家
Azure Migrate“决定”和“计划”专家角色仅提供有限的权限,用于在“决定”和“计划”阶段执行特定操作。 该角色包括使用设备或清单导入来发现 IT 资产、管理并查看已发现的清单、识别服务器依赖项、创建业务案例、波形和评估报告的权限。 该角色不授予创建 Migrate 项目或执行角色分配的权限。
Scope
在其中创建 Azure Migrate 项目的资源组或订阅。
Azure Migrate 执行专家
Azure Migrate 执行专家角色提供有限权限,仅允许在迁移过程的执行阶段执行特定操作。 该角色包括执行迁移相关作的权限,包括复制、执行波形、执行测试迁移、执行无代理和基于代理的迁移,以及跟踪和监视迁移进度。该角色不授予创建 Migrate 项目或执行角色分配的权限。
Scope
Azure Migrate 项目所设置的源资源组或订阅。 如果迁移目标位于不同的资源组或订阅中,请分配目标资源组或将服务器和工作负荷迁移到的订阅中的角色。
每个用户角色被允许的操作
| Operations | Azure Migrate 所有者 | Azure Migrate 策略规划专家 | Azure Migrate 执行专家 |
|---|---|---|---|
| 创建、管理和删除 Migrate 项目 | 是的 | 否 | 否 |
| 生成项目密钥 | 是的 | 是的 | 否 |
| 部署 VMware、Hyper-V、物理或 Azure Site Recovery 设备进行发现 | 是的 | 是的 | 否 |
| 注册迁移设备* | 是的 | 是的 | 否 |
| 使用清单导入进行发现 | 是的 | 是的 | 否 |
| 浏览清单 | 是的 | 是的 | 是的 |
| 查看、添加和导入标记 | 是的 | 是的 | 是的 |
| 查看和导出服务器依赖项 | 是的 | 是的 | 是的 |
| 查看安全见解 | 是的 | 是的 | 否 |
| 创建业务案例 | 是的 | 是的 | 否 |
| 查看和导出业务案例 | 是的 | 是的 | 是的 |
| 创建评估报告 | 是的 | 是的 | 否 |
| 查看和导出评估报告 | 是的 | 是的 | 是的 |
| 创建波形 | 是的 | 是的 | 是的 |
| 查看和管理波形 | 是的 | 是的 | 是的 |
| 执行波形 | 是的 | 否 | 是的 |
| 执行复制 | 是的 | 否 | 是的 |
| 测试迁移 | 是的 | 否 | 是的 |
| 执行无代理迁移和基于代理的迁移 | 是的 | 否 | 是的 |
| 创建支持事件 | 是的 | 是的 | 是的 |
注释
若要注册 Azure Migrate 设备或 ASR 复制设备,用户必须在 Microsoft Entra ID 级别具有额外的 应用程序开发人员角色。
角色分配和访问管理
本部分介绍如何通过分配 Azure Migrate 内置角色授予对用户的访问权限。 订阅或资源组所有者可以将 Azure Migrate 所有者角色分配给创建和管理 Azure Migrate 项目的用户。 然后,具有 Azure Migrate 所有者角色的用户可以将 Azure Migrate 决定和计划专家和 Azure Migrate 执行专家角色分配给其他用户或用户组。
分配 Azure Migrate 所有者
选择在其中创建 Migrate 项目的资源组。
在导航菜单中,选择“访问控制”(IAM)
选择“添加 > 角色分配”
在“特权管理员角色”选项卡上,选择“Azure Migrate 所有者”角色。
在“成员”选项卡上,选择用户或组。
选择首选分配类型和持续时间。 建议的方法是选择合格的类型和有时间限制的分配持续时间。
选择下一步并查看 + 分配以完成角色分配。
分配“决定和计划专家”角色以及“执行专家”角色
Azure Migrate 所有者可以向用户分配 Azure Migrate 决定和计划专家 和 Azure Migrate 执行专家 的角色。
选择将迁移项目设置在其中的资源组。
在导航菜单中,选择“访问控制”(IAM)
选择“添加 > 角色分配”
选择要分配的角色。 Azure Migrate 决定和计划专家角色和 Azure Migrate 执行专家角色显示在“作业功能”角色下。
选择角色后,在“成员”选项卡上,选择用户或组。
选择首选分配类型和持续时间。 建议的方法是选择合格的类型和有时间限制的分配持续时间。
选择下一步并查看 + 分配以完成角色分配。
检查访问权限并验证角色分配
按照以下步骤检查访问权限
在资源组/订阅中,选择访问控制(IAM)并查看我的访问权限。
验证角色分配是否成功。
若要检查用户或组的访问权限,请选择“检查访问权限”。 输入用户或组详细信息并验证角色分配。
删除访问权限
Azure Migrate 所有者只能删除 Azure Migrate 决定和计划专家和 Azure Migrate 执行专家角色分配。 订阅或资源组所有者可以删除 Azure Migrate 所有者角色分配。
在订阅或资源组的范围内启用访问控制(IAM)。
选择角色分配
选择您要删除的角色分配
选择“删除”以删除角色分配。
资源组范围内的角色分配指南
建议在资源组中执行角色分配,以在最低特权访问模型中运行。 请注意以下在资源组范围内完成角色分配的情况。
1.提前注册资源提供程序
若要启用所有 Azure Migrate 功能,必须在创建 Azure Migrate 项目的订阅中注册所需的资源提供程序。 如果角色分配在订阅范围内完成,Azure Migrate 所有者和 Azure Migrate 决定和计划专家角色有权自动注册资源提供程序。 但是,如果在资源组级别分配这些角色,而资源提供程序尚未在订阅中注册,则项目密钥生成可能会失败。 在这种情况下,订阅所有者应手动将列出的资源提供程序注册作为先决条件。
所需的资源提供程序
| 资源提供商 |
|---|
| Microsoft.OffAzure |
| Microsoft.Migrate |
| Microsoft.MySQLDiscovery |
| Microsoft.DependencyMap |
| Microsoft.ApplicationMigration |
| Microsoft.Insights |
| Microsoft.KeyVault |
| Microsoft.HybridCompute |
| Microsoft.Storage |
| Microsoft.Network |
| Microsoft.GuestConfiguration |
| Microsoft.Compute |
| Microsoft.HybridConnectivity |
| Microsoft.RecoveryServices |
| Microsoft.DataReplication |
| Microsoft.AzureArcData |
有关详细信息,请参阅注册资源提供程序。
2. 支持请求
如果在资源组范围内完成角色分配,则用户无法创建支持请求。
3. 注册 Azure Site Recovery 复制工具
如果在资源组范围内分配角色,则用户无法注册 Azure Site Recovery 复制设备。 若要注册设备,必须在订阅范围内分配 Azure Migrate 决定和计划专家角色。 此限制仅适用于 Azure Site Recovery 设备,不适用于 Azure Migrate 设备的 VMware、Hyper-V 或物理堆栈。
后续步骤
设置 Azure 帐户和角色分配后, 创建 Azure Migrate 项目