您正在查看旧版的 Migrate for Compute Engine（原 Velostrata）的文档。您可以继续使用此版本，也可以使用当前版本。

Migrate for Compute Engine 的 IAM 权限

本主题列出了用户在 Google Cloud 上设置和使用 Migrate for Compute Engine 以及 Migrate for Compute Engine 组件在运行时执行迁移操作所需的 Identity and Access Management (IAM) 角色。

分配角色和权限可实现以下目的：

授予用户权限来创建服务账号，Migrate for Compute Engine 组件会在运行时使用这些服务账号。
授予用户权限来安装和使用 Migrate for Compute Engine Manager。具体来说，您可以授予用户部署和使用 Migrate for Compute Engine Manager 实例的权限（或者授予其迁移配置的只读权限）。
向 Migrate for Compute Engine 组件授予它们需要的权限，以便在运行时管理 Google Cloud 资源，包括 Compute Engine 虚拟机实例、Cloud Storage 等。

如需查看每个角色所授予权限的列表，请参阅了解角色。

如需了解授予角色的一般信息，请参阅授予、更改和撤消对资源的访问权限。

创建服务账号所需的角色

如需创建服务账号，登录的用户需要具有以下角色：

角色权限说明

roles/resourcemanager.organizationAdmin 管理属于组织的所有资源。允许用户为组织内的项目创建服务账号。

角色	权限	说明
`roles/resourcemanager.organizationAdmin`	管理属于组织的所有资源。	允许用户为组织内的项目创建服务账号。
`roles/iam.serviceAccountAdmin`	创建和管理服务账号。	允许用户在组织内的项目或独立项目中为 Migrate for Compute Engine Manager 或 Migrate for Compute Engine Cloud Extensions 创建服务账号。针对在 Google Cloud 上设置 Migrate for Compute Engine 时创建的基础架构项目分配这些角色。
`roles/resourcemanager.projectIamAdmin`	管理项目的 IAM 政策。

roles/iam.serviceAccountAdmin

创建和管理服务账号。

允许用户在组织内的项目或独立项目中为 Migrate for Compute Engine Manager 或 Migrate for Compute Engine Cloud Extensions 创建服务账号。

针对在 Google Cloud 上设置 Migrate for Compute Engine 时创建的基础架构项目分配这些角色。

roles/resourcemanager.projectIamAdmin 管理项目的 IAM 政策。

通过这些角色，用户可以部署或使用 Migrate for Compute Engine Manager。

角色权限说明

角色	权限	说明
`roles/compute.instanceAdmin`	创建、修改和删除虚拟机实例。	允许用户部署 Migrate for Compute Engine Manager，以及执行迁移。在设置 Migrate for Compute Engine Manager 时分配这些角色。
`roles/iam.serviceAccountUser`	以服务账号身份运行操作。
`roles/vmmigration.admin`	部署新的 Migrate for Compute Engine Manager 实例并获取其相关信息。	允许用户部署 Migrate for Compute Engine Manager，以及执行迁移。

roles/compute.instanceAdmin

创建、修改和删除虚拟机实例。

允许用户部署 Migrate for Compute Engine Manager，以及执行迁移。

roles/iam.serviceAccountUser

以服务账号身份运行操作。

roles/vmmigration.admin

部署新的 Migrate for Compute Engine Manager 实例并获取其相关信息。

允许用户部署 Migrate for Compute Engine Manager，以及执行迁移。

角色	权限	说明
`roles/vmmigration.viewer`	列出 Migrate for Compute Engine Manager 部署并获取其相关信息。	允许用户检索部署的 Migrate for Compute Engine Manager 实例的相关信息，或在 Google Cloud 控制台中查看这些信息。适用于执行迁移但不设置系统的用户。

通过这些角色，Migrate for Compute Engine 组件将具有在运行时执行迁移操作的所需的访问权限。这些操作包括创建和访问 Google Cloud 资源以及管理虚拟机存储。

当您配置 Migrate for Compute Engine Manager 时，系统会自动为您在此过程中创建的服务账号分配这些角色。您也可以手动创建这些服务账号，然后在配置 Migrate for Compute Engine Manager 时指定您创建的服务账号。

如需分配这些角色，您可以将其添加到服务账号，然后在 Google Cloud 上设置 Migrate for Compute Engine 组件时将其分配给这些组件。

角色	权限	说明
`roles/cloudmigration.inframanager`	创建和管理虚拟机以运行 Migrate for Compute Engine 基础架构	允许 Migrate for Compute Engine 创建和配置设置系统及执行迁移所需的资源。
`roles/cloudmigration.storageaccess`	访问迁移存储系统。	允许 Migrate for Compute Engine Cloud Extensions 管理迁移期间所需的存储资源。

通过您创建的这些服务账号，Migrate for Compute Engine 组件将具有在运行时创建和使用 Google Cloud 所需的权限。

在将 Google Cloud 设置为目标时，您可以选择或创建这些服务账号。

下表介绍了这些服务账号，并列出了分配给它们的角色。如需了解分配给这些服务账号的角色的详细信息，请参阅虚拟机迁移角色。

服务账号（建议的名称）	所需的角色	说明
Migration Manager	`roles/cloudmigration.inframanager roles/iam.serviceAccountUser roles/logging.logWriter roles/monitoring.metricWriter roles/monitoring.viewer roles/iam.serviceAccountTokenCreator`	由 Migrate for Compute Engine Manager 用于编排迁移、部署 Cloud Extensions 以及在环境中为迁移后的虚拟机创建实例。
Cloud Extensions	`roles/cloudmigration.storageaccess roles/logging.logWriter roles/monitoring.metricWriter`	由 Cloud Extensions 节点用于访问存储资源。