AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 在线迁移服务 操作指南 迁移教程 又拍云迁移教程 准备工作

准备工作

更新时间:
我的收藏

本文介绍数据迁移之前的准备工作。

步骤一:创建用于迁移的S3访问凭证

创建有源数据读取权限的S3访问凭证。具体操作,请参见AWS S3兼容

步骤二:创建目标存储空间

创建目标存储空间,用于存放迁移的数据。具体操作,请参见创建存储空间

步骤三:创建RAM用户并添加权限

重要

  • RAM用户用于迁移使用。在创建角色和进行迁移实施操作时,需要在该用户下进行操作。请尽量在源Bucket或者目的Bucket所在的主账号下创建该RAM用户。

  • 如果没有创建RAM用户,可以创建RAM用户并授权

登录主账号所在的RAM控制台,在用户页面,单击刚创建的RAM用户操作列的添加权限

  1. 系统策略:管理在线迁移服务的权限(AliyunOSSImportFullAccess)。

  2. 自定义权限策略:该策略必须包含ram:CreateRoleram:CreatePolicyram:AttachPolicyToRoleram:ListRoles权限。

    可参考创建自定义权限策略进行权限管理,以下是相关的权限策略脚本代码:

    {
    "Version":"1",
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "ram:CreateRole",
                "ram:CreatePolicy",
                "ram:AttachPolicyToRole",
                "ram:ListRoles"
            ],
            "Resource":"*"
        }
    ]
}

步骤四:目的Bucket授权

请根据目的Bucket是否归属于本账号,完成相应的操作。

目的Bucket归属于本账号

  • 一键自动授权:

    强烈建议您使用迁移控制台自动授权角色进行一键授权操作,该操作请在迁移实施 > 步骤三 > 授权角色 中实施。

  • 手动授权:

    说明

    手动授权适用于具有特定需求的场景,例如:

    • 为了有效管理多个源Bucket,期望通过一个角色实现对多个Bucket的批量授权。

    • 当前账户现有的角色数量即将达到上限,因此不希望再创建过多额外的RAM角色。

    • 其他不适合或无法使用一键自动授权的场景。

    1. 创建用于迁移数据的RAM角色

    登录上文创建的RAM用户所在的RAM控制台,在角色详情页面单击创建角色

    1. 信任主体类型选择云服务

    2. 信任主体名称选择闪电立方

    3. 输入角色名称角色名称务必全部小写)。

    lQLPKIBPhyQhs7vNAlPNA-mwb_9Zfe8j6sMHtpv2syNfAA_1001_595

    image

    2. 目的Bucket授权

    在角色页面,单击刚创建的RAM角色 操作 列的 新增授权

    • 自定义策略:该策略必须包含oss:List*oss:Get*oss:Put*oss:AbortMultipartUpload*权限。

    可参考创建自定义权限策略 进行权限管理,以下是相关的权限策略脚本代码:

    说明

    以下权限策略仅供您参考,其中<myDestBucket>为 本账号下的目的Bucket名称,请根据实际值替换。

    关于OSS权限策略的更多信息,请参见RAM Policy常见示例

    重要

    如果目的Bucket配置了服务端KMS加密,您还需要为角色授予AliyunKMSFullAccess系统策略。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:List*",
        "oss:Get*",
        "oss:Put*",
        "oss:AbortMultipartUpload"
      ],
      "Resource": [
        "acs:oss:*:*:<myDestBucket>",
        "acs:oss:*:*:<myDestBucket>/*"
      ]
    }
  ]
}

目的Bucket不归属于本账号

1. 创建用于迁移数据的RAM角色

登录上文创建的RAM用户所在的RAM控制台,在角色详情页面单击创建角色

  1. 信任主体类型选择云服务

  2. 信任主体名称选择闪电立方

  3. 输入角色名称角色名称务必全部小写)。

lQLPKIBPhyQhs7vNAlPNA-mwb_9Zfe8j6sMHtpv2syNfAA_1001_595

image

2. 目的Bucket授权

重要

在使用Bucket Policy按语法策略进行授权时,新添加的策略会覆盖已有的策略。请确保新添加的策略包含已有策略的内容,否则可能导致关联已有策略的操作失败。

  1. 使用目的Bucket所属账号登录OSS管理控制台

  2. 在左侧导航栏,单击 Bucket 列表,选择对应Bucket。

  3. 在左侧导航栏,选择 权限控制 > Bucket 授权策略。

  4. 按语法策略添加 中,增加自定义Bucket Policy,然后点击 编辑并保存

    • 授予RAM角色列举、读取、删除和写入该Bucket下所有资源的权限。

说明

以下权限策略仅供您参考,其中<otherDestBucket>填写 目的Bucket名称,<otherUid>填写 目的Bucket归属的主账号UID,<myUid>填写 迁移控制台主账号UID,<roleName>填写 上文创建的角色名称,请根据实际值替换。关于OSS权限策略的更多信息,请参见RAM Policy常见示例

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:List*",
        "oss:Get*",
        "oss:Put*",
        "oss:AbortMultipartUpload"
      ],
      "Principal": [
         "arn:sts::<myUid>:assumed-role/<roleName>/*"
      ],
      "Resource": [
        "acs:oss:*:<otherUid>:<otherDestBucket>",
        "acs:oss:*:<otherUid>:<otherDestBucket>/*"
      ]
    }
  ]
}
3. KMS授权

  1. 如果目的Bucket配置了服务端KMS加密,您还需要为角色授予AliyunKMSFullAccess系统策略。

  2. 如果目的Bucket服务端加密使用自定义KMS密钥,您还需要对该KMS密钥授权角色的访问,具体步骤为:

    1. 登录密钥管理服务控制台,找到对应的密钥。

    2. 设置密钥策略,选择其它账号使用者,填写授权主体ARN。具体步骤,请参见设置密钥策略image

步骤五:解冻源存储空间待迁移数据

当您源端为归档类型的数据,迁移前需要您提前进行解冻操作,待解冻完成后再创建迁移任务,解冻时请注意如下事项:

  • 请您务必完成解冻操作后再创建源数据地址和迁移任务。

  • 请您根据待迁移的数据总量确保解冻时长,以防迁移期间数据再次变成冻结状态。

  • 解冻操作会收取数据取回的费用,部分解冻服务收费较高。具体计费规则可咨询您的源端存储服务提供商。

说明

在线迁移服务并不会对源端数据执行解冻操作。若您源端有未解冻、解冻中的文件,则这些文件都会迁移失败。

阿里云OSS解冻文件的操作步骤,请参见解冻文件

上一篇:背景信息下一篇:迁移实施