Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定 Google Cloud 资源的更精细访问权限,并防止对其他资源的访问。本页面介绍了 Data Transfer Essentials 的角色和权限。
借助 IAM,您可以采用最小权限安全原则,只需授予对您资源的必要访问权限。
角色是 IAM 权限的集合。如需向主账号(包括用户、群组和服务账号)提供权限,您可以向主账号授予角色。您可以设置 IAM 政策,以控制哪些人对哪些资源具有什么权限。IAM 政策可为主账号授予特定角色,进而授予相应账号特定权限。
如需详细了解 IAM 角色,请参阅角色和权限。
Data Transfer Essentials 的预定义角色和权限
Data Transfer Essentials 支持项目级 IAM 权限。
下表列出了数据传输基本服务 IAM 角色以及每个角色包含的权限。
| 角色 | 权限 |
|---|---|
|
Data Transfer Essentials Config Admin
( 授予对 Data Transfer Essentials 资源的完全控制权 |
networkconnectivity.multicloudDataTransferConfigs.* networkconnectivity.multicloudDataTransferDestinations.* networkconnectivity.multicloudDataTransferSupportedServices.* resourcemanager.projects.get resourcemanager.projects.list |
|
Data Transfer Essentials Config Viewer
( 授予对所有 Data Transfer Essentials 资源的只读访问权限 |
networkconnectivity.multicloudDataTransferConfigs.get networkconnectivity.multicloudDataTransferConfigs.list networkconnectivity.multicloudDataTransferDestinations.get networkconnectivity.multicloudDataTransferDestinations.list networkconnectivity.multicloudDataTransferSupportedServices.* resourcemanager.projects.get resourcemanager.projects.list |
|
Destination Admin
( 授予对 Data Transfer Essentials 目的地的完全控制权 |
networkconnectivity.multicloudDataTransferDestinations.* networkconnectivity.multicloudDataTransferSupportedServices.* resourcemanager.projects.get resourcemanager.projects.list |
|
Destination Viewer
( 授予对所有 Data Transfer Essentials 目标的只读访问权限 |
networkconnectivity.multicloudDataTransferDestinations.get networkconnectivity.multicloudDataTransferDestinations.list networkconnectivity.multicloudDataTransferSupportedServices.* resourcemanager.projects.get resourcemanager.projects.list |
确保您拥有将数据转移到其他 Google Cloud产品所需的相关权限。
管理访问权限控制
如需在项目级层设置访问权限控制,请按照以下步骤操作:
在 Google Cloud 控制台中,前往 IAM 页面。
选择您的项目。
点击 授予访问权限。
在新的主账号字段中,输入新主账号的电子邮件地址。
点击添加角色,然后选择所需的角色。
点击保存。
验证该主账号是否拥有您授予的角色。
确定角色中的权限
如需确定角色中是否包含一项或多项权限,请使用以下方法之一:
- IAM 权限搜索参考
gcloud iam roles describe命令- IAM API 中的
roles.get方法