如要限制專案或機構中使用者存取權,您可以對資料庫遷移服務 (適用於從 Oracle 遷移至 AlloyDB for PostgreSQL) 和相關目的地資料庫產品,使用 Identity and Access Management (IAM) 角色。您可以控管資料庫移轉服務 (適用於從 Oracle 遷移至 AlloyDB for PostgreSQL) 相關資源的存取權,而不將整個 Google Cloud 專案的檢視者、編輯者或擁有者角色授予使用者。
本頁詳細說明使用者和服務帳戶在異質 AlloyDB for PostgreSQL 遷移期間,使用資料庫移轉服務時需要的所有角色。如要進一步瞭解在遷移程序中何時使用這些權限,請參閱 將 Oracle 資料庫遷移至 AlloyDB for PostgreSQL。
執行遷移工作的帳戶
使用 Database Migration Service 執行資料遷移作業時,會涉及兩個帳戶:
- 執行遷移作業的使用者帳戶
- 這是您用來登入的 Google 帳戶,可建立連線設定檔、將備份檔案上傳至 Cloud Storage 儲存空間,以及建立及執行遷移作業。
- 資料庫移轉服務服務帳戶
- 啟用 Database Migration Service API 時,系統會為您建立這個服務帳戶,並自動產生相關聯的電子郵件地址。該電子郵件地址無法變更,這個電子郵件地址的格式如下:
service-PROJECT_NUMBER@gcp-sa-datamigration.iam.gserviceaccount.com
資料遷移程序中涉及的每個帳戶,都需要一組不同的角色和權限。
權限與角色
如要取得使用 Database Migration Service 執行異質 Oracle 遷移作業所需的權限,請要求管理員授予您專案的必要 IAM 角色:
-
資料庫遷移管理員 (
roles/datamigration.admin) -
AlloyDB 管理員 (
roles/alloydb.admin)
如要進一步瞭解如何授予角色,請參閱 Identity and Access Management 說明文件中的「 管理存取權」。
這些預先定義的角色具備使用資料庫移轉服務執行異質 Oracle 遷移作業所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要使用資料庫移轉服務執行異質 Oracle 遷移作業,必須具備下列權限:
datamigration.*cloudaicompanion.entitlements.get此權限包含在
roles/datamigration.admin角色中。這是 Gemini 強化轉換功能的必要條件。alloydb.clusters.createalloydb.clusters.getalloydb.clusters.listalloydb.clusters.updatealloydb.clusters.deletealloydb.instances.createalloydb.instances.getalloydb.instances.listalloydb.instances.updatealloydb.instances.deletealloydb.operations.getalloydb.users.listalloydb.users.getalloydb.users.createalloydb.users.updatealloydb.users.delete
您或許還可透過 自訂角色或其他 預先定義的角色取得這些權限。