Control de acceso con la gestión de identidades y accesos
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Para limitar el acceso de los usuarios de un proyecto o una organización, puedes usar roles de gestión de identidades y accesos (IAM) para Database Migration Service y el producto de base de datos de destino correspondiente. Puedes controlar el acceso a los recursos relacionados con Database Migration Service en lugar de conceder a los usuarios el rol Lector, Editor o Propietario de todo el Google Cloud proyecto.
En esta página se detallan todos los roles que necesitan las cuentas de usuario y de servicio durante una migración homogénea de Cloud SQL con Database Migration Service.
Para obtener más información sobre cuándo se usan estos permisos durante el proceso de migración, consulta el artículo
Migrar bases de datos de SQL Server a Cloud SQL para SQL Server.
Cuentas implicadas en la realización de tareas de migración
En las migraciones de datos realizadas con Database Migration Service intervienen tres cuentas:
Cuenta de usuario que realiza la migración
Esta es la
Cuenta de Google con la que inicias sesión para crear los perfiles de conexión, subir los archivos de copia de seguridad al almacenamiento de Cloud Storage, y crear y ejecutar el trabajo de migración.
Cuenta de servicio de Database Migration Service
Esta es la cuenta de servicio que se crea cuando habilitas la API Database Migration Service. La dirección de correo asociada a esta cuenta se genera automáticamente y no se puede cambiar. Esta dirección de correo usa el siguiente formato:
Esta es una cuenta de servicio asignada específicamente a tu instancia de Cloud SQL para SQL Server de destino. Se crea después de crear la instancia de destino. Puedes ver la dirección de correo asociada a esta cuenta de servicio en la página de detalles de la instancia de Cloud SQL.
Consulta
Ver información de la instancia en la documentación de Cloud SQL para SQL Server.
Cada cuenta implicada en el proceso de migración de datos requiere un conjunto diferente de roles y permisos.
Permisos y roles
Para obtener los permisos que necesitas para realizar migraciones homogéneas de SQL Server con Database Migration Service, pide a tu administrador que conceda los roles de gestión de identidades y accesos necesarios en tu proyecto a las siguientes cuentas:
Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo
gestionar el acceso.
Estos roles predefinidos contienen los permisos necesarios para realizar migraciones homogéneas de SQL Server con Database Migration Service. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para realizar migraciones homogéneas de SQL Server con Database Migration Service, se necesitan los siguientes permisos:
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[[["\u003cp\u003eThis document outlines the necessary Identity and Access Management (IAM) roles for users and service accounts involved in homogeneous Cloud SQL migrations using Database Migration Service.\u003c/p\u003e\n"],["\u003cp\u003eThere are three types of accounts involved in the migration process: the user account performing the migration, the Database Migration Service service account, and the Cloud SQL instance service account.\u003c/p\u003e\n"],["\u003cp\u003eEach account involved in the migration requires distinct IAM roles, such as Database Migration Admin, Storage Admin, Cloud SQL Editor, Cloud SQL Studio User, and Storage Object Viewer.\u003c/p\u003e\n"],["\u003cp\u003eSpecific permissions, like \u003ccode\u003edatamigration.*\u003c/code\u003e, \u003ccode\u003ecloudsql.instances.create\u003c/code\u003e, and \u003ccode\u003estorage.objects.list\u003c/code\u003e, are necessary for each account type to carry out the migration successfully.\u003c/p\u003e\n"],["\u003cp\u003eYou can also create custom roles or use other predefined roles to carry out the same permissions.\u003c/p\u003e\n"]]],[],null,["# Access control with IAM\n\nTo limit access for users within a project or organization, you can use\nIdentity and Access Management (IAM) roles for Database Migration Service and your relevant\ndestination database product. You can control\naccess to Database Migration Service-related resources, as opposed to granting users\nthe Viewer, Editor, or Owner role to the entire Google Cloud project.\n\nThis page focuses details all of the roles that user and service accounts need\nduring a homogeneous Cloud SQL migration with Database Migration Service.\nFor more information about when you use these permissions during the migration process, see\n[Migrate your SQL Server databases to Cloud SQL for SQL Server](/database-migration/docs/sqlserver/guide).\n\nAccounts involved in performing migration jobs\n----------------------------------------------\n\nThere are three accounts involved in data migrations performed with\nDatabase Migration Service:\n\nUser account that performs the migration\n: This is the\n [Google Account](/iam/docs/overview#google_account) that you sign in with to create the connection profiles,\n upload the backup files to the Cloud Storage storage, create and run the migration\n job.\n\nDatabase Migration Service service account\n: This is the service account that is created for you when you enable the\n Database Migration Service API. The email address associated with this account is generated\n automatically and can't be changed. This email address uses the following\n format: \n\n ```\n service-PROJECT_NUMBER@gcp-sa-datamigration.iam.gserviceaccount.com\n ```\n\nCloud SQL instance service account\n: This is a service account assigned specifically to your destination\n Cloud SQL for SQL Server instance. It is created after you create the destination\n instance. You can view the email address associated with this service account\n on the Cloud SQL instance detail page.\n See [View instance information](/sql/docs/sqlserver/instance-info#service_account) in the Cloud SQL for SQL Server documentation.\n\nEach account involved in the data migration process requires a different\nset of roles and permissions.\n\nPermissions and roles\n---------------------\n\nTo get the permissions that you need to perform homogeneous SQL Server\nmigrations with Database Migration Service, ask your administrator to grant the\nrequired IAM roles on your project for the following accounts:\n\n- User account that performs the migration:\n - [Database Migration Admin](/iam/docs/roles-permissions/datamigration#datamigration.admin) (`roles/datamigration.admin`)\n - [Storage Admin](/iam/docs/roles-permissions/storage#storage.admin) (`roles/storage.admin`)\n - [Cloud SQL Editor](/iam/docs/roles-permissions/cloudsql#cloudsql.editor) (`roles/cloudsql.editor`)\n- Database Migration Service service account:\n - [Database Migration Admin](/iam/docs/roles-permissions/datamigration#datamigration.admin) (`roles/datamigration.admin`)\n - [Storage Admin](/iam/docs/roles-permissions/storage#storage.admin) (`roles/storage.admin`)\n - [Cloud SQL Editor](/iam/docs/roles-permissions/cloudsql#cloudsql.editor) (`roles/cloudsql.editor`)\n - [Cloud SQL Studio User](/iam/docs/roles-permissions/cloudsql#cloudsql.studioUser) (`roles/cloudsql.studioUser`)\n- Cloud SQL instance service account: [Storage Object Viewer](/iam/docs/roles-permissions/storage#storage.objectViewer) (`roles/storage.objectViewer`)\n\nFor more information about granting roles, see\n[Manage access](/iam/docs/granting-changing-revoking-access).\n\nThese predefined roles contain the permissions required to perform homogeneous\nSQL Server migrations with Database Migration Service. To see the exact permissions\nthat are required, expand the **Required permissions** section: \n\n#### Required permissions\n\nThe following permissions are required to perform homogeneous SQL Server\nmigrations with Database Migration Service:\n\n- User account that performs the migration:\n - `datamigration.* `\n - `resourcemanager.projects.get`\n - `resourcemanager.projects.list`\n - `cloudsql.operations.get`\n - `cloudsql.instances.create`\n - `cloudsql.instances.get`\n - `cloudsql.instances.list`\n - `cloudsql.instances.import`\n - `cloudsql.databases.get`\n - `cloudsql.databases.list`\n - `cloudsql.databases.delete`\n - `compute.machineTypes.list`\n - `compute.machineTypes.get`\n - `compute.projects.get`\n - `storage.buckets.create`\n - `storage.buckets.list`\n- Database Migration Service service account:\n - `datamigration.* `\n - `resourcemanager.projects.get`\n - `resourcemanager.projects.list`\n - `cloudsql.instances.create`\n - `cloudsql.instances.get`\n - `cloudsql.instances.list`\n - `cloudsql.instances.executeSql`\n - `storage.objects.create`\n - `storage.objects.list`\n- Cloud SQL instance service account:\n - `storage.objects.list`\n - `storage.objects.get`\n\nYou might also be able to get these permissions with\n[custom roles](/iam/docs/creating-custom-roles) or other\n[predefined roles](/iam/docs/roles-permissions)."]]
