Um den Zugriff für Nutzer innerhalb eines Projekts oder einer Organisation einzuschränken, können Sie IAM-Rollen (Identitäts- und Zugriffsverwaltung) für den Database Migration Service und das entsprechende Zieldatenbankprodukt verwenden. Sie können den Zugriff auf Ressourcen des Database Migration Service steuern, anstatt Nutzern die Rolle Betrachter, Bearbeiter oder Inhaber für das gesamte Projekt zuzuweisen. Google Cloud
Auf dieser Seite werden alle Rollen beschrieben, die Nutzer- und Dienstkonten bei einer homogenen Cloud SQL-Migration mit dem Database Migration Service benötigen. Weitere Informationen dazu, wann Sie diese Berechtigungen während der Migration verwenden, finden Sie unter SQL Server-Datenbanken zu Cloud SQL for SQL Server migrieren.
Konten, die für die Ausführung von Migrationsjobs verwendet werden
Bei Datenmigrationen mit Database Migration Service sind drei Konten beteiligt:
- Nutzerkonto, mit dem die Migration ausgeführt wird
- Das Google-Konto, mit dem Sie sich anmelden, um die Verbindungsprofile zu erstellen, die Sicherungsdateien in Cloud Storage hochzuladen und den Migrationsjob zu erstellen und auszuführen.
- Dienstkonto für den Database Migration Service
- Das ist das Dienstkonto, das beim Aktivieren der Database Migration Service API für Sie erstellt wird. Die mit diesem Konto verknüpfte E-Mail-Adresse wird automatisch generiert und kann nicht geändert werden. Diese E-Mail-Adresse hat folgendes Format:
service-PROJECT_NUMBER@datamigration.iam.gserviceaccount.com
- Dienstkonto der Cloud SQL-Instanz
- Dies ist ein Dienstkonto, das speziell Ihrer Cloud SQL for SQL Server-Zielinstanz zugewiesen ist. Es wird erstellt, nachdem Sie die Zielinstanz erstellt haben. Sie können die E‑Mail-Adresse, die mit diesem Dienstkonto verknüpft ist, auf der Detailseite der Cloud SQL-Instanz einsehen. Weitere Informationen finden Sie in der Cloud SQL for SQL Server-Dokumentation unter Instanzinformationen aufrufen.
Für jedes Konto, das an der Datenmigration beteiligt ist, sind unterschiedliche Rollen und Berechtigungen erforderlich.
Berechtigungen und Rollen
Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen für Ihr Projekt für die folgenden Konten zuzuweisen, um die Berechtigungen zu erhalten, die Sie für homogene SQL Server-Migrationen mit dem Database Migration Service benötigen:
- Nutzerkonto, mit dem die Migration durchgeführt wird:
-
Database Migration Admin (
roles/datamigration.admin
) -
Storage-Administrator (
roles/storage.admin
) -
Cloud SQL-Bearbeiter (
roles/cloudsql.editor
)
-
Database Migration Admin (
- Dienstkonto für den Database Migration Service:
-
Database Migration Admin (
roles/datamigration.admin
) -
Storage-Administrator (
roles/storage.admin
) -
Cloud SQL-Bearbeiter (
roles/cloudsql.editor
) -
Cloud SQL Studio-Nutzer (
roles/cloudsql.studioUser
)
-
Database Migration Admin (
- Dienstkonto der Cloud SQL-Instanz:
Storage Object Viewer (
roles/storage.objectViewer
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Ausführen homogener SQL Server-Migrationen mit dem Database Migration Service erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um homogene SQL Server-Migrationen mit Database Migration Service durchzuführen:
- Nutzerkonto, mit dem die Migration durchgeführt wird:
datamigration.*
resourcemanager.projects.get
resourcemanager.projects.list
cloudsql.operations.get
cloudsql.instances.create
cloudsql.instances.get
cloudsql.instances.list
cloudsql.instances.import
cloudsql.databases.get
cloudsql.databases.list
cloudsql.databases.delete
compute.machineTypes.list
compute.machineTypes.get
compute.projects.get
storage.buckets.create
storage.buckets.list
- Dienstkonto für den Database Migration Service:
datamigration.*
resourcemanager.projects.get
resourcemanager.projects.list
cloudsql.instances.create
cloudsql.instances.get
cloudsql.instances.list
cloudsql.instances.executeSql
storage.objects.create
storage.objects.list
- Dienstkonto der Cloud SQL-Instanz:
storage.objects.list
storage.objects.get
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.