IAM으로 액세스 제어

프로젝트 또는 조직 내 사용자의 액세스 권한을 제한하려면 Database Migration Service 및 관련 대상 데이터베이스 제품에 Identity and Access Management (IAM) 역할을 사용하면 됩니다. 사용자에게 전체 Google Cloud 프로젝트에 대한 뷰어, 편집자 또는 소유자 역할을 부여하는 대신 Database Migration Service 관련 리소스에 대한 액세스 권한을 제어할 수 있습니다.

이 페이지에서는 Database Migration Service를 사용한 동질적인 Cloud SQL 이전 중에 사용자 및 서비스 계정에 필요한 모든 역할에 대해 자세히 설명합니다. 마이그레이션 프로세스 중에 이러한 권한을 사용하는 경우에 관한 자세한 내용은 SQL Server 데이터베이스를 SQL Server용 Cloud SQL로 마이그레이션을 참고하세요.

이전 작업 실행과 관련된 계정

Database Migration Service로 수행되는 데이터 이전에는 세 가지 계정이 관여합니다.

이전을 실행하는 사용자 계정

연결 프로필을 만들고, 백업 파일을 Cloud Storage 저장소에 업로드하고, 이전 작업을 만들고 실행하는 데 로그인하는 Google 계정입니다.

Database Migration Service 서비스 계정

Database Migration Service API를 사용 설정할 때 생성되는 서비스 계정입니다. 이 계정과 연결된 이메일 주소는 자동으로 생성되며 변경할 수 없습니다. 이 이메일 주소의 형식은 다음과 같습니다.

service-PROJECT_NUMBER@gcp-sa-datamigration.iam.gserviceaccount.com

Cloud SQL 인스턴스 서비스 계정

특히 대상 SQL Server용 Cloud SQL 인스턴스에 할당되는 서비스 계정이며, 대상 인스턴스를 만든 후에 생성됩니다. Cloud SQL 인스턴스 세부정보 페이지에서 이 서비스 계정과 연결된 이메일 주소를 확인할 수 있습니다. SQL Server용 Cloud SQL 문서의 인스턴스 정보 보기를 참고하세요.

데이터 이전 프로세스에 참여하는 각 계정에는 서로 다른 역할 및 권한이 필요합니다.

권한 및 역할

Database Migration Service로 동질적인 SQL Server 이전을 실행하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에서 다음 계정에 필요한 IAM 역할을 부여해 달라고 요청하세요.

• 이전을 실행하는 사용자 계정:
  • 데이터베이스 마이그레이션 관리자 (roles/datamigration.admin)
  • 스토리지 관리자 (roles/storage.admin)
  • Cloud SQL 편집기 (roles/cloudsql.editor)
• Database Migration Service 서비스 계정:
  • 데이터베이스 마이그레이션 관리자 (roles/datamigration.admin)
  • 스토리지 관리자 (roles/storage.admin)
  • Cloud SQL 편집기 (roles/cloudsql.editor)
  • Cloud SQL 스튜디오 사용자 (roles/cloudsql.studioUser)
• Cloud SQL 인스턴스 서비스 계정: 스토리지 객체 뷰어 (roles/storage.objectViewer)

역할 부여에 대한 자세한 내용은 액세스 관리를 참고하세요.

이러한 사전 정의된 역할에는 Database Migration Service로 동질적인 SQL Server 이전을 실행하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 확장하세요.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.