Control de acceso con la gestión de identidades y accesos

Para limitar el acceso de los usuarios de un proyecto o una organización, puedes usar roles de gestión de identidades y accesos (IAM) para Database Migration Service y el producto de base de datos de destino correspondiente. Puedes controlar el acceso a los recursos relacionados con Database Migration Service en lugar de conceder a los usuarios el rol Lector, Editor o Propietario de todo el Google Cloud proyecto.

En esta página se detallan todos los roles que necesitan las cuentas de usuario y de servicio durante una migración homogénea de Cloud SQL con Database Migration Service. Para obtener más información sobre cuándo se usan estos permisos durante el proceso de migración, consulta el artículo Migrar bases de datos de SQL Server a Cloud SQL para SQL Server.

Cuentas implicadas en la realización de tareas de migración

En las migraciones de datos realizadas con Database Migration Service intervienen tres cuentas:

Cuenta de usuario que realiza la migración
Esta es la Cuenta de Google con la que inicias sesión para crear los perfiles de conexión, subir los archivos de copia de seguridad al almacenamiento de Cloud Storage, y crear y ejecutar el trabajo de migración.
Cuenta de servicio de Database Migration Service
Esta es la cuenta de servicio que se crea cuando habilitas la API Database Migration Service. La dirección de correo asociada a esta cuenta se genera automáticamente y no se puede cambiar. Esta dirección de correo usa el siguiente formato: 
service-PROJECT_NUMBER@gcp-sa-datamigration.iam.gserviceaccount.com
Cuenta de servicio de la instancia de Cloud SQL
Esta es una cuenta de servicio asignada específicamente a tu instancia de Cloud SQL para SQL Server de destino. Se crea después de crear la instancia de destino. Puedes ver la dirección de correo asociada a esta cuenta de servicio en la página de detalles de la instancia de Cloud SQL. Consulta Ver información de la instancia en la documentación de Cloud SQL para SQL Server.

Cada cuenta implicada en el proceso de migración de datos requiere un conjunto diferente de roles y permisos.

Permisos y roles

Para obtener los permisos que necesitas para realizar migraciones homogéneas de SQL Server con Database Migration Service, pide a tu administrador que conceda los roles de gestión de identidades y accesos necesarios en tu proyecto a las siguientes cuentas:

Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo gestionar el acceso.

Estos roles predefinidos contienen los permisos necesarios para realizar migraciones homogéneas de SQL Server con Database Migration Service. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para realizar migraciones homogéneas de SQL Server con Database Migration Service, se necesitan los siguientes permisos:

  • Cuenta de usuario que realiza la migración:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.operations.get
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.import
    • cloudsql.databases.get
    • cloudsql.databases.list
    • cloudsql.databases.delete
    • compute.machineTypes.list
    • compute.machineTypes.get
    • compute.projects.get
    • storage.buckets.create
    • storage.buckets.list
  • Cuenta de servicio de Database Migration Service:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.executeSql
    • storage.objects.create
    • storage.objects.list
  • Cuenta de servicio de la instancia de Cloud SQL:
    • storage.objects.list
    • storage.objects.get

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.