Zugriffssteuerung mit IAM

Um den Zugriff für Nutzer innerhalb eines Projekts oder einer Organisation einzuschränken, können Sie IAM-Rollen (Identity and Access Management) für den Database Migration Service und das entsprechende Zieldatenbankprodukt verwenden. Sie können den Zugriff auf Database Migration Service-bezogene Ressourcen steuern, anstatt Nutzern die Rolle Betrachter, Bearbeiter oder Inhaber für das gesamte Google Cloud -Projekt zuzuweisen.

Auf dieser Seite werden alle Rollen beschrieben, die Nutzer- und Dienstkonten bei einer homogenen Cloud SQL-Migration mit dem Database Migration Service benötigen. Weitere Informationen dazu, wann Sie diese Berechtigungen während des Migrationsprozesses verwenden, finden Sie unter SQL Server-Datenbanken zu Cloud SQL for SQL Server migrieren.

Konten, die für die Ausführung von Migrationsjobs verwendet werden

Bei Datenmigrationen mit Database Migration Service sind drei Konten beteiligt:

Nutzerkonto, mit dem die Migration ausgeführt wird
Das Google-Konto, mit dem Sie sich anmelden, um die Verbindungsprofile zu erstellen, die Sicherungsdateien in Cloud Storage hochzuladen und den Migrationsjob zu erstellen und auszuführen.
Dienstkonto für den Database Migration Service
Das ist das Dienstkonto, das beim Aktivieren der Database Migration Service API für Sie erstellt wird. Die mit diesem Konto verknüpfte E-Mail-Adresse wird automatisch generiert und kann nicht geändert werden. Diese E-Mail-Adresse hat folgendes Format: 
service-PROJECT_NUMBER@datamigration.iam.gserviceaccount.com
Dienstkonto der Cloud SQL-Instanz
Dies ist ein Dienstkonto, das speziell Ihrer Cloud SQL for SQL Server-Zielinstanz zugewiesen ist. Es wird erstellt, nachdem Sie die Zielinstanz erstellt haben. Sie können die E‑Mail-Adresse, die mit diesem Dienstkonto verknüpft ist, auf der Detailseite der Cloud SQL-Instanz einsehen. Weitere Informationen finden Sie in der Cloud SQL for SQL Server-Dokumentation unter Instanzinformationen aufrufen.

Für jedes Konto, das an der Datenmigration beteiligt ist, sind unterschiedliche Rollen und Berechtigungen erforderlich.

Berechtigungen und Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen für Ihr Projekt für die folgenden Konten zuzuweisen, um die Berechtigungen zu erhalten, die Sie für homogene SQL Server-Migrationen mit dem Database Migration Service benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Ausführen homogener SQL Server-Migrationen mit dem Database Migration Service erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um homogene SQL Server-Migrationen mit Database Migration Service durchzuführen:

  • Nutzerkonto, mit dem die Migration durchgeführt wird:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.operations.get
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.import
    • cloudsql.databases.get
    • cloudsql.databases.list
    • cloudsql.databases.delete
    • compute.machineTypes.list
    • compute.machineTypes.get
    • compute.projects.get
    • storage.buckets.create
    • storage.buckets.list
  • Dienstkonto für den Database Migration Service:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.executeSql
    • storage.objects.create
    • storage.objects.list
  • Dienstkonto der Cloud SQL-Instanz:
    • storage.objects.list
    • storage.objects.get

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.