Contrôle des accès avec IAM

Pour limiter l'accès des utilisateurs au sein d'un projet ou d'une organisation, vous pouvez utiliser les rôles IAM (Identity and Access Management) pour Database Migration Service et votre produit de base de données de destination approprié. Plutôt que d'attribuer aux utilisateurs le rôle Lecteur, Éditeur ou Propriétaire pour l'ensemble du projet Google Cloud , vous pouvez contrôler l'accès aux ressources associées au Database Migration Service.

Cette page détaille tous les rôles dont les comptes utilisateur et de service ont besoin lors d'une migration Cloud SQL homogène avec Database Migration Service. Pour en savoir plus sur les cas d'utilisation de ces autorisations pendant le processus de migration, consultez la section Migrer vos bases de données SQL Server vers Cloud SQL pour SQL Server.

Comptes impliqués dans l'exécution des tâches de migration

Trois comptes sont impliqués dans les migrations de données effectuées avec Database Migration Service:

Compte utilisateur effectuant la migration
Il s'agit du compte Google avec lequel vous vous connectez pour créer les profils de connexion, importer les fichiers de sauvegarde dans l'espace de stockage Cloud Storage, créer et exécuter la tâche de migration.
Compte de service Database Migration Service
Il s'agit du compte de service qui est créé pour vous lorsque vous activez l'API Database Migration Service. L'adresse e-mail associée à ce compte est générée automatiquement et ne peut pas être modifiée. Cette adresse e-mail est au format suivant: 
service-PROJECT_NUMBER@datamigration.iam.gserviceaccount.com
Compte de service de l'instance Cloud SQL
Il s'agit d'un compte de service attribué spécifiquement à votre instance Cloud SQL pour SQL Server de destination. Il est créé une fois que vous avez créé l'instance de destination. Vous pouvez voir l'adresse e-mail associée à ce compte de service sur la page d'informations de l'instance Cloud SQL. Consultez la section Afficher les informations sur les instances dans la documentation Cloud SQL pour SQL Server.

Chaque compte impliqué dans le processus de migration de données nécessite un ensemble différent de rôles et d'autorisations.

Autorisations et rôles

Pour obtenir les autorisations nécessaires pour effectuer des migrations SQL Server homogènes avec Database Migration Service, demandez à votre administrateur d'accorder les rôles IAM requis sur votre projet pour les comptes suivants:

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ces rôles prédéfinis contiennent les autorisations requises pour effectuer des migrations SQL Server homogènes avec Database Migration Service. Pour connaître les autorisations exactes requises, développez la section Autorisations requises:

Autorisations requises

Les autorisations suivantes sont requises pour effectuer des migrations homogènes de SQL Server avec Database Migration Service:

  • Compte utilisateur effectuant la migration :
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.operations.get
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.import
    • cloudsql.databases.get
    • cloudsql.databases.list
    • cloudsql.databases.delete
    • compute.machineTypes.list
    • compute.machineTypes.get
    • compute.projects.get
    • storage.buckets.create
    • storage.buckets.list
  • Compte de service Database Migration Service :
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.executeSql
    • storage.objects.create
    • storage.objects.list
  • Compte de service de l'instance Cloud SQL :
    • storage.objects.list
    • storage.objects.get

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.