Controllo dell'accesso con IAM

Per limitare l'accesso degli utenti all'interno di un progetto o di un'organizzazione, puoi utilizzare i ruoli IAM (Identity and Access Management) per Database Migration Service e il prodotto del database di destinazione pertinente. Puoi controllare l'accesso alle risorse correlate a Database Migration Service, anziché concedere agli utenti il ruolo Visualizzatore, Editor o Proprietario all'intero progetto Google Cloud .

Questa pagina illustra in dettaglio tutti i ruoli di cui hanno bisogno gli account utente e di servizio durante una migrazione Cloud SQL omogenea con Database Migration Service. Per ulteriori informazioni su quando utilizzare queste autorizzazioni durante la procedura di migrazione, consulta Eseguire la migrazione dei database SQL Server a Cloud SQL per SQL Server.

Account coinvolti nell'esecuzione dei job di migrazione

Esistono tre account coinvolti nelle migrazioni dei dati eseguite con Database Migration Service:

Account utente che esegue la migrazione
Si tratta dell' Account Google con cui accedi per creare i profili di connessione, caricare i file di backup nello spazio di archiviazione Cloud Storage, creare ed eseguire il job di migrazione.
Account di servizio di Database Migration Service
Si tratta dell'account di servizio che viene creato per te quando abiliti l'API Database Migration Service. L'indirizzo email associato a questo account viene generato automaticamente e non può essere modificato. Questo indirizzo email utilizza il seguente formato: 
service-PROJECT_NUMBER@datamigration.iam.gserviceaccount.com
Account di servizio dell'istanza Cloud SQL
Si tratta di un account di servizio assegnato in modo specifico all'istanza Cloud SQL per SQL Server di destinazione. Viene creato dopo la creazione dell'istanza di destinazione. Puoi visualizzare l'indirizzo email associato a questo account di servizio nella pagina dei dettagli dell'istanza Cloud SQL. Consulta Visualizza le informazioni sull'istanza nella documentazione di Cloud SQL per SQL Server.

Ogni account coinvolto nella procedura di migrazione dei dati richiede un insieme diverso di ruoli e autorizzazioni.

Autorizzazioni e ruoli

Per ottenere le autorizzazioni necessarie per eseguire migrazioni omogenee di SQL Server con Database Migration Service, chiedi all'amministratore di concedere i ruoli IAM richiesti al tuo progetto per i seguenti account:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per eseguire migrazioni omogenee di SQL Server con Database Migration Service. Per visualizzare le autorizzazioni esatta che sono richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per eseguire migrazioni omogenee di SQL Server con Database Migration Service sono necessarie le seguenti autorizzazioni:

  • Account utente che esegue la migrazione:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.operations.get
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.import
    • cloudsql.databases.get
    • cloudsql.databases.list
    • cloudsql.databases.delete
    • compute.machineTypes.list
    • compute.machineTypes.get
    • compute.projects.get
    • storage.buckets.create
    • storage.buckets.list
  • Account di servizio di Database Migration Service:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.executeSql
    • storage.objects.create
    • storage.objects.list
  • Account di servizio dell'istanza Cloud SQL:
    • storage.objects.list
    • storage.objects.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.