Vous attribuez des rôles et des autorisations pour :
- autoriser les utilisateurs à créer des comptes de service que les composants de Migrate for Compute Engine utiliseront lors de l'exécution ;
- autoriser les utilisateurs à installer et utiliser le gestionnaire Migrate for Compute Engine. En particulier, vous pouvez accorder des autorisations permettant aux utilisateurs de déployer et d'utiliser des instances de gestionnaire Migrate for Compute Engine ou d'accéder en lecture seule à la configuration de la migration.
- accorder aux composants Migrate for Compute Engine l'accès dont ils ont besoin pour gérer les ressources Google Cloud lors de l'exécution, y compris les instances de VM Compute Engine, Cloud Storage, etc.
Pour obtenir la liste des autorisations accordées pour chaque rôle, consultez la section Comprendre les rôles.
Pour obtenir des informations générales sur l'attribution des rôles, consultez la section Accorder, modifier et révoquer les accès aux ressources.
Rôles requis pour créer des comptes de service
Pour créer des comptes de service, l'utilisateur sous l'identité duquel vous êtes connecté doit avoir les rôles suivants :
| Rôle | Autorisations | Description |
|---|---|---|
roles/resourcemanager.organizationAdmin
|
Administrer toutes les ressources appartenant à l'organisation. | Permet aux utilisateurs de créer un compte de service dans un projet au sein d'une organisation. |
roles/iam.serviceAccountAdmin
|
Créer et gérer des comptes de service. |
Permet aux utilisateurs de créer un compte de service pour utiliser le gestionnaire Migrate for Compute Engine ou l'extension cloud Migrate for Compute Engine dans un projet au sein d'une organisation ou dans un projet autonome. Attribuez ces rôles au projet d'infrastructure que vous avez créé lors de la configuration de Migrate for Compute Engine sur Google Cloud. |
roles/resourcemanager.projectIamAdmin
|
Administrez des stratégies IAM sur des projets. |
Rôles requis lors du déploiement du gestionnaire Migrate for Compute Engine
Grâce à ces rôles, un utilisateur peut déployer ou utiliser le gestionnaire Migrate for Compute Engine.
Rôles requis pour déployer le gestionnaire Migrate for Compute Engine
| Rôle | Autorisations | Description |
|---|---|---|
roles/compute.instanceAdmin
|
Créer, modifier et supprimer des instances de machines virtuelles. |
Permet aux utilisateurs de déployer le gestionnaire Migrate for Compute Engine et d'effectuer des migrations. Attribuez ces rôles lorsque vous configurez le gestionnaire Migrate for Compute Engine. |
roles/iam.serviceAccountUser
|
Exécute les opérations en tant que compte de service. |
|
roles/vmmigration.admin
|
Déployer de nouvelles instances du gestionnaire Migrate for Compute Engine et obtenir des informations les concernant. |
Permet aux utilisateurs de déployer le gestionnaire Migrate for Compute Engine et d'effectuer des migrations. |
Rôles requis pour utiliser le gestionnaire Migrate for Compute Engine pour migrer des VM
| Rôle | Autorisations | Description |
|---|---|---|
roles/vmmigration.viewer
|
Répertorier les déploiements du gestionnaire Migrate for Compute Engine et obtenir des informations les concernant. |
Permet aux utilisateurs de récupérer des informations sur les instances déployées du gestionnaire Migrate pour Compute Engine ou de les afficher dans la console Google Cloud. Destiné aux utilisateurs qui effectuent des migrations sans configurer le système. |
Rôles requis pour migrer des VM
Grâce à ces rôles, les composants Migrate for Compute Engine ont l'accès nécessaire pour effectuer des actions de migration lors de l'exécution. Ces actions incluent la création et l'accès aux ressources Google Cloud, ainsi que la gestion du stockage des VM.
Lorsque vous configurez le gestionnaire Migrate for Compute Engine, ces rôles sont automatiquement attribués aux comptes de service que vous créez dans ce processus. Vous pouvez également créer ces comptes de service manuellement, puis spécifier les comptes de service que vous créez lors de la configuration du gestionnaire Migrate for Compute Engine.
Vous attribuez ces rôles en les ajoutant aux comptes de service que vous associez ensuite aux composants Migrate for Compute Engine lors de leur configuration sur Google Cloud.
| Rôle | Autorisations | Description |
|---|---|---|
roles/cloudmigration.inframanager |
Créer et gérer des VM pour exécuter l'infrastructure Migrate for Compute Engine | Permet à Migrate for Compute Engine de créer et de configurer les ressources nécessaires pour configurer le système et effectuer des migrations. |
roles/cloudmigration.storageaccess |
Accéder à l'espace de stockage de migration. | Autorise l'extension cloud Migrate for Compute Engine à gérer l'espace de stockage nécessaire lors de la migration. |
Comptes de service attribués aux instances Migrate for Compute Engine
Grâce à ces comptes de service que vous créez, les composants Migrate for Compute Engine disposent de l'accès dont ils ont besoin lors de l'exécution pour créer et utiliser Google Cloud.
Lorsque vous configurez Google Cloud en tant que destination, vous sélectionnez ou créez ces comptes de service.
Le tableau suivant décrit les comptes de service et répertorie les rôles qui leur sont attribués. Pour plus d'informations sur les rôles attribués à ces comptes de service, consultez la page Rôles de migration de VM.
| Compte de service (nom suggéré) | Rôles requis | Description |
|---|---|---|
| Gestionnaire de migration |
roles/cloudmigration.inframanager |
Utilisé par le gestionnaire Migrate for Compute Engine pour organiser les migrations, déployer les extensions cloud et créer des instances dans votre environnement pour les VM migrées. |
| Extension cloud |
roles/cloudmigration.storageaccess |
Utilisé par les nœuds des extensions cloud pour accéder aux ressources de stockage. |
Étape suivante
- Apprenez-en plus sur IAM.
- Accorder des rôles IAM aux utilisateurs.