次のロールと権限を割り当てます。
- Migrate for Compute Engine コンポーネントでランタイム時に使用するサービス アカウントの作成にユーザー アクセス権を付与する。
- Migrate for Compute Engine Manager をインストールして使用するためのユーザー アクセス権を付与する。特に、Migrate for Compute Engine Manager インスタンスのデプロイと使用(または移行構成への読み取り専用アクセス権)を許可する権限をユーザーに付与できます。
- Google Cloud リソース(Compute Engine VM インスタンス、Cloud Storage など)をランタイム時に管理するために必要なアクセス権を Migrate for Compute Engine コンポーネントへ付与する。
各ロールで付与される権限のリストについては、ロールについてをご覧ください。
ロールの付与に関する全般的な情報については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。
サービス アカウントの作成に必要なロール
サービス アカウントを作成するには、ログインするユーザーに次のロールが必要です。
ロール | 権限 | 説明 |
---|---|---|
roles/resourcemanager.organizationAdmin
|
組織に属するすべてのリソースを管理します。 | ユーザーが組織内のプロジェクトでサービス アカウントを作成できるようにします。 |
roles/iam.serviceAccountAdmin
|
サービス アカウントを作成、管理します。 |
組織内のプロジェクトまたはスタンドアロン プロジェクトの Migrate for Compute Engine Manager または Migrate for Compute Engine Cloud Extension のサービス アカウントをユーザーが作成できるようにします。 これらのロールは、Google Cloud で Migrate for Compute Engine を設定したときに作成したインフラストラクチャ プロジェクトに割り当てます。 |
roles/resourcemanager.projectIamAdmin
|
プロジェクトの IAM ポリシーを管理します。 |
Migrate for Compute Engine Manager のデプロイに必要なロール
これらのロールで、ユーザーは Migrate for Compute Engine Manager をデプロイまたは使用できます。
Migrate for Compute Engine Manager のデプロイに必要なロール
ロール | 権限 | 説明 |
---|---|---|
roles/compute.instanceAdmin
|
仮想マシン インスタンスを作成、変更、削除します。 |
ユーザーは Migrate for Compute Engine Manager のデプロイと移行を実行できます。 Migrate for Compute Engine Manager の設定時に、これらのロールを割り当てます。 |
roles/iam.serviceAccountUser
|
オペレーションをサービス アカウントとして実行します。 |
|
roles/vmmigration.admin
|
Migrate for Compute Engine Manager の新しいインスタンスをデプロイし、それらの情報を取得します。 |
ユーザーは Migrate for Compute Engine Manager のデプロイと移行を実行できます。 |
Migrate for Compute Engine Manager を使用して VM を移行するために必要なロール
ロール | 権限 | 説明 |
---|---|---|
roles/vmmigration.viewer
|
Migrate for Compute Engine Manager のデプロイを一覧表示し、その情報を取得します。 |
ユーザーは、デプロイされた Migrate for Compute Engine Manager インスタンスに関する情報を取得でき、Google Cloud コンソールで表示できます。移行を実行するものの、システムを設定しないユーザーを対象としています。 |
VM の移行時に必要なロール
これらのロールにより、Migrate for Compute Engine コンポーネントには、ランタイム時に移行アクションを実行するために必要なアクセス権が与えられます。これらのアクションには、Google Cloud リソースの作成とアクセスがあり、VM ストレージの管理が行われます。
Migrate for Compute Engine Manager を構成すると、これらのロールが、そのプロセスで作成したサービス アカウントに自動的に割り当てられます。また、これらのサービス アカウントを手動で作成し、Migrate for Compute Engine Manager を構成するときに作成するサービス アカウントを指定することもできます。
これらのロールを、サービス アカウントに追加して割り当てます。その後、Migrate for Compute Engine コンポーネントに、それらの Google Cloud への設定時に割り当てます。
ロール | 権限 | 説明 |
---|---|---|
roles/cloudmigration.inframanager |
Migrate for Compute Engine インフラストラクチャを実行する VM の作成と管理をします。 | Migrate for Compute Engine で、システムの設定と移行を行うために必要なリソースを作成および構成できます。 |
roles/cloudmigration.storageaccess |
移行ストレージにアクセスします。 | Migrate for Compute Engine Cloud Extension で、移行時に必要なストレージを管理できます。 |
Migrate for Compute Engine インスタンスに割り当てられたサービス アカウント
作成するこれらのサービス アカウントにより、Migrate for Compute Engine コンポーネントには、Google Cloud の作成と使用のためにランタイム時に必要なアクセス権が与えられます。
Google Cloud を移行先として設定する場合、これらのサービス アカウントを選択または作成します。
次の表で、サービス アカウントについて説明し、割り当てられているロールを示しています。これらのサービス アカウントに割り当てられるロールの詳細については、VM 移行のロールをご覧ください。
サービス アカウントの名前(推奨する名前) | 必要なロール | 説明 |
---|---|---|
移行マネージャー |
roles/cloudmigration.inframanager |
Migrate for Compute Engine Manager で使用され、移行のオーケストレーション、Cloud Extension のデプロイ、移行された VM の環境内でのインスタンスの作成などを行います。 |
Cloud Extension |
roles/cloudmigration.storageaccess |
Cloud Extension ノードがストレージ リソースにアクセスするために使用します。 |
次のステップ
- IAM の詳細について学習する。
- IAM ロールをユーザーに付与する。