概要
Migrate for Compute Engine では、サービス アカウントを使用してアクセス権限を付与します。このトピックでは、これらのサービス アカウントに割り当てられるロールと権限について説明します。
Velostrata Manager をデプロイすると、次の 2 つのサービス アカウントが作成されます。
- Manager サービス アカウントは Manager インスタンスに接続されています。Manager は移行をオーケストレートし、Cloud Extensions をデプロイし、環境内に移行した VM 用のインスタンスを作成します。
- Cloud Extension サービス アカウントは Cloud Extensions ノードに接続されています。Cloud Extension ノードはストレージ リソースにアクセスできます。
また、Compute Engine と Cloud Storage に対する権限を有効にする Migrate for Compute Engine 固有のロールもあります。
Migrate for Compute Engine サービス アカウント
2 つのサービス アカウントに割り当てられるロールについて、以下で説明します。これらのロールの詳細については、Identity and Access Management のドキュメントのロールについてをご覧ください。
| サービス アカウント | 割り当てられたロール |
|---|---|
| Velostrata マネージャー サービス アカウント | roles/iam.serviceAccountUser |
| roles/logging.logWriter | |
| roles/monitoring.metricWriter | |
| roles/monitoring.viewer | |
| roles/cloudmigration.inframanager | |
| Velostrata Cloud Extension サービス アカウント | roles/logging.logWriter |
| roles/monitoring.metricWriter | |
| roles/cloudmigration.storageaccess |
クラウドの移行のロールと権限:
cloudmigration のロールは、環境内の Migrate for Compute Engine インフラストラクチャの作成とホストに必要な権限をまとめたものです。これらの権限については以下のとおりです。これらの権限の詳細については、Identity and Access Management のドキュメントのロールについてをご覧ください。
| ロール | 権限 |
|---|---|
| roles/cloudmigration.inframanager | compute.addresses.create compute.addresses.createInternal compute.addresses.delete compute.addresses.deleteInternal compute.addresses.get compute.addresses.list compute.addresses.setLabels compute.addresses.use compute.addresses.useInternal compute.diskTypes.get compute.diskTypes.list compute.disks.create compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.update compute.disks.use compute.disks.useReadOnly compute.images.get compute.images.list compute.images.useReadOnly compute.instances.attachDisk compute.instances.create compute.instances.delete compute.instances.detachDisk compute.instances.get compute.instances.getSerialPortOutput compute.instances.list compute.instances.reset compute.instances.setDiskAutoDelete compute.instances.setLabels compute.instances.setMachineType compute.instances.setMetadata compute.instances.setMinCpuPlatform compute.instances.setScheduling compute.instances.setServiceAccount compute.instances.setTags compute.instances.start compute.instances.startWithEncryptionKey compute.instances.stop compute.instances.update compute.instances.updateNetworkInterface compute.instances.use compute.licenseCodes.get compute.licenseCodes.list compute.licenseCodes.update compute.licenseCodes.use compute.licenses.get compute.licenses.list compute.machineTypes.get compute.machineTypes.list compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.nodeTemplates.list compute.projects.get compute.regionOperations.get compute.regions.get compute.regions.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zoneOperations.get compute.zones.get compute.zones.list iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.buckets.update storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update |
| roles/cloudmigration.storageaccess | storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update |