Storage Transfer Service menggunakan izin dan peran Identity and Access Management (IAM) untuk mengontrol siapa yang dapat mengakses resource Storage Transfer Service. Jenis utama resource yang tersedia di Storage Transfer Service adalah tugas, operasi, dan kumpulan agen. Dalam hierarki kebijakan IAM, tugas adalah resource turunan dari project, dan operasi adalah resource turunan dari tugas.
Untuk memberikan akses ke resource, tetapkan satu atau beberapa izin atau peran ke pengguna, grup, atau akun layanan.
Izin
Anda dapat memberikan izin Storage Transfer Service berikut:
Izin transfer project
Izin | Deskripsi |
---|---|
storagetransfer.projects.getServiceAccount |
Dapat membaca GoogleServiceAccount yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage. |
Mentransfer izin tugas
Tabel berikut menjelaskan izin untuk tugas Storage Transfer Service:
Izin | Deskripsi |
---|---|
storagetransfer.jobs.create |
Dapat membuat tugas transfer baru. |
storagetransfer.jobs.delete |
Dapat menghapus tugas transfer yang ada. Tugas transfer dihapus dengan memanggil fungsi patch. Namun, pengguna harus memiliki izin ini saat menghapus tugas transfer untuk menghindari error izin. |
storagetransfer.jobs.get |
Dapat mengambil tugas tertentu. |
storagetransfer.jobs.list |
Dapat mencantumkan semua tugas transfer. |
storagetransfer.jobs.run |
Dapat menjalankan semua tugas transfer. |
storagetransfer.jobs.update |
Dapat memperbarui konfigurasi tugas transfer tanpa menghapusnya. |
Izin operasi transfer
Tabel berikut menjelaskan izin untuk operasi Storage Transfer Service:
Izin | Deskripsi |
---|---|
storagetransfer.operations.assign |
Digunakan oleh agen transfer untuk menetapkan operasi. |
storagetransfer.operations.cancel |
Dapat membatalkan operasi transfer. |
storagetransfer.operations.get |
Bisa mendapatkan detail operasi transfer. |
storagetransfer.operations.list |
Dapat mencantumkan semua operasi tugas transfer. |
storagetransfer.operations.pause |
Dapat menjeda operasi transfer. |
storagetransfer.operations.report |
Digunakan oleh agen transfer untuk melaporkan status operasi. |
storagetransfer.operations.resume |
Dapat melanjutkan operasi transfer yang dijeda. |
Izin kumpulan agen transfer
Tabel berikut menjelaskan izin untuk kumpulan agen transfer sistem file:
Izin | Deskripsi |
---|---|
storagetransfer.agentpools.create |
Dapat membuat kumpulan agen. |
storagetransfer.agentpools.update |
Dapat memperbarui kumpulan agen. |
storagetransfer.agentpools.delete |
Dapat menghapus kumpulan agen. |
storagetransfer.agentpools.get |
Dapat memperoleh informasi tentang kumpulan agen tertentu. |
storagetransfer.agentpools.list |
Dapat mencantumkan informasi untuk semua kumpulan agen dalam project. |
storagetransfer.agentpools.report |
Digunakan oleh agen transfer untuk melaporkan status. |
Peran yang telah ditetapkan
Bagian ini menjelaskan peran bawaan untuk Storage Transfer Service. Peran adalah cara yang direkomendasikan untuk menetapkan izin IAM.
Perbandingan peran
Anda dapat menetapkan peran project berikut atau peran Storage Transfer Service yang telah diatur berikut:
Kemampuan | Editor (roles/editor ) |
Transfer Penyimpanan (roles/storagetransfer. )
|
||
---|---|---|---|---|
Admin (admin ) |
Pengguna (user ) |
Pelihat (viewer ) |
||
Membuat daftar/mendapatkan tugas | ||||
Membuat tugas | ||||
Menjalankan tugas | ||||
Memperbarui tugas | ||||
Hapus tugas | ||||
Membuat daftar/mendapatkan operasi transfer | ||||
Menjeda/melanjutkan operasi transfer | ||||
Baca detail akun layanan Google yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage. | ||||
Mencantumkan agen | ||||
Mencantumkan kumpulan agen | ||||
Membuat kumpulan agen | ||||
Memperbarui kumpulan agen | ||||
Menghapus kumpulan agen | ||||
Mendapatkan kumpulan agen | ||||
Membaca atau menetapkan bandwidth project |
Detail peran
Tabel berikut menjelaskan secara mendetail peran yang telah ditetapkan untuk Storage Transfer Service:
Peran | Deskripsi | Izin yang Disertakan |
---|---|---|
Storage Transfer Admin ( roles/storagetransfer. )
|
Memberikan semua izin Storage Transfer Service, termasuk menghapus tugas. Rasionale: Ini adalah peran tingkat tertinggi dengan tanggung jawab terluas, superuser yang mendukung rekan-rekannya saat mereka melakukan transfer. Metode ini paling cocok untuk orang yang akan mengelola transfer, seperti admin IT. |
|
Storage Transfer User ( roles/storagetransfer. )
|
Memberikan izin bagi pengguna untuk membuat, mendapatkan, memperbarui, dan mencantumkan tugas transfer dalam project. Namun, mereka tidak dapat menghapus tugas mereka sendiri. Rasionale: Peran ini memungkinkan pemisahan pembuatan dan pemeliharaan tugas dari penghapusan tugas. Peran ini paling cocok untuk pengguna yang diharuskan melakukan transfer sebagai bagian dari fungsi pekerjaannya, misalnya karyawan. Peran ini tidak mengizinkan transfer dihapus, sehingga auditor atau personel keamanan dapat melihat catatan transfer sebelumnya yang sepenuhnya tersimpan. |
|
Storage Transfer Viewer ( roles/storagetransfer. )
|
Memberikan izin untuk mencantumkan dan mendapatkan tugas serta operasi transfer dalam project. Pengguna tidak dapat menjadwalkan, memperbarui, atau menghapus tugas. Rasiona: Peran viewer ditujukan untuk akses hanya baca guna melihat tugas dan operasi transfer. Peran ini memungkinkan pemisahan tugas laporan dan audit dari pembuatan dan pemeliharaan tugas. Peran ini paling cocok untuk pengguna atau tim internal yang mengaudit penggunaan transfer, seperti keamanan, kepatuhan, atau pemimpin unit bisnis. |
|
Agen Transfer Penyimpanan
(roles/storagetransfer.transferAgent )
|
Memberi agen transfer izin Storage Transfer Service dan Pub/Sub yang diperlukan untuk menyelesaikan transfer. Berikan peran ini kepada pengguna atau akun layanan yang digunakan oleh agen. |
|
Agen Storage Transfer Service
(roles/storagetransfer.serviceAgent )
|
Memberi agen layanan Storage Transfer Service izin yang diperlukan untuk membuat dan mengubah topik Pub/Sub agar dapat berkomunikasi dari Google Cloud kepada agen transfer. Berikan peran ini ke agen layanan Storage Transfer Service. |
|
Peran khusus
Anda dapat membuat dan menerapkan peran IAM khusus untuk memenuhi persyaratan akses organisasi Anda.
Saat membuat peran khusus, sebaiknya gunakan kombinasi peran standar untuk memastikan izin yang benar disertakan bersama-sama.
Konsol Google Cloud tidak akan berfungsi dengan baik jika peran khusus tidak memiliki izin yang diperlukan. Misalnya, beberapa bagian Konsol Google Cloud menganggap suatu peran memiliki akses baca untuk menampilkan item sebelum mengeditnya, sehingga peran yang hanya memiliki izin tulis mungkin menemui layar Konsol Google Cloud yang tidak berfungsi.