Storage Transfer Service utilizza le autorizzazioni e i ruoli di Identity and Access Management (IAM) per controllare chi può accedere alle risorse di Storage Transfer Service. I tipi principali di risorse disponibili in Storage Transfer Service sono job, operazioni e pool di agenti. Nella gerarchia dei criteri IAM, i job sono risorse figlie dei progetti e le operazioni sono risorse figlie dei job.
Per concedere l'accesso a una risorsa, assegna una o più autorizzazioni o ruoli a un utente, un gruppo o un account di servizio.
Autorizzazioni
Puoi concedere le seguenti autorizzazioni di Storage Transfer Service:
Trasferisci autorizzazione del progetto
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.projects.getServiceAccount |
Può leggere l'account Google utilizzato da Storage Transfer Service per accedere ai bucket Cloud Storage. |
Trasferisci le autorizzazioni dei job
La tabella seguente descrive le autorizzazioni per i job di Storage Transfer Service:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.jobs.create |
Può creare nuovi job di trasferimento. |
storagetransfer.jobs.delete |
Può eliminare i job di trasferimento esistenti. I job di trasferimento vengono eliminati chiamando la funzione patch. Tuttavia, gli utenti devono disporre di questa autorizzazione quando eliminano i job di trasferimento per evitare errori di autorizzazione. |
storagetransfer.jobs.get |
Può recuperare job specifici. |
storagetransfer.jobs.list |
Può elencare tutti i job di trasferimento. |
storagetransfer.jobs.run |
Può eseguire tutti i job di trasferimento. |
storagetransfer.jobs.update |
Può aggiornare le configurazioni dei job di trasferimento senza eliminarle. |
Autorizzazioni per le operazioni di trasferimento
La tabella seguente descrive le autorizzazioni per le operazioni di Storage Transfer Service:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.operations.assign |
Utilizzato dagli agenti di trasferimento per assegnare le operazioni. |
storagetransfer.operations.cancel |
Può annullare le operazioni di trasferimento. |
storagetransfer.operations.get |
Può ottenere i dettagli delle operazioni di trasferimento. |
storagetransfer.operations.list |
Può elencare tutte le operazioni dei job di trasferimento. |
storagetransfer.operations.pause |
Può mettere in pausa le operazioni di trasferimento. |
storagetransfer.operations.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato dell'operazione. |
storagetransfer.operations.resume |
Può riprendere le operazioni di trasferimento in pausa. |
Trasferire le autorizzazioni del pool di agenti
La seguente tabella descrive le autorizzazioni per i pool di agenti di trasferimento del file system:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.agentpools.create |
Può creare pool di agenti. |
storagetransfer.agentpools.update |
Può aggiornare i pool di agenti. |
storagetransfer.agentpools.delete |
Può eliminare i pool di agenti. |
storagetransfer.agentpools.get |
Può ottenere informazioni su pool di agenti specifici. |
storagetransfer.agentpools.list |
Può elencare le informazioni per tutti i pool di agenti del progetto. |
storagetransfer.agentpools.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato. |
Ruoli predefiniti
Questa sezione descrive i ruoli predefiniti per Storage Transfer Service. I ruoli sono il modo preferito per impostare le autorizzazioni IAM.
Confronto dei ruoli
Puoi assegnare i seguenti ruoli del progetto o i ruoli predefiniti di Storage Transfer Service:
| Capacità | Editor (roles/editor) |
Storage Transfer (roles/storagetransfer.)
|
||
|---|---|---|---|---|
Amministratore (admin) |
Utente (user) |
Visualizzatore (viewer) |
||
| Elenca/recupera job | ||||
| Creare job | ||||
| Esegui job | ||||
| Aggiorna job | ||||
| Elimina i job | ||||
| Elenca/recupera le operazioni di trasferimento | ||||
| Mettere in pausa/riprendere le operazioni di trasferimento | ||||
| Leggi i dettagli dell'account di servizio Google utilizzati da Storage Transfer Service per accedere ai bucket Cloud Storage. | ||||
| Elenca i pool di agenti | ||||
| Creare pool di agenti | ||||
| Aggiorna i pool di agenti | ||||
| Eliminare i pool di agenti | ||||
| Ottenere pool di agenti | ||||
| Leggere o impostare la larghezza di banda del progetto | ||||
Dettagli del ruolo
La tabella seguente descrive in dettaglio i ruoli predefiniti per Storage Transfer Service:
| Ruolo | Descrizione | Autorizzazioni incluse |
|---|---|---|
|
Amministratore trasferimento dati ( roles/storagetransfer.)
|
Fornisce tutte le autorizzazioni di Storage Transfer Service, inclusa l'eliminazione dei job. Motivazione: si tratta del ruolo di livello più elevato con le responsabilità più ampie, il superutente che supporta i colleghi durante l'esecuzione dei trasferimenti. Questa opzione è più adatta per gli utenti che gestiranno i trasferimenti, ad esempio gli amministratori IT. |
|
|
Utente di trasferimento dati ( roles/storagetransfer.)
|
Fornisce all'utente le autorizzazioni per creare, recuperare, aggiornare ed elencare i job di trasferimento all'interno del progetto. Tuttavia, non possono eliminare i propri job. Motivazione: questo ruolo consente di separare la creazione e la gestione dei job dall'eliminazione dei job. Questo ruolo è più adatto per gli utenti che devono eseguire trasferimenti nell'ambito della loro funzione lavorativa, come un dipendente. Questo ruolo non consente di eliminare il trasferimento, in modo che gli auditor o il personale di sicurezza possano visualizzare un record completamente conservato dei trasferimenti passati. |
|
|
Visualizzatore di trasferimento dati ( roles/storagetransfer.)
|
Fornisce le autorizzazioni per elencare e recuperare job e operazioni di trasferimento all'interno del progetto. L'utente non può pianificare, aggiornare o eliminare i job. Motivazione: il ruolo Visualizzatore è pensato per l'accesso di sola lettura alle operazioni e ai job di trasferimento delle visualizzazioni. Questo ruolo consente di separare le attività di generazione di report e di controllo dalla creazione e dalla gestione dei job. Questo ruolo è più adatto a utenti o team interni che controllano l'utilizzo dei trasferimenti, ad esempio responsabili della sicurezza, della conformità o delle unità aziendali. |
|
Agente di trasferimento dello spazio di archiviazione
(roles/storagetransfer.transferAgent)
|
Concede agli agenti di trasferimento le autorizzazioni di Storage Transfer Service necessarie per completare un trasferimento. A partire dal 1° maggio 2024, le autorizzazioni "pubsub" non sono più necessarie. Concedi questo ruolo all'account utente o di servizio utilizzato dagli agenti. |
|
Agente Storage Transfer Service
(roles/storagetransfer.serviceAgent)
|
Conferisce all' Agente di servizio Storage Transfer Service le autorizzazioni necessarie per creare e modificare gli argomenti Pub/Sub per comunicare da Google Cloud agli agenti di trasferimento. Concedi questo ruolo all' agente di servizio Storage Transfer Service. |
|
Ruoli personalizzati
Puoi creare e applicare ruoli IAM personalizzati per soddisfare i requisiti di accesso della tua organizzazione.
Quando crei ruoli personalizzati, ti consigliamo di utilizzare una combinazione di ruoli predefiniti per assicurarti che le autorizzazioni corrette siano incluse insieme.
La console Google Cloud non funzionerà correttamente se al ruolo personalizzato mancano le autorizzazioni richieste. Ad esempio, alcune parti della console Google Cloud assumeno che un ruolo abbia accesso in lettura per visualizzare un elemento prima di modificarlo, pertanto un ruolo con autorizzazioni di scrittura soltanto potrebbe visualizzare schermate della console Google Cloud che non funzionano.