Storage Transfer Service utilizza le autorizzazioni e i ruoli di Identity and Access Management (IAM) per controllare chi può accedere alle risorse di Storage Transfer Service. I tipi principali di risorse disponibili in Storage Transfer Service sono job, operazioni e pool di agenti. Nella Gerarchia dei criteri IAM, i job sono figlio le risorse dei progetti, mentre le operazioni sono risorse figlio dei job.
Per concedere l'accesso a una risorsa, devi assegnarne una o più autorizzazioni o ruoli a un utente, un gruppo o un account di servizio.
Autorizzazioni
Puoi concedere le seguenti autorizzazioni di Storage Transfer Service:
Trasferisci autorizzazione progetto
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.projects.getServiceAccount |
Può leggere l'account Google utilizzato da Storage Transfer Service per accedere ai bucket Cloud Storage. |
Trasferisci autorizzazioni job
La tabella seguente descrive le autorizzazioni per i job di Storage Transfer Service:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.jobs.create |
Può creare nuovi job di trasferimento. |
storagetransfer.jobs.delete |
Può eliminare i job di trasferimento esistenti. I job di trasferimento vengono eliminati chiamando la funzione patch. Tuttavia, gli utenti devono disporre di questa autorizzazione quando eliminano i job di trasferimento per evitare errori di autorizzazione. |
storagetransfer.jobs.get |
Può recuperare job specifici. |
storagetransfer.jobs.list |
Può elencare tutti i job di trasferimento. |
storagetransfer.jobs.run |
Può eseguire tutti i job di trasferimento. |
storagetransfer.jobs.update |
Può aggiornare le configurazioni dei job di trasferimento senza eliminarle. |
Autorizzazioni per Transfer Operations
La tabella seguente descrive le autorizzazioni per Storage Transfer Service operazioni:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.operations.assign |
Utilizzato dagli agenti di trasferimento per assegnare le operazioni. |
storagetransfer.operations.cancel |
Può annullare le operazioni di trasferimento. |
storagetransfer.operations.get |
Può ottenere i dettagli delle operazioni di trasferimento. |
storagetransfer.operations.list |
Può elencare tutte le operazioni dei job di trasferimento. |
storagetransfer.operations.pause |
Consente di mettere in pausa le operazioni di trasferimento. |
storagetransfer.operations.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato dell'operazione. |
storagetransfer.operations.resume |
Può riprendere le operazioni di trasferimento in pausa. |
Trasferire le autorizzazioni del pool di agenti
La tabella seguente descrive le autorizzazioni per l'agente di trasferimento del file system pool:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.agentpools.create |
Può creare pool di agenti. |
storagetransfer.agentpools.update |
Può aggiornare i pool di agenti. |
storagetransfer.agentpools.delete |
Può eliminare i pool di agenti. |
storagetransfer.agentpools.get |
Può ottenere informazioni su pool di agenti specifici. |
storagetransfer.agentpools.list |
Può elencare le informazioni per tutti i pool di agenti nel progetto. |
storagetransfer.agentpools.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato. |
Ruoli predefiniti
Questa sezione descrive i ruoli predefiniti per Storage Transfer Service. I ruoli sono il modo preferito per impostare le autorizzazioni IAM.
Confronto ruoli
Puoi assegnare i seguenti ruoli del progetto o i ruoli predefiniti di Storage Transfer Service:
| Capacità | Editor (roles/editor) |
Trasferimento spazio di archiviazione (roles/storagetransfer.)
|
||
|---|---|---|---|---|
Amministratore (admin) |
Utente (user) |
Visualizzatore (viewer) |
||
| Elenca/recupera job | ||||
| Creazione di job | ||||
| Esegui job | ||||
| Aggiorna job | ||||
| Elimina i job | ||||
| Elenca/recupera le operazioni di trasferimento | ||||
| Metti in pausa/riprendi le operazioni di trasferimento | ||||
| Leggi i dettagli dell'account per i servizi Google utilizzati da Storage Transfer Service per accedere ai bucket Cloud Storage. | ||||
| Elenca agenti | ||||
| Elenca i pool di agenti | ||||
| Crea pool di agenti | ||||
| Aggiorna pool di agenti | ||||
| Elimina pool di agenti | ||||
| Ottenere pool di agenti | ||||
| Lettura o impostazione della larghezza di banda del progetto | ||||
Dettagli del ruolo
La tabella seguente descrive in dettaglio i ruoli predefiniti per Storage Transfer Service:
| Ruolo | Descrizione | Autorizzazioni incluse |
|---|---|---|
|
Amministratore Storage Transfer ( roles/storagetransfer.)
|
Fornisce tutte le autorizzazioni di Storage Transfer Service, inclusa l'eliminazione dei job. Motivazione:si tratta del ruolo di primo livello con responsabilità generali, il super user che supporta i colleghi mentre eseguono i trasferimenti. È la scelta più adatta a chi vuole per gestire i trasferimenti, ad esempio gli amministratori IT. |
|
|
Utente di trasferimento dati ( roles/storagetransfer.)
|
Fornisce all'utente le autorizzazioni per creare, recuperare, aggiornare ed elencare i job di trasferimento all'interno del progetto. Tuttavia, non possono eliminare i propri dati di lavoro. Motivazione:questo ruolo consente di separare la creazione e mantenere i job eliminando i job. Questo ruolo è più adatto per gli utenti che devono eseguire trasferimenti nell'ambito della loro funzione lavorativa, come un dipendente. Questo ruolo non consente di eliminare il trasferimento, in modo che gli auditor o il personale di sicurezza possano visualizzare un record completamente conservato dei trasferimenti passati. |
|
|
Visualizzatore Storage Transfer ( roles/storagetransfer.)
|
Fornisce le autorizzazioni per elencare e recuperare job e operazioni di trasferimento all'interno del progetto. L'utente non può pianificare, aggiornare o eliminare i job. Motivazione:il ruolo di visualizzatore è destinato alla sola lettura e visualizzare le operazioni e i job di trasferimento. Questo ruolo consente di separare le attività di generazione di report e di controllo dalla creazione e dalla gestione dei job. Questo più adatto agli utenti o ai team interni che controllano il trasferimento all'uso generale, come responsabili di sicurezza, conformità o di unità aziendali. |
|
Agente di trasferimento dello spazio di archiviazione
(roles/storagetransfer.transferAgent)
|
Concede agli agenti di trasferimento le autorizzazioni necessarie per Storage Transfer Service completare un trasferimento. A partire dal 1° maggio 2024, le autorizzazioni "pubsub" non sono più necessarie. Concedi questo ruolo all'account utente o di servizio utilizzato dagli agenti. |
|
Agente Storage Transfer
(roles/storagetransfer.serviceAgent)
|
Fornisce ai agente di servizio Storage Transfer Service le autorizzazioni necessarie per creare e modificare gli argomenti Pub/Sub per comunicare Google Cloud per trasferire gli agenti. Concedi questo ruolo all' agente di servizio Storage Transfer Service. |
|
Ruoli personalizzati
Puoi creare e applicare ruoli IAM personalizzati per soddisfare i requisiti di accesso della tua organizzazione.
Quando crei ruoli personalizzati, ti consigliamo di utilizzare una combinazione di ruoli predefiniti per garantire che le autorizzazioni corrette sono inclusi.
In assenza del ruolo personalizzato, la console Google Cloud non funzionerà correttamente le autorizzazioni necessarie. Ad esempio, alcune parti della console Google Cloud assumeno che un ruolo abbia accesso in lettura per visualizzare un elemento prima di modificarlo, pertanto un ruolo con autorizzazioni di scrittura soltanto potrebbe visualizzare schermate della console Google Cloud che non funzionano.