Berechtigungen und Rollen

Storage Transfer Service verwendet Berechtigungen und Rollen von Identity and Access Management (IAM), um festzulegen, wer auf Storage Transfer Service-Ressourcen Zugriff hat. Die Haupttypen der im Storage Transfer Service verfügbaren Ressourcen sind Jobs, Vorgänge und Agent-Pools. In der IAM-Richtlinienhierarchie sind Jobs untergeordnete Ressourcen von Projekten und Vorgänge sind untergeordnete Ressourcen von Jobs.

Um Zugriff auf eine Ressource zu gewähren, weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto eine oder mehrere Berechtigungen oder Rollen zu.

Berechtigungen

Sie können die folgenden Storage Transfer Service-Berechtigungen erteilen:

Berechtigung für das Übertragungsprojekt

Berechtigung Beschreibung
storagetransfer.projects.getServiceAccount Kann den GoogleServiceAccount lesen, der von dem Storage Transfer Service verwendet wird, um auf Cloud Storage-Buckets zuzugreifen.

Berechtigungen für die Übertragung von Jobs

In der folgenden Tabelle werden Berechtigungen für Storage Transfer Service-Jobs beschrieben:

Berechtigung Beschreibung
storagetransfer.jobs.create Kann neue Übertragungsjobs erstellen.
storagetransfer.jobs.delete Kann bestehende Übertragungsjobs löschen.

Übertragungsjobs werden durch Aufruf der Patch-Funktion gelöscht. Nutzer müssen jedoch diese Berechtigung beim Löschen von Übertragungsjobs haben, um Berechtigungsfehler zu vermeiden.
storagetransfer.jobs.get Kann bestimmte Jobs abrufen.
storagetransfer.jobs.list Kann alle Übertragungsjobs auflisten.
storagetransfer.jobs.run Kann alle Übertragungsjobs ausführen.
storagetransfer.jobs.update Kann Übertragungsjobkonfigurationen aktualisieren, ohne sie zu löschen.

Berechtigungen für Übertragungsvorgänge

In der folgenden Tabelle werden Berechtigungen für Storage Transfer Service-Vorgänge beschrieben:

Berechtigung Beschreibung
storagetransfer.operations.assign Wird von Übertragungs-Agents verwendet, um Vorgänge zuzuweisen.
storagetransfer.operations.cancel Kann Übertragungsvorgänge abbrechen.
storagetransfer.operations.get Kann Details zu Übertragungsvorgängen sehen.
storagetransfer.operations.list Kann alle Übertragungsjobvorgänge auflisten.
storagetransfer.operations.pause Kann Übertragungsvorgänge anhalten.
storagetransfer.operations.report Wird von Übertragungs-Agents verwendet, um den Vorgangsstatus zu melden.
storagetransfer.operations.resume Kann angehaltene Übertragungsvorgänge fortsetzen.

Berechtigungen für Transfer-Agent-Pool

In der folgenden Tabelle werden Berechtigungen für Dateisystem-Übertragungs-Agent-Pools beschrieben:

Berechtigung Beschreibung
storagetransfer.agentpools.create Kann Agent-Pools erstellen.
storagetransfer.agentpools.update Kann Agent-Pools aktualisieren.
storagetransfer.agentpools.delete Kann Agent-Pools löschen.
storagetransfer.agentpools.get Kann Informationen zu bestimmten Agent-Pools abrufen.
storagetransfer.agentpools.list Kann Informationen für alle Agent-Pools im Projekt auflisten.
storagetransfer.agentpools.report Wird von Übertragungs-Agents verwendet, um den Status zu melden.

Vordefinierte Rollen

In diesem Abschnitt werden die vordefinierten Rollen für Storage Transfer Service beschrieben. IAMs sind die bevorzugte Methode zum Festlegen von IAM-Berechtigungen.

Rollenvergleich

Sie können die folgende Projektrolle oder vordefinierte Storage Transfer Service-Rollen zuweisen:

Rechte Bearbeiter (roles/editor) Storage Transfer (roles/storagetransfer.)
Administrator (admin) Nutzer (user) Betrachter (viewer)
Jobs auflisten/abrufen
Jobs erstellen
Jobs ausführen
Jobs aktualisieren
Jobs löschen
Übertragungsvorgänge auflisten/abrufen
Übertragungsvorgänge anhalten/fortsetzen
Google-Dienstkontodetails lesen, die von dem Storage Transfer Service verwendet werden, um auf Cloud Storage-Buckets zuzugreifen.
Agent-Pools auflisten
Agent-Pools erstellen
Agent-Pools aktualisieren
Agent-Pools löschen
Agent-Pools abrufen
Projektbandbreite lesen oder festlegen

Rollendetails

In der folgenden Tabelle werden die vordefinierten Rollen für den Storage Transfer Service ausführlich beschrieben:

Rolle Beschreibung Enthaltene Berechtigungen
Storage Transfer-Administrator
(roles/storagetransfer.
admin
)

Bietet alle Storage Transfer Service-Berechtigungen, einschließlich zum Löschen von Jobs.

Grund: Dies ist die Rolle auf höchster Ebene mit den umfassendsten Verantwortlichkeiten: Der Superuser, der seine Kollegen bei Übertragungen unterstützt. Sie ist am besten für Mitarbeiter geeignet, die Übertragungen verwalten, wie z. B. IT-Administratoren.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.*
Storage Transfer-Nutzer
(roles/storagetransfer.
user
)

Bietet dem Nutzer Berechtigungen zum Erstellen, Abrufen, Aktualisieren und Auflisten von Übertragungsjobs innerhalb des Projekts. Er kann jedoch keine eigenen Jobs löschen.

Grund: Mit dieser Rolle kann das Erstellen und Verwalten von Jobs vom Löschen von Jobs getrennt werden. Diese Rolle eignet sich am besten für Nutzer, die im Rahmen ihres Aufgabenbereichs Übertragungen ausführen müssen, wie z. B. ein Mitarbeiter. Mit dieser Rolle kann die Übertragung nicht gelöscht werden, sodass Prüfer oder Sicherheitspersonal einen vollständig gespeicherten Bericht zu früheren Übertragungen sehen können.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.create
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.agentpools.report
  • storagetransfer.agentpools.update
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.run
  • storagetransfer.jobs.update
  • storagetransfer.operations.*
  • storagetransfer.projects.getServiceAccount
Storage Transfer-Betrachter
(roles/storagetransfer.
viewer
)

Berechtigungen zum Auflisten und Abrufen von Jobs und Übertragungsvorgängen innerhalb des Projekts. Der Nutzer kann keine Jobs planen, aktualisieren oder löschen.

Grund: Die Betrachterrolle ist für den Lesezugriff vorgesehen, um Übertragungsjobs und -vorgänge zu sehen. Mit dieser Rolle können Berichts- und Prüfaufgaben vom Erstellen und Verwalten von Jobs getrennt werden. Diese Rolle eignet sich am besten für Nutzer oder interne Teams, die die Übertragungsnutzung prüfen, z. B. Sicherheitspersonal, Compliance-Beauftragte oder Leiter von Geschäftseinheiten.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.projects.getServiceAccount
Storage Transfer-Agent (roles/storagetransfer.transferAgent)

Gewährt Übertragungs-Agents die Berechtigungen des Storage Transfer Service, um eine Übertragung abzuschließen.

Ab dem 1. Mai 2024 sind keine „pubsub“-Berechtigungen mehr erforderlich.

Weisen Sie diese Rolle dem Nutzer oder Dienstkonto zu, das von Agents verwendet wird.

  • monitoring.timeSeries.create
  • storagetransfer.operations.get
  • storagetransfer.operations.report
  • storagetransfer.operations.assign
  • storagetransfer.agentpools.report
  • pubsub.topics.create
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.subscriptions.create
  • pubsub.subscriptions.get
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.consume
  • pubsub.topics.attachSubscription
  • pubsub.topics.publish
Storage Transfer-Dienst-Agent (roles/storagetransfer.serviceAgent)

Gewährt dem Storage Transfer Service-Dienst-Agent die erforderlichen Berechtigungen zum Erstellen und Ändern von Pub/Sub-Themen, um die Kommunikation zwischen Google Cloud und Übertragungs-Agents zu ermöglichen.

Weisen Sie diese Rolle dem Storage Transfer Service-Dienst-Agent zu.

  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.get
  • pubsub.topics.publish
  • pubsub.topics.update

Benutzerdefinierte Rollen

Sie können benutzerdefinierte IAM-Rollen erstellen und anwenden, um die Zugriffsanforderungen Ihrer Organisation zu erfüllen.

Beim Erstellen von benutzerdefinierten Rollen empfehlen wir eine Kombination aus vordefinierten Rollen, damit die richtigen Berechtigungen enthalten sind.

Die Google Cloud Console funktioniert nicht ordnungsgemäß, wenn der benutzerdefinierten Rolle die erforderlichen Berechtigungen fehlen. Einige Teile der Cloud Console gehen beispielsweise davon aus, dass die Rolle Lesezugriff hat, um ein Element anzuzeigen, bevor es bearbeitet wird. Bei einer Rolle, die nur eine Schreibberechtigungen hat, wird also die Anzeige von Cloud Console nicht funktionieren.