Storage Transfer Service utilizza Identity and Access Management (IAM) autorizzazioni e ruoli per controllare chi può accedere a Storage Transfer Service Google Cloud. I tipi principali di risorse disponibili in Storage Transfer Service sono job, operazioni e pool di agenti. Nella Gerarchia dei criteri IAM, i job sono figlio le risorse dei progetti, mentre le operazioni sono risorse figlio dei job.
Per concedere l'accesso a una risorsa, devi assegnarne una o più autorizzazioni o ruoli a un utente, un gruppo o un account di servizio.
Autorizzazioni
Puoi concedere le seguenti autorizzazioni di Storage Transfer Service:
Trasferisci autorizzazione progetto
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.projects.getServiceAccount |
Può leggere l'account GoogleServiceAccount utilizzato da Storage Transfer Service per accedere di archiviazione dei bucket Cloud Storage. |
Trasferisci autorizzazioni job
La tabella seguente descrive le autorizzazioni per i job di Storage Transfer Service:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.jobs.create |
Può creare nuovi job di trasferimento. |
storagetransfer.jobs.delete |
Può eliminare i job di trasferimento esistenti. I job di trasferimento vengono eliminati chiamando la funzione patch. Tuttavia, gli utenti devono disporre di questa autorizzazione durante l'eliminazione del job di trasferimento per evitare errori di autorizzazione. |
storagetransfer.jobs.get |
Può recuperare job specifici. |
storagetransfer.jobs.list |
Può elencare tutti i job di trasferimento. |
storagetransfer.jobs.run |
Può eseguire tutti i job di trasferimento. |
storagetransfer.jobs.update |
Può aggiornare le configurazioni del job di trasferimento senza eliminarle. |
Autorizzazioni per Transfer Operations
La tabella seguente descrive le autorizzazioni per Storage Transfer Service operations:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.operations.assign |
Utilizzato dagli agenti di trasferimento per assegnare le operazioni. |
storagetransfer.operations.cancel |
Può annullare le operazioni di trasferimento. |
storagetransfer.operations.get |
Può ottenere i dettagli delle operazioni di trasferimento. |
storagetransfer.operations.list |
Può elencare tutte le operazioni del job di trasferimento. |
storagetransfer.operations.pause |
Consente di mettere in pausa le operazioni di trasferimento. |
storagetransfer.operations.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato dell'operazione. |
storagetransfer.operations.resume |
Può riprendere le operazioni di trasferimento in pausa. |
Autorizzazioni del pool di agenti di trasferimento
La tabella seguente descrive le autorizzazioni per l'agente di trasferimento del file system pool:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.agentpools.create |
Può creare pool di agenti. |
storagetransfer.agentpools.update |
Può aggiornare i pool di agenti. |
storagetransfer.agentpools.delete |
Può eliminare i pool di agenti. |
storagetransfer.agentpools.get |
Può ricevere informazioni su pool di agenti specifici. |
storagetransfer.agentpools.list |
Può elencare le informazioni per tutti i pool di agenti nel progetto. |
storagetransfer.agentpools.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato. |
Ruoli predefiniti
Questa sezione descrive i ruoli predefiniti per Storage Transfer Service. Ruoli sono il metodo preferito per impostare le autorizzazioni IAM.
Confronto ruoli
Puoi assegnare il seguente ruolo di progetto o il seguente ruolo predefinito da Storage Transfer Service ruoli:
| Capacità | Editor (roles/editor) |
Trasferimento spazio di archiviazione (roles/storagetransfer.)
|
||
|---|---|---|---|---|
Amministratore (admin) |
Utente (user) |
Visualizzatore (viewer) |
||
| Elenca/recupera job | ||||
| Creazione di job | ||||
| Esegui job | ||||
| Aggiorna job | ||||
| Elimina i job | ||||
| Operazioni di trasferimento list/get | ||||
| Metti in pausa/riprendi le operazioni di trasferimento | ||||
| Legge i dettagli degli account di servizio Google utilizzati da Storage Transfer Service per accedere ai bucket Cloud Storage. | ||||
| Elenca agenti | ||||
| Elenca pool di agenti | ||||
| Crea pool di agenti | ||||
| Aggiorna pool di agenti | ||||
| Elimina pool di agenti | ||||
| Ottieni pool di agenti | ||||
| Lettura o impostazione della larghezza di banda del progetto | ||||
Dettagli del ruolo
La tabella seguente descrive in dettaglio i ruoli predefiniti per Storage Transfer Service:
| Ruolo | Descrizione | Autorizzazioni incluse |
|---|---|---|
|
Amministratore Storage Transfer ( roles/storagetransfer.)
|
Fornisce tutte le autorizzazioni di Storage Transfer Service, inclusa l'eliminazione di lavoro. Motivazione:si tratta del ruolo di primo livello con responsabilità generali, il super user che supporta i colleghi mentre eseguono i trasferimenti. È la scelta più adatta a chi vuole per gestire i trasferimenti, ad esempio gli amministratori IT. |
|
|
Utente Storage Transfer ( roles/storagetransfer.)
|
Fornisce all'utente le autorizzazioni per creare, ottenere, aggiornare ed elencare di trasferire dati all'interno del progetto. Tuttavia, non possono eliminare i propri dati di lavoro. Motivazione:questo ruolo consente di separare la creazione e mantenere i job eliminando i job. Questo ruolo è più adatto a utenti che devono eseguire trasferimenti come parte del loro job come un dipendente. Questo ruolo non consente il trasferimento eliminato, in modo che i revisori o il personale di sicurezza possano visualizzare dei trasferimenti passati. |
|
|
Visualizzatore Storage Transfer ( roles/storagetransfer.)
|
Fornisce le autorizzazioni per elencare e ottenere job e operazioni di trasferimento all'interno di del progetto. L'utente non può pianificare, aggiornare o eliminare i job. Motivazione:il ruolo di visualizzatore è destinato alla sola lettura e visualizzare le operazioni e i job di trasferimento. Questo ruolo consente di separare le attività di report e controllo dalla creazione e dalla gestione dei job. Questo più adatto agli utenti o ai team interni che controllano il trasferimento all'uso generale, come responsabili di sicurezza, conformità o di unità aziendali. |
|
Agente Storage Transfer
(roles/storagetransfer.transferAgent)
|
Concede agli agenti di trasferimento le autorizzazioni necessarie per Storage Transfer Service completare un trasferimento. A partire dal 1° maggio 2024, le autorizzazioni "pubsub" non sono più necessarie. Concedi questo ruolo all'account utente o di servizio utilizzato dagli agenti. |
|
Agente Storage Transfer
(roles/storagetransfer.serviceAgent)
|
Fornisce ai agente di servizio Storage Transfer Service le autorizzazioni necessarie per creare e modificare gli argomenti Pub/Sub per comunicare Google Cloud per trasferire gli agenti. Concedi questo ruolo ai Agente di servizio Storage Transfer Service. |
|
Ruoli personalizzati
Puoi creare e applicare ruoli IAM personalizzati per soddisfare ai requisiti di accesso dell'organizzazione.
Quando crei ruoli personalizzati, ti consigliamo di utilizzare una combinazione di ruoli predefiniti per garantire che le autorizzazioni corrette sono inclusi.
In assenza del ruolo personalizzato, la console Google Cloud non funzionerà correttamente le autorizzazioni necessarie. Ad esempio, alcune parti della console Google Cloud supporre che un ruolo abbia accesso in lettura per visualizzare un elemento prima di modificarlo, quindi solo con autorizzazioni di scrittura, potrebbero imbattersi nelle schermate della console Google Cloud non funzionano.