O Storage Transfer Service usa as permissões e os papéis do gerenciamento de Identidade e Acesso (IAM, na sigla em inglês) para controlar quem pode acessar os recursos do Storage Transfer Service. Os principais tipos de recursos disponíveis no Storage Transfer Service são: jobs, operações e pools de agentes. Na hierarquia de políticas do IAM, os jobs são recursos filhos de projetos e as operações são recursos filhos dos jobs.
Para conceder acesso a um recurso, atribua uma ou mais permissões ou papéis a um usuário, grupo ou conta de serviço.
Permissões
Você pode conceder as seguintes permissões do serviço de transferência do Cloud Storage:
Transferir permissão do projeto
Permissão | Descrição |
---|---|
storagetransfer.projects.getServiceAccount |
Pode ler a conta do serviço do Google usada pelo Storage Transfer Service para acessar os buckets do Cloud Storage. |
Transferir permissões de job
A tabela a seguir descreve as permissões para jobs do Serviço de transferência do Cloud Storage:
Permissão | Descrição |
---|---|
storagetransfer.jobs.create |
Pode criar novos jobs de transferência. |
storagetransfer.jobs.delete |
Pode excluir jobs de transferência atuais. Os jobs de transferência são excluídos chamando a função patch. No entanto, os usuários precisam ter essa permissão ao excluir os jobs de transferência para evitar erros de permissão. |
storagetransfer.jobs.get |
Pode recuperar jobs específicos. |
storagetransfer.jobs.list |
Pode listar todos os jobs de transferência. |
storagetransfer.jobs.run |
Pode executar todos os jobs de transferência. |
storagetransfer.jobs.update |
Pode atualizar as configurações do job de transferência sem excluí-las. |
Transferir permissões de operações
A tabela a seguir descreve as permissões para operações do Serviço de transferência do Cloud Storage:
Permissão | Descrição |
---|---|
storagetransfer.operations.assign |
Usado por agentes de transferência para atribuir operações. |
storagetransfer.operations.cancel |
Pode cancelar operações de transferência. |
storagetransfer.operations.get |
Pode receber detalhes das operações de transferência. |
storagetransfer.operations.list |
Pode listar todas as operações de job de transferência. |
storagetransfer.operations.pause |
Pode pausar operações de transferência. |
storagetransfer.operations.report |
Usado pelos agentes de transferência para informar o status da operação. |
storagetransfer.operations.resume |
Pode retomar as operações de transferência pausadas. |
Permissões do pool de agentes de transferência
A tabela a seguir descreve as permissões para os pools de agentes de transferência do sistema de arquivos:
Permissão | Descrição |
---|---|
storagetransfer.agentpools.create |
Pode criar pools de agentes. |
storagetransfer.agentpools.update |
Pode atualizar os pools de agentes. |
storagetransfer.agentpools.delete |
Pode excluir pools de agentes. |
storagetransfer.agentpools.get |
Pode receber informações sobre pools de agentes específicos. |
storagetransfer.agentpools.list |
Pode listar informações para todos os pools de agentes no projeto. |
storagetransfer.agentpools.report |
Usado pelos agentes de transferência para informar o status. |
Papéis predefinidos
Nesta seção, descrevemos os papéis predefinidos do Serviço de transferência do Cloud Storage. Os papéis são a maneira preferencial de definir permissões do IAM.
Comparação dos papéis
É possível atribuir os seguintes papéis do projeto ou predefinidos do serviço de transferência do Cloud Storage:
Capacidade | Editor (roles/editor ) |
Storage Transfer (roles/storagetransfer. )
|
||
---|---|---|---|---|
Administrador (admin ) |
Usuário (user ) |
Visualizador (viewer ) |
||
Listar/receber jobs | ||||
Criar jobs | ||||
Executar jobs | ||||
Atualizar jobs | ||||
Excluir jobs | ||||
Listar/receber operações de transferência | ||||
Pausar/retomar operações de transferência | ||||
Leia os detalhes da conta de serviço do Google usados pelo Storage Transfer Service para acessar os buckets do Cloud Storage. | ||||
Listar pools de agentes | ||||
Criar pools de agentes | ||||
Atualizar pools de agentes | ||||
Excluir pools de agentes | ||||
Acessar pools de agentes | ||||
Ler ou definir a largura de banda do projeto |
Detalhes da função
A tabela a seguir descreve detalhadamente os papéis predefinidos do Storage Transfer Service:
Papel | Descrição | Permissões incluídas |
---|---|---|
Administrador de transferências do Storage ( roles/storagetransfer. )
|
Fornece todas as permissões do serviço de transferência do Cloud Storage, incluindo a exclusão de jobs. Lógica: este é o papel de mais alto nível com as responsabilidades mais amplas, o superusuário que dá suporte a seus colegas quando eles realizam transferências. Ele é mais adequado a pessoas que administrarão transferências, como administradores de TI. |
|
Usuário de transferência do Storage ( roles/storagetransfer. )
|
Fornece permissões para o usuário criar, receber, atualizar e listar jobs de transferência dentro do projeto. No entanto, eles não podem excluir os próprios jobs. Lógica: este papel permite a separação da criação e manutenção da exclusão de jobs. Esse papel é mais adequado para os usuários que precisam executar transferências como parte da função do job, como um funcionário. Esse papel não permite que a transferência seja excluída, para que os auditores ou a equipe de segurança possam visualizar um registro totalmente preservado de transferências passadas. |
|
Leitor de transferências do Storage ( roles/storagetransfer. )
|
Fornece permissões para listar e receber jobs e operações de transferência dentro do projeto. O usuário não pode programar, atualizar ou excluir jobs. Lógica: o papel de visualizador é destinado ao acesso somente leitura para visualizar jobs e operações de transferência. Esse papel permite separar as tarefas de relatório e auditoria dos jobs de criação e manutenção. Esse papel é mais adequado a usuários ou equipes internas que auditam o uso da transferência, como líderes de unidade de negócios, segurança e conformidade. |
|
Serviço de transferência do Cloud Storage
(roles/storagetransfer.transferAgent )
|
Concede aos agentes de transferência as permissões do Serviço de transferência do Cloud Storage necessárias para concluir uma transferência. A partir de 1º de maio de 2024, as permissões "pubsub" não serão mais necessárias. Conceda esse papel à conta de usuário ou de serviço que está sendo usada pelos agentes. |
|
Serviço de transferência do Cloud Storage
(roles/storagetransfer.serviceAgent )
|
Concede ao agente do serviço de transferência do Cloud Storage as permissões necessárias para criar e modificar tópicos do Pub/Sub para se comunicar do Google Cloud para agentes de transferência. Conceda esse papel ao agente de serviço do Serviço de transferência do Cloud Storage. |
|
Papéis personalizados
É possível criar e aplicar papéis de IAM personalizados para atender aos requisitos de acesso da sua organização.
Ao criar papéis personalizados, recomendamos o uso de uma combinação de papéis predefinidos para garantir que as permissões corretas sejam incluídas juntas.
O Console do Google Cloud não funcionará corretamente se a função personalizada estiver sem as permissões necessárias. Por exemplo, algumas partes do Console do Google Cloud supõem que o papel tenha acesso de leitura para exibir um item antes de editá-lo. Portanto, um papel com permissões somente de gravação não conseguirá acessar o Console do Google Cloud da maneira apropriada.