Layanan Transfer Penyimpanan menggunakan izin dan peran Identity and Access Management (IAM) untuk mengontrol siapa yang dapat mengakses resource Layanan Transfer Penyimpanan. Jenis utama resource yang tersedia di Storage Transfer Service adalah tugas, operasi, dan kumpulan agen. Dalam hierarki kebijakan IAM, tugas adalah resource turunan dari project, dan operasi adalah resource turunan dari tugas.
Untuk memberikan akses ke resource, Anda menetapkan satu atau beberapa izin atau peran ke pengguna, grup, atau akun layanan.
Izin
Anda dapat memberikan izin Storage Transfer Service berikut:
Mentransfer izin project
Izin | Deskripsi |
---|---|
storagetransfer.projects.getServiceAccount |
Dapat membaca GoogleServiceAccount yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage. |
Mentransfer izin tugas
Tabel berikut menjelaskan izin untuk tugas Storage Transfer Service:
Izin | Deskripsi |
---|---|
storagetransfer.jobs.create |
Dapat membuat tugas transfer baru. |
storagetransfer.jobs.delete |
Dapat menghapus tugas transfer yang ada. Tugas transfer dihapus dengan memanggil fungsi patch. Namun, pengguna harus memiliki izin ini saat menghapus tugas transfer untuk menghindari error izin. |
storagetransfer.jobs.get |
Dapat mengambil tugas tertentu. |
storagetransfer.jobs.list |
Dapat mencantumkan semua tugas transfer. |
storagetransfer.jobs.run |
Dapat menjalankan semua tugas transfer. |
storagetransfer.jobs.update |
Dapat memperbarui konfigurasi tugas transfer tanpa menghapusnya. |
Izin operasi transfer
Tabel berikut menjelaskan izin untuk operasi Storage Transfer Service:
Izin | Deskripsi |
---|---|
storagetransfer.operations.assign |
Digunakan oleh agen transfer untuk menetapkan operasi. |
storagetransfer.operations.cancel |
Dapat membatalkan operasi transfer. |
storagetransfer.operations.get |
Dapat mendapatkan detail operasi transfer. |
storagetransfer.operations.list |
Dapat mencantumkan semua operasi tugas transfer. |
storagetransfer.operations.pause |
Dapat menjeda operasi transfer. |
storagetransfer.operations.report |
Digunakan oleh agen transfer untuk melaporkan status operasi. |
storagetransfer.operations.resume |
Dapat melanjutkan operasi transfer yang dijeda. |
Mentransfer izin kumpulan agen
Tabel berikut menjelaskan izin untuk kumpulan agen transfer sistem file:
Izin | Deskripsi |
---|---|
storagetransfer.agentpools.create |
Dapat membuat kumpulan agen. |
storagetransfer.agentpools.update |
Dapat memperbarui kumpulan agen. |
storagetransfer.agentpools.delete |
Dapat menghapus kumpulan agen. |
storagetransfer.agentpools.get |
Dapat mendapatkan informasi tentang kumpulan agen tertentu. |
storagetransfer.agentpools.list |
Dapat mencantumkan informasi untuk semua kumpulan agen dalam project. |
storagetransfer.agentpools.report |
Digunakan oleh agen transfer untuk melaporkan status. |
Peran yang telah ditetapkan
Bagian ini menjelaskan peran standar untuk Storage Transfer Service. Peran adalah cara yang lebih disukai untuk menetapkan izin IAM.
Perbandingan peran
Anda dapat menetapkan peran project berikut atau peran standar Storage Transfer Service:
Kemampuan | Editor (roles/editor ) |
Transfer Penyimpanan (roles/storagetransfer. )
|
||
---|---|---|---|---|
Admin (admin ) |
Pengguna (user ) |
Viewer (viewer ) |
||
Mencantumkan/mendapatkan tugas | ||||
Membuat tugas | ||||
Menjalankan tugas | ||||
Memperbarui tugas | ||||
Menghapus tugas | ||||
Mencantumkan/mendapatkan operasi transfer | ||||
Menjeda/melanjutkan operasi transfer | ||||
Baca detail akun layanan Google yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage. | ||||
Mencantumkan kumpulan agen | ||||
Membuat kumpulan agen | ||||
Memperbarui kumpulan agen | ||||
Menghapus kumpulan agen | ||||
Mendapatkan kumpulan agen | ||||
Membaca atau menetapkan bandwidth project |
Detail peran
Tabel berikut menjelaskan secara mendetail peran standar untuk Storage Transfer Service:
Peran | Deskripsi | Izin yang Disertakan |
---|---|---|
Storage Transfer Admin ( roles/storagetransfer. )
|
Memberikan semua izin Storage Transfer Service, termasuk menghapus tugas. Alasan: Ini adalah peran tingkat tertinggi dengan tanggung jawab terluas, yaitu superuser yang mendukung rekan kerja mereka saat melakukan transfer. Opsi ini paling cocok untuk orang yang akan mengelola transfer, seperti admin IT. |
|
Storage Transfer User ( roles/storagetransfer. )
|
Memberikan izin kepada pengguna untuk membuat, mendapatkan, memperbarui, dan mencantumkan tugas transfer dalam project. Namun, mereka tidak dapat menghapus tugas mereka sendiri. Alasan: Peran ini memungkinkan pemisahan pembuatan dan pemeliharaan tugas dari penghapusan tugas. Peran ini paling sesuai untuk pengguna yang diwajibkan untuk menjalankan transfer sebagai bagian dari fungsi pekerjaan mereka, seperti karyawan. Peran ini tidak mengizinkan transfer dihapus, sehingga auditor atau personel keamanan dapat melihat catatan transfer sebelumnya yang sepenuhnya dipertahankan. |
|
Storage Transfer Viewer ( roles/storagetransfer. )
|
Memberikan izin untuk mencantumkan dan mendapatkan tugas serta operasi transfer dalam project. Pengguna tidak dapat menjadwalkan, memperbarui, atau menghapus tugas. Alasan: Peran pelihat ditujukan untuk akses hanya baca guna melihat tugas dan operasi transfer. Peran ini memungkinkan pemisahan tugas laporan dan audit dari pembuatan dan pemeliharaan tugas. Peran ini paling cocok untuk pengguna atau tim internal yang mengaudit penggunaan transfer, seperti pemimpin unit keamanan, kepatuhan, atau bisnis. |
|
Storage Transfer Agent
(roles/storagetransfer.transferAgent )
|
Memberikan izin Storage Transfer Service yang diperlukan kepada agen transfer untuk menyelesaikan transfer. Mulai 1 Mei 2024, izin `pubsub` tidak lagi diperlukan. Berikan peran ini kepada pengguna atau akun layanan yang digunakan oleh agen. |
|
Storage Transfer Service Agent
(roles/storagetransfer.serviceAgent )
|
Memberi agen layanan Storage Transfer Service izin yang diperlukan untuk membuat dan mengubah topik Pub/Sub guna berkomunikasi dari Google Cloud ke agen transfer. Berikan peran ini ke agen layanan Storage Transfer Service. |
|
Peran khusus
Anda dapat membuat dan menerapkan peran IAM kustom untuk memenuhi persyaratan akses organisasi.
Saat membuat peran kustom, sebaiknya gunakan kombinasi peran standar untuk memastikan izin yang benar disertakan bersama-sama.
Konsol Google Cloud tidak akan berfungsi dengan benar jika peran kustom tidak memiliki izin yang diperlukan. Misalnya, beberapa bagian di konsol Google Cloud menganggap peran memiliki akses baca untuk menampilkan item sebelum mengeditnya, sehingga peran yang hanya memiliki izin tulis mungkin akan melihat layar konsol Google Cloud yang tidak berfungsi.