Izin dan peran

Layanan Transfer Penyimpanan menggunakan izin dan peran Identity and Access Management (IAM) untuk mengontrol siapa yang dapat mengakses resource Layanan Transfer Penyimpanan. Jenis utama resource yang tersedia di Storage Transfer Service adalah tugas, operasi, dan kumpulan agen. Dalam hierarki kebijakan IAM, tugas adalah resource turunan dari project, dan operasi adalah resource turunan dari tugas.

Untuk memberikan akses ke resource, Anda menetapkan satu atau beberapa izin atau peran ke pengguna, grup, atau akun layanan.

Izin

Anda dapat memberikan izin Storage Transfer Service berikut:

Mentransfer izin project

Izin Deskripsi
storagetransfer.projects.getServiceAccount Dapat membaca GoogleServiceAccount yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage.

Mentransfer izin tugas

Tabel berikut menjelaskan izin untuk tugas Storage Transfer Service:

Izin Deskripsi
storagetransfer.jobs.create Dapat membuat tugas transfer baru.
storagetransfer.jobs.delete Dapat menghapus tugas transfer yang ada.

Tugas transfer dihapus dengan memanggil fungsi patch. Namun, pengguna harus memiliki izin ini saat menghapus tugas transfer untuk menghindari error izin.
storagetransfer.jobs.get Dapat mengambil tugas tertentu.
storagetransfer.jobs.list Dapat mencantumkan semua tugas transfer.
storagetransfer.jobs.run Dapat menjalankan semua tugas transfer.
storagetransfer.jobs.update Dapat memperbarui konfigurasi tugas transfer tanpa menghapusnya.

Izin operasi transfer

Tabel berikut menjelaskan izin untuk operasi Storage Transfer Service:

Izin Deskripsi
storagetransfer.operations.assign Digunakan oleh agen transfer untuk menetapkan operasi.
storagetransfer.operations.cancel Dapat membatalkan operasi transfer.
storagetransfer.operations.get Dapat mendapatkan detail operasi transfer.
storagetransfer.operations.list Dapat mencantumkan semua operasi tugas transfer.
storagetransfer.operations.pause Dapat menjeda operasi transfer.
storagetransfer.operations.report Digunakan oleh agen transfer untuk melaporkan status operasi.
storagetransfer.operations.resume Dapat melanjutkan operasi transfer yang dijeda.

Mentransfer izin kumpulan agen

Tabel berikut menjelaskan izin untuk kumpulan agen transfer sistem file:

Izin Deskripsi
storagetransfer.agentpools.create Dapat membuat kumpulan agen.
storagetransfer.agentpools.update Dapat memperbarui kumpulan agen.
storagetransfer.agentpools.delete Dapat menghapus kumpulan agen.
storagetransfer.agentpools.get Dapat mendapatkan informasi tentang kumpulan agen tertentu.
storagetransfer.agentpools.list Dapat mencantumkan informasi untuk semua kumpulan agen dalam project.
storagetransfer.agentpools.report Digunakan oleh agen transfer untuk melaporkan status.

Peran yang telah ditetapkan

Bagian ini menjelaskan peran standar untuk Storage Transfer Service. Peran adalah cara yang lebih disukai untuk menetapkan izin IAM.

Perbandingan peran

Anda dapat menetapkan peran project berikut atau peran standar Storage Transfer Service:

Kemampuan Editor (roles/editor) Transfer Penyimpanan (roles/storagetransfer.)
Admin (admin) Pengguna (user) Viewer (viewer)
Mencantumkan/mendapatkan tugas
Membuat tugas
Menjalankan tugas
Memperbarui tugas
Menghapus tugas
Mencantumkan/mendapatkan operasi transfer
Menjeda/melanjutkan operasi transfer
Baca detail akun layanan Google yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage.
Mencantumkan kumpulan agen
Membuat kumpulan agen
Memperbarui kumpulan agen
Menghapus kumpulan agen
Mendapatkan kumpulan agen
Membaca atau menetapkan bandwidth project

Detail peran

Tabel berikut menjelaskan secara mendetail peran standar untuk Storage Transfer Service:

Peran Deskripsi Izin yang Disertakan
Storage Transfer Admin
(roles/storagetransfer.
admin
)

Memberikan semua izin Storage Transfer Service, termasuk menghapus tugas.

Alasan: Ini adalah peran tingkat tertinggi dengan tanggung jawab terluas, yaitu superuser yang mendukung rekan kerja mereka saat melakukan transfer. Opsi ini paling cocok untuk orang yang akan mengelola transfer, seperti admin IT.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.*
Storage Transfer User
(roles/storagetransfer.
user
)

Memberikan izin kepada pengguna untuk membuat, mendapatkan, memperbarui, dan mencantumkan tugas transfer dalam project. Namun, mereka tidak dapat menghapus tugas mereka sendiri.

Alasan: Peran ini memungkinkan pemisahan pembuatan dan pemeliharaan tugas dari penghapusan tugas. Peran ini paling sesuai untuk pengguna yang diwajibkan untuk menjalankan transfer sebagai bagian dari fungsi pekerjaan mereka, seperti karyawan. Peran ini tidak mengizinkan transfer dihapus, sehingga auditor atau personel keamanan dapat melihat catatan transfer sebelumnya yang sepenuhnya dipertahankan.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.create
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.agentpools.report
  • storagetransfer.agentpools.update
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.run
  • storagetransfer.jobs.update
  • storagetransfer.operations.*
  • storagetransfer.projects.getServiceAccount
Storage Transfer Viewer
(roles/storagetransfer.
viewer
)

Memberikan izin untuk mencantumkan dan mendapatkan tugas serta operasi transfer dalam project. Pengguna tidak dapat menjadwalkan, memperbarui, atau menghapus tugas.

Alasan: Peran pelihat ditujukan untuk akses hanya baca guna melihat tugas dan operasi transfer. Peran ini memungkinkan pemisahan tugas laporan dan audit dari pembuatan dan pemeliharaan tugas. Peran ini paling cocok untuk pengguna atau tim internal yang mengaudit penggunaan transfer, seperti pemimpin unit keamanan, kepatuhan, atau bisnis.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.projects.getServiceAccount
Storage Transfer Agent (roles/storagetransfer.transferAgent)

Memberikan izin Storage Transfer Service yang diperlukan kepada agen transfer untuk menyelesaikan transfer.

Mulai 1 Mei 2024, izin `pubsub` tidak lagi diperlukan.

Berikan peran ini kepada pengguna atau akun layanan yang digunakan oleh agen.

  • monitoring.timeSeries.create
  • storagetransfer.operations.get
  • storagetransfer.operations.report
  • storagetransfer.operations.assign
  • storagetransfer.agentpools.report
  • pubsub.topics.create
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.subscriptions.create
  • pubsub.subscriptions.get
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.consume
  • pubsub.topics.attachSubscription
  • pubsub.topics.publish
Storage Transfer Service Agent (roles/storagetransfer.serviceAgent)

Memberi agen layanan Storage Transfer Service izin yang diperlukan untuk membuat dan mengubah topik Pub/Sub guna berkomunikasi dari Google Cloud ke agen transfer.

Berikan peran ini ke agen layanan Storage Transfer Service.

  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.get
  • pubsub.topics.publish
  • pubsub.topics.update

Peran khusus

Anda dapat membuat dan menerapkan peran IAM kustom untuk memenuhi persyaratan akses organisasi.

Saat membuat peran kustom, sebaiknya gunakan kombinasi peran standar untuk memastikan izin yang benar disertakan bersama-sama.

Konsol Google Cloud tidak akan berfungsi dengan benar jika peran kustom tidak memiliki izin yang diperlukan. Misalnya, beberapa bagian di konsol Google Cloud menganggap peran memiliki akses baca untuk menampilkan item sebelum mengeditnya, sehingga peran yang hanya memiliki izin tulis mungkin akan melihat layar konsol Google Cloud yang tidak berfungsi.