Contrôler les accès à l'aide de rôles et d'autorisations IAM

Présentation

Le service de transfert de stockage utilise les autorisations et rôles IAM (Identity and Access Management) pour contrôler qui peut accéder aux ressources du service. Les deux principaux types de ressources disponibles au sein du service de transfert de stockage sont les tâches et les opérations. Dans la hiérarchie des stratégies IAM, les tâches sont des ressources enfants de projets, tandis que les opérations sont des ressources enfants de tâches.

Pour accorder l'accès à une ressource, attribuez un ou plusieurs rôles à un utilisateur, un groupe ou un compte de service.

Rôles et autorisations

Matrice de comparaison des rôles prédéfinis

Vous pouvez attribuer les rôles prédéfinis suivants associés au service de transfert de stockage :

Capacité project.admin admin user viewer
Répertorier/obtenir des tâches
Créer des tâches
Mettre à jour des tâches
Supprimer des tâches
Répertorier/obtenir des opérations de transfert
Mettre en pause/reprendre des opérations de transfert
Consulter les détails des comptes de service Google utilisés par le service de transfert de stockage pour accéder aux buckets Cloud Storage.

Autorisations

Dans le cadre du service de transfert de stockage, vous pouvez attribuer les autorisations suivantes :

Autorisation Description
storagetransfer.projects.getServiceAccount Autorise à lire le compte de service Google utilisé par le service de transfert de stockage pour accéder aux buckets Cloud Storage.
storagetransfer.jobs.create Autorise à créer de nouvelles tâches de transfert.
storagetransfer.jobs.patch Autorise à mettre à jour les configurations de tâches de transfert sans les supprimer.
storagetransfer.jobs.get Autorise à récupérer des tâches spécifiques.
storagetransfer.jobs.delete Autorise à supprimer des tâches de transfert existantes.

Les tâches de transfert sont supprimées par un appel à la fonction patch. Toutefois, les utilisateurs doivent disposer de cette autorisation lors de la suppression de tâches de transfert afin d'éviter toute erreur d'autorisation.
storagetransfer.jobs.list Autorise à répertorier l'ensemble des tâches de transfert.
storagetransfer.operations.get Autorise à obtenir les détails des opérations de transfert.
storagetransfer.operations.list Autorise à répertorier l'ensemble des opérations de transfert.
storagetransfer.operations.cancel Autorise à annuler des opérations de transfert.
storagetransfer.operations.pause Autorise à mettre en pause les opérations de transfert.
storagetransfer.operations.resume Autorise à reprendre les opérations de transfert mises en pause.

Pour créer des rôles personnalisés, il est recommandé de créer des rôles à partir des rôles prédéfinis afin d'établir la bonne combinaison d'autorisations.

Détails des rôles prédéfinis

Le tableau suivant décrit en détail les rôles prédéfinis pour le service de transfert de stockage :

Rôle Description Autorisations associées

roles/storagetransfer.
admin

Fournit toutes les autorisations pour le service de transfert de stockage, y compris la suppression de tâches.

Justification : Il s'agit du rôle de plus haut niveau possédant les responsabilités les plus étendues. Cela correspond au superutilisateur qui est en appui de ses collègues lors des transferts. Ce rôle convient particulièrement aux personnes chargées d'administrer les transferts, typiquement les administrateurs informatiques.

Toutes les autorisations sont accordées

roles/storagetransfer.
user

Fournit à l'utilisateur les autorisations permettant de créer, obtenir, mettre à jour et répertorier des tâches de transfert au sein du projet. Toutefois, l'utilisateur n'est pas autorisé à supprimer ses propres tâches.

Justification : Ce rôle permet de séparer d'un côté la création et la maintenance de tâches, et de l'autre la suppression de tâches. Ce rôle convient particulièrement aux utilisateurs qui doivent exécuter un transfert dans le cadre de leurs fonctions, par exemple un employé. Ce rôle ne permet pas de supprimer le transfert, de sorte que les auditeurs ou le personnel de sécurité peuvent consulter un enregistrement des transferts passés sans la moindre altération.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.create
  • storagetransfer.jobs.patch
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.operations.pause
  • storagetransfer.operations.resume

roles/storagetransfer.
viewer

Autorisations permettant de répertorier et d'obtenir des tâches et opérations de transfert au sein du projet. L'utilisateur ne peut pas planifier, mettre à jour ou supprimer des tâches.

Justification : Le rôle de lecteur est conçu pour un accès en lecture seule, afin de visualiser les tâches et opérations de transfert. Ce rôle permet de séparer les tâches liées aux audits et rapports de la création et de la maintenance des tâches. Il convient particulièrement aux utilisateurs ou aux équipes internes qui réalisent l'audit des transferts, tels que les responsables de la sécurité, de la conformité ou des unités commerciales.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list

Étape suivante

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation sur le service de transfert de stockage Cloud Storage