O Storage Transfer Service usa as permissões e os papéis do gerenciamento de Identidade e Acesso (IAM, na sigla em inglês) para controlar quem pode acessar os recursos do Storage Transfer Service. Os dois tipos principais de recursos disponíveis no Storage Transfer Service são as operações e os jobs. Na hierarquia de políticas do IAM, os jobs são recursos filhos de projetos e as operações são recursos filhos dos jobs.
Para conceder acesso a um recurso, atribua uma ou mais permissões ou papéis a um usuário, grupo ou conta de serviço.
Permissões
Você pode conceder as seguintes permissões do serviço de transferência do Cloud Storage:
Transferir permissão do projeto
Permissão | Descrição |
---|---|
storagetransfer.projects.getServiceAccount |
Pode ler a conta do serviço do Google usada pelo Storage Transfer Service para acessar os buckets do Cloud Storage. |
Transferir permissões de job
Permissão | Descrição |
---|---|
storagetransfer.jobs.create |
Pode criar novos jobs de transferência. |
storagetransfer.jobs.delete |
Pode excluir jobs de transferência atuais. Os jobs de transferência são excluídos chamando a função patch. No entanto, os usuários precisam ter essa permissão ao excluir os jobs de transferência para evitar erros de permissão. |
storagetransfer.jobs.get |
Pode recuperar jobs específicos. |
storagetransfer.jobs.list |
Pode listar todos os jobs de transferência. |
storagetransfer.jobs.patch |
Pode atualizar as configurações do job de transferência sem excluí-las. |
Transferir permissões de operações
Permissão | Descrição |
---|---|
storagetransfer.operations.cancel |
Pode cancelar operações de transferência. |
storagetransfer.operations.get |
Pode receber detalhes das operações de transferência. |
storagetransfer.operations.list |
Pode listar todas as operações de job de transferência. |
storagetransfer.operations.pause |
Pode pausar operações de transferência. |
storagetransfer.operations.resume |
Pode retomar as operações de transferência pausadas. |
Papel
Esta seção descreve os papéis que você pode definir para o serviço de transferência do Cloud Storage e as orientações para criar papéis personalizados.
Matriz de comparação de papéis predefinidos
É possível atribuir os seguintes papéis do projeto ou predefinidos do serviço de transferência do Cloud Storage:
Capacidade | roles/editor |
roles/storagetransfer.
|
||
---|---|---|---|---|
admin |
user |
viewer |
||
Listar/receber jobs | ||||
Criar jobs | ||||
Atualizar jobs | ||||
Excluir jobs | ||||
Listar/receber operações de transferência | ||||
Pausar/retomar operações de transferência | ||||
Leia os detalhes da conta de serviço do Google usados pelo Storage Transfer Service para acessar os buckets do Cloud Storage. |
A permissão Atualizar jobs não inclui permissão para excluir jobs.
Para Transferir no local, o papel Admin é necessário para:
- Listar agentes
- Ler o limite de largura de banda do projeto
- Definir o limite de largura de banda do projeto
Detalhes de papéis predefinidos
A tabela a seguir descreve detalhadamente os papéis predefinidos do Storage Transfer Service:
Papel | Descrição | Permissões incluídas |
---|---|---|
|
Fornece todas as permissões do serviço de transferência do Cloud Storage, incluindo a exclusão de jobs. Lógica: este é o papel de mais alto nível com as responsabilidades mais amplas, o superusuário que dá suporte a seus colegas quando eles realizam transferências. Ele é mais adequado a pessoas que administrarão transferências, como administradores de TI. |
Todas as permissões concedidas |
roles/storagetransfer. |
Fornece permissões para o usuário criar, receber, atualizar e listar jobs de transferência dentro do projeto. No entanto, eles não podem excluir os próprios jobs. Lógica: este papel permite a separação da criação e manutenção da exclusão de jobs. Esse papel é mais adequado para usuários que precisam executar a transferência como parte de seu trabalho, como um funcionário. Esse papel não permite que a transferência seja excluída, para que os auditores ou a equipe de segurança possam visualizar um registro totalmente preservado de transferências passadas. |
|
|
Permissões para listar e receber jobs e operações de transferência dentro do projeto. O usuário não pode programar, atualizar ou excluir jobs. Lógica: o papel de visualizador é destinado ao acesso somente leitura para visualizar jobs e operações de transferência. Esse papel permite separar as tarefas de relatório e auditoria dos jobs de criação e manutenção. Esse papel é mais adequado a usuários ou equipes internas que auditam o uso da transferência, como líderes de unidade de negócios, segurança e conformidade. |
|
Papéis personalizados
A prática recomendada ao criar papéis personalizados é criar papéis usando papéis predefinidos, para que a combinação certa de permissões seja incluída.
O Console do Cloud não funcionará corretamente se a função personalizada estiver sem as permissões necessárias. Por exemplo, algumas partes do Console do Cloud supõem que o papel tenha acesso de leitura para exibir um item antes de editá-lo. Portanto, um papel com permissões somente de gravação não conseguirá acessar o Console do Cloud da maneira apropriada.