Controle de acesso usando papéis e permissões do IAM

O Storage Transfer Service usa as permissões e os papéis do gerenciamento de Identidade e Acesso (IAM, na sigla em inglês) para controlar quem pode acessar os recursos do Storage Transfer Service. Os dois tipos principais de recursos disponíveis no Storage Transfer Service são as operações e os jobs. Na hierarquia de políticas do IAM, os jobs são recursos filhos de projetos e as operações são recursos filhos dos jobs.

Para conceder acesso a um recurso, atribua uma ou mais permissões ou papéis a um usuário, grupo ou conta de serviço.

Permissões

Você pode conceder as seguintes permissões do serviço de transferência do Cloud Storage:

Transferir permissão do projeto

Permissão	Descrição
`storagetransfer.projects.getServiceAccount`	Pode ler a conta do serviço do Google usada pelo Storage Transfer Service para acessar os buckets do Cloud Storage.

Transferir permissões de job

Permissão	Descrição
`storagetransfer.jobs.create`	Pode criar novos jobs de transferência.
`storagetransfer.jobs.delete`	Pode excluir jobs de transferência atuais. Os jobs de transferência são excluídos chamando a função patch. No entanto, os usuários precisam ter essa permissão ao excluir os jobs de transferência para evitar erros de permissão.
`storagetransfer.jobs.get`	Pode recuperar jobs específicos.
`storagetransfer.jobs.list`	Pode listar todos os jobs de transferência.
`storagetransfer.jobs.patch`	Pode atualizar as configurações do job de transferência sem excluí-las.

Transferir permissões de operações

Permissão	Descrição
`storagetransfer.operations.cancel`	Pode cancelar operações de transferência.
`storagetransfer.operations.get`	Pode receber detalhes das operações de transferência.
`storagetransfer.operations.list`	Pode listar todas as operações de job de transferência.
`storagetransfer.operations.pause`	Pode pausar operações de transferência.
`storagetransfer.operations.resume`	Pode retomar as operações de transferência pausadas.

Papel

Esta seção descreve os papéis que você pode definir para o serviço de transferência do Cloud Storage e as orientações para criar papéis personalizados.

Matriz de comparação de papéis predefinidos

É possível atribuir os seguintes papéis do projeto ou predefinidos do serviço de transferência do Cloud Storage:

Capacidade	`roles/editor`	`roles/storagetransfer.`
Capacidade	`roles/editor`	`admin`	`user`	`viewer`
Listar/receber jobs
Criar jobs
Atualizar jobs
Excluir jobs
Listar/receber operações de transferência
Pausar/retomar operações de transferência
Leia os detalhes da conta de serviço do Google usados pelo Storage Transfer Service para acessar os buckets do Cloud Storage.

A permissão Atualizar jobs não inclui permissão para excluir jobs.

Para Transferir no local, o papel Admin é necessário para:

Listar agentes
Ler o limite de largura de banda do projeto
Definir o limite de largura de banda do projeto

Detalhes de papéis predefinidos

A tabela a seguir descreve detalhadamente os papéis predefinidos do Storage Transfer Service:

Papel Descrição Permissões incluídas

Papel	Descrição	Permissões incluídas
`roles/storagetransfer. admin`	Fornece todas as permissões do serviço de transferência do Cloud Storage, incluindo a exclusão de jobs. Lógica: este é o papel de mais alto nível com as responsabilidades mais amplas, o superusuário que dá suporte a seus colegas quando eles realizam transferências. Ele é mais adequado a pessoas que administrarão transferências, como administradores de TI.	Todas as permissões concedidas
`roles/storagetransfer. user`	Fornece permissões para o usuário criar, receber, atualizar e listar jobs de transferência dentro do projeto. No entanto, eles não podem excluir os próprios jobs. Lógica: este papel permite a separação da criação e manutenção da exclusão de jobs. Esse papel é mais adequado para usuários que precisam executar a transferência como parte de seu trabalho, como um funcionário. Esse papel não permite que a transferência seja excluída, para que os auditores ou a equipe de segurança possam visualizar um registro totalmente preservado de transferências passadas.	`storagetransfer.projects.getServiceAccount` `storagetransfer.jobs.create` `storagetransfer.jobs.get` `storagetransfer.jobs.list` `storagetransfer.jobs.patch` `storagetransfer.operations.get` `storagetransfer.operations.list` `storagetransfer.operations.pause` `storagetransfer.operations.resume`
`roles/storagetransfer. viewer`	Permissões para listar e receber jobs e operações de transferência dentro do projeto. O usuário não pode programar, atualizar ou excluir jobs. Lógica: o papel de visualizador é destinado ao acesso somente leitura para visualizar jobs e operações de transferência. Esse papel permite separar as tarefas de relatório e auditoria dos jobs de criação e manutenção. Esse papel é mais adequado a usuários ou equipes internas que auditam o uso da transferência, como líderes de unidade de negócios, segurança e conformidade.	`storagetransfer.projects.getServiceAccount` `storagetransfer.jobs.get` `storagetransfer.jobs.list` `storagetransfer.operations.get` `storagetransfer.operations.list`

roles/storagetransfer. admin

Fornece todas as permissões do serviço de transferência do Cloud Storage, incluindo a exclusão de jobs.

Lógica: este é o papel de mais alto nível com as responsabilidades mais amplas, o superusuário que dá suporte a seus colegas quando eles realizam transferências. Ele é mais adequado a pessoas que administrarão transferências, como administradores de TI.

Todas as permissões concedidas

roles/storagetransfer.
user

Fornece permissões para o usuário criar, receber, atualizar e listar jobs de transferência dentro do projeto. No entanto, eles não podem excluir os próprios jobs.

Lógica: este papel permite a separação da criação e manutenção da exclusão de jobs. Esse papel é mais adequado para usuários que precisam executar a transferência como parte de seu trabalho, como um funcionário. Esse papel não permite que a transferência seja excluída, para que os auditores ou a equipe de segurança possam visualizar um registro totalmente preservado de transferências passadas.

storagetransfer.projects.getServiceAccount
storagetransfer.jobs.create
storagetransfer.jobs.get
storagetransfer.jobs.list
storagetransfer.jobs.patch
storagetransfer.operations.get
storagetransfer.operations.list
storagetransfer.operations.pause
storagetransfer.operations.resume

roles/storagetransfer. viewer

Permissões para listar e receber jobs e operações de transferência dentro do projeto. O usuário não pode programar, atualizar ou excluir jobs.

Lógica: o papel de visualizador é destinado ao acesso somente leitura para visualizar jobs e operações de transferência. Esse papel permite separar as tarefas de relatório e auditoria dos jobs de criação e manutenção. Esse papel é mais adequado a usuários ou equipes internas que auditam o uso da transferência, como líderes de unidade de negócios, segurança e conformidade.

storagetransfer.projects.getServiceAccount
storagetransfer.jobs.get
storagetransfer.jobs.list
storagetransfer.operations.get
storagetransfer.operations.list

Papéis personalizados

A prática recomendada ao criar papéis personalizados é criar papéis usando papéis predefinidos, para que a combinação certa de permissões seja incluída.

O Console do Cloud não funcionará corretamente se a função personalizada estiver sem as permissões necessárias. Por exemplo, algumas partes do Console do Cloud supõem que o papel tenha acesso de leitura para exibir um item antes de editá-lo. Portanto, um papel com permissões somente de gravação não conseguirá acessar o Console do Cloud da maneira apropriada.

A seguir

Exemplos de uso de permissões e papéis do IAM para projetos do Storage Transfer Service.