Controle de acesso usando papéis e permissões do IAM

O Storage Transfer Service usa as permissões e os papéis do gerenciamento de Identidade e Acesso (IAM, na sigla em inglês) para controlar quem pode acessar os recursos do Storage Transfer Service. Os dois tipos principais de recursos disponíveis no Storage Transfer Service são as operações e os jobs. Na hierarquia de políticas do IAM, os jobs são recursos filhos de projetos e as operações são recursos filhos dos jobs.

Para conceder acesso a um recurso, atribua uma ou mais permissões ou papéis a um usuário, grupo ou conta de serviço.

Permissões

Você pode conceder as seguintes permissões do serviço de transferência do Cloud Storage:

Transferir permissão do projeto

Permissão Descrição
storagetransfer.projects.getServiceAccount Pode ler a conta do serviço do Google usada pelo Storage Transfer Service para acessar os buckets do Cloud Storage.

Transferir permissões de job

Permissão Descrição
storagetransfer.jobs.create Pode criar novos jobs de transferência.
storagetransfer.jobs.delete Pode excluir jobs de transferência atuais.

Os jobs de transferência são excluídos chamando a função patch. No entanto, os usuários precisam ter essa permissão ao excluir os jobs de transferência para evitar erros de permissão.
storagetransfer.jobs.get Pode recuperar jobs específicos.
storagetransfer.jobs.list Pode listar todos os jobs de transferência.
storagetransfer.jobs.patch Pode atualizar as configurações do job de transferência sem excluí-las.

Transferir permissões de operações

Permissão Descrição
storagetransfer.operations.cancel Pode cancelar operações de transferência.
storagetransfer.operations.get Pode receber detalhes das operações de transferência.
storagetransfer.operations.list Pode listar todas as operações de job de transferência.
storagetransfer.operations.pause Pode pausar operações de transferência.
storagetransfer.operations.resume Pode retomar as operações de transferência pausadas.

Papel

Esta seção descreve os papéis que você pode definir para o serviço de transferência do Cloud Storage e as orientações para criar papéis personalizados.

Matriz de comparação de papéis predefinidos

É possível atribuir os seguintes papéis do projeto ou predefinidos do serviço de transferência do Cloud Storage:

Ações roles/editor roles/storagetransfer.
admin user viewer
Listar/receber jobs
Criar jobs
Atualizar jobs
Excluir jobs
Listar/receber operações de transferência
Pausar/retomar operações de transferência
Leia os detalhes da conta de serviço do Google usados pelo Storage Transfer Service para acessar os buckets do Cloud Storage.

A permissão Atualizar jobs não inclui permissão para excluir jobs.

Para Transferir no local, o papel Admin é necessário para:

  • Listar agentes
  • Ler o limite de largura de banda do projeto
  • Definir o limite de largura de banda do projeto

Detalhes de papéis predefinidos

A tabela a seguir descreve detalhadamente os papéis predefinidos do Storage Transfer Service:

Papel Descrição Permissões incluídas

roles/storagetransfer.
admin

Fornece todas as permissões do serviço de transferência do Cloud Storage, incluindo a exclusão de jobs.

Lógica: este é o papel de mais alto nível com as responsabilidades mais amplas, o superusuário que dá suporte a seus colegas quando eles realizam transferências. Ele é mais adequado a pessoas que administrarão transferências, como administradores de TI.

Todas as permissões concedidas
roles/storagetransfer.
user

Fornece permissões para o usuário criar, receber, atualizar e listar jobs de transferência dentro do projeto. No entanto, eles não podem excluir os próprios jobs.

Lógica: este papel permite a separação da criação e manutenção da exclusão de jobs. Esse papel é mais adequado para usuários que precisam executar a transferência como parte de seu trabalho, como um funcionário. Esse papel não permite que a transferência seja excluída, para que os auditores ou a equipe de segurança possam visualizar um registro totalmente preservado de transferências passadas.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.patch
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.operations.pause
  • storagetransfer.operations.resume

roles/storagetransfer.
viewer

Permissões para listar e receber jobs e operações de transferência dentro do projeto. O usuário não pode programar, atualizar ou excluir jobs.

Lógica: o papel de visualizador é destinado ao acesso somente leitura para visualizar jobs e operações de transferência. Esse papel permite separar as tarefas de relatório e auditoria dos jobs de criação e manutenção. Esse papel é mais adequado a usuários ou equipes internas que auditam o uso da transferência, como líderes de unidade de negócios, segurança e conformidade.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list

Papéis personalizados

A prática recomendada ao criar papéis personalizados é criar papéis usando papéis predefinidos, para que a combinação certa de permissões seja incluída.

O Console do Cloud não funcionará corretamente se a função personalizada estiver sem as permissões necessárias. Por exemplo, algumas partes do Console do Cloud supõem que o papel tenha acesso de leitura para exibir um item antes de editá-lo. Portanto, um papel com permissões somente de gravação não conseguirá acessar o Console do Cloud da maneira apropriada.

A seguir