Configurar acceso a fuentes de datos y receptores

En esta página, se explica cómo configurar el acceso al receptor y a la fuente de datos para una transferencia de datos realizada con el Servicio de transferencia de almacenamiento.

Requisitos

Los permisos de la cuenta de servicio se otorgan a nivel del depósito. Debes tener la capacidad de otorgar estos permisos a tu cuenta de servicio:

  • roles/storage.legacyBucketReader para depósitos de origen y destino.
  • roles/storage.objectAdmin para depósitos de destino, o la fuente, si lo que deseas es borrar los archivos de origen.
  • roles/storage.objectViewer en la fuente, si no deseas borrar los archivos de origen.

Si planea utilizar Pub/Sub para las transferencias, Otorgue a la cuenta de servicio el rol de IAM roles/pubsub.publisher para el tema Pub/Sub deseado.

Configura el acceso a la fuente de datos

Google Cloud Storage

Si deseas configurar el acceso a la fuente de datos de Cloud Storage, debes otorgar permiso a la cuenta de servicio asociada con el Servicio de transferencia de almacenamiento para acceder a la fuente:

  1. Obtén la dirección de correo electrónico que se usa en la cuenta de servicio.

    1. Usa la sección Prueba esta API de la página del método googleServiceAccounts.get.

    2. Ingresa el ID del proyecto que crea el trabajo de transferencia en el campo projectID.

    3. Haz clic en el botón Ejecutar.

    4. Busca y copia el valor de accountEmail en la respuesta que aparece.

      El valor del correo electrónico tiene un formato que se ve así: project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com

  2. Proporciona a este correo electrónico de la cuenta de servicio las funciones necesarias para acceder a los datos.

    La función de Lector de objetos de almacenamiento proporciona a la cuenta de servicio los permisos necesarios, si deseas realizar trabajos de transferencia básicos. Si deseas realizar transferencias de datos avanzadas, consulta los permisos de IAM para el Servicio de transferencia de almacenamiento.

    Si deseas ver una guía paso a paso para otorgar funciones a los depósitos, consulta Agrega un miembro a una política de nivel de depósito.

Amazon S3

Sigue estos pasos para configurar el acceso a un depósito de Amazon S3:

  1. Crea un usuario de administración de identidades y accesos de AWS (IAM de AWS) con un nombre que puedas reconocer fácilmente, como transfer-user. Asegúrate de que el nombre siga los lineamientos para nombres de usuarios de IAM de AWS (consulta las Limitaciones de entidades y objetos de IAM).

  2. Otorga al usuario IAM de AWS la capacidad de hacer lo siguiente:

    • Enumera el depósito de Amazon S3.
    • Obtén la ubicación del depósito.
    • Lee los objetos del depósito.
    • Opcional: Borra los objetos de la fuente después de la transferencia de datos. Necesitarás permisos para borrar objetos.
  3. Crea al menos un par de claves secretas, o de acceso, para el trabajo de transferencia que deseas configurar. También puedes crear un par de claves secretas, o de acceso, para cada trabajo de transferencia.

  4. Restablece los objetos que estén archivados en Amazon Glacier. Los objetos en Amazon S3 que estén archivados en Amazon Glacier no son accesibles hasta que sean restablecidos. Para obtener más información, consulta el Informe de migración a Cloud Storage desde Amazon Glacier.

Microsoft Azure Blob Storage

Siga estos pasos para configurar el acceso a un contenedor de almacenamiento de Microsoft Azure:

  1. Crea un usuario de Microsoft Azure Storage o usa uno existente para acceder a la cuenta de almacenamiento de tu contenedor de Microsoft Azure Storage Blob.

  2. Cree un token SAS a nivel de contenedor. Consulte Conceder acceso limitado a los recursos de Azure Storage mediante firmas de acceso compartido.

    El tiempo de vencimiento predeterminado para los tokens SAS es de 8 horas. Cuando cree su token SAS, asegúrese de establecer un tiempo de vencimiento razonable que le permita completar con éxito su transferencia.

Lista de URL

Si tu fuente de datos es una lista de URL, asegúrate de que cada objeto de ella sea de acceso público.

Configura el acceso al receptor de datos

El receptor de datos, de tu transferencia de datos, siempre es un depósito de Cloud Storage. Si deseas usar un depósito como un receptor de datos, debes otorgar permiso para acceder al receptor a la cuenta de servicio asociada con el Servicio de transferencia de almacenamiento:

  1. Obtén la dirección de correo electrónico que se usa en la cuenta de servicio.

    1. Usa la sección Prueba esta API de la página del método googleServiceAccounts.get.

    2. Ingresa el ID del proyecto que crea el trabajo de transferencia en el campo projectID.

    3. Haz clic en el botón Ejecutar.

    4. Busca y copia el valor de accountEmail en la respuesta que aparece.

      El valor del correo electrónico tiene un formato que se ve así: project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com

  2. Proporciona a este correo electrónico de la cuenta de servicio las funciones necesarias para usar el receptor de datos.

    La función de Escritor de depósitos heredados de Storage otorga todos los permisos necesarios a la cuenta de servicio. Si deseas obtener más información sobre los permisos obligatorios, consulta permisos de IAM para el Servicio de transferencia de almacenamiento.

    Si deseas ver una guía paso a paso para otorgar funciones a los depósitos, consulta Agrega un miembro a una política de nivel de depósito.

Qué sigue