設定資料來源及接收器的存取權

本頁面說明如何在使用 Storage 移轉服務來移轉資料時,設定資料來源及資料接收器的存取權。

必備條件

服務帳戶權限是於值區層級授予,您必須具備將權限授予服務帳戶的能力:

  • 來源和目的地值區的 roles/storage.legacyBucketReader
  • 目的地值區或來源值區 (若您計劃刪除來源檔案) 的 roles/storage.objectAdmin
  • 如果您不想刪除來源檔案,則需要來源的 roles/storage.objectViewer

設定資料來源的存取權

Google Cloud Storage

如要設定 Cloud Storage 資料來源的存取權,您必須對與 Storage 移轉服務相關聯的服務帳戶,授予存取來源的權限:

  1. 取得用於服務帳戶的電子郵件地址。

    1. 在 googleServiceAccounts.get 方法頁面上,使用「Try this API」(試用這個 API) 區段。

    2. 在「projectID」欄位中,輸入要建立移轉工作的專案 ID。

    3. 按一下 [執行] 按鈕。

    4. 在出現的回應中,找出「accountEmail」的值並複製。

      電子郵件值的格式應如下所示:project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com

  2. 授予此服務帳戶電子郵件存取資料所需的角色。

    如果是基本的移轉工作,Storage 物件檢視者角色即足以提供服務帳戶所需的權限。如為進階資料移轉,請參閱 Storage 移轉服務適用的 IAM 權限一文。

    如需授予值區角色的逐步指南,請參閱新增成員至值區層級政策一文。

Amazon S3

請依照下列步驟設定 Amazon S3 值區的存取權:

  1. 建立 AWS 身分與存取權管理 (AWS IAM) 使用者,請使用您可輕易辨識的名稱,如 transfer-user。請確認名稱符合 AWS 身分與存取權管理使用者名稱指南 (請參閱身分與存取權管理實體及物件的限制一文)。

  2. 授予 AWS IAM 使用者下列操作的執行權限:

    • 列出 Amazon S3 值區。
    • 取得值區的位置。
    • 讀取值區中的物件。
    • (選用) 在資料移轉後從來源中刪除物件。(您需有刪除物件權限。)
  3. 為預定的移轉工作建立至少一組存取權/密鑰組。也可以替各項移轉工作建立個別的存取權/密鑰組。

  4. 將任何封存於 Amazon Glacier 的物件還原。在 Amazon S3 中,封存於 Amazon Glacier 的物件在還原之前都無法存取。如需更多資訊,請參閱從 Amazon Glacier 遷移至 Cloud Storage 白皮書

網址清單

如果網址清單是您的資料來源,網址清單中的每個物件都必須可供公開存取。

設定資料接收器的存取權

用於資料移轉作業的資料接收器一律為 Cloud Storage 值區。如要使用值區做為資料接收器,與 Storage 移轉服務相關聯的服務帳戶必須具備接收器的存取權限:

  1. 取得用於服務帳戶的電子郵件地址。

    1. 在 googleServiceAccounts.get 方法頁面上,使用「Try this API」(試用這個 API) 區段。

    2. 在「projectID」欄位中,輸入要建立移轉工作的專案 ID。

    3. 按一下 [執行] 按鈕。

    4. 在出現的回應中,找出「accountEmail」的值並複製。

      電子郵件值的格式應如下所示:project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com

  2. 授予此服務帳戶電子郵件使用資料接收器所需的角色。

    Storage 舊版值區寫入者角色可授予服務帳戶所有需要的權限。如需進一步瞭解所需權限,請參閱 Storage 移轉服務適用的 IAM 權限一文。

    如需授予值區角色的逐步指南,請參閱新增成員至值區層級政策一文。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Storage 移轉服務說明文件