配置对数据源和数据接收器的访问权限

本页面介绍了如何针对使用 Storage Transfer Service 进行的数据传输,设置对数据源和数据接收器的访问权限。

前提条件

服务帐号权限在存储分区级层进行授予。您必须有权将以下权限授予您的服务帐号:

  • 源存储分区和目标存储分区的 roles/storage.legacyBucketReader 权限。
  • 目标存储分区或源存储分区的 roles/storage.objectAdmin 权限(如果您想删除源文件)。
  • 源存储分区的 roles/storage.objectViewer 权限(如果您不打算删除源文件)。

如果您打算使用 Pub/Sub 转移请向服务帐号授予所需 Pub/Sub 主题的 IAM 角色 roles/pubsub.publisher

设置对数据源的访问权限

Google 云端存储

要设置对 Cloud Storage 数据的访问权限,您必须授予服务帐号相应的 Storage Transfer Service 权限,以访问数据源:

  1. 获取用于登录服务帐号的电子邮件地址。

    1. 使用 googleServiceAccounts.get 方法页面的试用此 API 部分。

    2. projectID 字段中,输入将创建传输作业的项目的 ID。

    3. 点击执行按钮。

    4. 在出现的响应中,查找并复制“accountEmail”的值。

      电子邮件值的格式类似于:project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com

  2. 授予此服务帐号电子邮件访问数据所需的角色。

    对于基本传输作业,存储对象查看者角色可授予服务帐号必要的权限。如需了解高级数据传输,请参阅 Storage Transfer Service 的 IAM 权限

    如需查看为存储分区授予角色的分步说明,请参阅向存储分区级层政策添加成员

Amazon S3

请按照以下步骤设置对 Amazon S3 存储分区的访问权限:

  1. 创建 AWS IAM(身份识别与访问管理服务)用户,并设置便于识别的用户名,如 transfer-user。确保名称遵循 AWS IAM 用户命名指南(请参阅 IAM 实体和对象的限制)。

  2. 授予 AWS IAM 用户执行以下操作的权限:

    • 列出 Amazon S3 存储分区。
    • 获取存储分区的位置。
    • 读取存储分区中的对象。
    • (可选)完成数据转移后删除源存储分区中的对象。您将需要执行删除对象的权限。
  3. 为您要设置的传输作业创建至少一个访问/密钥对。您还可以为每个传输作业创建单独的访问/密钥对。

  4. 恢复归档到 Amazon Glacier 的任意对象。在恢复归档到 Amazon Glacier 的 Amazon S3 对象之前,您无法访问这些对象。如需了解详情,请参阅“从 Amazon Glacier 迁移到 Cloud Storage”白皮书

Microsoft Azure Blob 存储

要配置对 Microsoft Azure Storage 容器的访问权限,请按以下步骤操作:

  1. 创建或使用现有的 Microsoft Azure Storage 用户来访问 Microsoft Azure Storage Blob 容器的存储帐号。

  2. 在容器级层创建一个 SAS 令牌。请参阅使用共享访问签名授予对 Azure Storage 资源的有限访问权限

    SAS 令牌的默认到期时间为 8 小时。在创建 SAS 令牌时,请确保设置合理的到期时间,以便成功完成转移。

网址列表

如果您的数据源是网址列表,请确保网址列表中的每个对象都可公开访问。

设置对数据接收器的访问权限

数据传输的数据接收器始终是 Cloud Storage 存储分区。要使用存储分区充当数据接收器,您必须授予服务帐号相应的 Storage Transfer Service 权限,以访问数据接收器:

  1. 获取用于登录服务帐号的电子邮件地址。

    1. 使用 googleServiceAccounts.get 方法页面的试用此 API 部分。

    2. projectID 字段中,输入将创建传输作业的项目的 ID。

    3. 点击执行按钮。

    4. 在出现的响应中,查找并复制“accountEmail”的值。

      电子邮件值的格式类似于:project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com

  2. 授予此服务帐号电子邮件使用数据接收器所需的角色。

    Storage Legacy Bucket Writer 角色可授予服务帐号所有必要的权限。如需详细了解所需权限,请参阅 Storage Transfer Service 的 IAM 权限

    如需查看为存储分区授予角色的分步说明,请参阅向存储分区级层政策添加成员

后续步骤