IAM-Berechtigungen für Storage Transfer Service-Methoden

In der folgenden Tabelle finden Sie die erforderlichen Mindestberechtigungen, um jede Storage Transfer Service-Methode auszuführen.

Ressource Methode Berechtigungen
googleServiceAccount get storagetransfer.projects.getServiceAccount
transferJobs create Die beiden folgenden Berechtigungen sind erforderlich:

  • storagetransfer.jobs.create
  • storagetransfer.jobs.getserviceaccount

transferjobs get storagetransfer.jobs.get
transferjobs list storagetransfer.jobs.list
transferjobs patch Für Löschaktualisierungen: storagetransfer.jobs.delete
Für andere Aktualisierungen als Löschaktualisierungen: storagetransfer.jobs.update
transferoperations cancel storagetransfer.operations.cancel
transferOperations get storagetransfer.operations.get
transferOperations list storagetransfer.operations.list
transferOperations pause storagetransfer.operations.pause
transferOperations resume storagetransfer.operations.resume

Quellberechtigungen

Cloud Storage

Storage Transfer Service nutzt das Dienstkonto project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com zum Verschieben von Daten aus einem Cloud Storage-Quell-Bucket. Das Dienstkonto muss die folgenden Berechtigungen für den Quell-Bucket haben:

Berechtigung Beschreibung Nutzung
storage.buckets.get Ermöglicht dem Dienstkonto, den Standort des Buckets abzurufen. Immer erforderlich.
storage.objects.list Ermöglicht dem Dienstkonto, Objekte im Bucket aufzulisten. Immer erforderlich.
storage.objects.get Ermöglicht dem Dienstkonto, Objekte im Bucket zu lesen. Immer erforderlich.
storage.objects.delete Ermöglicht dem Dienstkonto, Objekte im Bucket zu löschen. Erforderlich, wenn Sie deleteObjectsFromSourceAfterTransfer auf true gesetzt haben.

Die Rollen roles/storage.objectViewer und roles/storage.legacyBucketReader enthalten zusammen die Berechtigungen, die immer erforderlich sind. Die Rolle roles/storage.legacyBucketWriter enthält die Berechtigung storage.objects.delete. Sie müssen dem Dienstkonto, mit dem die Übertragung ausgeführt werden soll, die gewünschten Rollen zuweisen.

Eine vollständige Liste der Cloud Storage-Rollen und der damit verbundenen Berechtigungen finden Sie unter IAM-Rollen.

Amazon S3

Damit Sie mit dem Storage Transfer Service Daten aus einem Amazon S3-

Bucket verschieben können, benötigen Sie ein AWS IAM-Nutzerkonto (AWS Identity and Access Management) mit bestimmten Berechtigungen für den Bucket:

Berechtigung Beschreibung Nutzung
s3:ListBucket Ermöglicht dem Storage Transfer Service, Objekte im Bucket aufzulisten. Immer erforderlich.
s3:GetObject Ermöglicht dem Storage Transfer Service, Objekte im Bucket zu lesen. Immer erforderlich.
s3:GetBucketLocation Ermöglicht dem Storage Transfer Service, den Standort des Buckets abzurufen. Immer erforderlich.
s3:DeleteObject Ermöglicht dem Storage Transfer Service, Objekte im Bucket zu löschen. Erforderlich, wenn Sie deleteObjectsFromSourceAfterTransfer auf true gesetzt haben.

URL-Liste

Wenn Sie eine URL-Liste als Datenquelle verwenden, muss jedes Objekt in der URL-Liste öffentlich zugänglich sein.

Senkenberechtigungen

Der Storage Transfer Service nutzt ein Dienstkonto, um Daten in einen Cloud Storage-Senken-Bucket zu verschieben. Das Dienstkonto muss bestimmte Berechtigungen für den Senken-Bucket haben:

Berechtigung Beschreibung Nutzung
storage.buckets.get Ermöglicht dem Dienstkonto, den Standort des Buckets abzurufen. Immer erforderlich.
storage.objects.create Ermöglicht dem Dienstkonto, Objekte zum Bucket hinzuzufügen. Immer erforderlich.
storage.objects.delete Ermöglicht dem Dienstkonto, Objekte im Bucket zu löschen. Erforderlich, wenn Sie overwriteObjectsAlreadyExistingInSink auf deleteObjectsUniqueInSink oder auf true gesetzt haben.
storage.objects.list Ermöglicht dem Dienstkonto, Objekte im Bucket aufzulisten. Erforderlich, wenn Sie overwriteObjectsAlreadyExistingInSink auf false oder deleteObjectsUniqueInSink auf true gesetzt haben.

Alle diese Berechtigungen sind in der Rolle roles/storage.legacyBucketWriter enthalten, die Sie dem Dienstkonto zuweisen können. Eine vollständige Liste der Cloud Storage-Rollen und der damit verbundenen Berechtigungen finden Sie unter IAM-Rollen.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zum Cloud Storage Transfer Service