Izin dan peran

Storage Transfer Service menggunakan izin dan peran Identity and Access Management (IAM) untuk mengontrol siapa yang dapat mengakses resource Storage Transfer Service. Jenis utama resource yang tersedia di Storage Transfer Service adalah tugas, operasi, dan kumpulan agen. Dalam hierarki kebijakan IAM, tugas adalah resource turunan dari project, dan operasi adalah resource turunan dari tugas.

Untuk memberikan akses ke resource, tetapkan satu atau beberapa izin atau peran ke pengguna, grup, atau akun layanan.

Izin

Anda dapat memberikan izin Storage Transfer Service berikut:

Izin transfer project

Izin Deskripsi
storagetransfer.projects.getServiceAccount Dapat membaca GoogleServiceAccount yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage.

Mentransfer izin tugas

Tabel berikut menjelaskan izin untuk tugas Storage Transfer Service:

Izin Deskripsi
storagetransfer.jobs.create Dapat membuat tugas transfer baru.
storagetransfer.jobs.delete Dapat menghapus tugas transfer yang ada.

Tugas transfer dihapus dengan memanggil fungsi patch. Namun, pengguna harus memiliki izin ini saat menghapus tugas transfer untuk menghindari error izin.
storagetransfer.jobs.get Dapat mengambil tugas tertentu.
storagetransfer.jobs.list Dapat mencantumkan semua tugas transfer.
storagetransfer.jobs.run Dapat menjalankan semua tugas transfer.
storagetransfer.jobs.update Dapat memperbarui konfigurasi tugas transfer tanpa menghapusnya.

Izin operasi transfer

Tabel berikut menjelaskan izin untuk operasi Storage Transfer Service:

Izin Deskripsi
storagetransfer.operations.assign Digunakan oleh agen transfer untuk menetapkan operasi.
storagetransfer.operations.cancel Dapat membatalkan operasi transfer.
storagetransfer.operations.get Bisa mendapatkan detail operasi transfer.
storagetransfer.operations.list Dapat mencantumkan semua operasi tugas transfer.
storagetransfer.operations.pause Dapat menjeda operasi transfer.
storagetransfer.operations.report Digunakan oleh agen transfer untuk melaporkan status operasi.
storagetransfer.operations.resume Dapat melanjutkan operasi transfer yang dijeda.

Izin kumpulan agen transfer

Tabel berikut menjelaskan izin untuk kumpulan agen transfer sistem file:

Izin Deskripsi
storagetransfer.agentpools.create Dapat membuat kumpulan agen.
storagetransfer.agentpools.update Dapat memperbarui kumpulan agen.
storagetransfer.agentpools.delete Dapat menghapus kumpulan agen.
storagetransfer.agentpools.get Dapat memperoleh informasi tentang kumpulan agen tertentu.
storagetransfer.agentpools.list Dapat mencantumkan informasi untuk semua kumpulan agen dalam project.
storagetransfer.agentpools.report Digunakan oleh agen transfer untuk melaporkan status.

Peran yang telah ditetapkan

Bagian ini menjelaskan peran bawaan untuk Storage Transfer Service. Peran adalah cara yang direkomendasikan untuk menetapkan izin IAM.

Perbandingan peran

Anda dapat menetapkan peran project berikut atau peran Storage Transfer Service yang telah diatur berikut:

Kemampuan Editor (roles/editor) Transfer Penyimpanan (roles/storagetransfer.)
Admin (admin) Pengguna (user) Pelihat (viewer)
Membuat daftar/mendapatkan tugas
Membuat tugas
Menjalankan tugas
Memperbarui tugas
Hapus tugas
Membuat daftar/mendapatkan operasi transfer
Menjeda/melanjutkan operasi transfer
Baca detail akun layanan Google yang digunakan oleh Storage Transfer Service untuk mengakses bucket Cloud Storage.
Mencantumkan agen
Mencantumkan kumpulan agen
Membuat kumpulan agen
Memperbarui kumpulan agen
Menghapus kumpulan agen
Mendapatkan kumpulan agen
Membaca atau menetapkan bandwidth project

Detail peran

Tabel berikut menjelaskan secara mendetail peran yang telah ditetapkan untuk Storage Transfer Service:

Peran Deskripsi Izin yang Disertakan
Storage Transfer Admin
(roles/storagetransfer.
admin)

Memberikan semua izin Storage Transfer Service, termasuk menghapus tugas.

Rasionale: Ini adalah peran tingkat tertinggi dengan tanggung jawab terluas, superuser yang mendukung rekan-rekannya saat mereka melakukan transfer. Metode ini paling cocok untuk orang yang akan mengelola transfer, seperti admin IT.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.*
Storage Transfer User
(roles/storagetransfer.
user)

Memberikan izin bagi pengguna untuk membuat, mendapatkan, memperbarui, dan mencantumkan tugas transfer dalam project. Namun, mereka tidak dapat menghapus tugas mereka sendiri.

Rasionale: Peran ini memungkinkan pemisahan pembuatan dan pemeliharaan tugas dari penghapusan tugas. Peran ini paling cocok untuk pengguna yang diharuskan melakukan transfer sebagai bagian dari fungsi pekerjaannya, misalnya karyawan. Peran ini tidak mengizinkan transfer dihapus, sehingga auditor atau personel keamanan dapat melihat catatan transfer sebelumnya yang sepenuhnya tersimpan.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.create
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.agentpools.report
  • storagetransfer.agentpools.update
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.run
  • storagetransfer.jobs.update
  • storagetransfer.operations.*
  • storagetransfer.projects.getServiceAccount
Storage Transfer Viewer
(roles/storagetransfer.
viewer)

Memberikan izin untuk mencantumkan dan mendapatkan tugas serta operasi transfer dalam project. Pengguna tidak dapat menjadwalkan, memperbarui, atau menghapus tugas.

Rasiona: Peran viewer ditujukan untuk akses hanya baca guna melihat tugas dan operasi transfer. Peran ini memungkinkan pemisahan tugas laporan dan audit dari pembuatan dan pemeliharaan tugas. Peran ini paling cocok untuk pengguna atau tim internal yang mengaudit penggunaan transfer, seperti keamanan, kepatuhan, atau pemimpin unit bisnis.

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.projects.getServiceAccount
Agen Transfer Penyimpanan (roles/storagetransfer.transferAgent)

Memberi agen transfer izin Storage Transfer Service dan Pub/Sub yang diperlukan untuk menyelesaikan transfer.

Berikan peran ini kepada pengguna atau akun layanan yang digunakan oleh agen.

  • storagetransfer.operations.get
  • storagetransfer.operations.report
  • storagetransfer.operations.assign
  • storagetransfer.agentpools.report
  • pubsub.topics.create
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.subscriptions.create
  • pubsub.subscriptions.get
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.consume
  • pubsub.topics.attachSubscription
  • pubsub.topics.publish
Agen Storage Transfer Service (roles/storagetransfer.serviceAgent)

Memberi agen layanan Storage Transfer Service izin yang diperlukan untuk membuat dan mengubah topik Pub/Sub agar dapat berkomunikasi dari Google Cloud kepada agen transfer.

Berikan peran ini ke agen layanan Storage Transfer Service.

  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.get
  • pubsub.topics.publish
  • pubsub.topics.update

Peran khusus

Anda dapat membuat dan menerapkan peran IAM khusus untuk memenuhi persyaratan akses organisasi Anda.

Saat membuat peran khusus, sebaiknya gunakan kombinasi peran standar untuk memastikan izin yang benar disertakan bersama-sama.

Konsol Google Cloud tidak akan berfungsi dengan baik jika peran khusus tidak memiliki izin yang diperlukan. Misalnya, beberapa bagian Konsol Google Cloud menganggap suatu peran memiliki akses baca untuk menampilkan item sebelum mengeditnya, sehingga peran yang hanya memiliki izin tulis mungkin menemui layar Konsol Google Cloud yang tidak berfungsi.