Storage 移轉服務方法適用的 IAM 權限

下表列出執行每個 Storage 移轉服務方法 的最低必要權限

資源 方法 所需權限
googleServiceAccount get storagetransfer.projects.getServiceAccount
transferJobs create 以下兩者皆需要:

  • storagetransfer.jobs.create
  • storagetransfer.jobs.getserviceaccount

transferjobs get storagetransfer.jobs.get
transferjobs list storagetransfer.jobs.list
transferjobs patch 如果更新後要刪除來源檔案:storagetransfer.jobs.delete
如果更新後不要刪除來源檔案:storagetransfer.jobs.update
transferoperations cancel storagetransfer.operations.cancel
transferOperations get storagetransfer.operations.get
transferOperations list storagetransfer.operations.list
transferOperations pause storagetransfer.operations.pause
transferOperations resume storagetransfer.operations.resume

來源權限

Cloud Storage

Storage 移轉服務會使用 project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com 服務帳戶 將 Cloud Storage 來源值區中的資料移出。此服務帳戶必須具有來源值區的下列權限:

權限 說明 使用
storage.buckets.get 允許服務帳戶取得值區的位置。 必要。
storage.objects.list 允許服務帳戶列出值區中的物件。 必要。
storage.objects.get 允許服務帳戶讀取值區中的物件。 必要。
storage.objects.delete 允許服務帳戶刪除值區中的物件。 如果您將 deleteObjectsFromSourceAfterTransfer 設定為 true,則為必要。

roles/storage.objectViewer」和「roles/storage.legacyBucketReader」兩個角色一起即擁有必要權限,「roles/storage.legacyBucketWriter」角色具有 storage.objects.delete 權限。用來執行移轉的服務帳戶必須具備所需角色

如需 Cloud Storage 角色的完整清單及其權限,請參閱身分與存取權管理角色一文。

Amazon S3

如要使用 Storage 移轉服務從 Amazon S3

值區移動資料,您必須具備 AWS 身分與存取權管理使用者帳戶,且需擁有該值區所需的特定權限:

權限 說明 使用
s3:ListBucket 允許 Storage 移轉服務列出值區中的物件。 必要。
s3:GetObject 允許 Storage 移轉服務讀取值區中的物件。 必要。
s3:GetBucketLocation 允許 Storage 移轉服務取得值區的位置。 必要。
s3:DeleteObject 允許 Storage 移轉服務刪除值區中的物件。 如果您將 deleteObjectsFromSourceAfterTransfer 設定為 true,則為必要。

網址清單

如果您的資料來源是網址清單,請確保其中每個物件都可供公開存取。

接收器權限

Storage 移轉服務會使用服務帳戶將資料移至 Cloud Storage 接收器值區。服務帳戶必須具有接收器值區的特定權限:

權限 說明 使用
storage.buckets.get 允許服務帳戶取得值區的位置。 必要。
storage.objects.create 允許服務帳戶在值區中加入物件。 必要。
storage.objects.delete 允許服務帳戶刪除值區中的物件。 如果您將 overwriteObjectsAlreadyExistingInSinkdeleteObjectsUniqueInSink 設為 true,則為必要。
storage.objects.list 允許服務帳戶列出值區中的物件。 如果您將 overwriteObjectsAlreadyExistingInSink 設為 false,或是將 deleteObjectsUniqueInSink 設為 true 時,則為必要。

roles/storage.legacyBucketWriter」角色包含以上所有權限,您可將此角色指派至服務帳戶。如需 Cloud Storage 角色及其權限的完整清單,請參閱身分與存取權管理角色一文。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Storage 移轉服務說明文件