Transfer Service for On Premises Data ジョブを初めて作成するときに、必要な API を有効にして、適切な権限が付与されるようにする必要があります。
初回設定中にエラーが発生した場合は、設定手順に必要な権限がログイン ユーザーに付与されていることを確認してください。多くの場合、これらの権限はすべてのユーザーに付与されているわけではありません。プロジェクト管理者のサポートが必要になることがあります。
初回設定を行うには:
Pub/Sub API を有効にします。
- Google Cloud Console で [API ライブラリ] ページに移動します。
[検索] ボックスに「
Pub/Sub API」と入力します。Pub/Sub API を選択します。
Pub/Sub API ページが表示されます。
[有効にする] をクリックします。
Pub/Sub API の概要が表示されます。
- Google Cloud プロジェクト管理者(
resourcemanager.projects.setIamPolicy権限を持つユーザー)を使用して、次の対象に Identity and Access Management の権限またはロールを付与します。- オンプレミス用 Transfer 管理者アカウント - 転送を実行するユーザーをサポートするスーパー ユーザー アカウント。この管理者は、オンプレミス用 Transfer エージェントを管理し、帯域幅の使用量上限を設定します。
- オンプレミス用 Transfer ユーザー アカウント - 転送の作成と実行に使用するアカウント。通常、これらのアカウントには転送ジョブの削除権限はありません。
- オンプレミス用 Transfer サービス アカウント - オンプレミス用 Transfer で転送を行うために使用するサービス アカウント。
- オンプレミス用 Transfer エージェント ID - オンプレミス用 Transfer エージェントの実行に使用する ID。これは、サービス アカウントか、オンプレミス エージェントを設定するユーザー アカウントのいずれかになります。
Google Cloud プロジェクトの管理者アカウントは、転送ユーザーを設定し、必要な権限をオンプレミス用 Transfer サービス アカウントに付与する必要がありますが、転送ジョブを開始する必要はありません。
Identity and Access Management の権限の付与については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。
- オンプレミス用 Transfer 管理者アカウントを設定するには、アカウントに次の IAM の権限とロールを割り当てます。
ロール / 権限 機能 注 resourcemanager.projects.getIamPolicyこの権限は、転送に必要な権限がオンプレミス用 Transfer サービス アカウントにあることを確認するために使用します。 roles/storagetransfer.adminプロジェクト設定やエージェントのモニタリングなど、転送プロジェクトでの管理アクションを有効にします。 付与される権限の詳細については、事前定義ロールをご覧ください。 - オンプレミス用 Transfer ユーザー アカウントを設定するには、アカウントに次の権限とロールを割り当てます。
ロール / 権限 機能 注 resourcemanager.projects.getIamPolicy転送に必要な Pub/Sub 権限がオンプレミス用 Transfer サービス アカウントにあることを確認するために使用されます。 roles/storagetransfer.userユーザーが、転送の作成、取得、更新、一覧表示をできるようになります。 付与される権限の詳細については、事前定義ロールをご覧ください。 roles/storage.objectAdminユーザーが、転送の一部として Cloud Storage オブジェクトを作成、更新、削除できるようになります。 このアカウントが転送で使用するすべての Cloud Storage バケットに付与する必要があります。
付与される権限の詳細については、事前定義ロールをご覧ください。 - 転送を完了するために必要なリソースにオンプレミス用 Transfer サービス アカウントがアクセスできるようにするには、次のロールまたは同等の権限をオンプレミス用 Transfer サービス アカウント
cloud-ingest-dcp@cloud-ingest-prod.iam.gserviceaccount.comに割り当てます。ロール / 権限 機能 注 roles/storage.objectCreatorオンプレミス用 Transfer が、転送先の Cloud Storage バケットに転送ログを作成できるようになります。 転送で使用されるすべての Cloud Storage バケットに付与します。状況に応じて、オンプレミス用 Transfer の実行元プロジェクトにプロジェクト レベルでロールを付与できます。
これらのロールで付与される権限の詳細については、事前定義ロールをご覧ください。roles/storage.objectViewerオンプレミス用 Transfer が、Cloud Storage にファイルがアップロードされているか確認できるようになります。 roles/pubsub.editorオンプレミス用 Transfer が、Google Cloud からオンプレミス用 Transfer エージェントへの通信に使用される Pub/Sub トピックを自動的に作成し、変更できるようになります。 オンプレミス用 Transfer の実行元のプロジェクトにプロジェクト レベルでロールを適用します。
このロールで付与される権限の詳細については、ロールをご覧ください。storage.buckets.getCloud Storage バケットのメタデータの読み取りが可能になります。 - オンプレミス用 Transfer エージェント サービス アカウント、またはオンプレミス用 Transfer エージェントを実行するユーザー アカウントを設定するには、次の権限とロールを割り当てます。
ロール / 権限 機能 注 roles/storage.objectAdminオンプレミス用 Transfer エージェントが、転送の一部として Cloud Storage オブジェクトを作成、更新、削除できるようになります。 転送で使用されるすべての Cloud Storage バケットに付与します。状況に応じて、オンプレミス用 Transfer の実行元プロジェクトにプロジェクト レベルでロールを付与できます。
このロールで付与される権限の詳細については、ロールをご覧ください。roles/pubsub.publisherオンプレミス用 Transfer エージェントが、Pub/Sub トピックを使用して Google Cloud と情報を共有できるようになります。 このロールで付与される権限の詳細については、ロールをご覧ください。 roles/pubsub.subscriberGoogle Cloud が、Pub/Sub トピックを使用してオンプレミス用 Transfer エージェントと情報を共有できるようになります。 このロールで付与される権限の詳細については、ロールをご覧ください。 pubsub.subscriptions.createオンプレミス用 Transfer エージェントが、Google Cloud とオンプレミス用 Transfer エージェント間の通信に使用される Pub/Sub トピックに Pub/Sub サブスクリプションを作成できるようになります。 pubsub.subscriptions.delete正常に終了したオンプレミス用 Transfer エージェントが、作成した Pub/Sub サブスクリプションをクリーンアップできるようになります。
それぞれのマシンにオンプレミス エージェントをインストールして実行します。