Storage Transfer Service verwendet Berechtigungen und Rollen von Identity and Access Management (IAM), um festzulegen, wer auf Storage Transfer Service-Ressourcen Zugriff hat. Die Haupttypen der im Storage Transfer Service verfügbaren Ressourcen sind Jobs, Vorgänge und Agent-Pools. In der IAM-Richtlinienhierarchie sind Jobs untergeordnete Ressourcen von Projekten und Vorgänge sind untergeordnete Ressourcen von Jobs.
Um Zugriff auf eine Ressource zu gewähren, weisen Sie einem Nutzer, einer Gruppe oder einem Dienstkonto eine oder mehrere Berechtigungen oder Rollen zu.
Berechtigungen
Sie können die folgenden Storage Transfer Service-Berechtigungen erteilen:
Berechtigung für das Übertragungsprojekt
| Berechtigung | Beschreibung |
|---|---|
storagetransfer.projects.getServiceAccount |
Kann den GoogleServiceAccount lesen, der von dem Storage Transfer Service verwendet wird, um auf Cloud Storage-Buckets zuzugreifen. |
Berechtigungen für die Übertragung von Jobs
In der folgenden Tabelle werden Berechtigungen für Storage Transfer Service-Jobs beschrieben:
| Berechtigung | Beschreibung |
|---|---|
storagetransfer.jobs.create |
Kann neue Übertragungsjobs erstellen. |
storagetransfer.jobs.delete |
Kann bestehende Übertragungsjobs löschen. Übertragungsjobs werden durch Aufruf der Patch-Funktion gelöscht. Nutzer müssen jedoch diese Berechtigung beim Löschen von Übertragungsjobs haben, um Berechtigungsfehler zu vermeiden. |
storagetransfer.jobs.get |
Kann bestimmte Jobs abrufen. |
storagetransfer.jobs.list |
Kann alle Übertragungsjobs auflisten. |
storagetransfer.jobs.run |
Kann alle Übertragungsjobs ausführen. |
storagetransfer.jobs.update |
Kann Übertragungsjobkonfigurationen aktualisieren, ohne sie zu löschen. |
Berechtigungen für Übertragungsvorgänge
In der folgenden Tabelle werden Berechtigungen für Storage Transfer Service-Vorgänge beschrieben:
| Berechtigung | Beschreibung |
|---|---|
storagetransfer.operations.assign |
Wird von Übertragungs-Agents verwendet, um Vorgänge zuzuweisen. |
storagetransfer.operations.cancel |
Kann Übertragungsvorgänge abbrechen. |
storagetransfer.operations.get |
Kann Details zu Übertragungsvorgängen sehen. |
storagetransfer.operations.list |
Kann alle Übertragungsjobvorgänge auflisten. |
storagetransfer.operations.pause |
Kann Übertragungsvorgänge anhalten. |
storagetransfer.operations.report |
Wird von Übertragungs-Agents verwendet, um den Vorgangsstatus zu melden. |
storagetransfer.operations.resume |
Kann angehaltene Übertragungsvorgänge fortsetzen. |
Berechtigungen für Transfer-Agent-Pool
In der folgenden Tabelle werden Berechtigungen für Dateisystem-Übertragungs-Agent-Pools beschrieben:
| Berechtigung | Beschreibung |
|---|---|
storagetransfer.agentpools.create |
Kann Agent-Pools erstellen. |
storagetransfer.agentpools.update |
Kann Agent-Pools aktualisieren. |
storagetransfer.agentpools.delete |
Kann Agent-Pools löschen. |
storagetransfer.agentpools.get |
Kann Informationen zu bestimmten Agent-Pools abrufen. |
storagetransfer.agentpools.list |
Kann Informationen für alle Agent-Pools im Projekt auflisten. |
storagetransfer.agentpools.report |
Wird von Übertragungs-Agents verwendet, um den Status zu melden. |
Vordefinierte Rollen
In diesem Abschnitt werden die vordefinierten Rollen für Storage Transfer Service beschrieben. IAMs sind die bevorzugte Methode zum Festlegen von IAM-Berechtigungen.
Rollenvergleich
Sie können die folgende Projektrolle oder vordefinierte Storage Transfer Service-Rollen zuweisen:
| Rechte | Bearbeiter (roles/editor) |
Storage Transfer (roles/storagetransfer.)
|
||
|---|---|---|---|---|
Administrator (admin) |
Nutzer (user) |
Betrachter (viewer) |
||
| Jobs auflisten/abrufen | ||||
| Jobs erstellen | ||||
| Jobs ausführen | ||||
| Jobs aktualisieren | ||||
| Jobs löschen | ||||
| Übertragungsvorgänge auflisten/abrufen | ||||
| Übertragungsvorgänge anhalten/fortsetzen | ||||
| Google-Dienstkontodetails lesen, die von dem Storage Transfer Service verwendet werden, um auf Cloud Storage-Buckets zuzugreifen. | ||||
| Agents auflisten | ||||
| Agent-Pools auflisten | ||||
| Agent-Pools erstellen | ||||
| Agent-Pools aktualisieren | ||||
| Agent-Pools löschen | ||||
| Agent-Pools abrufen | ||||
| Projektbandbreite lesen oder festlegen | ||||
Rollendetails
In der folgenden Tabelle werden die vordefinierten Rollen für den Storage Transfer Service ausführlich beschrieben:
| Rolle | Beschreibung | Enthaltene Berechtigungen |
|---|---|---|
|
Storage Transfer-Administrator ( roles/storagetransfer.)
|
Alle Storage Transfer Service-Berechtigungen, einschließlich zum Löschen von Jobs. Grund: Dies ist die Rolle auf höchster Ebene mit den umfassendsten Verantwortlichkeiten: Der Superuser, der seine Kollegen bei Übertragungen unterstützt. Sie ist am besten für Mitarbeiter geeignet, die Übertragungen verwalten, wie z. B. IT-Administratoren. |
|
|
Storage Transfer-Nutzer ( roles/storagetransfer.)
|
Bietet dem Nutzer Berechtigungen zum Erstellen, Abrufen, Aktualisieren und Auflisten von Übertragungsjobs innerhalb des Projekts. Er kann jedoch keine eigenen Jobs löschen. Grund: Mit dieser Rolle kann das Erstellen und Verwalten von Jobs vom Löschen von Jobs getrennt werden. Diese Rolle eignet sich am besten für Nutzer, die im Rahmen ihres Aufgabenbereichs Übertragungen ausführen müssen, wie z. B. ein Mitarbeiter. Mit dieser Rolle kann die Übertragung nicht gelöscht werden, sodass Prüfer oder Sicherheitspersonal einen vollständig gespeicherten Bericht zu früheren Übertragungen sehen können. |
|
|
Storage Transfer-Betrachter ( roles/storagetransfer.)
|
Berechtigungen zum Auflisten und Abrufen von Jobs und Übertragungsvorgängen innerhalb des Projekts. Der Nutzer kann keine Jobs planen, aktualisieren oder löschen. Grund: Die Betrachterrolle ist für den Lesezugriff vorgesehen, um Übertragungsjobs und -vorgänge zu sehen. Mit dieser Rolle können Berichts- und Prüfaufgaben vom Erstellen und Verwalten von Jobs getrennt werden. Diese Rolle eignet sich am besten für Nutzer oder interne Teams, die die Übertragungsnutzung prüfen, z. B. Sicherheitspersonal, Compliance-Beauftragte oder Leiter von Geschäftseinheiten. |
|
Storage Transfer-Agent
(roles/storagetransfer.transferAgent)
|
Gewährt Übertragungs-Agents die Berechtigungen des Storage Transfer Service und Pub/Sub, um eine Übertragung abzuschließen. Weisen Sie diese Rolle dem Nutzer oder Dienstkonto zu, das von Agents verwendet wird. |
|
Storage Transfer-Dienst-Agent
(roles/storagetransfer.serviceAgent)
|
Gewährt dem Storage Transfer Service-Dienst-Agent die Berechtigungen, die zum Erstellen und Ändern von Pub/Sub-Themen erforderlich sind, um von Google Cloud mit Übertragungs-Agents zu kommunizieren. Weisen Sie diese Rolle dem Storage Transfer Service-Dienst-Agent zu. |
|
Benutzerdefinierte Rollen
Sie können benutzerdefinierte IAM-Rollen erstellen und anwenden, um die Zugriffsanforderungen Ihrer Organisation zu erfüllen.
Beim Erstellen von benutzerdefinierten Rollen empfehlen wir eine Kombination aus vordefinierten Rollen, damit die richtigen Berechtigungen enthalten sind.
Die Google Cloud Console funktioniert nicht ordnungsgemäß, wenn der benutzerdefinierten Rolle die erforderlichen Berechtigungen fehlen. Einige Teile der Cloud Console gehen beispielsweise davon aus, dass die Rolle Lesezugriff hat, um ein Element anzuzeigen, bevor es bearbeitet wird. Bei einer Rolle, die nur eine Schreibberechtigungen hat, wird also die Anzeige von Cloud Console nicht funktionieren.