Beispiele für IAM-Berechtigungen und -Rollen

Der Storage Transfer Service bietet Berechtigungen und Rollen, um eine genaue Kontrolle Ihrer Datenübertragungen zu ermöglichen. Mit diesen Berechtigungen und Rollen können Sie den Zugriff auf bestimmte einzelne oder Geschäftseinheiten, die Daten übertragen, isolieren. Sie können auch benutzerdefinierte IAM-Rollen erstellen, um Berechtigungen zu erteilen, die Ihren Projektanforderungen entsprechen.

Vorbereitung

Übertragungen und Berichterstellung für eine Geschäftseinheit aktivieren

In diesem Szenario muss eine Geschäftseinheit den Storage Transfer Service verwenden, um Daten zu übertragen. Die IT-Abteilung der Geschäftseinheit möchte den Storage Transfer Service so konfigurieren, dass Folgendes möglich ist:

  • Starten, Überwachen und Löschen von Übertragungen durch die IT-Abteilung
  • Starten und Überwachen der Übertragungen durch Geschäftsmitarbeiter
  • Sehen der Verwendung des Storage Transfer Service der Geschäftseinheit durch Führungskräfte

Hierzu erteilen Sie die folgenden Rollen:

Rolle Mitglieder Beschreibung
roles/storagetransfer.admin Mitarbeiter der IT-Abteilung der Geschäftseinheit Mit der Rolle roles/storagetransfer.admin können IT-Mitarbeiter gängige Verwaltungsaufgaben wie das Überwachen und Löschen von Übertragungen durchführen.
roles/storagetransfer.user Mitarbeiter der Geschäftseinheit Mit der Rolle roles/storagetransfer.user können Mitarbeiter Übertragungen senden und den Fortschritt von Übertragungen sehen. Sie können auch den Fortschritt der Übertragungen sehen, die von Kollegen an dasselbe Projekt gesendet wurden. Jedoch können sie keine Übertragungsjobs löschen.
roles/storagetransfer.viewer Führungskräfte für die Geschäftseinheit oder Prüfer und Sicherheitspersonal Mit der Rolle roles/storagetransfer.viewer können Führungskräfte alle Übertragungen sehen. Sie können jedoch keine Übertragungsjobs starten oder löschen.

Dieses Szenario implementieren

Ihre Aktionen:

Weisen Sie den Mitarbeitern entsprechende Rollen zu:

  • IT-Mitarbeiter: roles/storagetransfer.admin
  • Andere Mitarbeiter als IT-Mitarbeiter: roles/storagetransfer.user
  • Führungskräfte: roles/storagetransfer.viewer

Schritt-für-Schritt-Anweisungen finden Sie im Abschnitt Zugriff erlauben von Zugriff auf Ressourcen erteilen, ändern und entziehen.

Übertragungen für ein separates Team zur Datenaufbewahrung aktivieren

In diesem Szenario muss eine Geschäftseinheit den Storage Transfer Service verwenden, um Daten zu übertragen. Jedoch wird die Datenaufbewahrung durch ein separates Team durchgeführt. Die IT-Abteilung der Geschäftseinheit möchte den Storage Transfer Service so konfigurieren, dass Folgendes möglich ist:

  • Sehen und Löschen von Jobs durch ein Team zur Datenaufbewahrung
  • Sehen von Übertragungen durch die IT-Abteilung
  • Starten und Überwachen der Übertragungen durch Geschäftsmitarbeiter
  • Sehen der Verwendung des Storage Transfer Service der Geschäftseinheit durch Führungskräfte

Hierzu erteilen Sie die folgenden Rollen:

Rolle Mitglieder Beschreibung
Eine benutzerdefinierte Rolle, die die Berechtigungen storagetransfer.jobs.delete und storagetransfer.jobs.list erteilt. Mitglieder des Teams zur Datenaufbewahrung Mit den Rollen storagetransfer.jobs.delete und storage.jobs.list können Mitarbeiter zur Datenaufbewahrung Aufgaben zur Datenaufbewahrung ausführen.
roles/storagetransfer.admin Mitarbeiter der IT-Abteilung der Geschäftseinheit Mit der Rolle roles/storagetransfer.admin können IT-Mitarbeiter gängige Verwaltungsaufgaben wie das Überwachen und Löschen von Übertragungen durchführen. Außerdem können Mitglieder die IAM-Richtlinien für Übertragungen ändern.
roles/storagetransfer.user Mitarbeiter der Geschäftseinheit Mit der Rolle roles/storagetransfer.user können Mitarbeiter Übertragungen senden und den Fortschritt von Übertragungen sehen. Sie können auch den Fortschritt der Übertragungen sehen, die von Kollegen an dasselbe Projekt gesendet wurden. Jedoch können sie keine Übertragungsjobs löschen.
roles/storagetransfer.viewer Führungskräfte für die Geschäftseinheit Mit der Rolle roles/storagetransfer.viewer können Führungskräfte alle Übertragungen sehen. Sie können jedoch keine Übertragungsjobs starten oder löschen.

Dieses Szenario implementieren

Ihre Aktionen:

So implementieren Sie das Szenario:

  1. Erstellen Sie für das Team zur Datenaufbewahrung eine benutzerdefinierte Rolle, die die Rolle roles/storagetransfer.viewer erweitert. Erteilen Sie dafür auch die Berechtigung storagetransfer.jobs.delete.

    Schritt-für-Schritt-Anweisungen finden Sie im Abschnitt Benutzerdefinierte Rolle erstellen von Benutzerdefinierte Rollen erstellen und verwalten.

  2. Weisen Sie den Mitarbeitern entsprechende Rollen zu:

    • Mitarbeiter zur Datenaufbewahrung: Die von Ihnen erstellte benutzerdefinierte Rolle
    • IT-Mitarbeiter: roles/storagetransfer.admin
    • Andere Mitarbeiter als IT-Mitarbeiter: roles/storagetransfer.user
    • Führungskräfte: roles/storagetransfer.viewer

    Schritt-für-Schritt-Anweisungen finden Sie im Abschnitt Zugriff erlauben von Zugriff auf Ressourcen erteilen, ändern und entziehen.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zum Cloud Storage Transfer Service