Exemples d'autorisations et de rôles IAM

Le service de transfert de stockage fournit des autorisations et des rôles qui vous donnent un contrôle précis sur vos transferts de données. Vous pouvez utiliser ces autorisations et ces rôles pour restreindre l'accès à certaines personnes ou unités commerciales réalisant un transfert de données. Vous pouvez également créer des rôles IAM personnalisés afin d'être en mesure d'accorder les autorisations exactes qui répondent aux exigences de votre projet.

Avant de commencer

Activer des transferts et la création de rapports pour une unité commerciale

Dans ce scénario, une unité commerciale doit utiliser le service de transfert de stockage pour transférer des données. Le service informatique de cette unité souhaite configurer le service de transfert de stockage avec les autorisations suivantes :

  • Le service informatique doit pouvoir lancer, surveiller et supprimer les transferts.
  • Les employés de l'unité commerciale doivent pouvoir lancer et surveiller leurs transferts.
  • Les responsables doivent pouvoir consulter l'utilisation du service de transfert de stockage de l'unité commerciale.

Pour atteindre ces objectifs, vous accordez les rôles suivants :

Rôle Membres Description
roles/storagetransfer.admin Employés du service informatique de l'unité commerciale Attribuer le rôle roles/storagetransfer.admin aux membres du service informatique leur permet d'exécuter des tâches de gestion courantes, telles que la surveillance et la suppression des transferts.
roles/storagetransfer.user Employés de l'unité commerciale Attribuer le rôle roles/storagetransfer.user aux employés leur permet de lancer des transferts et d'afficher la progression de leurs transferts. Ils peuvent également consulter la progression des transferts lancés par leurs collègues au sein du même projet. Toutefois, ils ne peuvent pas supprimer de tâches de transfert.
roles/storagetransfer.viewer Responsables de l'unité commerciale, ou auditeurs et personnel de sécurité. Attribuer le rôle roles/storagetransfer.viewer aux responsables leur permet de consulter l'ensemble des transferts, mais pas de démarrer ou de supprimer des tâches de transfert.

Mettre en œuvre ce scénario

Vos actions

Attribuez aux employés les rôles appropriés :

  • Personnel informatique : roles/storagetransfer.admin
  • Employés hors service informatique : roles/storagetransfer.user
  • Responsables : roles/storagetransfer.viewer

Pour obtenir des instructions pas à pas, consultez la section Accorder un accès de la documentation Accorder, modifier et révoquer les accès à des ressources.

Activer des transferts pour une équipe distincte en charge de la conservation des données

Dans ce scénario, une unité commerciale doit utiliser le service de transfert de stockage pour transférer des données, mais une équipe distincte assure la conservation des données. Le service informatique de cette unité commerciale souhaite configurer le service de transfert de stockage avec les autorisations suivantes :

  • Une équipe de conservation des données doit pouvoir consulter et supprimer les tâches.
  • Le service informatique doit pouvoir afficher les transferts.
  • Les employés de l'unité commerciale doivent pouvoir lancer et surveiller leurs transferts.
  • Les responsables doivent pouvoir consulter l'utilisation du service de transfert de stockage de l'unité commerciale.

Pour atteindre ces objectifs, vous accordez les rôles suivants :

Rôle Membres Description
Rôle personnalisé accordant les autorisations storagetransfer.jobs.delete et storagetransfer.jobs.list. Membres de l'équipe en charge de la conservation des données Attribuer au personnel chargé de la conservation des données un rôle disposant des autorisations storagetransfer.jobs.delete et storage.jobs.list leur permet d'effectuer les tâches de conservation des données.
roles/storagetransfer.admin Employés du service informatique de l'unité commerciale Attribuer le rôle roles/storagetransfer.admin aux membres du service informatique leur permet d'exécuter des tâches de gestion courantes, telles que la surveillance et la suppression des transferts. Il permet également aux membres de modifier les stratégies IAM relatives aux transferts.
roles/storagetransfer.user Employés de l'unité commerciale Attribuer le rôle roles/storagetransfer.user aux employés leur permet de lancer des transferts et d'afficher la progression de leurs transferts. Ils peuvent également consulter la progression des transferts lancés par leurs collègues au sein du même projet. Toutefois, ils ne peuvent pas supprimer de tâches de transfert.
roles/storagetransfer.viewer Responsables de l'unité commerciale Attribuer le rôle roles/storagetransfer.viewer aux responsables leur permet de consulter l'ensemble des transferts, mais pas de démarrer ou de supprimer des tâches de transfert.

Mettre en œuvre ce scénario

Vos actions

Pour mettre en œuvre ce scénario, procédez comme suit :

  1. Pour l'équipe en charge de la conservation des données, créez un rôle personnalisé qui étend le rôle roles/storagetransfer.viewer en accordant également l'autorisation storagetransfer.jobs.delete.

    Pour obtenir des instructions pas à pas, consultez la section Créer un rôle personnalisé de la documentation Créer et gérer les rôles personnalisés.

  2. Attribuez aux employés les rôles appropriés :

    • Personnel chargé de la conservation des données : le rôle personnalisé que vous avez créé
    • Personnel informatique : roles/storagetransfer.admin
    • Employés hors service informatique : roles/storagetransfer.user
    • Responsables : roles/storagetransfer.viewer

    Pour obtenir des instructions pas à pas, consultez la section Accorder un accès de la documentation Accorder, modifier et révoquer les accès à des ressources.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation sur le service de transfert de stockage Cloud Storage