Storage Transfer Service utilizza le autorizzazioni e i ruoli di Identity and Access Management (IAM) per controllare chi può accedere alle risorse di Storage Transfer Service. I principali tipi di risorse disponibili in Storage Transfer Service sono job, operazioni e pool di agenti. Nella gerarchia dei criteri IAM, i job sono risorse figlio dei progetti, mentre le operazioni sono risorse figlio dei job.
Per concedere l'accesso a una risorsa, puoi assegnare una o più autorizzazioni o ruoli a un utente, un gruppo o un account di servizio.
Autorizzazioni
Puoi concedere le seguenti autorizzazioni di Storage Transfer Service:
Autorizzazione di trasferimento progetto
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.projects.getServiceAccount |
Può leggere l'account GoogleServiceAccount utilizzato da Storage Transfer Service per accedere ai bucket Cloud Storage. |
Autorizzazioni job di trasferimento
La tabella seguente descrive le autorizzazioni per i job di Storage Transfer Service:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.jobs.create |
Può creare nuovi job di trasferimento. |
storagetransfer.jobs.delete |
Può eliminare i job di trasferimento esistenti. I job di trasferimento vengono eliminati chiamando la funzione patch. Tuttavia, gli utenti devono disporre di questa autorizzazione quando eliminano i job di trasferimento per evitare errori di autorizzazione. |
storagetransfer.jobs.get |
Può recuperare job specifici. |
storagetransfer.jobs.list |
Può elencare tutti i job di trasferimento. |
storagetransfer.jobs.run |
Può eseguire tutti i job di trasferimento. |
storagetransfer.jobs.update |
Può aggiornare le configurazioni dei job di trasferimento senza eliminarle. |
Autorizzazioni per le operazioni di trasferimento
La tabella seguente descrive le autorizzazioni per le operazioni di Storage Transfer Service:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.operations.assign |
Utilizzato dagli agenti di trasferimento per assegnare le operazioni. |
storagetransfer.operations.cancel |
Può annullare le operazioni di trasferimento. |
storagetransfer.operations.get |
Può ottenere i dettagli delle operazioni di trasferimento. |
storagetransfer.operations.list |
Può elencare tutte le operazioni dei job di trasferimento. |
storagetransfer.operations.pause |
Può mettere in pausa le operazioni di trasferimento. |
storagetransfer.operations.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato dell'operazione. |
storagetransfer.operations.resume |
Può riprendere le operazioni di trasferimento in pausa. |
Trasferisci autorizzazioni del pool di agenti
La tabella seguente descrive le autorizzazioni per i pool di agenti di trasferimento del file system:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.agentpools.create |
Può creare pool di agenti. |
storagetransfer.agentpools.update |
Può aggiornare i pool di agenti. |
storagetransfer.agentpools.delete |
Può eliminare i pool di agenti. |
storagetransfer.agentpools.get |
Può recuperare informazioni su pool di agenti specifici. |
storagetransfer.agentpools.list |
Può elencare le informazioni per tutti i pool di agenti nel progetto. |
storagetransfer.agentpools.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato. |
Ruoli predefiniti
Questa sezione descrive i ruoli predefiniti per Storage Transfer Service. I ruoli sono il metodo preferito per impostare le autorizzazioni IAM.
Confronto ruoli
Puoi assegnare i seguenti ruoli di progetto o ruoli predefiniti di Storage Transfer Service:
| Capacità | Editor (roles/editor) |
Trasferimento dello spazio di archiviazione (roles/storagetransfer.)
|
||
|---|---|---|---|---|
Amministratore (admin) |
Utente (user) |
Visualizzatore (viewer) |
||
| Elenco/recupero job | ||||
| Crea job | ||||
| Esegui job | ||||
| Aggiorna job | ||||
| Elimina i job | ||||
| Elenco/getto di operazioni di trasferimento | ||||
| Metti in pausa/riprendi le operazioni di trasferimento | ||||
| Leggi i dettagli dell'account di servizio Google utilizzati da Storage Transfer Service per accedere ai bucket Cloud Storage. | ||||
| Elenca agenti | ||||
| Elenca pool di agenti | ||||
| Creazione pool di agenti | ||||
| Aggiorna pool di agenti | ||||
| Elimina pool di agenti | ||||
| Recupero pool di agenti | ||||
| Leggi o imposta la larghezza di banda del progetto | ||||
Dettagli del ruolo
La tabella seguente descrive in dettaglio i ruoli predefiniti per Storage Transfer Service:
| Ruolo | Descrizione | Autorizzazioni incluse |
|---|---|---|
|
Amministratore Storage Transfer ( roles/storagetransfer.)
|
Fornisce tutte le autorizzazioni di Storage Transfer Service, inclusa l'eliminazione dei job. Motivazione:si tratta del ruolo di livello più alto con le responsabilità più ampie, ovvero il super user che supporta i colleghi durante i trasferimenti. Questa opzione è più adatta per le persone che amministreranno i trasferimenti, ad esempio gli amministratori IT. |
|
|
Utente Storage Transfer ( roles/storagetransfer.)
|
Fornisce all'utente le autorizzazioni per creare, ottenere, aggiornare ed elencare i job di trasferimento all'interno del progetto. Tuttavia, non possono eliminare i propri job. Motivazione:questo ruolo consente di separare la creazione e la gestione dei job dall'eliminazione. Questo ruolo è adatto agli utenti a cui viene richiesto di eseguire trasferimenti nell'ambito della propria attività lavorativa, ad esempio un dipendente. Questo ruolo non consente l'eliminazione del trasferimento, in modo che i revisori o il personale di sicurezza possano visualizzare un record completamente conservato dei trasferimenti precedenti. |
|
|
Visualizzatore Storage Transfer ( roles/storagetransfer.)
|
Fornisce le autorizzazioni per elencare e recuperare job e operazioni di trasferimento all'interno del progetto. L'utente non può pianificare, aggiornare o eliminare job. Motivazione:il ruolo Visualizzatore è destinato all'accesso di sola lettura per visualizzare le operazioni e i job di trasferimento. Questo ruolo consente di separare le attività di report e di controllo dalla creazione e la gestione dei job. Questo ruolo è più adatto per gli utenti o i team interni che controllano l'utilizzo dei trasferimenti, ad esempio responsabili della sicurezza, della conformità o delle business unit. |
|
Agente trasferimento archiviazione
(roles/storagetransfer.transferAgent)
|
Concede agli agenti di trasferimento le autorizzazioni Storage Transfer Service e Pub/Sub necessarie per completare un trasferimento. Concedi questo ruolo all'account utente o di servizio utilizzato dagli agenti. |
|
Agente di servizio Storage Transfer
(roles/storagetransfer.serviceAgent)
|
Concede all' agente di servizio Storage Transfer Service le autorizzazioni necessarie per creare e modificare gli argomenti Pub/Sub e comunicare da Google Cloud con gli agenti trasferiti. Concedi questo ruolo all' agente di servizio Storage Transfer Service. |
|
Ruoli personalizzati
Puoi creare e applicare ruoli IAM personalizzati per soddisfare i requisiti di accesso della tua organizzazione.
Durante la creazione di ruoli personalizzati, ti consigliamo di utilizzare una combinazione di ruoli predefiniti per garantire che vengano incluse insieme le autorizzazioni corrette.
La console Google Cloud non funzionerà correttamente se il ruolo personalizzato non ha le autorizzazioni richieste. Ad esempio, alcune parti della console Google Cloud presuppongono che un ruolo abbia accesso in lettura per visualizzare un elemento prima di modificarlo. Di conseguenza, un ruolo con solo autorizzazioni di scrittura potrebbe riscontrare schermate della console Google Cloud che non funzionano.