Storage Transfer Service は、データ転送をきめ細かく制御するための権限と役割を提供します。これらの権限と役割を使用して、データ転送を行う特定の個人やビジネス ユニットへのアクセスを分離できます。また、カスタム IAM 役割を作成して、プロジェクトの要件に合わせて権限を付与できます。
始める前に
IAM の基本的なコンセプトの IAM の概要をお読みください。
利用できる IAM の事前定義ロールについてお読みください。
最小限の権限に関する IAM のベスト プラクティスを理解してください。
ビジネス ユニットによる転送とレポート作成を有効にする
このシナリオでは、ビジネス ユニットは Storage Transfer Service を使用して、データを転送する必要があります。ビジネス ユニットの IT 部門は、以下を許可するために Storage Transfer Service を構成したいと考えています。
- IT 部門が、転送を開始、モニタリング、削除する。
- ビジネス ユニットの従業員が、転送を開始およびモニタリングする。
- エグゼクティブが、ビジネス ユニットの Storage Transfer Service の使用状況を確認する。
これらの目的を達成するために、以下のロールを付与します。
| 役割 | メンバー | 説明 |
|---|---|---|
| roles/storagetransfer.admin | ビジネス ユニットの IT 部門の従業員 | IT スタッフは、roles/storagetransfer.admin の役割を付与されると、転送のモニタリングや削除などの一般的な管理タスクを実行できます。 |
| roles/storagetransfer.user | ビジネス ユニットの従業員 | 従業員は、roles/storagetransfer.user の役割を付与されると、転送を送信し、進行状況を確認できます。同じプロジェクトに同僚が送信した、転送の進行状況も確認できます。ただし、転送ジョブは削除できません。 |
| roles/storagetransfer.viewer | ビジネス ユニットのエグゼクティブ、または監査者やセキュリティ担当者。 | エクゼクティブは、roles/storagetransfer.viewer の役割を付与されると、すべての転送を確認できますが、転送ジョブの開始または削除はできません。 |
シナリオの実装
実行内容
従業員に関連する役割を付与する。
- IT スタッフ: roles/storagetransfer.admin
- IT スタッフ以外の従業員: roles/storagetransfer.user
- エグゼクティブ: roles/storagetransfer.viewer
詳しい手順については、リソースへのアクセス権の付与、変更、取り消しのアクセス権の付与セクションをご覧ください。
データを保持する別チームによる転送を有効にする
このシナリオでは、ビジネス ユニットは、Storage Transfer Service を使用してデータを転送する必要がありますが、別のチームがデータを保持しています。ビジネス ユニットの IT 部門は、以下を許可するために Storage Transfer Service を構成したいと考えています。
- データ保持チームが、ジョブを確認および削除する。
- IT 部門が、転送を確認する。
- ビジネス ユニットの従業員が、転送を開始およびモニタリングする。
- エグゼクティブが、ビジネス ユニットの Storage Transfer Service の使用状況を確認する。
これらの目的を達成するために、以下のロールを付与します。
| 役割 | メンバー | 説明 |
|---|---|---|
| storagetransfer.jobs.delete および storagetransfer.jobs.list の権限を付与するカスタムの役割。 | データ保持チームのメンバー | データ保持スタッフは、storagetransfer.jobs.delete および storagetransfer.jobs.list 権限を持つロールが付与されると、データ保持タスクを実行できます。 |
| roles/storagetransfer.admin | ビジネス ユニットの IT 部門の従業員 | IT スタッフは、roles/storagetransfer.admin の役割を付与されると、転送のモニタリングや削除などの一般的な管理タスクを実行できます。また、IAM の転送ポリシーも変更できます。 |
| roles/storagetransfer.user | ビジネス ユニットの従業員 | 従業員は、roles/storagetransfer.user の役割を付与されると、転送を送信し、進行状況を確認できます。同じプロジェクトに同僚が送信した、転送の進行状況も確認できます。ただし、転送ジョブは削除できません。 |
| roles/storagetransfer.viewer | ビジネス ユニットのエクゼクティブ | エクゼクティブは、roles/storagetransfer.viewer の役割を付与されると、すべての転送を確認できますが、転送ジョブの開始または削除はできません。 |
シナリオの実装
実行内容
シナリオ実装のためには、次の手順を実行します。
データ保持チームにカスタムの役割を作成し、storagetransfer.jobs.delete 権限も付与することで、roles/roles/storagetransfer.viewer の役割を強化する。
詳しい手順については、カスタムロールの作成と管理の、カスタムロールの作成セクションをご覧ください。
従業員に関連する役割を付与する。
- データ保持スタッフ: 作成したカスタムの役割
- IT スタッフ: roles/storagetransfer.admin
- IT スタッフ以外の従業員: roles/storagetransfer.user
- エグゼクティブ: roles/storagetransfer.viewer
詳しい手順については、リソースへのアクセス権の付与、変更、取り消しのアクセス権の付与セクションをご覧ください。