Exemplos de permissões e papéis do IAM

O Storage Transfer Service fornece permissões e papéis para ativar o controle granular de suas transferências de dados. É possível usar essas permissões e funções para isolar o acesso a determinadas unidades de negócios ou indivíduos que executam a transferência de dados. Também é possível criar papéis personalizadas do IAM para conceder permissões que atendam aos requisitos do seu projeto.

Antes de começar

Como ativar transferências e criação de relatório para uma unidade de negócios

Nesse cenário, uma unidade de negócios precisa usar o Storage Transfer Service para transferir dados. O departamento de TI da unidade de negócios quer configurar o Storage Transfer Service para permitir que:

  • o departamento de TI inicie, monitore e exclua transferências;
  • funcionários da unidade de negócios iniciem e monitorem suas transferências;
  • executivos vejam o uso do Storage Transfer Service da unidade de negócios.

Para atingir esses objetivos, é necessário conceder os seguintes papéis

Papel Membros Descrição
roles/storagetransfer.admin Funcionários do departamento de TI da unidade de negócios Ao conceder à equipe de TI o papel roles/storagetransfer.admin, ela terá permissão para desempenhar tarefas de gerenciamento comuns, como monitoramento e exclusão de transferências.
roles/storagetransfer.user Funcionários da unidade de negócios Ao conceder aos funcionários o papel roles/storagetransfer.user, eles poderão enviar e visualizar o progresso das transferências. Eles também poderão visualizar o progresso das transferências enviadas por colegas de trabalho para o mesmo projeto. No entanto, eles não poderão excluir jobs de transferência.
roles/storagetransfer.viewer Executivos da unidade de negócios ou auditores e pessoal de segurança. Ao atribuir o papel roles/storagetransfer.viewer aos executivos, eles terão permissão para visualizar todas as transferências, mas não iniciar ou excluir jobs de transferência.

Como implementar esse cenário

Suas ações

Atribua funcionários aos papéis relevantes:

  • Equipe de TI: roles/storagetransfer.admin
  • Funcionários não pertencentes à equipe de TI: roles/storagetransfer.user
  • Executivos: roles/storagetransfer.viewer

Para instruções passo a passo, consulte a seção Conceder acesso de Como conceder, alterar e revogar acesso aos membros do projeto.

Como ativar transferências para uma equipe separada que realiza retenção de dados

Nesse cenário, uma unidade de negócios precisa usar o Storage Transfer Service para transferir dados, mas uma equipe separada realiza a retenção de dados. O departamento de TI da unidade de negócios quer configurar o Storage Transfer Service para permitir que:

  • uma equipe de retenção de dados visualize e exclua jobs;
  • o departamento de TI veja as transferências;
  • funcionários da unidade de negócios iniciem e monitorem suas transferências;
  • executivos vejam o uso do Storage Transfer Service da unidade de negócios.

Para atingir esses objetivos, é necessário conceder os seguintes papéis

Papel Membros Descrição
Um papel personalizado que concede permissões de storagetransfer.jobs.delete e storagetransfer.jobs.list. Membros da equipe de retenção de dados Ao conceder à equipe de retenção de dados um papel com as permissões storagetransfer.jobs.delete e storagetransfer.jobs.list, ela poderá executar tarefas de retenção de dados.
roles/storagetransfer.admin Funcionários do departamento de TI da unidade de negócios Ao conceder à equipe de TI o papel roles/storagetransfer.admin, ela terá permissão para desempenhar tarefas de gerenciamento comuns, como monitoramento e exclusão de transferências. Ele também permite que os membros alterem as políticas do IAM para transferências.
roles/storagetransfer.user Funcionários da unidade de negócios Ao conceder aos funcionários o papel roles/storagetransfer.user, eles poderão enviar e visualizar o progresso das transferências. Eles também poderão visualizar o progresso das transferências enviadas por colegas de trabalho para o mesmo projeto. No entanto, eles não poderão excluir jobs de transferência.
roles/storagetransfer.viewer Executivos da unidade de negócios Ao atribuir o papel roles/storagetransfer.viewer aos executivos, eles terão permissão para visualizar todas as transferências, mas não iniciar ou excluir jobs de transferência.

Como implementar esse cenário

Suas ações

Siga as etapas abaixo para implementar o cenário:

  1. Conceda a permissão storagetransfer.jobs.delete ao criar um papel personalizado para a equipe de retenção de dados para aumentar o privilégio do papel roles/storagetransfer.viewer.

    Para instruções passo a passo, consulte a seção Como criar um papel personalizado de Como criar e gerenciar papéis personalizados.

  2. Atribua funcionários aos papéis relevantes:

    • Equipe de retenção de dados: o papel personalizado que você criou
    • Equipe de TI: roles/storagetransfer.admin
    • Funcionários não pertencentes à equipe de TI: roles/storagetransfer.user
    • Executivos: roles/storagetransfer.viewer

    Para instruções passo a passo, consulte a seção Conceder acesso de Como conceder, alterar e revogar acesso aos membros do projeto.