IAM 权限和角色示例

Storage Transfer Service 提供权限和角色,以便实现对数据传输的精细控制。您可以使用这些权限和角色隔离执行数据传输的特定个人或业务部门的访问权限。您还可以创建自定义 IAM 角色,以便授予符合项目要求的权限。

准备工作

为业务部门启用传输和报告创建

在此场景中,业务部门需要使用 Storage Transfer Service 传输数据。业务部门的 IT 部门要配置 Storage Transfer Service 实现以下目的:

  • IT 部门启动、监控和删除传输。
  • 业务部门的员工启动并监控他们的传输。
  • 管理人员查看业务部门的 Storage Transfer Service 使用情况。

要实现这些目标,请授予以下角色

角色 成员 说明
roles/storagetransfer.admin 业务部门的 IT 部门员工 授予 IT 人员 roles/storagetransfer.admin 角色,允许他们执行常见的管理任务,例如监控和删除传输。
roles/storagetransfer.user 业务部门的员工 授予员工 roles/storagetransfer.user 角色,允许他们提交传输并查看传输进度。他们还可以查看同事向同一项目提交的传输的进度。但他们无法删除传输作业。
roles/storagetransfer.viewer 业务部门的管理人员,或审核人员和安全人员。 授予管理人员 roles/storagetransfer.viewer 角色,允许他们查看所有传输,但他们不能启动或删除传输作业。

实现此场景

您的操作

向员工分配相关角色:

  • IT 人员:roles/storagetransfer.admin
  • 非 IT 人员:roles/storagetransfer.user
  • 管理人员:roles/storagetransfer.viewer

如需了解分步说明,请参阅授予、更改和撤消对资源的访问权限中的授予访问权限部分。

为执行数据保留的单独团队启用传输

在此场景中,业务部门需要使用 Storage Transfer Service 传输数据,而执行数据保留的工作则由单独的团队负责。业务部门的 IT 部门要配置 Storage Transfer Service 实现以下目的:

  • 数据保留团队查看和删除作业。
  • IT 部门查看传输。
  • 业务部门的员工启动并监控他们的传输。
  • 管理人员查看业务部门的 Storage Transfer Service 使用情况。

要实现这些目标,请授予以下角色

角色 成员 说明
授予 storagetransfer.jobs.deletestoragetransfer.jobs.list 权限的自定义角色 数据保留团队的成员 授予数据保留人员具有 storagetransfer.jobs.deletestoragetransfer.jobs.list 权限的角色,允许他们执行数据保留任务。
roles/storagetransfer.admin 业务部门的 IT 部门员工 授予 IT 人员 roles/storagetransfer.admin 角色,允许他们执行常见的管理任务,例如监控和删除传输。该角色还允许成员更改传输的 IAM 政策。
roles/storagetransfer.user 业务部门的员工 授予员工 roles/storagetransfer.user 角色,允许他们提交传输并查看传输进度。他们还可以查看同事向同一项目提交的传输的进度。但他们无法删除传输作业。
roles/storagetransfer.viewer 业务部门的管理人员 授予管理人员 roles/storagetransfer.viewer 角色,允许他们查看所有传输,但他们不能启动或删除传输作业。

实现此场景

您的操作

要实现此场景,请执行以下操作:

  1. 为数据保留团队创建一个自定义角色,在授予 roles/storagetransfer.viewer 角色的同时,授予 storagetransfer.jobs.delete 权限予以加强。

    如需了解分步说明,请参阅创建和管理自定义角色中的创建自定义角色部分。

  2. 向员工分配相关角色:

    • 数据保留人员:您创建的自定义角色
    • IT 人员:roles/storagetransfer.admin
    • 非 IT 人员:roles/storagetransfer.user
    • 管理人员:roles/storagetransfer.viewer

    如需了解分步说明,请参阅授予、更改和撤消对资源的访问权限中的授予访问权限部分。