Contrôle des accès avec IAM

Pour limiter l'accès des utilisateurs au sein d'un projet ou d'une organisation, vous pouvez utiliser les rôles IAM (Identity and Access Management) pour Database Migration Service et le produit de base de données de destination concerné. Plutôt que d'attribuer aux utilisateurs le rôle Lecteur, Éditeur ou Propriétaire pour l'ensemble du Google Cloud projet, vous pouvez contrôler l'accès aux ressources associées à Database Migration Service.

Cette page décrit en détail tous les rôles dont les comptes utilisateur et de service ont besoin lors d'une migration Cloud SQL homogène avec Database Migration Service. Pour en savoir plus sur le moment où vous utilisez ces autorisations pendant le processus de migration, consultez Migrer vos bases de données SQL Server vers Cloud SQL pour SQL Server.

Comptes impliqués dans l'exécution des tâches de migration

Trois comptes sont impliqués dans les migrations de données effectuées avec Database Migration Service :

Compte utilisateur qui effectue la migration
Il s'agit du compte Google avec lequel vous vous connectez pour créer les profils de connexion, importer les fichiers de sauvegarde dans le stockage Cloud Storage, et créer et exécuter la tâche de migration.
Compte de service Database Migration Service
Il s'agit du compte de service qui est créé pour vous lorsque vous activez l'API Database Migration Service. L'adresse e-mail associée à ce compte est générée automatiquement et ne peut pas être modifiée. Elle utilise le format suivant : 
service-PROJECT_NUMBER@gcp-sa-datamigration.iam.gserviceaccount.com
Compte de service de l'instance Cloud SQL
Ce compte de service est attribué spécifiquement à votre instance Cloud SQL pour SQL Server de destination. Il est créé après la création de l'instance de destination. Vous pouvez voir l'adresse e-mail associée à ce compte de service sur la page d'informations de l'instance Cloud SQL. Consultez Afficher les informations sur les instances dans la documentation Cloud SQL pour SQL Server.

Chaque compte impliqué dans le processus de migration de données nécessite un ensemble différent de rôles et d'autorisations.

Autorisations et rôles

Pour obtenir les autorisations nécessaires pour effectuer des migrations SQL Server homogènes avec Database Migration Service, demandez à votre administrateur d'accorder les rôles IAM requis sur votre projet pour les comptes suivants :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer les accès.

Ces rôles prédéfinis contiennent les autorisations requises pour effectuer des migrations SQL Server homogènes avec Database Migration Service. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour effectuer des migrations SQL Server migrations homogènes avec Database Migration Service :

  • Compte utilisateur qui effectue la migration :
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.operations.get
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.import
    • cloudsql.databases.get
    • cloudsql.databases.list
    • cloudsql.databases.delete
    • compute.machineTypes.list
    • compute.machineTypes.get
    • compute.projects.get
    • storage.buckets.create
    • storage.buckets.list
  • Compte de service Database Migration Service :
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.executeSql
    • storage.objects.create
    • storage.objects.list
  • Compte de service de l'instance Cloud SQL :
    • storage.objects.list
    • storage.objects.get

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.