Zugriffssteuerung mit IAM

Um den Zugriff für Nutzer innerhalb eines Projekts oder einer Organisation einzuschränken, können Sie IAM-Rollen (Identity and Access Management) für den Database Migration Service und das entsprechende Zieldatenbankprodukt verwenden. Sie können den Zugriff auf Ressourcen im Zusammenhang mit dem Database Migration Service steuern, anstatt Nutzern die Rolle „Betrachter“, „Bearbeiter“ oder „Inhaber“ für das gesamte Projekt zuzuweisen. Google Cloud

Auf dieser Seite werden alle Rollen aufgeführt, die Nutzer und Dienstkonten während einer homogenen Cloud SQL-Migration mit dem Database Migration Service benötigen. Weitere Informationen dazu, wann Sie diese Berechtigungen während des Migrationsprozesses verwenden, finden Sie unter SQL Server-Datenbanken zu Cloud SQL for SQL Server migrieren.

Konten, die an Migrationsjobs beteiligt sind

Bei Datenmigrationen mit dem Database Migration Service sind drei Konten beteiligt:

Nutzerkonto, das die Migration ausführt
Dies ist das Google-Konto, mit dem Sie sich anmelden, um die Verbindungsprofile zu erstellen, die Sicherungsdateien in den Cloud Storage-Speicher hochzuladen und den Migrations job zu erstellen und auszuführen.
Dienstkonto des Database Migration Service
Dies ist das Dienstkonto, das beim Aktivieren der Database Migration Service API für Sie erstellt wird. Die mit diesem Konto verknüpfte E‑Mail-Adresse wird automatisch generiert und kann nicht geändert werden. Diese E‑Mail-Adresse hat das folgende Format: 
service-PROJECT_NUMBER@gcp-sa-datamigration.iam.gserviceaccount.com
Dienstkonto der Cloud SQL-Instanz
Dies ist ein Dienstkonto, das speziell Ihrer Cloud SQL for SQL Server-Zielinstanz zugewiesen ist. Es wird erstellt, nachdem Sie die Zielinstanz erstellt haben. Sie können die E‑Mail-Adresse, die mit diesem Dienstkonto verknüpft ist, auf der Detailseite der Cloud SQL-Instanz einsehen. Weitere Informationen finden Sie in der Dokumentation zu Cloud SQL for SQL Server unter Instanzinformationen aufrufen.

Für jedes Konto, das am Datenmigrationsprozess beteiligt ist, sind unterschiedliche Rollen und Berechtigungen erforderlich.

Berechtigungen und Rollen

Bitten Sie Ihren Administrator, die erforderlichen IAM-Rollen für die folgenden Konten in Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ausführen homogener SQL Server-Migrationen mit dem Database Migration Service benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Ausführen homogener SQL Server-Migrationen mit dem Database Migration Service erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Ausführen homogener SQL Server Migrationen mit dem Database Migration Service erforderlich:

  • Nutzerkonto, das die Migration ausführt:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.operations.get
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.import
    • cloudsql.databases.get
    • cloudsql.databases.list
    • cloudsql.databases.delete
    • compute.machineTypes.list
    • compute.machineTypes.get
    • compute.projects.get
    • storage.buckets.create
    • storage.buckets.list
  • Dienstkonto des Database Migration Service:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.executeSql
    • storage.objects.create
    • storage.objects.list
  • Dienstkonto der Cloud SQL-Instanz:
    • storage.objects.list
    • storage.objects.get

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.