Controllo dell'accesso con IAM

Per limitare l'accesso per gli utenti all'interno di un progetto o di un'organizzazione, puoi utilizzare i ruoli IAM (Identity and Access Management) per Database Migration Service e il prodotto di database di destinazione pertinente. Puoi controllare l'accesso alle risorse correlate a Database Migration Service, anziché concedere agli utenti il ruolo Visualizzatore, Editor o Proprietario per l'intero Google Cloud progetto.

Questa pagina si concentra su tutti i ruoli di cui gli account utente e di servizio hanno bisogno durante una migrazione omogenea di Cloud SQL con Database Migration Service. Per ulteriori informazioni su quando utilizzare queste autorizzazioni durante il processo di migrazione, consulta Migra i database SQL Server in Cloud SQL per SQL Server.

Account coinvolti nell'esecuzione dei job di migrazione

Esistono tre account coinvolti nelle migrazioni dei dati eseguite con Database Migration Service:

Account utente che esegue la migrazione
Si tratta dell' account Google con cui accedi per creare i profili di connessione, caricare i file di backup nello spazio di archiviazione Cloud Storage, creare ed eseguire il job di migrazione.
Account di servizio di Database Migration Service
Si tratta del account di servizio che viene creato per te quando abiliti l'API Database Migration Service. L'indirizzo email associato a questo account viene generato automaticamente e non può essere modificato. Questo indirizzo email usa il seguente formato: 
service-PROJECT_NUMBER@gcp-sa-datamigration.iam.gserviceaccount.com
Account di servizio dell'istanza Cloud SQL
Si tratta di un account di servizio assegnato in modo specifico all'istanza Cloud SQL per SQL Server di destinazione. Viene creato dopo la creazione dell'istanza di destinazione. Puoi visualizzare l'indirizzo email associato a questo account di servizio nella pagina dei dettagli dell'istanza Cloud SQL. Consulta Visualizzazione delle informazioni sull'istanza nella documentazione di Cloud SQL per SQL Server.

Ogni account coinvolto nel processo di migrazione dei dati richiede un insieme diverso di ruoli e autorizzazioni.

Autorizzazioni e ruoli

Per ottenere le autorizzazioni necessarie per eseguire migrazioni omogenee di SQL Server con Database Migration Service, chiedi all'amministratore di concedere i ruoli IAM richiesti sul tuo progetto per i seguenti account:

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per eseguire migrazioni omogenee di SQL Server con Database Migration Service. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Le seguenti autorizzazioni sono necessarie per eseguire migrazioni omogenee di SQL Server con Database Migration Service:

  • Account utente che esegue la migrazione:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.operations.get
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.import
    • cloudsql.databases.get
    • cloudsql.databases.list
    • cloudsql.databases.delete
    • compute.machineTypes.list
    • compute.machineTypes.get
    • compute.projects.get
    • storage.buckets.create
    • storage.buckets.list
  • Account di servizio di Database Migration Service:
    • datamigration.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • cloudsql.instances.create
    • cloudsql.instances.get
    • cloudsql.instances.list
    • cloudsql.instances.executeSql
    • storage.objects.create
    • storage.objects.list
  • Account di servizio dell'istanza Cloud SQL:
    • storage.objects.list
    • storage.objects.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.