הרשאות ותפקידים

ב-Storage Transfer Service נעשה שימוש בהרשאות ובתפקידים של ניהול זהויות והרשאות גישה (IAM) כדי לקבוע למי יש גישה למשאבים של Storage Transfer Service. הסוגים העיקריים של משאבים שזמינים ב-Storage Transfer Service הם משימות, פעולות ומאגרי סוכנים. בהיררכיה של מדיניות IAM, משימות הן משאבי צאצא של פרויקטים, ופעולות הן משאבי צאצא של משימות.

כדי להעניק גישה למשאב, מקצים הרשאות או תפקידים למשתמש, לקבוצה או לחשבון שירות.

הרשאות

אפשר לתת את ההרשאות הבאות ל-Storage Transfer Service:

העברת הרשאות בפרויקט

הרשאה	תיאור
`storagetransfer.projects.getServiceAccount`	יכול לקרוא את GoogleServiceAccount שמשמש את Storage Transfer Service כדי לגשת לקטגוריות של Cloud Storage.

העברת הרשאות עבודה

בטבלה הבאה מפורטות ההרשאות שנדרשות להפעלת משימות של Storage Transfer Service:

הרשאה	תיאור
`storagetransfer.jobs.create`	יכולים ליצור משימות העברה חדשות.
`storagetransfer.jobs.delete`	אפשר למחוק משימות העברה קיימות. מחיקת משימות העברה מתבצעת על ידי קריאה לפונקציה patch. עם זאת, המשתמשים צריכים את ההרשאה הזו כדי למחוק משימות העברה, כדי למנוע שגיאות הרשאה.
`storagetransfer.jobs.get`	אפשר לאחזר משרות ספציפיות.
`storagetransfer.jobs.list`	יכולים לראות רשימה של כל משימות ההעברה.
`storagetransfer.jobs.run`	יכול להריץ את כל משימות ההעברה.
`storagetransfer.jobs.update`	יכולים לעדכן את ההגדרות של עבודות ההעברה בלי למחוק אותן.

הרשאות לפעולות העברה

בטבלה הבאה מפורטות ההרשאות לפעולות ב-Storage Transfer Service:

הרשאה	תיאור
`storagetransfer.operations.assign`	משמש סוכני העברה להקצאת פעולות.
`storagetransfer.operations.cancel`	אפשר לבטל פעולות העברה.
`storagetransfer.operations.get`	אפשר לקבל פרטים על פעולות העברה.
`storagetransfer.operations.list`	אפשר לראות את כל הפעולות של משימות ההעברה.
`storagetransfer.operations.pause`	אפשר להשהות את פעולות ההעברה.
`storagetransfer.operations.report`	משמש סוכני העברה לדיווח על סטטוס הפעולה.
`storagetransfer.operations.resume`	אפשר להמשיך פעולות העברה שהושהו.

העברת הרשאות של מאגר סוכנים

בטבלה הבאה מתוארות ההרשאות למאגרי סוכני העברה של מערכת קבצים:

הרשאה	תיאור
`storagetransfer.agentpools.create`	אפשר ליצור מאגרי סוכנים.
`storagetransfer.agentpools.update`	אפשר לעדכן מאגרי סוכנים.
`storagetransfer.agentpools.delete`	יכולים למחוק מאגרי נציגים.
`storagetransfer.agentpools.get`	אפשר לקבל מידע על מאגרי סוכנים ספציפיים.
`storagetransfer.agentpools.list`	אפשר להציג רשימה של מידע על כל מאגרי הסוכנים בפרויקט.
`storagetransfer.agentpools.report`	סוכני העברה משתמשים בה כדי לדווח על הסטטוס.

תפקידים מוגדרים מראש

בקטע הזה מתוארים התפקידים המוגדרים מראש ב-Storage Transfer Service. תפקידים הם הדרך המומלצת להגדרת הרשאות IAM.

השוואה בין תפקידים

אתם יכולים להקצות את התפקיד הבא ברמת הפרויקט או תפקידים מוגדרים מראש של Storage Transfer Service:

יכולת	עריכה (`roles/editor`)	העברת אחסון (`roles/storagetransfer.`)
יכולת	עריכה (`roles/editor`)	אדמין (`admin`)	משתמש (`user`)	צפייה (`viewer`)
הצגת רשימה של משרות או קבלת משרה
יצירת משרות
הרצת משימות
עדכון משרות
מחיקת משרות
הצגת רשימה של פעולות העברה או קבלת פעולות העברה
השהיה או המשך של פעולות העברה
קריאת פרטים על חשבונות שירות של Google שמשמשים את Storage Transfer Service כדי לגשת לקטגוריות של Cloud Storage.
הצגת רשימה של מאגרי סוכנים
יצירת מאגרי סוכנים
עדכון מאגרי נציגים
מחיקת מאגרי נציגים
קבלת מאגרי נציגים
קריאה או הגדרה של רוחב הפס של הפרויקט

פרטי התפקיד

בטבלה הבאה מפורטים התפקידים המוגדרים מראש ב-Storage Transfer Service:

תפקיד	תיאור	הרשאות כלולות
אדמין בהעברת נתונים באחסון (`roles/storagetransfer.admin`)	כולל את כל ההרשאות של Storage Transfer Service, כולל מחיקת משימות. הסבר: זה התפקיד ברמה הגבוהה ביותר עם האחריות הרחבה ביותר. זהו משתמש על שתומך בעמיתיו בזמן שהם מבצעים העברות. ההרשאה הזו מתאימה בעיקר לאנשים שמנהלים העברות, כמו אדמינים ב-IT.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storagetransfer.*`
משתמש בהעברת אחסון (`roles/storagetransfer.user`)	ההרשאה מאפשרת למשתמש ליצור, לקבל, לעדכן ולראות את רשימת משימות ההעברה בפרויקט. אבל הם לא יכולים למחוק את המשרות שלהם. הסבר: התפקיד הזה מאפשר להפריד בין יצירה ותחזוקה של משרות לבין מחיקה של משרות. התפקיד הזה מתאים במיוחד למשתמשים שנדרשים לבצע העברות כחלק מהתפקיד שלהם, כמו עובדים. התפקיד הזה לא מאפשר למחוק את ההעברה, כדי שאנשי ביקורת או אנשי אבטחה יוכלו לראות רשומה מלאה של העברות קודמות.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storagetransfer.agentpools.create` `storagetransfer.agentpools.get` `storagetransfer.agentpools.list` `storagetransfer.agentpools.report` `storagetransfer.agentpools.update` `storagetransfer.jobs.create` `storagetransfer.jobs.get` `storagetransfer.jobs.list` `storagetransfer.jobs.run` `storagetransfer.jobs.update` `storagetransfer.operations.*` `storagetransfer.projects.getServiceAccount`
צפייה בהעברת נתונים באחסון (`roles/storagetransfer.viewer`)	התפקיד הזה מאפשר לראות את רשימת המשימות ופעולות ההעברה בפרויקט ולקבל אותן. המשתמש לא יכול לתזמן, לעדכן או למחוק משימות. הסבר: תפקיד הצופה מיועד לגישה לקריאה בלבד לצורך צפייה בפעולות ובעבודות העברה. התפקיד הזה מאפשר להפריד בין משימות של דוחות וביקורות לבין יצירה ותחזוקה של משימות. התפקיד הזה מתאים בעיקר למשתמשים או לצוותים פנימיים שמבצעים ביקורת על השימוש בהעברה, כמו מנהלים בתחום האבטחה, התאימות או היחידה העסקית.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storagetransfer.agentpools.get` `storagetransfer.agentpools.list` `storagetransfer.jobs.get` `storagetransfer.jobs.list` `storagetransfer.operations.get` `storagetransfer.operations.list` `storagetransfer.projects.getServiceAccount`
Storage Transfer Agent (`roles/storagetransfer.transferAgent`)	נותן לסוכני העברה את ההרשאות הנדרשות בשירות Storage Transfer Service כדי להשלים העברה. החל מ-1 במאי 2024, כבר לא נדרשות הרשאות `pubsub`. נותנים את התפקיד הזה למשתמש או לחשבון השירות שמשמשים את הסוכנים.	`logging.logEntries.create` `monitoring.timeSeries.create` `pubsub.subscriptions.consume` `pubsub.subscriptions.create` `pubsub.subscriptions.delete` `pubsub.subscriptions.get` `pubsub.topics.attachSubscription` `pubsub.topics.create` `pubsub.topics.get` `pubsub.topics.list` `pubsub.topics.publish` `storagetransfer.agentpools.report` `storagetransfer.operations.assign` `storagetransfer.operations.get` `storagetransfer.operations.report`
Storage Transfer Service Agent (`roles/storagetransfer.serviceAgent`)	נותן ל סוכן השירות של Storage Transfer Service את ההרשאות הנדרשות ליצירה ולשינוי של נושאי Pub/Sub כדי לתקשר מ-Google Cloud עם סוכני העברה. מקצים את התפקיד הזה ל סוכן השירות של Storage Transfer Service.	`pubsub.subscriptions.consume` `pubsub.subscriptions.create` `pubsub.subscriptions.delete` `pubsub.subscriptions.get` `pubsub.subscriptions.update` `pubsub.topics.attachSubscription` `pubsub.topics.create` `pubsub.topics.delete` `pubsub.topics.get` `pubsub.topics.publish` `pubsub.topics.update`

תפקידים בהתאמה אישית

אתם יכולים ליצור ולהקצות תפקידים בהתאמה אישית ב-IAM כדי לעמוד בדרישות הגישה של הארגון.

כשיוצרים תפקידים בהתאמה אישית, מומלץ להשתמש בשילוב של תפקידים מוגדרים מראש כדי לוודא שההרשאות הנכונות כלולות יחד.

Google Cloud אם בתפקיד בהתאמה אישית חסרות הרשאות נדרשות, המסוף לא יפעל כמו שצריך. לדוגמה, חלקים מסוימים במסוף Google Cloud מניחים שלתפקיד יש גישת קריאה כדי להציג פריט לפני עריכתו, ולכן תפקיד עם הרשאות כתיבה בלבד עשוי להיתקל במסכי מסוף Google Cloud שלא פועלים.

הרשאות ותפקידים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.