Storage Transfer Service utilizza Identity and Access Management (IAM) autorizzazioni e ruoli per controllare chi può accedere alle risorse di Storage Transfer Service. I principali tipi di risorse disponibili in Storage Transfer Service sono job, operazioni e pool di agenti. Nella gerarchia dei criteri IAM, i job sono risorse figlio dei progetti e le operazioni sono risorse figlio dei job.
Per concedere l'accesso a una risorsa, assegna una o più autorizzazioni o ruoli a un utente, un gruppo o un service account.
Autorizzazioni
Puoi concedere le seguenti autorizzazioni Storage Transfer Service:
Trasferire l'autorizzazione del progetto
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.projects.getServiceAccount |
Può leggere l'account di servizio Google utilizzato da Storage Transfer Service per accedere ai bucket Cloud Storage. |
Trasferire le autorizzazioni del job
La tabella seguente descrive le autorizzazioni per i job Storage Transfer Service:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.jobs.create |
Può creare nuovi job di trasferimento. |
storagetransfer.jobs.delete |
Può eliminare i job di trasferimento esistenti. I job di trasferimento vengono eliminati chiamando la funzione patch. Tuttavia, gli utenti devono disporre di questa autorizzazione quando eliminano i job di trasferimento per evitare errori di autorizzazione. |
storagetransfer.jobs.get |
Può recuperare job specifici. |
storagetransfer.jobs.list |
Può elencare tutti i job di trasferimento. |
storagetransfer.jobs.run |
Può eseguire tutti i job di trasferimento. |
storagetransfer.jobs.update |
Può aggiornare le configurazioni dei job di trasferimento senza eliminarle. |
Autorizzazioni per le operazioni di trasferimento
La tabella seguente descrive le autorizzazioni per le operazioni di Storage Transfer Service:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.operations.assign |
Utilizzato dagli agenti di trasferimento per assegnare le operazioni. |
storagetransfer.operations.cancel |
Può annullare le operazioni di trasferimento. |
storagetransfer.operations.get |
Può ottenere i dettagli delle operazioni di trasferimento. |
storagetransfer.operations.list |
Può elencare tutte le operazioni del job di trasferimento. |
storagetransfer.operations.pause |
Può mettere in pausa le operazioni di trasferimento. |
storagetransfer.operations.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato dell'operazione. |
storagetransfer.operations.resume |
Può riprendere le operazioni di trasferimento in pausa. |
Trasferire le autorizzazioni del pool di agenti
La seguente tabella descrive le autorizzazioni per i pool di agenti di trasferimento del file system:
| Autorizzazione | Descrizione |
|---|---|
storagetransfer.agentpools.create |
Può creare pool di agenti. |
storagetransfer.agentpools.update |
Può aggiornare i pool di agenti. |
storagetransfer.agentpools.delete |
Può eliminare i pool di agenti. |
storagetransfer.agentpools.get |
Può ottenere informazioni su pool di agenti specifici. |
storagetransfer.agentpools.list |
Può elencare le informazioni per tutti i pool di agenti nel progetto. |
storagetransfer.agentpools.report |
Utilizzato dagli agenti di trasferimento per segnalare lo stato. |
Ruoli predefiniti
Questa sezione descrive i ruoli predefiniti per Storage Transfer Service. I ruoli sono il modo preferito per impostare le autorizzazioni IAM.
Confronto tra ruoli
Puoi assegnare il seguente ruolo di progetto o i ruoli predefiniti di Storage Transfer Service:
| Capacità | Editor (roles/editor) |
Storage Transfer (roles/storagetransfer.)
|
||
|---|---|---|---|---|
Amministratore (admin) |
Utente (user) |
Visualizzatore (viewer) |
||
| Elenco/recupero dei job | ||||
| Creare job | ||||
| Esegui job | ||||
| Aggiornare i job | ||||
| Elimina i job | ||||
| Elenca/recupera operazioni di trasferimento | ||||
| Mettere in pausa/riprendere le operazioni di trasferimento | ||||
| Leggi i dettagli del account di servizio Google utilizzato da Storage Transfer Service per accedere ai bucket Cloud Storage. | ||||
| Elenca i pool di agenti | ||||
| Creare pool di agenti | ||||
| Aggiorna i pool di agenti | ||||
| Elimina pool di agenti | ||||
| Recuperare i pool di agenti | ||||
| Leggere o impostare la larghezza di banda del progetto | ||||
Dettagli del ruolo
La tabella seguente descrive in dettaglio i ruoli predefiniti per Storage Transfer Service:
| Ruolo | Descrizione | Autorizzazioni incluse |
|---|---|---|
|
Amministratore di Storage Transfer ( roles/storagetransfer.)
|
Fornisce tutte le autorizzazioni di Storage Transfer Service, inclusa l'eliminazione dei job. Motivazione:questo è il ruolo di livello più alto con le responsabilità più ampie. Si tratta del superutente che supporta i colleghi durante i trasferimenti. Questa opzione è più adatta alle persone che amministreranno i trasferimenti, ad esempio gli amministratori IT. |
|
|
Utente di Storage Transfer ( roles/storagetransfer.)
|
Fornisce le autorizzazioni all'utente per creare, ottenere, aggiornare ed elencare i job di trasferimento all'interno del progetto. Tuttavia, non possono eliminare i propri job. Motivazione:questo ruolo consente di separare la creazione e la gestione dei job dall'eliminazione dei job. Questo ruolo è più adatto agli utenti che sono tenuti a eseguire trasferimenti nell'ambito delle loro mansioni, ad esempio un dipendente. Questo ruolo non consente l'eliminazione del trasferimento, in modo che i revisori o il personale di sicurezza possano visualizzare un record completamente conservato dei trasferimenti passati. |
|
|
Visualizzatore di Storage Transfer ( roles/storagetransfer.)
|
Fornisce le autorizzazioni per elencare e ottenere job e operazioni di trasferimento all'interno del progetto. L'utente non può programmare, aggiornare o eliminare i lavori. Motivazione:il ruolo Visualizzatore è destinato all'accesso di sola lettura per visualizzare i job e le operazioni di trasferimento. Questo ruolo consente di separare le attività di report e audit dalla creazione e dalla manutenzione dei job. Questo ruolo è più adatto agli utenti o ai team interni che controllano l'utilizzo del trasferimento, come i responsabili della sicurezza, della conformità o delle unità aziendali. |
|
Storage Transfer Agent
(roles/storagetransfer.transferAgent)
|
Concede agli agenti di trasferimento le autorizzazioni Storage Transfer Service necessarie per completare un trasferimento. A partire dal 1° maggio 2024, le autorizzazioni `pubsub` non sono più necessarie. Concedi questo ruolo all'utente o al account di servizio utilizzato dagli agenti. |
|
Agente Storage Transfer Service
(roles/storagetransfer.serviceAgent)
|
Concede all' agente di servizio Storage Transfer Service le autorizzazioni necessarie per creare e modificare gli argomenti Pub/Sub per comunicare da Google Cloud agli agenti di trasferimento. Concedi questo ruolo all' agente di servizio Storage Transfer Service. |
|
Ruoli personalizzati
Puoi creare e applicare ruoli IAM personalizzati per soddisfare i requisiti di accesso della tua organizzazione.
Quando crei ruoli personalizzati, ti consigliamo di utilizzare una combinazione di ruoli predefiniti per assicurarti che le autorizzazioni corrette siano incluse insieme.
La console Google Cloud non funzionerà correttamente se al ruolo personalizzato mancano le autorizzazioni richieste. Ad esempio, alcune parti della Google Cloud console presuppongono che un ruolo disponga dell'accesso in lettura per visualizzare un elemento prima di modificarlo, quindi un ruolo con solo autorizzazioni di scrittura potrebbe riscontrare Google Cloud schermate della console che non funzionano.