O Serviço de transferência de armazenamento usa autorizações e funções da gestão de identidade e de acesso (IAM) para controlar quem pode aceder aos recursos do Serviço de transferência de armazenamento. Os principais tipos de recursos disponíveis no Serviço de Transferência de Armazenamento são tarefas, operações e conjuntos de agentes. Na hierarquia de políticas de IAM, as tarefas são recursos subordinados dos projetos e as operações são recursos subordinados das tarefas.
Para conceder acesso a um recurso, atribui uma ou mais autorizações ou funções a um utilizador, a um grupo ou a uma conta de serviço.
Autorizações
Pode conceder as seguintes autorizações do serviço de transferência de armazenamento:
Transfira a autorização do projeto
| Autorização | Descrição |
|---|---|
storagetransfer.projects.getServiceAccount |
Pode ler a conta de serviço Google usada pelo serviço de transferência de armazenamento para aceder aos contentores do Cloud Storage. |
Transfira autorizações de tarefas
A tabela seguinte descreve as autorizações para tarefas do Serviço de transferência de armazenamento:
| Autorização | Descrição |
|---|---|
storagetransfer.jobs.create |
Pode criar novas tarefas de transferência. |
storagetransfer.jobs.delete |
Pode eliminar tarefas de transferência existentes. As tarefas de transferência são eliminadas chamando a função patch. No entanto, os utilizadores têm de ter esta autorização quando eliminam tarefas de transferência para evitar erros de autorização. |
storagetransfer.jobs.get |
Pode obter trabalhos específicos. |
storagetransfer.jobs.list |
Pode apresentar uma lista de todas as tarefas de transferência. |
storagetransfer.jobs.run |
Pode executar todas as tarefas de transferência. |
storagetransfer.jobs.update |
Pode atualizar as configurações de tarefas de transferência sem as eliminar. |
Autorizações de operações de transferência
A tabela seguinte descreve as autorizações para operações do serviço de transferência de armazenamento:
| Autorização | Descrição |
|---|---|
storagetransfer.operations.assign |
Usado por agentes de transferência para atribuir operações. |
storagetransfer.operations.cancel |
Pode cancelar operações de transferência. |
storagetransfer.operations.get |
Pode obter detalhes das operações de transferência. |
storagetransfer.operations.list |
Pode listar todas as operações de tarefas de transferência. |
storagetransfer.operations.pause |
Pode pausar as operações de transferência. |
storagetransfer.operations.report |
Usado por agentes de transferência para comunicar o estado da operação. |
storagetransfer.operations.resume |
Pode retomar operações de transferência pausadas. |
Transfira autorizações do conjunto de agentes
A tabela seguinte descreve as autorizações para conjuntos de agentes de transferência do sistema de ficheiros:
| Autorização | Descrição |
|---|---|
storagetransfer.agentpools.create |
Pode criar pools de agentes. |
storagetransfer.agentpools.update |
Pode atualizar os conjuntos de agentes. |
storagetransfer.agentpools.delete |
Pode eliminar conjuntos de agentes. |
storagetransfer.agentpools.get |
Pode obter informações sobre pools de agentes específicos. |
storagetransfer.agentpools.list |
Pode listar informações de todos os conjuntos de agentes no projeto. |
storagetransfer.agentpools.report |
Usado por agentes de transferência para comunicar o estado. |
Funções predefinidas
Esta secção descreve as funções predefinidas para o Serviço de Transferência de Armazenamento. As funções são a forma preferencial de definir autorizações de IAM.
Comparação de funções
Pode atribuir a seguinte função do projeto ou funções predefinidas do Serviço de transferência de armazenamento:
| Capacidade | Editor (roles/editor) |
Transferência de armazenamento (roles/storagetransfer.)
|
||
|---|---|---|---|---|
Administrador (admin) |
Utilizador (user) |
Visitante (viewer) |
||
| Apresentar/obter tarefas | ||||
| Crie trabalhos | ||||
| Executar tarefas | ||||
| Atualize empregos | ||||
| Elimine trabalhos | ||||
| Apresentar/obter operações de transferência | ||||
| Pausar/retomar operações de transferência | ||||
| Leia os detalhes da conta de serviço Google usada pelo Serviço de transferência de armazenamento para aceder a contentores do Cloud Storage. | ||||
| Apresentar pools de agentes | ||||
| Crie grupos de agentes | ||||
| Atualize os conjuntos de agentes | ||||
| Elimine grupos de agentes | ||||
| Obtenha grupos de agentes | ||||
| Leia ou defina a largura de banda do projeto | ||||
Detalhes da função
A tabela seguinte descreve detalhadamente as funções predefinidas para o Serviço de transferência de armazenamento:
| Função | Descrição | Autorizações incluídas |
|---|---|---|
|
Storage Transfer Admin ( roles/storagetransfer.)
|
Fornece todas as autorizações do serviço de transferência de armazenamento, incluindo a eliminação de tarefas. Justificação: esta é a função de nível mais elevado com as responsabilidades mais amplas. É o superutilizador que presta apoio técnico aos colegas à medida que realizam transferências. Esta opção é mais adequada para pessoas que vão administrar transferências, como administradores de TI. |
|
|
Utilizador de transferência de armazenamento ( roles/storagetransfer.)
|
Concede autorizações ao utilizador para criar, obter, atualizar e listar tarefas de transferência no projeto. No entanto, não podem eliminar os seus próprios trabalhos. Justificação: esta função permite a separação da criação e da manutenção de tarefas da eliminação de tarefas. Esta função é mais adequada para utilizadores que têm de executar transferências como parte das suas funções profissionais, como um funcionário. Esta função não permite a eliminação de transferências, para que os auditores ou o pessoal de segurança possam ver um registo totalmente preservado das transferências anteriores. |
|
|
Visitante da Transferência de armazenamento ( roles/storagetransfer.)
|
Concede autorizações para listar e obter tarefas e operações de transferência no projeto. O utilizador não pode agendar, atualizar nem eliminar tarefas. Justificação: a função de leitor destina-se ao acesso só de leitura para ver tarefas e operações de transferência. Esta função permite separar as tarefas de relatórios e auditoria da criação e manutenção de tarefas. Esta função é mais adequada para utilizadores ou equipas internas que auditam a utilização de transferências, como líderes de segurança, conformidade ou unidades empresariais. |
|
Storage Transfer Agent
(roles/storagetransfer.transferAgent)
|
Concede aos agentes de transferência as autorizações do serviço de transferência de armazenamento necessárias para concluir uma transferência. A partir de 1 de maio de 2024, as autorizações `pubsub` já não são necessárias. Conceda esta função ao utilizador ou à conta de serviço que está a ser usada pelos agentes. |
|
Agente do serviço de transferência de armazenamento
(roles/storagetransfer.serviceAgent)
|
Concede ao agente do serviço de transferência de armazenamento as autorizações necessárias para criar e modificar tópicos do Pub/Sub para comunicar a partir de Google Cloud para agentes de transferência. Conceda esta função ao agente do serviço de transferência de armazenamento. |
|
Funções personalizadas
Pode criar e aplicar funções de IAM personalizadas para cumprir os requisitos de acesso da sua organização.
Ao criar funções personalizadas, recomendamos que use uma combinação de funções predefinidas para garantir que as autorizações corretas são incluídas em conjunto.
A Google Cloud consola não funciona corretamente se a função personalizada não tiver as autorizações necessárias. Por exemplo, algumas partes da Google Cloud consola partem do princípio que uma função tem acesso de leitura para apresentar um item antes de o editar, pelo que uma função com apenas autorizações de escrita pode encontrar Google Cloud ecrãs da consola que não funcionam.