エージェントレス転送の権限

エージェントレス転送には、Cloud Storage 内、Amazon S3、Azure Blob Storage、Data Lake Storage Gen2、一般公開オブジェクトの URL リストからの転送が含まれます。転送エージェントやエージェント プールは必要ありません。

エージェントレス転送によってクラウド プロバイダ間でデータを転送する場合は、次の 2 つのプリンシパルに権限を付与する必要があります。

• 転送を作成または管理するユーザー アカウント。
• Storage Transfer Service と最初にやり取りするときに自動的に作成される、Google 管理のサービス エージェント。サービス エージェントの権限をユーザー管理のサービス アカウントに委任できます。サービス エージェントの権限をユーザー管理のサービス アカウントに委任するをご覧ください。

IAM ロールを付与する方法については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。

権限を付与する最も簡単な方法

gcloud CLI を使用すると、ユーザー アカウントと Google 管理のサービス アカウントに必要な権限を付与できます。これらの権限により、ユーザーは転送ジョブの作成、編集、削除と、帯域幅の上限の設定、変更を行うことができます。

組織のポリシーに対してこれらの権限の範囲が広すぎる場合は、このドキュメントの後半セクションで Storage Transfer Service に必要な最小権限を確認してください。

既存の権限で不足しているロールを確認するには、次のコマンドを実行します。

gcloud transfer authorize

これらのロールを自動的に適用するには、--add-missing フラグを使用します。

gcloud transfer authorize --add-missing

ユーザーの代わりにユーザー管理のサービス アカウントに権限を付与するには、サービス アカウント キー ファイルを渡します。

gcloud transfer authorize --add-missing --creds-file=path/to/key.json

このコマンドは次の権限を付与します。

• ユーザー / ユーザー管理のサービス アカウント:

  • roles/owner
  • roles/storagetransfer.admin
  • roles/storagetransfer.transferAgent
  • roles/storage.objectAdmin
  • roles/pubsub.editor

• Google が管理するサービス エージェント:

  • roles/storage.admin
  • roles/storagetransfer.serviceAgent

gcloud CLI のインストール手順については、gcloud クイックスタートをご覧ください。

ユーザー アカウント権限

ユーザー アカウントには、Storage Transfer Service オペレーションを実行する権限が必要です。これらの権限は、Storage Transfer ユーザーまたは Storage Transfer 管理者のいずれかのロールによって付与されます。

また、権限を確認するために Google 管理のサービス エージェントを取得する権限も必要です。

ユーザー アカウントまたはユーザー管理のサービス アカウントを設定するには、次の IAM 権限とロールを付与します。

Google 管理のサービス エージェントの権限

Storage Transfer Service は、Google が管理するサービス エージェントを使用してデータを移動します。このサービス アカウントは、転送ジョブの作成、googleServiceAccounts.get の呼び出し、 Google Cloud コンソールのジョブ作成ページへの初回アクセスの際に自動的に作成されます。

サービス アカウントの形式は通常 project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com です。サービス アカウント ID を取得するには、[googleServiceAccounts.get][googleServiceAccounts.get] API 呼び出しを使用します。

ロールの自動割り当て

サービス エージェントに適切なロールを自動的に割り当てるには、次の 2 つの方法があります。

• Google Cloud コンソールを使用して転送を作成します。コンソールでは必要な権限が自動的に適用されます。

• gcloud transfer authorize --add-missing を使用してください。権限を付与する最も簡単な方法をご覧ください。

ロールの手動割り当て

転送を完了するために必要なリソースにサービス エージェントがアクセスできるようにするには、次のロールまたは同等の権限をサービス エージェントに割り当てます。

手順については、必要な権限の付与をご覧ください。

ユーザー管理のサービス アカウントに委任する

サービス エージェントの権限をユーザーが管理するサービス アカウントに委任できます。これにより、1 つのサービス エージェントに集中させるのではなく、異なる転送ジョブのバケット権限をサービス アカウント間で分離できます。

詳細については、サービス エージェントの権限をユーザー管理のサービス アカウントに委任するをご覧ください。

プロジェクト間の Cloud Storage 転送

異なるプロジェクトの Cloud Storage バケット間でオブジェクトを転送するには、転送元バケットと転送先バケットの両方で、1 つのサービス エージェントに権限を付与する必要があります。サービス エージェントは、転送の作成元のプロジェクトに属します。

ユーザーまたはユーザー管理のサービス アカウントには、転送を作成するプロジェクトに対する権限のみが必要です。

サービス エージェントのメールアドレスを取得する方法については、サービス エージェントのメールアドレスを確認するをご覧ください。

転送元バケットで、次のロールをバケットレベルでサービス エージェントに付与します。

• Storage Legacy Bucket Reader
• Storage Object Viewer

転送先バケットで、次のロールをバケットレベルで同じサービス エージェントに付与します。

• Storage Legacy Bucket Writer

バケットレベルでロールを付与する方法については、次のページをご覧ください。

• ソースへのアクセスを構成する: Cloud Storage
• シンクへのアクセスを構成する: Cloud Storage

Cloud Storage の Legacy ロールは、プロジェクト レベルで付与できません。

組織内アクセス制限

組織でドメイン制限（constraints/iam.allowedPolicyMemberDomains）や他のプロジェクトのリソースへのサービス アカウントの接続を無効にする（constraints/iam.disableCrossProjectServiceAccountUsage）などの組織のポリシーの制約が適用されている場合は、プロジェクト間の転送が成功するように、これらの制約を更新する必要があります。

プロジェクト間の転送をサポートするために、VPC Service Controls の設定の更新が必要になる場合もあります。クラウド オブジェクト ストレージ転送用に VPC Service Controls を構成するをご覧ください。

AWS と Microsoft の権限

AWS S3 または Microsoft Azure Storage にあるソースファイルへのアクセスも構成する必要があります。必要な手順について詳しくは、次のドキュメントをご覧ください。

• AWS S3 へのアクセスを構成する
• Microsoft Azure Storage へのアクセスを構成する