プロジェクト内または組織内のユーザーのアクセスを制限するには、Database Migration Service(Oracle から AlloyDB for PostgreSQL の場合)と関連する移行先データベース プロダクトの Identity and Access Management(IAM)ロールを使用します。 Google Cloud プロジェクト全体に対する閲覧者、編集者、オーナーのロールを付与するのではなく、Database Migration Service(Oracle から AlloyDB for PostgreSQL)関連リソースへのアクセスのみを制御できます。
このページでは、Database Migration Service を使用した異種の AlloyDB for PostgreSQL の移行中にユーザー アカウントとサービス アカウントに必要なすべてのロールについて説明します。移行プロセスでこれらの権限を使用するタイミングの詳細については、 Oracle データベースを AlloyDB for PostgreSQL に移行するをご覧ください。
移行ジョブの実行に関連するアカウント
Database Migration Service で実行されるデータ移行には、次の 2 つのアカウントが関与します。
- 移行を実行するユーザー アカウント
- これは、接続プロファイルの作成、バックアップ ファイルの Cloud Storage ストレージへのアップロード、移行ジョブの作成と実行に使用する Google アカウントです。
- Database Migration Service サービス アカウント
- これは、Database Migration Service API を有効にしたときに自動的に作成されるサービス アカウントです。このサービス アカウントに関連付けられたメールアドレスは自動的に生成され、変更できません。このメールアドレスの形式は次のとおりです。
service-PROJECT_NUMBER@gcp-sa-datamigration.iam.gserviceaccount.com
データ移行プロセスに関与する各アカウントには、異なるロールと権限が必要です。
権限とロール
Database Migration Service で異種の Oracle 移行を実行するために必要な権限を取得するには、プロジェクトに必要な IAM ロールを付与するよう管理者に依頼します。
-
データベース移行管理者(
roles/datamigration.admin) -
AlloyDB 管理者(
roles/alloydb.admin)
ロールの付与の詳細については、Identity and Access Management のドキュメントの アクセスを管理するをご覧ください。
これらの事前定義ロールには、Database Migration Service で異種の Oracle 移行を実行するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Database Migration Service で異種の Oracle 移行を実行するには、次の権限が必要です。
datamigration.*alloydb.clusters.createalloydb.clusters.getalloydb.clusters.listalloydb.clusters.updatealloydb.clusters.deletealloydb.instances.createalloydb.instances.getalloydb.instances.listalloydb.instances.updatealloydb.instances.deletealloydb.operations.getalloydb.users.listalloydb.users.getalloydb.users.createalloydb.users.updatealloydb.users.delete
カスタムロールや他の 事前定義ロールを使用して、これらの権限を取得することもできます。