如需限制项目或组织内用户的访问权限,您可以为 Database Migration Service(适用于 Oracle 到 AlloyDB for PostgreSQL)和相关目标数据库产品使用 Identity and Access Management (IAM) 角色。您可以控制对 Database Migration Service(适用于 Oracle 到 AlloyDB for PostgreSQL)相关资源的访问权限,而不是向用户授予整个 Google Cloud 项目的 Viewer、Editor 或 Owner 角色。
本页重点介绍了在使用 Database Migration Service 进行异构 AlloyDB for PostgreSQL 迁移期间,用户账号和服务账号需要的所有角色。如需详细了解您在迁移过程中何时使用这些权限,请参阅 将 Oracle 数据库迁移到 AlloyDB for PostgreSQL。
执行迁移作业所涉及的账号
使用 Database Migration Service 执行的数据迁移涉及两个账号:
- 执行迁移的用户账号
- 这是您用于登录的 Google 账号,您可以使用该账号创建连接配置文件、将备份文件上传到 Cloud Storage 存储空间,以及创建和运行迁移作业。
- Database Migration Service 服务账号
- 这是在启用 Database Migration Service API 时,系统为您创建的服务账号。与此账号关联的电子邮件地址是自动生成的,无法更改。此电子邮件地址采用以下格式:
service-PROJECT_NUMBER@datamigration.iam.gserviceaccount.com
参与数据迁移流程的每个账号都需要一组不同的角色和权限。
权限和角色
如需获得使用数据库迁移服务执行异构 Oracle 迁移所需的权限,请让管理员向您授予项目的以下所需 IAM 角色:
-
Database Migration Admin (
roles/datamigration.admin) -
AlloyDB Admin (
roles/alloydb.admin)
如需详细了解如何授予角色,请参阅 Identity and Access Management 文档中的 管理访问权限。
这些预定义角色包含使用数据库迁移服务执行异构 Oracle 迁移所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需使用 Database Migration Service 执行异构 Oracle 迁移,您需要拥有以下权限:
datamigration.*alloydb.clusters.createalloydb.clusters.getalloydb.clusters.listalloydb.clusters.updatealloydb.clusters.deletealloydb.instances.createalloydb.instances.getalloydb.instances.listalloydb.instances.updatealloydb.instances.deletealloydb.operations.getalloydb.users.listalloydb.users.getalloydb.users.createalloydb.users.updatealloydb.users.delete