如需限制项目或组织内用户的访问权限,您可以为数据库迁移服务和相关目标数据库产品使用 Identity and Access Management (IAM) 角色。您可以控制对 Database Migration Service 相关资源的访问权限,而不是向用户授予整个 Google Cloud 项目的 Viewer、Editor 或 Owner 角色。
本页将重点介绍在使用 Database Migration Service 进行异构 Cloud SQL 迁移期间,用户账号和服务账号需要的所有角色。如需详细了解在迁移过程中何时使用这些权限,请参阅 将 Oracle 数据库迁移到 Cloud SQL for PostgreSQL。
执行迁移作业所涉及的账号
使用 Database Migration Service 执行的数据迁移涉及两个账号:
- 执行迁移的用户账号
- 这是您用于创建连接配置文件、将备份文件上传到 Cloud Storage、创建和运行迁移作业的 Google 账号。
- Database Migration Service 服务账号
- 这是在启用 Database Migration Service API 时,系统为您创建的服务账号。与此账号关联的电子邮件地址是自动生成的,无法更改。此电子邮件地址采用以下格式:
service-PROJECT_NUMBER@datamigration.iam.gserviceaccount.com
参与数据迁移流程的每个账号都需要一组不同的角色和权限。
权限和角色
如需获得使用数据库迁移服务执行异构 Oracle 迁移所需的权限,请让管理员向您授予项目的以下所需 IAM 角色:
-
Database Migration Admin (
roles/datamigration.admin) -
Cloud SQL Admin (
roles/cloudsql.admin)
如需详细了解如何授予角色,请参阅 Identity and Access Management 文档中的 管理访问权限。
这些预定义角色包含使用数据库迁移服务执行异构 Oracle 迁移所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需使用 Database Migration Service 执行异构 Oracle 迁移,您需要拥有以下权限:
datamigration.*cloudsql.instances.createcloudsql.instances.getcloudsql.instances.listcloudsql.instances.updatecloudsql.instances.deletecloudsql.operations.getcloudsql.users.listcloudsql.users.getcloudsql.users.createcloudsql.users.updatecloudsql.users.delete