El Servicio de transferencia de Storage usa permisos y roles de gestión de identidades y accesos (IAM) para controlar quién puede acceder a los recursos del Servicio de transferencia de Storage. Los principales tipos de recursos disponibles en el Servicio de transferencia de Storage son las tareas, las operaciones y los grupos de agentes. En la jerarquía de políticas de IAM, las tareas son recursos secundarios de los proyectos y las operaciones son recursos secundarios de las tareas.
Para conceder acceso a un recurso, asigna uno o varios permisos o roles a un usuario, un grupo o una cuenta de servicio.
Permisos
Puedes conceder los siguientes permisos del Servicio de transferencia de Storage:
Transferir permisos de proyecto
| Permiso | Descripción |
|---|---|
storagetransfer.projects.getServiceAccount |
Puede leer la GoogleServiceAccount que usa el servicio de transferencia de Storage para acceder a los segmentos de Cloud Storage. |
Permisos de la tarea de transferencia
En la siguiente tabla se describen los permisos de los trabajos de Servicio de transferencia de Storage:
| Permiso | Descripción |
|---|---|
storagetransfer.jobs.create |
Puede crear tareas de transferencia. |
storagetransfer.jobs.delete |
Puede eliminar las tareas de transferencia que ya tenga. Las tareas de transferencia se eliminan llamando a la función patch. Sin embargo, los usuarios deben tener este permiso al eliminar trabajos de transferencia para evitar errores de permisos. |
storagetransfer.jobs.get |
Puede recuperar tareas específicas. |
storagetransfer.jobs.list |
Puede enumerar todas las tareas de transferencia. |
storagetransfer.jobs.run |
Puede ejecutar todos los trabajos de transferencia. |
storagetransfer.jobs.update |
Puede actualizar las configuraciones de las tareas de transferencia sin eliminarlas. |
Permisos de operaciones de transferencia
En la siguiente tabla se describen los permisos de las operaciones del Servicio de transferencia de Storage:
| Permiso | Descripción |
|---|---|
storagetransfer.operations.assign |
Usado por los agentes de transferencia para asignar operaciones. |
storagetransfer.operations.cancel |
Puede cancelar operaciones de transferencia. |
storagetransfer.operations.get |
Puede obtener los detalles de las operaciones de transferencia. |
storagetransfer.operations.list |
Puede enumerar todas las operaciones de tareas de transferencia. |
storagetransfer.operations.pause |
Puede pausar las operaciones de transferencia. |
storagetransfer.operations.report |
Usada por los agentes de transferencia para informar del estado de la operación. |
storagetransfer.operations.resume |
Puede reanudar las operaciones de transferencia pausadas. |
Transferir permisos de grupos de agentes
En la siguiente tabla se describen los permisos de los grupos de agentes de transferencia del sistema de archivos:
| Permiso | Descripción |
|---|---|
storagetransfer.agentpools.create |
Puede crear grupos de agentes. |
storagetransfer.agentpools.update |
Puede actualizar grupos de agentes. |
storagetransfer.agentpools.delete |
Puede eliminar grupos de agentes. |
storagetransfer.agentpools.get |
Puede obtener información sobre grupos de agentes específicos. |
storagetransfer.agentpools.list |
Puede enumerar información de todos los grupos de agentes del proyecto. |
storagetransfer.agentpools.report |
Usada por los agentes de transferencia para informar del estado. |
Funciones predefinidas
En esta sección se describen los roles predefinidos del Servicio de transferencia de Storage. Los roles son la forma recomendada de definir permisos de gestión de identidades y accesos.
Comparación de roles
Puede asignar el siguiente rol de proyecto o los roles predefinidos del Servicio de transferencia de Storage:
| Competencia | Editor (roles/editor) |
Transferencia de almacenamiento (roles/storagetransfer.)
|
||
|---|---|---|---|---|
Administrador (admin) |
Usuario (user) |
Lector (viewer) |
||
| Mostrar o obtener tareas | ||||
| Crear tareas | ||||
| Ejecutar tareas | ||||
| Actualizar trabajos | ||||
| Eliminar tareas | ||||
| Mostrar u obtener operaciones de transferencia | ||||
| Pausar o reanudar operaciones de transferencia | ||||
| Lee los detalles de la cuenta de servicio de Google que usa el Servicio de transferencia de Storage para acceder a los segmentos de Cloud Storage. | ||||
| Mostrar grupos de agentes | ||||
| Crear grupos de agentes | ||||
| Actualizar grupos de agentes | ||||
| Eliminar grupos de agentes | ||||
| Obtener grupos de agentes | ||||
| Leer o definir el ancho de banda de un proyecto | ||||
Detalles del rol
En la siguiente tabla se describen en detalle los roles predefinidos de Servicio de transferencia de Storage:
| Rol | Descripción | Permisos incluidos |
|---|---|---|
|
Administrador de Storage Transfer ( roles/storagetransfer.)
|
Proporciona todos los permisos del Servicio de transferencia de Storage, incluida la eliminación de trabajos. Motivo: es el rol de nivel más alto con las responsabilidades más amplias. Es el superusuario que ayuda a sus compañeros cuando realizan transferencias. Esta opción es la más adecuada para las personas que van a administrar las transferencias, como los administradores de TI. |
|
|
Usuario de Transferencia de Storage ( roles/storagetransfer.)
|
Proporciona permisos al usuario para crear, obtener, actualizar y enumerar trabajos de transferencia en el proyecto. Sin embargo, no pueden eliminar sus propios trabajos. Motivo: Este rol permite separar la creación y el mantenimiento de tareas de la eliminación de tareas. Este rol es el más adecuado para los usuarios que deben ejecutar transferencias como parte de su trabajo, como un empleado. Este rol no permite que se eliminen las transferencias, de modo que los auditores o el personal de seguridad puedan ver un registro completo de las transferencias anteriores. |
|
|
Lector de Storage Transfer ( roles/storagetransfer.)
|
Proporciona permisos para enumerar y obtener tareas y operaciones de transferencia en el proyecto. El usuario no puede programar, actualizar ni eliminar trabajos. Motivo: El rol de lector está pensado para que los usuarios tengan acceso de solo lectura a las tareas y operaciones de transferencia. Este rol permite separar las tareas de informes y auditorías de la creación y el mantenimiento de tareas. Este rol es el más adecuado para los usuarios o los equipos internos que auditan el uso de las transferencias, como los responsables de seguridad, cumplimiento o unidades de negocio. |
|
Storage Transfer Agent
(roles/storagetransfer.transferAgent)
|
Otorga a los agentes de transferencia los permisos del Servicio de transferencia de Storage necesarios para completar una transferencia. Desde el 1 de mayo del 2024, ya no se necesitan permisos de `pubsub`. Asigna este rol al usuario o a la cuenta de servicio que utilicen los agentes. |
|
Agente del Servicio de transferencia de Storage
(roles/storagetransfer.serviceAgent)
|
Concede al agente de servicio del Servicio de transferencia de Storage los permisos necesarios para crear y modificar temas de Pub/Sub para comunicarse desde Google Cloud con los agentes de transferencia. Asigna este rol al agente de servicio del Servicio de transferencia de Storage. |
|
Roles personalizados
Puedes crear y aplicar roles de gestión de identidades y accesos personalizados para cumplir los requisitos de acceso de tu organización.
Al crear roles personalizados, te recomendamos que uses una combinación de roles predefinidos para asegurarte de que se incluyan los permisos correctos.
La Google Cloud consola no funcionará correctamente si faltan permisos obligatorios en el rol personalizado. Por ejemplo, algunas partes de la Google Cloud consola asumen que un rol tiene acceso de lectura para mostrar un elemento antes de editarlo, por lo que un rol con permisos de escritura únicamente puede encontrarse con pantallas de la Google Cloud consola que no funcionan.