Storage 移轉服務使用身分與存取權管理 (IAM) 權限和角色,控制可以存取 Storage 移轉服務資源的人員。Storage 移轉服務中提供的主要資源類型為工作、作業和代理程式集區。在 IAM 政策階層中,工作為專案的子項資源,而作業是工作的子項資源。
如要授予資源的存取權,請將一或多個權限或角色指派給使用者、群組或服務帳戶。
權限
您可以授予下列 Storage 移轉服務權限:
轉移專案權限
| 權限 | 說明 |
|---|---|
storagetransfer.projects.getServiceAccount |
可以讀取 Storage 移轉服務用來存取 Cloud Storage 值區的 GoogleServiceAccount。 |
轉移工作權限
下表說明 Storage 移轉服務工作所需的權限:
| 權限 | 說明 |
|---|---|
storagetransfer.jobs.create |
可以建立新的轉移工作。 |
storagetransfer.jobs.delete |
可以刪除現有的移轉工作。 藉由呼叫 patch 函式,刪除移轉工作。然而,使用者在刪除工作時必須擁有此權限,才能避免權限錯誤。 |
storagetransfer.jobs.get |
可擷取特定工作。 |
storagetransfer.jobs.list |
可以列出所有移轉工作。 |
storagetransfer.jobs.run |
可執行所有移轉工作。 |
storagetransfer.jobs.update |
可以更新移轉工作設定而不刪除這些設定。 |
轉移作業權限
下表說明 Storage 移轉服務作業的權限:
| 權限 | 說明 |
|---|---|
storagetransfer.operations.assign |
轉移代理程式用來指派作業。 |
storagetransfer.operations.cancel |
可以取消移轉作業。 |
storagetransfer.operations.get |
可以取得移轉作業的詳細資料。 |
storagetransfer.operations.list |
可以列出所有移轉工作作業。 |
storagetransfer.operations.pause |
可以暫停移轉作業。 |
storagetransfer.operations.report |
移轉代理程式用於回報作業狀態。 |
storagetransfer.operations.resume |
可以繼續先前暫停的移轉作業。 |
轉移代理程式集區權限
下表說明檔案系統轉移代理程式資源池的權限:
| 權限 | 說明 |
|---|---|
storagetransfer.agentpools.create |
可以建立代理程式集區。 |
storagetransfer.agentpools.update |
可以更新代理集區。 |
storagetransfer.agentpools.delete |
可刪除服務專員集區。 |
storagetransfer.agentpools.get |
可取得特定服務專員集區的資訊。 |
storagetransfer.agentpools.list |
可列出專案中所有代理程式集區的資訊。 |
storagetransfer.agentpools.report |
轉移代理程式用於回報狀態。 |
預先定義的角色
本節將說明 Storage 移轉服務的預先定義角色。設定 IAM 權限時,建議使用角色。
角色比較
您可以指派下列專案角色或 Storage 移轉服務預先定義角色:
| 功能 | 編輯器 (roles/editor) |
Storage Transfer (roles/storagetransfer.)
|
||
|---|---|---|---|---|
管理員 (admin) |
使用者 (user) |
檢視者 (viewer) |
||
| 列出/取得工作 | ||||
| 建立工作 | ||||
| 執行工作 | ||||
| 更新工作 | ||||
| 刪除工作 | ||||
| 列出/取得移轉作業 | ||||
| 暫停/繼續移轉作業 | ||||
| 請參閱 Storage 移轉服務所使用的 Google 服務帳戶詳細資料,存取 Cloud Storage 值區。 | ||||
| 列出代理程式集區 | ||||
| 建立代理程式集區 | ||||
| 更新代理程式集區 | ||||
| 刪除代理集區 | ||||
| 取得代理程式集區 | ||||
| 讀取或設定專案頻寬 | ||||
角色詳細資料
下表將詳細說明 Storage 移轉服務的預先定義角色:
| 角色 | 說明 | 包含的權限 |
|---|---|---|
|
儲存空間轉移管理員 ( roles/storagetransfer.)
|
提供所有 Storage 移轉服務權限,包括刪除工作。 說明:這是具備最大職權的最高階角色,是支援同事執行移轉作業的超級使用者。此角色最適合負責管理移轉的人員,例如 IT 管理員。 |
|
|
Storage 移轉使用者 ( roles/storagetransfer.)
|
提供使用者所需權限,以建立、取得、更新和列出專案中的工作。不過,使用者無法刪除自己的工作。 說明:這個角色可區隔建立和維護作業以及刪除工作。這個角色最適合負責執行移轉的使用者,例如員工。此角色不允許刪除移轉,因為稽核人員或安全性人員可以檢視完整保存的歷史移轉記錄。 |
|
|
Storage Transfer Viewer ( roles/storagetransfer.)
|
提供可列出及取得專案內工作和轉移作業的權限。使用者無法排程、更新或刪除工作。 說明:檢視者的角色專為唯讀存取設立,只可檢視移轉工作和作業。這個角色可區隔報告和稽核工作,以及建立和維護工作。此角色最適合讓使用者或內部小組稽核移轉使用量,例如安全性、法規遵循或業務單位主管。 |
|
儲存空間傳輸代理程式 (roles/storagetransfer.transferAgent)
|
可授予轉移代理程式完成轉移作業所需的 Storage 移轉服務權限。 自 2024 年 5 月 1 日起,您將不再需要使用 `pubsub` 權限。 將這個角色授予服務帳戶或使用者,以便服務帳戶或使用者使用服務帳戶。 |
|
Storage 移轉服務代理程式 (roles/storagetransfer.serviceAgent)
|
授予 Storage 移轉服務服務代理建立及修改 Pub/Sub 主題的必要權限,以便從 Google Cloud 傳輸代理程式通訊。 將這個角色授予 Storage 移轉服務服務代理。 |
|
自訂角色
您可以建立並套用自訂 IAM 角色,以符合貴機構的存取權需求。
建立自訂角色時,建議您同時使用預先定義的角色,確保能同時納入正確的權限。
如果自訂角色缺乏必要權限, Google Cloud 主控台將無法正常運作。舉例來說, Google Cloud 控制台的某些部分會假設角色具備讀取權限,可在編輯項目前先顯示該項目,因此只有寫入權限的角色可能會遇到 Google Cloud 控制台畫面無法運作的狀況。