權限與角色

Storage 移轉服務使用身分與存取權管理 (IAM) 權限和角色,控制可以存取 Storage 移轉服務資源的人員。Storage 移轉服務中提供的主要資源類型為工作、作業和代理程式集區。在 IAM 政策階層中,工作為專案的子項資源,而作業是工作的子項資源。

如要授予資源的存取權,請將一或多個權限角色指派給使用者、群組或服務帳戶

權限

您可以授予下列 Storage 移轉服務權限:

轉移專案權限

權限 說明
storagetransfer.projects.getServiceAccount 可以讀取 Storage 移轉服務用來存取 Cloud Storage 值區的 GoogleServiceAccount。

轉移工作權限

下表說明 Storage 移轉服務工作所需的權限:

權限 說明
storagetransfer.jobs.create 可以建立新的轉移工作。
storagetransfer.jobs.delete 可以刪除現有的移轉工作。

藉由呼叫 patch 函式,刪除移轉工作。然而,使用者在刪除工作時必須擁有此權限,才能避免權限錯誤。
storagetransfer.jobs.get 可擷取特定工作。
storagetransfer.jobs.list 可以列出所有移轉工作。
storagetransfer.jobs.run 可執行所有移轉工作。
storagetransfer.jobs.update 可以更新移轉工作設定而不刪除這些設定。

轉移作業權限

下表說明 Storage 移轉服務作業的權限:

權限 說明
storagetransfer.operations.assign 轉移代理程式用來指派作業。
storagetransfer.operations.cancel 可以取消移轉作業。
storagetransfer.operations.get 可以取得移轉作業的詳細資料。
storagetransfer.operations.list 可以列出所有移轉工作作業。
storagetransfer.operations.pause 可以暫停移轉作業。
storagetransfer.operations.report 移轉代理程式用於回報作業狀態。
storagetransfer.operations.resume 可以繼續先前暫停的移轉作業。

轉移代理程式集區權限

下表說明檔案系統轉移代理程式資源池的權限:

權限 說明
storagetransfer.agentpools.create 可以建立代理程式集區。
storagetransfer.agentpools.update 可以更新代理集區。
storagetransfer.agentpools.delete 可刪除服務專員集區。
storagetransfer.agentpools.get 可取得特定服務專員集區的資訊。
storagetransfer.agentpools.list 可列出專案中所有代理程式集區的資訊。
storagetransfer.agentpools.report 轉移代理程式用於回報狀態。

預先定義的角色

本節將說明 Storage 移轉服務的預先定義角色。設定 IAM 權限時,建議使用角色。

角色比較

您可以指派下列專案角色或 Storage 移轉服務預先定義角色:

功能 編輯器 (roles/editor) Storage Transfer (roles/storagetransfer.)
管理員 (admin) 使用者 (user) 檢視者 (viewer)
列出/取得工作
建立工作
執行工作
更新工作
刪除工作
列出/取得移轉作業
暫停/繼續移轉作業
請參閱 Storage 移轉服務所使用的 Google 服務帳戶詳細資料,存取 Cloud Storage 值區。
列出代理程式集區
建立代理程式集區
更新代理程式集區
刪除代理集區
取得代理程式集區
讀取或設定專案頻寬

角色詳細資料

下表將詳細說明 Storage 移轉服務的預先定義角色:

角色 說明 包含的權限
儲存空間轉移管理員
(roles/storagetransfer.
admin
)

提供所有 Storage 移轉服務權限,包括刪除工作。

說明:這是具備最大職權的最高階角色,是支援同事執行移轉作業的超級使用者。此角色最適合負責管理移轉的人員,例如 IT 管理員。

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.*
Storage 移轉使用者
(roles/storagetransfer.
user
)

提供使用者所需權限,以建立、取得、更新和列出專案中的工作。不過,使用者無法刪除自己的工作。

說明:這個角色可區隔建立和維護作業以及刪除工作。這個角色最適合負責執行移轉的使用者,例如員工。此角色不允許刪除移轉,因為稽核人員或安全性人員可以檢視完整保存的歷史移轉記錄。

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.create
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.agentpools.report
  • storagetransfer.agentpools.update
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.run
  • storagetransfer.jobs.update
  • storagetransfer.operations.*
  • storagetransfer.projects.getServiceAccount
Storage Transfer Viewer
(roles/storagetransfer.
viewer
)

提供可列出及取得專案內工作和轉移作業的權限。使用者無法排程、更新或刪除工作。

說明:檢視者的角色專為唯讀存取設立,只可檢視移轉工作和作業。這個角色可區隔報告和稽核工作,以及建立和維護工作。此角色最適合讓使用者或內部小組稽核移轉使用量,例如安全性、法規遵循或業務單位主管。

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.projects.getServiceAccount
儲存空間傳輸代理程式 (roles/storagetransfer.transferAgent)

可授予轉移代理程式完成轉移作業所需的 Storage 移轉服務權限。

自 2024 年 5 月 1 日起,您將不再需要使用 `pubsub` 權限。

將這個角色授予服務帳戶或使用者,以便服務帳戶或使用者使用服務帳戶。

  • monitoring.timeSeries.create
  • storagetransfer.operations.get
  • storagetransfer.operations.report
  • storagetransfer.operations.assign
  • storagetransfer.agentpools.report
  • pubsub.topics.create
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.subscriptions.create
  • pubsub.subscriptions.get
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.consume
  • pubsub.topics.attachSubscription
  • pubsub.topics.publish
Storage 移轉服務代理程式 (roles/storagetransfer.serviceAgent)

授予 Storage 移轉服務服務代理建立及修改 Pub/Sub 主題的必要權限,以便從 Google Cloud 傳輸代理程式通訊。

將這個角色授予 Storage 移轉服務服務代理

  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.get
  • pubsub.topics.publish
  • pubsub.topics.update

自訂角色

您可以建立並套用自訂 IAM 角色,以符合貴機構的存取權需求。

建立自訂角色時,建議您同時使用預先定義的角色,確保能同時納入正確的權限。

如果自訂角色缺乏必要權限, Google Cloud 主控台將無法正常運作。舉例來說, Google Cloud 控制台的某些部分會假設角色具備讀取權限,可在編輯項目前先顯示該項目,因此只有寫入權限的角色可能會遇到 Google Cloud 控制台畫面無法運作的狀況。