IAM によるアクセス制御

プロジェクト内または組織内のユーザーのアクセスを制限するには、Database Migration Service と関連する宛先データベース プロダクトの Identity and Access Management(IAM)ロールを使用します。 Google Cloud プロジェクト全体に対する閲覧者、編集者、オーナーのロールを付与するのではなく、Database Migration Service 関連リソースへのアクセスのみを制御できます。

このページでは、Database Migration Service を使用した異種 Cloud SQL 移行中にユーザー アカウントとサービス アカウントに必要なすべてのロールについて詳しく説明します。移行プロセスでこれらの権限を使用するタイミングの詳細については、 Oracle データベースを Cloud SQL for PostgreSQL に移行するをご覧ください。

移行ジョブの実行に関与するアカウント

Database Migration Service で実行されるデータ移行には、次の 2 つのアカウントが関与します。

移行を実行するユーザー アカウント
これは、接続プロファイルの作成、Cloud Storage へのバックアップ ファイルのアップロード、移行ジョブの作成と実行に使用する Google アカウントです。
Database Migration Service サービス アカウント
これは、Database Migration Service API を有効にしたときに自動的に作成されるサービス アカウントです。このアカウントに関連付けられたメールアドレスは自動的に生成され、変更できません。このメールアドレスの形式は次のとおりです。
service-PROJECT_NUMBER@gcp-sa-datamigration.iam.gserviceaccount.com

データ移行プロセスに関与する各アカウントには、異なるロールと権限のセットが必要です。

権限とロール

Database Migration Service で異種 Oracle 移行を実行するために必要な権限を取得するには、プロジェクトに必要な IAM ロールを付与するよう管理者に依頼してください。

ロールの付与の詳細については、Identity and Access Management のドキュメントの アクセスを管理するをご覧ください。

これらの事前定義ロールには、Database Migration Service を使用して異種 Oracle 移行を実行するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

Database Migration Service を使用して異種 Oracle 移行を行うには、次の権限が必要です。

  • datamigration.*

  • cloudaicompanion.entitlements.get

    この権限は、roles/datamigration.admin ロールに含まれています。 Gemini を活用したコンバージョン機能で必要です。

  • cloudsql.instances.create
  • cloudsql.instances.get
  • cloudsql.instances.list
  • cloudsql.instances.update
  • cloudsql.instances.delete
  • cloudsql.operations.get
  • cloudsql.users.list
  • cloudsql.users.get
  • cloudsql.users.create
  • cloudsql.users.update
  • cloudsql.users.delete

カスタムロールや他の 事前定義ロールを使用して、これらの権限を取得することもできます。