Zugriff auf Datenquellen und -senken konfigurieren

Auf dieser Seite wird erläutert, wie Sie den Zugriff auf die Datenquelle und die Datensenke für eine Datenübertragung mit Storage Transfer Service einrichten.

Voraussetzungen

Dienstkontoberechtigungen werden auf Bucket-Ebene erteilt. Sie müssen die Möglichkeit haben, diese Berechtigungen Ihrem Dienstkonto zu erteilen:

  • roles/storage.legacyBucketReader für Quell- und Ziel-Buckets
  • roles/storage.objectAdmin für Ziel-Buckets oder möglicherweise die Quelle, wenn Sie die Quelldateien löschen möchten
  • roles/storage.objectViewer in der Quelle, wenn Sie die Quelldateien nicht löschen möchten

Zugriff auf die Datenquelle einrichten

Google Cloud Storage

Wenn Sie den Zugriff auf eine Cloud Storage-Datenquelle einrichten, müssen Sie dem mit Storage Transfer Service verknüpften Dienstkonto die Berechtigung für den Zugriff auf die Quelle erteilen:

  1. Rufen Sie die für das Dienstkonto verwendete E-Mail-Adresse ab.

    1. Verwenden Sie den Abschnitt API testen auf der Seite "googleServiceAccounts.get-Methode".

    2. Geben Sie im Feld projectID die ID des Projekts ein, in dem der Übertragungsjob erstellt wird.

    3. Klicken Sie auf die Schaltfläche Ausführen.

    4. Suchen Sie in der angezeigten Antwort nach dem Wert für accountEmail und kopieren Sie ihn.

      Das Format des E-Mail-Werts sieht so aus: project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com

  2. Weisen Sie dieser Dienstkonto-E-Mail die erforderlichen Rollen für den Zugriff auf die Daten zu.

    Bei grundlegenden Übertragungsjobs erhält das Dienstkonto die erforderlichen Berechtigungen über die Storage-Objekt-Betrachter-Rolle. Informationen zu erweiterten Datenübertragungen finden Sie unter IAM-Berechtigungen für den Storage Transfer Service.

    Eine Schritt-für-Schritt-Anleitung für das Zuweisen von Rollen für Buckets finden Sie unter Mitglieder zu einer Richtlinie auf Bucket-Ebene hinzufügen.

Amazon S3

So richten Sie den Zugriff auf einen Amazon S3-Bucket ein:

  1. Erstellen Sie einen AWS IAM-Nutzer (AWS Identity and Access Management) mit einem Namen, den Sie leicht wiedererkennen, z. B. transfer-user. Beachten Sie bei der Wahl des Namens die IAM-Richtlinien für Nutzernamen (siehe Einschränkungen für IAM-Entitäten und -Objekte).

  2. Weisen Sie dem AWS IAM-Nutzer folgende Berechtigungen zu:

    • Auflisten des Amazon S3-Buckets
    • Abrufen des Bucket-Standorts
    • Lesen der Objekte im Bucket
    • (Optional) Löschen der Objekte aus der Quelle nach der Datenübertragung. Hierfür benötigen Sie Berechtigungen zum Löschen von Objekten.
  3. Erstellen Sie für den Übertragungsjob, den Sie einrichten möchten, mindestens ein Schlüsselpaar (Zugriffsschlüssel/geheimer Schlüssel). Sie können auch für jede Übertragung ein eigenes Schlüsselpaar (Zugriffsschlüssel/geheimer Schlüssel) erstellen.

  4. Stellen Sie alle Objekte wieder her, die in Amazon Glacier archiviert wurden. Objekte in Amazon S3, die in Amazon Glacier archiviert werden, sind erst wieder verfügbar, wenn sie wiederhergestellt wurden. Weitere Informationen finden Sie im Whitepaper Migrating to Cloud Storage From Amazon Glacier (Von Amazon Glacier zu Cloud Storage migrieren).

URL-Liste

Wenn Sie eine URL-Liste als Datenquelle verwenden, muss jedes Objekt in der URL-Liste öffentlich zugänglich sein.

Zugriff auf die Datensenke einrichten

Die Datensenke für eine Datenübertragung ist immer ein Cloud Storage-Bucket. Wenn Sie einen Bucket als Datensenke verwenden möchten, müssen Sie dem mit Storage Transfer Service verknüpften Dienstkonto die Berechtigung erteilen, auf die Senke zuzugreifen:

  1. Rufen Sie die für das Dienstkonto verwendete E-Mail-Adresse ab.

    1. Verwenden Sie den Abschnitt API testen auf der Seite "googleServiceAccounts.get-Methode".

    2. Geben Sie im Feld projectID die ID des Projekts ein, in dem der Übertragungsjob erstellt wird.

    3. Klicken Sie auf die Schaltfläche Ausführen.

    4. Suchen Sie in der angezeigten Antwort nach dem Wert für accountEmail und kopieren Sie diesen.

      Das Format des E-Mail-Werts sieht so aus: project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com

  2. Weisen Sie dieser Dienstkonto-E-Mail die erforderlichen Rollen zur Nutzung der Datensenke zu.

    Das Dienstkonto erhält alle erforderlichen Berechtigungen über die Storage Legacy Bucket Writer-Rolle. Weitere Informationen zu erforderlichen Berechtigungen finden Sie unter IAM-Berechtigungen für Storage Transfer Service.

    Eine Schritt-für-Schritt-Anleitung für das Zuweisen von Rollen für Buckets finden Sie unter Mitglieder zu einer Richtlinie auf Bucket-Ebene hinzufügen.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zum Cloud Storage Transfer Service