I trasferimenti senza agente includono i trasferimenti all'interno di Cloud Storage o da Amazon S3, Azure Blob Storage o Data Lake Storage Gen2 o elenchi di URL di oggetti pubblici. Non richiedono agenti di trasferimento o pool di agenti.
Quando si trasferiscono dati tra cloud provider in un trasferimento senza agente, è necessario concedere le autorizzazioni a due entità:
- L'account di servizio gestito dall'utente o dall'utente che crea o gestisce il trasferimento.
- Un account di servizio gestito da Google che viene creato automaticamente la prima volta che interagisci con Storage Transfer Service.
Inoltre, devi configurare l'accesso ai file di origine su AWS S3, Microsoft Azure o in Cloud Storage.
Per informazioni su come concedere i ruoli IAM, consulta Concessione, modifica e revoca dell'accesso alle risorse.
Il metodo più semplice per concedere le autorizzazioni
L'interfaccia a riga di comando gcloud può essere utilizzata per concedere le autorizzazioni richieste all'account di servizio gestito dall'utente o gestito dall'utente e all'account di servizio gestito da Google.
Queste autorizzazioni consentono all'utente di creare, modificare ed eliminare job di trasferimento e di impostare o modificare i limiti di larghezza di banda.
Se queste autorizzazioni sono troppo ampie per i criteri della tua organizzazione, consulta le sezioni successive di questo documento per conoscere le autorizzazioni minime richieste da Storage Transfer Service.
Per ispezionare le autorizzazioni esistenti e stampare gli eventuali ruoli mancanti, esegui questo comando:
gcloud transfer authorize
Per applicare automaticamente questi ruoli, utilizza il flag --add-missing:
gcloud transfer authorize --add-missing
Per concedere le autorizzazioni a un account di servizio gestito dall'utente, passa il file delle chiavi dell'account di servizio:
gcloud transfer authorize --add-missing --creds-file=path/to/key.json
Per istruzioni sulla creazione di un account di servizio, consulta Creazione e gestione degli account di servizio.
Il comando concede le autorizzazioni seguenti.
All'account di servizio gestito dall'utente o dall'utente:
roles/ownerroles/storagetransfer.adminroles/storagetransfer.transferAgentroles/storage.objectAdminroles/pubsub.editor
All'account di servizio gestito da Google:
roles/storage.adminroles/storagetransfer.serviceAgent
Per istruzioni sull'installazione dell'interfaccia a riga di comando gcloud, consulta la guida rapida di gcloud.
Autorizzazioni per gli account di servizio gestiti dall'utente o dall'utente
Questa sezione illustra i ruoli richiesti per gli account che gestiscono ed eseguono trasferimenti. I requisiti della tua organizzazione determineranno i ruoli esatti per ogni utente tipo; questa sezione presuppone la creazione di un amministratore e di un utente.
Account amministratore
Gli account amministratore di Storage Transfer Service impostano limiti di utilizzo della larghezza di banda ed eliminano i job di trasferimento.
Per configurare un account amministratore, assegna le autorizzazioni e i ruoli IAM seguenti:
| Ruolo / autorizzazione | Funzione | Note |
|---|---|---|
resourcemanager.projects.getIamPolicy |
Questa autorizzazione viene utilizzata per confermare che l'account di servizio gestito da Google disponga delle autorizzazioni necessarie per un trasferimento. | Per concedere questa autorizzazione, concedi il ruolo predefinito Visualizzatore ruoli (roles/iam.roleViewer) oppure crea un ruolo personalizzato con questa singola autorizzazione e concedi il ruolo personalizzato. |
Amministratore Storage Transfer
(roles/storagetransfer.admin)
|
Abilita le azioni amministrative nel progetto di trasferimento, come la configurazione del progetto. | Per un elenco dettagliato delle autorizzazioni concesse, consulta Ruoli predefiniti di Storage Transfer Service. |
Account utente
Gli account utente di Storage Transfer Service vengono utilizzati per creare ed eseguire trasferimenti. In genere questi account non hanno accesso per eliminare i job di trasferimento.
Un account utente può essere un utente della console Google Cloud o un account di servizio. Se utilizzi un account di servizio, il metodo impiegato per passare le credenziali a Storage Transfer Service varia a seconda dell'interfaccia che utilizzi.
Per configurare un account utente, assegna le autorizzazioni e i ruoli seguenti all'account:
| Ruolo / autorizzazione | Funzione | Note |
|---|---|---|
resourcemanager.projects.getIamPolicy |
Utilizzato per confermare che l'account di servizio gestito da Google disponga delle autorizzazioni Pub/Sub necessarie per un trasferimento. | Per concedere questa autorizzazione, concedi il ruolo predefinito Visualizzatore ruoli (roles/iam.roleViewer) oppure crea un ruolo personalizzato con questa singola autorizzazione e concedi il ruolo personalizzato. |
Utente Storage Transfer
(roles/storagetransfer.user)
|
Consente all'utente di creare, recuperare, aggiornare ed elencare i trasferimenti. | Per un elenco dettagliato delle autorizzazioni concesse, consulta Ruoli predefiniti di Storage Transfer Service. |
Autorizzazioni per gli account di servizio gestiti da Google
Storage Transfer Service utilizza un account di servizio gestito da Google per spostare i tuoi dati. Questo account di servizio viene creato automaticamente la prima volta che crei un job di trasferimento, chiami googleServiceAccounts.get o visiti la pagina di creazione del job nella console Google Cloud.
Il formato dell'account di servizio è in genere project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com.
Per recuperare l'identificatore dell'account di servizio, utilizza la chiamata API
googleServiceAccounts.get.
Assegnazione automatica dei ruoli
Esistono due modi per assegnare automaticamente i ruoli corretti all'account di servizio gestito da Google:
Crea il trasferimento utilizzando la console Google Cloud. La console applica automaticamente le autorizzazioni richieste.
Usa
gcloud transfer authorize --add-missing. Vedi Il metodo più semplice per concedere le autorizzazioni.
Assegnazione manuale dei ruoli
Per consentire all'account di servizio gestito da Google di accedere alle risorse necessarie per completare i trasferimenti, assegna i ruoli seguenti o autorizzazioni equivalenti all'account di servizio.
| Ruolo / autorizzazione | Funzione | Note |
|---|---|---|
Writer bucket legacy di archiviazione
(roles/storage.legacyBucketWriter)
|
Abilita Storage Transfer Service per leggere i metadati del bucket, elencare gli oggetti nel bucket e scrivere oggetti nel bucket di destinazione. | Concessione nel bucket di destinazione Cloud Storage. |
Visualizzatore oggetti Storage (roles/storage.objectViewer)
|
Abilita Storage Transfer Service per determinare se un file è già stato trasferito da o verso Cloud Storage. | Concedi la concessione per il bucket di origine Cloud Storage se stai eseguendo il trasferimento da Cloud Storage. Se opportuno, puoi concedere il ruolo a livello di progetto al progetto da cui è in esecuzione Storage Transfer Service. |
Lettore bucket legacy di archiviazione
(roles/storage.legacyBucketReader)
|
Abilita Storage Transfer Service per leggere i metadati del bucket Cloud Storage. |
Concedi la concessione per il bucket di origine Cloud Storage se stai eseguendo il trasferimento da Cloud Storage. I ruoli |
Per istruzioni, vedi Concedere le autorizzazioni richieste.
Trasferimenti di Cloud Storage tra progetti
Per trasferire oggetti tra bucket Cloud Storage in progetti diversi, devi concedere l'autorizzazione a un singolo account di servizio gestito da Google sia nel bucket di origine sia in quello di destinazione. L'account di servizio gestito da Google appartiene al progetto da cui stai creando il trasferimento.
L'account di servizio gestito dall'utente o dall'utente richiede solo le autorizzazioni per il progetto che crea il trasferimento.
Per ottenere l'indirizzo email dell'account di servizio gestito da Google, consulta Trovare l'email dell'agente di servizio.
Nel bucket di origine, concedi i seguenti ruoli a livello di bucket all'account di servizio gestito da Google:
Storage Legacy Bucket ReaderStorage Object Viewer
Nel bucket di destinazione, concedi il seguente ruolo a livello di bucket allo stesso account di servizio gestito da Google:
Storage Legacy Bucket Writer
Per istruzioni sulla concessione dei ruoli a livello di bucket, consulta le seguenti pagine:
Limitazioni dell'organizzazione
Se la tua organizzazione ha applicato vincoli dei criteri dell'organizzazione, ad esempio limitazioni di dominio (constraints/iam.allowedPolicyMemberDomains) o disattivazione del collegamento degli account di servizio alle risorse in altri progetti (constraints/iam.disableCrossProjectServiceAccountUsage), questi vincoli devono essere aggiornati prima che i trasferimenti tra progetti possano avere esito positivo.
Potrebbe anche essere necessario aggiornare le impostazioni dei controlli di servizio VPC per supportare i trasferimenti tra progetti. Consulta Configurare i Controlli di servizio VPC per i trasferimenti dello spazio di archiviazione di oggetti Cloud.
Autorizzazioni AWS e Microsoft
Devi anche configurare l'accesso ai file di origine se si trovano in AWS S3 o Archiviazione di Microsoft Azure. I seguenti documenti descrivono in dettaglio i passaggi richiesti: