Trasferisci le cartelle gestite di Cloud Storage

Le cartelle gestite di Cloud Storage forniscono un controllo granulare dell'accesso agli oggetti nei bucket Cloud Storage. Le autorizzazioni possono essere impostate a livello di cartella all'interno di bucket che utilizzano l'accesso universale a livello di bucket. Quando trasferisci oggetti tra bucket Cloud Storage con Storage Transfer Service, queste autorizzazioni delle cartelle gestite possono essere conservate.

Limitazioni

Ai trasferimenti delle cartelle gestite si applicano le seguenti limitazioni:

• Il bucket di destinazione deve utilizzare l'accesso uniforme a livello di bucket.
• I trasferimenti di cartelle gestite non supportano le opzioni deleteObjectsUniqueInSink o deleteObjectsFromSourceAfterTransfer.
• Non devono essere presenti condizioni IAM nel bucket di destinazione o nel relativo progetto che utilizzano il tipo di risorsa bucket (storage.googleapis.com/Bucket) o il tipo di risorsa oggetto (storage.googleapis.com/Object). Se un bucket all'interno di un progetto ha una condizione IAM che utilizza uno di questi tipi di risorse, le cartelle gestite non possono essere trasferite a nessuno dei bucket all'interno di quel progetto, anche se la condizione viene rimossa in un secondo momento.
• I trasferimenti basati su eventi non sono supportati.
• I trasferimenti di manifest non sono supportati.

Autorizzazioni IAM

Le seguenti autorizzazioni IAM (Gestione di identità e accessi) di Google Cloud sono richieste dall'account di servizio gestito da Google.

Sia per l'origine che per la destinazione, le autorizzazioni possono essere impostate a livello di bucket o possono essere impostate sulla cartella gestita. Per impostare le autorizzazioni in una cartella gestita di destinazione, la cartella deve già esistere.

Sconsigliamo di impostare le autorizzazioni delle cartelle gestite a livello di progetto. Per ulteriori informazioni, consulta la sezione Considerazioni sulla sicurezza.

Nel bucket di origine o nella cartella gestita:

• storage.managedFolders.getIamPolicy
• storage.managedFolders.list
• storage.managedFolders.get

Nel bucket o nella cartella gestita di destinazione:

• storage.managedFolders.setIamPolicy
• storage.managedFolders.list
• storage.managedFolders.create

Oltre alle autorizzazioni standard richieste da Storage Transfer Service:

• Configurare l'accesso a una sorgente: Cloud Storage
• Configurare l'accesso a un sink: Cloud Storage

Per concedere le autorizzazioni per le cartelle gestite richieste, crea un ruolo personalizzato con solo le autorizzazioni richieste.

Creare un trasferimento di cartelle gestite

Per creare un trasferimento contenente una cartella gestita, specifica managedFolderTransferEnabled: true in transferSpec. Se vuoi, puoi specificare un valore path per trasferire solo una cartella gestita specifica.

POST https://storagetransfer.googleapis.com/v1/transferJobs
{
  "name": "transferjobs/NAME",
  "projectId": "PROJECT_ID",
  "transferSpec": {
    "gcsDataSource": {
      "bucketName": "SOURCE_BUCKET",
      "path": "SOURCE_PATH",
      "managedFolderTransferEnabled": true
    },
    "gcsDataSink": {
      "bucketName": "DESTINATION_BUCKET",
      "path": "DESTINATION_PATH",
    }
  },
  "status": "ENABLED"
}

Se le autorizzazioni di trasferimento gestite corrette non sono impostate nell'origine e nella destinazione, il trasferimento non va a buon fine.

Per informazioni dettagliate sulla creazione di un trasferimento utilizzando l'API REST, consulta Creare trasferimenti o consulta la documentazione di riferimento di transferJobs.create.

Considerazioni sulla sicurezza

La concessione delle autorizzazioni per le cartelle gestite a un account di servizio gestito da Google consente all'account di modificare i criteri IAM nelle cartelle di destinazione o in tutte le cartelle se il ruolo viene concesso a livello di progetto. Ciò rappresenta un rischio per la sicurezza: un utente con autorizzazioni di modifica del job potrebbe sfruttare questa situazione per concedere privilegi a un attore malintenzionato. Per ridurre questo rischio, ti consigliamo di isolare i trasferimenti delle cartelle gestite all'interno di un progetto Google Cloud dedicato.

Cloud Logging

Le azioni relative alle cartelle gestite vengono registrate da Cloud Logging. Per maggiori dettagli, consulta Cloud Logging per Storage Transfer Service.

Risoluzione dei problemi

Per assistenza nella creazione e nella gestione delle cartelle gestite, consulta la pagina Risoluzione dei problemi.