Verwaltete Cloud Storage-Ordner übertragen

Verwaltete Cloud Storage-Ordner bieten eine differenzierte Zugriffssteuerung auf Objekte in Cloud Storage-Buckets speichern. Berechtigungen können in Buckets, für die der universelle Zugriff auf Bucket-Ebene verwendet wird, auf Ordnerebene festgelegt werden. Beim Übertragen von Objekten zwischen Cloud Storage-Buckets mit Storage Transfer Service verwenden, können diese Berechtigungen für verwaltete Ordner beibehalten werden.

Beschränkungen

Für die Übertragung von verwalteten Ordnern gelten die folgenden Einschränkungen:

  • Sie müssen die REST API verwenden, um die Übertragung zu erstellen.
  • Für den Ziel-Bucket muss einheitlicher Zugriff auf Bucket-Ebene verwendet werden.
  • Bei der Übertragung verwalteter Ordner werden die Optionen deleteObjectsUniqueInSink oder deleteObjectsFromSourceAfterTransfer nicht unterstützt.
  • Für den Ziel-Bucket oder sein Projekt dürfen keine IAM-Bedingungen vorhanden sein, die den Ressourcentyp Bucket (storage.googleapis.com/Bucket) oder den Ressourcentyp Objekt (storage.googleapis.com/Object) verwenden. Wenn ein Bucket in einem Projekt eine IAM-Bedingung mit einem dieser Ressourcentypen hat, können verwaltete Ordner nicht in einen der Bucket dieses Projekts übertragen werden, auch wenn die Bedingung später entfernt wird.
  • Ereignisgesteuerte Übertragungen werden nicht unterstützt.
  • Manifestübertragungen werden nicht unterstützt.
  • Vorgänge von verwalteten Ordnern werden von Cloud Logging nicht protokolliert. Das Logging von Objekten wird unterstützt.

IAM-Berechtigungen

Die folgende Google Cloud Identity and Access Management (IAM) Berechtigungen sind für das von Google verwaltete Dienstkonto erforderlich.

Im Quell-Bucket:

  • storage.managedFolders.getIamPolicy
  • storage.managedFolders.list
  • storage.managedFolders.get

Für den Ziel-Bucket:

  • storage.managedFolders.setIamPolicy
  • storage.managedFolders.list
  • storage.managedFolders.create

Diese gelten zusätzlich zu den für Storage Transfer Service erforderlichen Standardberechtigungen:

So gewähren Sie die erforderlichen Berechtigungen für verwaltete Ordner: Erstellen Sie eine benutzerdefinierte Rolle mit nur den die erforderlichen Berechtigungen und weisen sie dem von Google verwalteten Dienstkonto zu, entweder auf Bucket-Ebene (empfohlen) oder auf Projektebene. Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Sicherheitsaspekte.

Übertragung verwalteter Ordner erstellen

Wenn Sie eine Übertragung mit einem verwalteten Ordner erstellen möchten, geben Sie managedFolderTransferEnabled: true in Ihrer transferSpec an:

POST https://storagetransfer.googleapis.com/v1/transferJobs
{
  "name": "transferjobs/NAME",
  "projectId": "PROJECT_ID",
  "transferSpec": {
    "gcsDataSource": {
      "bucketName": "SOURCE_BUCKET",
      "managedFolderTransferEnabled": true
    },
    "gcsDataSink": {
      "bucketName": "DESTINATION_BUCKET"
    }
  },
  "status": "ENABLED"
}

Siehe Übertragungen erstellen Details zum Erstellen einer Übertragung mit der REST API oder im Referenz zu transferJobs.create

Sicherheitsaspekte

Wenn Sie einem von Google verwalteten Dienstkonto Berechtigungen für verwaltete Ordner gewähren, das Konto, um IAM-Richtlinien für Zielordner oder alle Ordner zu ändern Die Rolle wird auf Projektebene gewährt. Dies stellt ein Sicherheitsrisiko dar: kann ein Nutzer mit Berechtigungen zur Bearbeitung von Jobs dies ausnutzen, um einem böswilligen Akteur. Um dieses Risiko zu mindern, sollten Sie die Übertragungen verwalteter Ordner in einem speziellen Google Cloud-Projekt isolieren.

Fehlerbehebung

Informationen zum Erstellen und Verwalten verwalteter Ordner finden Sie in der Seite Fehlerbehebung.