Verwaltete Cloud Storage-Ordner bieten eine differenzierte Zugriffssteuerung auf Objekte in Cloud Storage-Buckets speichern. Berechtigungen können in Buckets, für die der universelle Zugriff auf Bucket-Ebene verwendet wird, auf Ordnerebene festgelegt werden. Beim Übertragen von Objekten zwischen Cloud Storage-Buckets mit Storage Transfer Service verwenden, können diese Berechtigungen für verwaltete Ordner beibehalten werden.
Beschränkungen
Für die Übertragung von verwalteten Ordnern gelten die folgenden Einschränkungen:
- Sie müssen die REST API verwenden, um die Übertragung zu erstellen.
- Für den Ziel-Bucket muss einheitlicher Zugriff auf Bucket-Ebene verwendet werden.
- Bei der Übertragung verwalteter Ordner werden die Optionen
deleteObjectsUniqueInSink
oderdeleteObjectsFromSourceAfterTransfer
nicht unterstützt. - Für den Ziel-Bucket oder sein Projekt dürfen keine IAM-Bedingungen vorhanden sein, die den Ressourcentyp Bucket (
storage.googleapis.com/Bucket
) oder den Ressourcentyp Objekt (storage.googleapis.com/Object
) verwenden. Wenn ein Bucket in einem Projekt eine IAM-Bedingung mit einem dieser Ressourcentypen hat, können verwaltete Ordner nicht in einen der Bucket dieses Projekts übertragen werden, auch wenn die Bedingung später entfernt wird. - Ereignisgesteuerte Übertragungen werden nicht unterstützt.
- Manifestübertragungen werden nicht unterstützt.
- Vorgänge von verwalteten Ordnern werden von Cloud Logging nicht protokolliert. Das Logging von Objekten wird unterstützt.
IAM-Berechtigungen
Die folgende Google Cloud Identity and Access Management (IAM) Berechtigungen sind für das von Google verwaltete Dienstkonto erforderlich.
Im Quell-Bucket:
storage.managedFolders.getIamPolicy
storage.managedFolders.list
storage.managedFolders.get
Für den Ziel-Bucket:
storage.managedFolders.setIamPolicy
storage.managedFolders.list
storage.managedFolders.create
Diese gelten zusätzlich zu den für Storage Transfer Service erforderlichen Standardberechtigungen:
- Zugriff auf eine Quelle konfigurieren: Cloud Storage
- Zugriff auf eine Senke konfigurieren: Cloud Storage
So gewähren Sie die erforderlichen Berechtigungen für verwaltete Ordner: Erstellen Sie eine benutzerdefinierte Rolle mit nur den die erforderlichen Berechtigungen und weisen sie dem von Google verwalteten Dienstkonto zu, entweder auf Bucket-Ebene (empfohlen) oder auf Projektebene. Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Sicherheitsaspekte.
Übertragung verwalteter Ordner erstellen
Wenn Sie eine Übertragung mit einem verwalteten Ordner erstellen möchten, geben Sie managedFolderTransferEnabled: true
in Ihrer transferSpec
an:
POST https://storagetransfer.googleapis.com/v1/transferJobs
{
"name": "transferjobs/NAME",
"projectId": "PROJECT_ID",
"transferSpec": {
"gcsDataSource": {
"bucketName": "SOURCE_BUCKET",
"managedFolderTransferEnabled": true
},
"gcsDataSink": {
"bucketName": "DESTINATION_BUCKET"
}
},
"status": "ENABLED"
}
Siehe Übertragungen erstellen
Details zum Erstellen einer Übertragung mit der REST API oder im
Referenz zu transferJobs.create
Sicherheitsaspekte
Wenn Sie einem von Google verwalteten Dienstkonto Berechtigungen für verwaltete Ordner gewähren, das Konto, um IAM-Richtlinien für Zielordner oder alle Ordner zu ändern Die Rolle wird auf Projektebene gewährt. Dies stellt ein Sicherheitsrisiko dar: kann ein Nutzer mit Berechtigungen zur Bearbeitung von Jobs dies ausnutzen, um einem böswilligen Akteur. Um dieses Risiko zu mindern, sollten Sie die Übertragungen verwalteter Ordner in einem speziellen Google Cloud-Projekt isolieren.
Fehlerbehebung
Informationen zum Erstellen und Verwalten verwalteter Ordner finden Sie in der Seite Fehlerbehebung.