Dateisystemdaten schützen

Sie haben mehrere Möglichkeiten, die Daten und Ressourcen zu übertragen, die Sie übertragen.

Dateisystemressourcen schützen

Agents greifen auf Dateien aus der Umgebung zu, in der sie ausgeführt werden. Es gibt mehrere Möglichkeiten, wie Sie den Zugriff auf Ihre Daten schützen können:

  • Verwenden eines eingeschränkten Nutzers oder Rollenkontos zum Ausführen des Agent-Containers.

  • Begrenzung der im Agent-Container bereitgestellten Dateisysteme

  • Wählen Sie NFS-Bereitstellungsberechtigungen gemäß Ihren Sicherheitsrichtlinien aus, z. B. keinen Schreibzugriff.

  • Zugriff auf Agent-Verzeichnis einschränken.

Daten während der Übertragung schützen

Storage Transfer Service verschlüsselt Ihre Daten über eine HTTPS-Sitzung mit TLS für Verbindungen über das öffentliche Internet und über private Verbindungen (z. B. Cloud Interconnect). Wenn Sie Cloud Interconnect verwenden, können Sie mit privaten API-Endpunkten eine zusätzliche Sicherheitsebene erreichen.

Google Cloud-Ressourcen schützen

Agents verwenden gcloud auth, um eine Verbindung zu Storage Transfer Service- und Cloud Storage-Ressourcen herzustellen, die während der Übertragung verwendet werden. Daher sind Ihre Google Cloud-Ressourcen durch Identity and Access Management und das Konto geschützt, das Sie für den Übertragungs-Agenten bereitstellen. Sie können auch ein Dienstkonto verwenden, um die Verwaltung der Berechtigungen zu vereinfachen.

IAM

Der Storage Transfer Service unterstützt die folgenden vordefinierten IAM-Rollen:

  • Storage Transfer-Administrator: Alle Berechtigungen des Storage Transfer Service.

  • Storage Transfer-Nutzer: Kann Jobs senden und überwachen, aber keine Jobs löschen oder Administratoreinstellungen wie Agent-Details oder Bandbreiteneinstellungen sehen.

Der Storage Transfer Service unterstützt keine benutzerdefinierten IAM-Rollen und auch nicht die vordefinierte Rolle Storage Transfer-Betrachter. Nutzer in beiden Szenarien sehen die Benutzeroberfläche möglicherweise nicht. Wenn sie versuchen, Seiten zu laden, für die sie keine Berechtigungen haben, wird auf der Seite ein Fehler oder eine leere Seite angezeigt. Die zulässigen Aktionen bleiben jedoch eingeschränkt.