Proteggere i dati del file system

Hai diverse opzioni per proteggere i dati e le risorse che trasferisci.

Protezione delle risorse del file system

Gli agenti accedono ai file dall'ambiente in cui sono in esecuzione. Ciò significa che hai a disposizione diversi modi per proteggere l'accesso ai tuoi dati:

  • Utilizzo di un account utente o ruolo limitato per eseguire il container dell'agente.

  • Limitazione dei file system montati nel container dell'agente.

  • Scegli le autorizzazioni di montaggio NFS in base ai tuoi criteri di sicurezza, ad esempio nessun accesso in scrittura.

  • Limitazione dell'accesso alla directory degli agenti.

Protezione dei dati in corso

Storage Transfer Service cripta i dati in una sessione HTTPS con TLS per entrambe le connessioni tramite la rete internet pubblica e attraverso connessioni private (come Cloud Interconnect). Se utilizzi Cloud Interconnect, puoi ottenere un ulteriore livello di sicurezza utilizzando endpoint API privati.

Protezione delle risorse Google Cloud

Gli agenti utilizzano gcloud auth per connettersi alle risorse di Storage Transfer Service e Cloud Storage utilizzate durante il trasferimento. Di conseguenza, le tue risorse Google Cloud sono protette tramite Identity and Access Management e l'account di cui scegli di eseguire il provisioning per l'utilizzo da parte dell'agente di trasferimento. Puoi anche utilizzare un account di servizio, che può semplificare l'utilizzo della gestione delle autorizzazioni.

IAM

Storage Transfer Service supporta i seguenti ruoli IAM predefiniti di Storage Transfer Service:

  • Amministratore Storage Transfer: fornisce tutte le autorizzazioni di Storage Transfer Service.

  • Utente Storage Transfer: può inviare e monitorare i job, ma non può eliminare job o visualizzare impostazioni di amministrazione come i dettagli dell'agente o le impostazioni della larghezza di banda.

Storage Transfer Service non supporta i ruoli IAM personalizzati o il ruolo predefinito Visualizzatore Storage Transfer. Gli utenti di entrambi gli scenari potrebbero non vedere un'interfaccia utente curata. Se tentano di caricare pagine per le quali non dispongono delle autorizzazioni, la pagina mostrerà un errore o una pagina vuota. Tuttavia, le azioni consentite rimangono limitate.