Sono disponibili diverse opzioni per la protezione dei dati e delle risorse che trasferisci.
Protezione delle risorse del file system
Gli agenti accedono ai file dall'ambiente in cui sono in esecuzione. Ciò significa che hai a disposizione diversi modi per proteggere l'accesso ai tuoi dati:
Utilizzo di un account utente o di ruolo con restrizioni per eseguire il container dell'agente.
Limitazione dei file system montati sul container dell'agente.
Scegli le autorizzazioni di montaggio NFS in conformità con i tuoi criteri di sicurezza, ad esempio per impedire la scrittura.
Protezione dei dati in corso
Storage Transfer Service cripta i dati in una sessione HTTPS con TLS sia per le connessioni tramite la rete Internet pubblica sia per quelle private (come Cloud Interconnect). Se usi Cloud Interconnect, puoi ottenere un ulteriore livello di sicurezza utilizzando gli endpoint API privati.
Protezione delle risorse Google Cloud
Gli agenti utilizzano gcloud auth per connettersi alle risorse Pub/Sub e Cloud Storage utilizzate durante il trasferimento. Pertanto le tue risorse Google Cloud sono protette tramite Identity and Access Management e l'account per cui scegli di eseguire il provisioning per l'utilizzo dell'agente di trasferimento. Puoi anche utilizzare un account di servizio, per facilitare l'utilizzo della gestione delle autorizzazioni.
IAM
Storage Transfer Service supporta i seguenti ruoli IAM predefiniti di Storage Transfer Service:
Amministratore Storage Transfer: fornisce tutte le autorizzazioni di Storage Transfer Service.
Utente Storage Transfer: può inviare e monitorare i job, ma non può eliminarli o visualizzarne le impostazioni amministrative, ad esempio i dettagli dell'agente o le impostazioni della larghezza di banda.
Storage Transfer Service non supporta i ruoli IAM personalizzati o il ruolo predefinito di Visualizzatore Storage Transfer. Gli utenti in entrambi gli scenari potrebbero non visualizzare un'interfaccia utente elegante. Se tenterà di caricare pagine per le quali non dispone delle autorizzazioni, la pagina mostrerà un errore o una pagina vuota. Tuttavia, le azioni consentite rimangono limitate.