Hai a disposizione diverse opzioni per proteggere i dati e le risorse trasferite.
Protezione delle risorse del file system
Gli agenti accedono ai file dall'ambiente in cui vengono eseguiti. Ciò significa che hai diversi modi per proteggere l'accesso ai tuoi dati:
Utilizzo di un account utente o ruolo con limitazioni per eseguire il contenitore dell'agente.
Limitare i file system montati nel contenitore dell'agente.
Scegli le autorizzazioni di montaggio NFS in conformità con i tuoi criteri di sicurezza, ad esempio senza accesso in scrittura.
Protezione dei dati in transito
Storage Transfer Service cripta i dati tramite una sessione HTTPS con TLS sia per le connessioni tramite internet pubblico sia per le connessioni private (come Cloud Interconnect). Se utilizzi Cloud Interconnect, puoi ottenere un ulteriore livello di sicurezza utilizzando endpoint API private.
Protezione delle risorse Google Cloud
Gli agenti utilizzano gcloud auth per connettersi alle risorse di Storage Transfer Service e Cloud Storage utilizzate durante il trasferimento. Pertanto, le tue risorse Google Cloud sono protette utilizzando Identity and Access Management e l'account che scegli di eseguire il provisioning per l'utilizzo dell'agente di trasferimento. Puoi anche utilizzare un account di servizio, che può contribuire a semplificare la gestione delle autorizzazioni.
IAM
Storage Transfer Service supporta i seguenti ruoli IAM predefiniti:
Amministratore trasferimenti Storage: fornisce tutte le autorizzazioni di Storage Transfer Service.
Utente di trasferimento dati: può inviare e monitorare i job, ma non può eliminarli o visualizzare le impostazioni di amministrazione, ad esempio i dettagli dell'agente o le impostazioni della larghezza di banda.
Storage Transfer Service non supporta i ruoli IAM personalizzati o il ruolo predefinito Visualizzatore di Storage Transfer. Gli utenti in entrambi gli scenari potrebbero non vedere un'interfaccia utente raffinata. Se tentano di caricare pagine per le quali non dispongono delle autorizzazioni, verrà visualizzata una pagina di errore o una pagina vuota. Tuttavia, le azioni consentite rimangono limitate.