転送するデータとリソースを保護するオプションはいくつかあります。
ファイル システム リソースの保護
エージェントは、エージェントが実行している環境からファイルにアクセスします。そのため、データへのアクセスを保護する方法はいくつかあります。
制限されたユーザー アカウントまたはロールを使用してエージェント コンテナを実行する。
エージェント コンテナにマウントされているファイル システムを制限する。
書き込み権限がないアクセスなど、セキュリティ ポリシーに従って NFS マウント権限を選択する。
転送中のデータの保護
Storage Transfer Service では、公共のインターネットを介した接続とプライベート接続を介した接続(Cloud Interconnect など)の両方で、HTTPS セッションのデータを TLS で暗号化します。Cloud Interconnect を使用している場合は、非公開 API エンドポイントを使用することで、セキュリティ層を追加できます。
Google Cloud リソースの保護
エージェントは、転送中に使用される Storage Transfer Service と Cloud Storage リソースに接続するために gcloud auth を使用します。したがって、Google Cloud リソースは Identity and Access Management と転送エージェント用にプロビジョニングしたアカウントを使用して保護されています。また、サービス アカウントを使用することもできます。これにより、権限管理を簡単に使用できるようになります。
IAM
Storage Transfer Service は、次の Storage Transfer Service の IAM 事前定義ロールをサポートしています。
Storage Transfer 管理者 - すべての Storage Transfer Service 権限を付与します。
Storage Transfer ユーザー - ジョブを送信、監視できますが、ジョブの削除はできません。また、エージェントの詳細や帯域幅設定などの管理設定を表示することはできません。
Storage Transfer Service では、IAM カスタムロールや Storage Transfer 閲覧者の事前定義ロールに対応していません。どちらの場合も、洗練されたユーザー インターフェースは表示されません。権限のないページを読み込もうとすると、エラーまたは空白のページが表示されます。ただし、許可されている操作は制限されたままになります。