Transfer Service for On Premises Data 보안

전송하는 데이터와 리소스를 보호하는 데 사용되는 옵션에는 여러 가지가 있습니다.

온프레미스 리소스 보호

에이전트는 실행 중인 환경에서 파일에 액세스합니다. 즉, 데이터에 대한 액세스 권한을 보호할 수 있는 몇 가지 방법이 있습니다.

  • 제한된 사용자 또는 역할 계정을 사용하여 에이전트 컨테이너 실행

  • 에이전트 컨테이너에 마운트된 파일 시스템 제한

  • 쓰기 액세스 권한 없음과 같은 보안 정책에 따라 NFS 마운트 권한을 선택합니다.

  • 에이전트 디렉터리 액세스 제한

처리 중인 데이터 보호

Transfer Service for On Premises Data는 공용 인터넷을 통한 연결과 비공개 연결(예: Cloud Interconnect)을 통한 TLS HTTPS 세션을 통해 데이터를 암호화합니다. Cloud Interconnect를 사용할 경우 비공개 API 엔드포인트를 사용하여 보안을 강화할 수 있습니다.

Google Cloud 리소스 보호

에이전트는 gcloud auth를 사용하여 전송 중에 사용된 Pub/Sub 및 Cloud Storage 리소스에 연결합니다. 따라서 Google Cloud 리소스는 사용자가 Transfer Service for On Premises Data 에이전트 사용에 프로비저닝하려고 선택한 계정과 ID 및 액세스 관리를 사용하여 보호합니다. 서비스 계정을 사용하면 권한 관리를 더욱 쉽게 사용할 수도 있습니다.

IAM

Transfer Service for On Premises Data는 다음과 같은 Storage Transfer Service의 사전 정의된 IAM 역할을 지원합니다.

  • 스토리지 전송 관리자 — 모든 Storage Transfer Service 권한을 제공합니다.

  • 스토리지 전송 사용자 — 작업을 제출 및 모니터링할 수 있지만 작업을 삭제하거나 에이전트 세부정보 또는 대역폭 설정과 같은 관리자 설정을 확인할 수 없습니다.

Transfer Service for On Premises Data는 커스텀 IAM 역할 또는 스토리지 전송 뷰어의 사전 정의된 역할을 지원하지 않습니다. 어느 경우든 사용자에게 정리된 사용자 인터페이스가 표시되지 않을 수 있습니다. 권한이 없는 페이지를 로드하려고 하면 페이지에 오류가 표시되거나 빈 페이지가 표시됩니다. 하지만 허용되는 작업은 제한된 상태를 유지합니다.