保护文件系统数据

您可以通过多种方式来保护转移的数据和资源。

保护文件系统资源

代理从其运行环境访问文件。这意味着您可以通过多种方式保护对数据的访问:

  • 使用受限用户或角色账号运行代理容器。

  • 限制装载到代理容器的文件系统。

  • 根据您的安全政策选择 NFS 装载权限,例如没有写入权限。

  • 限制代理目录访问

保护进行中的数据

针对通过公共互联网以及通过专用连接(比如 Cloud Interconnect)进行的连接,Storage Transfer Service 会通过使用 TLS 的 HTTPS 会话为您的数据加密。如果您使用的是 Cloud Interconnect,则可以使用私有 API 端点获得一层额外的安全性。

保护 Google Cloud 资源

代理使用 gcloud auth 连接到转移过程中使用的 Storage Transfer Service 和 Cloud Storage 资源。因此,您的 Google Cloud 资源会受到 Identity and Access Management 以及您为使用转移代理而预配的账号的保护。您还可以使用服务账号,这样有助于简化权限管理。

IAM

Storage Transfer Service 支持以下 Storage Transfer Service 预定义 IAM 角色

  • Storage Transfer Admin — 提供所有 Storage Transfer Service 权限。

  • Storage Transfer User — 可以提交和监控作业,但不能删除作业或者查看代理详情或带宽设置等管理设置。

Storage Transfer Service 不支持自定义 IAM 角色或 Storage Transfer Viewer 预定义角色。无论采用哪种方案,用户都可能看不到完美的用户界面。如果用户尝试加载他们没有权限的页面,则页面会显示错误或空白页面。但是,允许的操作仍然受到限制。