Transfer Service for On Premises Data 安全性

您可以通过多种方式来保护转移的数据和资源。

保护本地资源

代理从其运行环境访问文件。这意味着您可以通过多种方式保护对数据的访问:

  • 使用受限用户或角色帐号运行代理容器。

  • 限制装载到代理容器的文件系统。

  • 根据您的安全政策选择 NFS 装载权限,例如没有写入权限。

  • 限制代理目录访问

保护进行中的数据

针对通过公共互联网以及通过专用连接(比如 Cloud Interconnect)进行的连接,Transfer Service for On Premises Data 会通过与 TLS 的 HTTPS 会话为您的数据加密。如果您使用的是 Cloud Interconnect,则可以使用私有 API 端点获得一层额外的安全性。

保护 Google Cloud 资源

代理使用 gcloud auth 连接到转移过程中使用的 Pub/Sub 和 Cloud Storage 资源。因此,您的 Google Cloud 资源会受到 Identity and Access Management 以及您为使用 Transfer Service for On Premises Data 代理而预配的帐号的保护。您还可以使用服务帐号,这样有助于简化权限管理。

IAM

Transfer Service for On Premises Data 支持以下 Storage Transfer Service 预定义 IAM 角色

  • Storage Transfer Admin — 提供所有 Storage Transfer Service 权限。

  • Storage Transfer User — 可以提交和监控作业,但不能删除作业或者查看代理详情或带宽设置等管理设置。

Transfer Service for On Premises Data 不支持自定义 IAM 角色或 Storage Transfer Viewer 预定义角色。无论采用哪种方案,用户都可能看不到完美的用户界面。如果用户尝试加载他们没有权限的页面,则页面会显示错误或空白页面。但是,允许的操作仍然受到限制。