您可以透過多種方式保護要轉移的資料和資源。
保護檔案系統資源
代理程式會從執行所在的環境存取檔案。也就是說,您可以透過多種方式保護資料存取權:
使用受限使用者或角色帳戶執行代理程式容器。
限制掛接至代理程式容器的檔案系統。
請根據安全性政策選擇 NFS 掛載權限,例如不允許寫入權限。
保護傳輸中的資料
無論是透過公開網際網路還是私人連線 (例如 Cloud Interconnect),Storage Transfer Service 都會透過 HTTPS 工作階段,以 TLS 加密您的資料。如果您使用 Cloud Interconnect,則可使用私人 API 端點取得額外一層安全防護。
保護 Google Cloud 資源
代理程式會使用 gcloud auth 連線至 Storage 移轉服務和在移轉期間使用的 Cloud Storage 資源。因此,您的 Google Cloud 資源會透過 Identity and Access Management 和您選擇用於轉移代理程式使用的帳戶受到保護。您也可以使用服務帳戶,這有助於簡化權限管理功能的使用方式。
IAM
Storage 移轉服務支援下列 Storage 移轉服務預先定義的 IAM 角色:
Storage Transfer 管理員:提供所有 Storage 移轉服務權限。
Storage Transfer 使用者:可以提交及監控工作,但無法刪除工作或查看管理員設定 (例如代理程式詳細資料或頻寬設定)。
Storage 轉移服務不支援自訂 IAM 角色或Storage 轉移服務檢視器預先定義的角色。無論是哪種情況,使用者都可能無法看到精緻的使用者介面。如果他們嘗試載入沒有權限的網頁,該網頁會顯示錯誤或空白頁面。不過,允許的動作仍受到限制。