Verwaltete Ordner in Cloud Storage bieten eine detaillierte Zugriffssteuerung für Objekte in Cloud Storage-Buckets. Berechtigungen können auf Ordnerebene in Buckets festgelegt werden, für die der einheitliche Zugriff auf Bucket-Ebene verwendet wird. Beim Übertragen von Objekten zwischen Cloud Storage-Buckets mit Storage Transfer Service können diese Berechtigungen für verwaltete Ordner beibehalten werden.
Beschränkungen
Für die Übertragung verwalteter Ordner gelten die folgenden Einschränkungen:
- Der Ziel-Bucket muss einheitlichen Zugriff auf Bucket-Ebene verwenden.
- Bei der Übertragung verwalteter Ordner werden die Optionen
deleteObjectsUniqueInSinkunddeleteObjectsFromSourceAfterTransfernicht unterstützt. - Für den Ziel-Bucket oder das zugehörige Projekt dürfen keine IAM-Bedingungen vorhanden sein, in denen der Ressourcentyp bucket (
storage.googleapis.com/Bucket) oder object (storage.googleapis.com/Object) verwendet wird. Wenn für einen Bucket in einem Projekt eine IAM-Bedingung mit einem dieser Ressourcentypen vorhanden ist, können verwaltete Ordner nicht in einen der Buckets in diesem Projekt übertragen werden, auch wenn die Bedingung später entfernt wird. - Ereignisgesteuerte Übertragungen werden nicht unterstützt.
- Manifestübertragungen werden nicht unterstützt.
IAM-Berechtigungen
Das von Google verwaltete Dienstkonto benötigt die folgenden Google Cloud Identity and Access Management-Berechtigungen (IAM).
Sowohl für die Quelle als auch für das Ziel können Berechtigungen auf Bucket-Ebene festgelegt oder für den verwalteten Ordner festgelegt werden. Wenn Sie Berechtigungen für einen verwalteten Zielordner festlegen möchten, muss dieser Ordner bereits vorhanden sein.
Wir empfehlen nicht, Berechtigungen für verwaltete Ordner auf Projektebene festzulegen. Weitere Informationen finden Sie unter Sicherheitsaspekte.
Für den Quell-Bucket oder verwalteten Ordner:
storage.managedFolders.getIamPolicystorage.managedFolders.liststorage.managedFolders.get
Im Ziel-Bucket oder verwalteten Ordner:
storage.managedFolders.setIamPolicystorage.managedFolders.liststorage.managedFolders.create
Diese Berechtigungen sind zusätzlich zu den Standardberechtigungen erforderlich, die für Storage Transfer Service gelten:
- Zugriff auf eine Quelle konfigurieren: Cloud Storage
- Zugriff auf eine Senke konfigurieren: Cloud Storage
Wenn Sie die erforderlichen Berechtigungen für verwaltete Ordner erteilen möchten, erstellen Sie eine benutzerdefinierte Rolle mit nur den erforderlichen Berechtigungen.
Übertragung verwalteter Ordner erstellen
Wenn Sie eine Übertragung mit einem verwalteten Ordner erstellen möchten, geben Sie managedFolderTransferEnabled: true in Ihrer transferSpec an. Optional können Sie einen path-Wert angeben, um nur einen bestimmten verwalteten Ordner zu übertragen.
POST https://storagetransfer.googleapis.com/v1/transferJobs
{
"name": "transferjobs/NAME",
"projectId": "PROJECT_ID",
"transferSpec": {
"gcsDataSource": {
"bucketName": "SOURCE_BUCKET",
"path": "SOURCE_PATH",
"managedFolderTransferEnabled": true
},
"gcsDataSink": {
"bucketName": "DESTINATION_BUCKET",
"path": "DESTINATION_PATH",
}
},
"status": "ENABLED"
}
Wenn die richtigen Berechtigungen für die verwaltete Übertragung nicht für die Quelle und das Ziel festgelegt sind, schlägt die Übertragung fehl.
Weitere Informationen zum Erstellen einer Übertragung mit der REST API finden Sie unter Übertragungen erstellen oder in der transferJobs.create-Referenz.
Sicherheitsaspekte
Wenn Sie einem von Google verwalteten Dienstkonto Berechtigungen für verwaltete Ordner gewähren, kann das Konto IAM-Richtlinien für Zielordner oder für alle Ordner ändern, wenn die Rolle auf Projektebene gewährt wird. Dies stellt ein Sicherheitsrisiko dar: Ein Nutzer mit Berechtigungen zum Bearbeiten von Jobs könnte dies ausnutzen, um einem böswilligen Akteur Berechtigungen zu erteilen. Um dieses Risiko zu minimieren, sollten Sie Übertragungen verwalteter Ordner in einem dedizierten Google Cloud-Projekt isolieren.
Cloud Logging
Aktionen für verwaltete Ordner werden von Cloud Logging protokolliert. Weitere Informationen finden Sie unter Cloud Logging für Storage Transfer Service.
Fehlerbehebung
Informationen zum Erstellen und Verwalten von verwalteten Ordnern finden Sie auf der Seite zur Fehlerbehebung.