Le cartelle gestite di Cloud Storage forniscono uncontrollo dell'accessoo granulare agli oggetti nei bucket Cloud Storage. Le autorizzazioni possono essere impostate a livello di cartella all'interno dei bucket che utilizzano l'accesso universale a livello di bucket. Quando trasferisci oggetti tra bucket Cloud Storage con Storage Transfer Service, queste autorizzazioni per le cartelle gestite possono essere mantenute.
Limitazioni
Ai trasferimenti di cartelle gestite si applicano le seguenti limitazioni:
- Il bucket di destinazione deve utilizzare l'accesso uniforme a livello di bucket.
- I trasferimenti di cartelle gestiti non supportano le opzioni
deleteObjectsUniqueInSinkodeleteObjectsFromSourceAfterTransfer. - Non devono essere presenti condizioni IAM nel bucket di destinazione o nel relativo progetto che utilizzano il tipo di risorsa bucket (
storage.googleapis.com/Bucket) o il tipo di risorsa oggetto (storage.googleapis.com/Object). Se un bucket all'interno di un progetto ha una condizione IAM che utilizza uno di questi tipi di risorse, le cartelle gestite non possono essere trasferite a nessuno dei bucket all'interno di quel progetto, anche se la condizione viene rimossa in un secondo momento. - I trasferimenti basati su eventi non sono supportati.
- I trasferimenti di manifest non sono supportati.
Autorizzazioni IAM
Il account di servizio gestito da Google richiede le seguenti autorizzazioni di Google Cloud Identity and Access Management (IAM).
Sia per l'origine che per la destinazione, le autorizzazioni possono essere impostate a livello di bucket o possono essere impostate nella cartella gestita. Per impostare le autorizzazioni per una cartella gestita di destinazione, questa deve già esistere.
Ti sconsigliamo di impostare le autorizzazioni delle cartelle gestite a livello di progetto. Per ulteriori informazioni, consulta Considerazioni sulla sicurezza.
Nel bucket di origine o nella cartella gestita:
storage.managedFolders.getIamPolicystorage.managedFolders.liststorage.managedFolders.get
Nel bucket di destinazione o nella cartella gestita:
storage.managedFolders.setIamPolicystorage.managedFolders.liststorage.managedFolders.create
Queste si aggiungono alle autorizzazioni standard richieste da Storage Transfer Service:
Per concedere le autorizzazioni necessarie per le cartelle gestite, crea un ruolo personalizzato con solo le autorizzazioni richieste.
Crea un trasferimento di cartelle gestite
Per creare un trasferimento contenente una cartella gestita, specifica
managedFolderTransferEnabled: true nel tuo transferSpec. Se vuoi, puoi specificare un valore path per trasferire solo una cartella gestita specifica.
POST https://storagetransfer.googleapis.com/v1/transferJobs
{
"name": "transferjobs/NAME",
"projectId": "PROJECT_ID",
"transferSpec": {
"gcsDataSource": {
"bucketName": "SOURCE_BUCKET",
"path": "SOURCE_PATH",
"managedFolderTransferEnabled": true
},
"gcsDataSink": {
"bucketName": "DESTINATION_BUCKET",
"path": "DESTINATION_PATH",
}
},
"status": "ENABLED"
}
Se le autorizzazioni di trasferimento gestito corrette non sono impostate nell'origine e nella destinazione, il trasferimento non va a buon fine.
Consulta Crea trasferimenti
per informazioni dettagliate sulla creazione di un trasferimento utilizzando l'API REST o consulta il
riferimento transferJobs.create.
Considerazioni sulla sicurezza
La concessione delle autorizzazioni per le cartelle gestite a un account di servizio gestito da Google consente all'account di modificare le policy IAM nelle cartelle di destinazione o in tutte le cartelle se il ruolo viene concesso a livello di progetto. Ciò comporta un rischio per la sicurezza: un utente con autorizzazioni di modifica dei job potrebbe sfruttare questa situazione per concedere privilegi a un malintenzionato. Per ridurre questo rischio, valuta la possibilità di isolare i trasferimenti delle cartelle gestite all'interno di un progetto Google Cloud dedicato.
Cloud Logging
Le azioni sulle cartelle gestite vengono registrate da Cloud Logging. Per i dettagli, consulta Cloud Logging per Storage Transfer Service.
Risoluzione dei problemi
Per assistenza nella creazione e nella gestione delle cartelle gestite, consulta la pagina Risoluzione dei problemi.