Hai diverse opzioni per proteggere i dati e le risorse che trasferisci.
Protezione delle risorse del file system
Gli agenti accedono ai file dall'ambiente in cui vengono eseguiti. Ciò significa che hai diversi modi per proteggere l'accesso ai tuoi dati:
Utilizzo di un account utente o ruolo con limitazioni per eseguire il container dell'agente.
Limitare i file system montati nel container dell'agente.
Scegli le autorizzazioni di montaggio NFS in base alle tue norme di sicurezza, ad esempio nessun accesso in scrittura.
Protezione dei dati in transito
Storage Transfer Service cripta i dati su una sessione HTTPS con TLS sia per le connessioni tramite internet pubblico sia per le connessioni private (ad esempio Cloud Interconnect). Se utilizzi Cloud Interconnect, puoi ottenere un ulteriore livello di sicurezza utilizzando endpoint di API private.
Protezione delle risorse Google Cloud
Gli agenti utilizzano gcloud auth per connettersi a Storage Transfer Service e alle risorse Cloud Storage utilizzate durante il trasferimento. Pertanto, le tue risorse Google Cloud sono protette utilizzando Identity and Access Management e l'account che scegli di eseguire il provisioning per l'utilizzo dell'agente di trasferimento. Puoi anche utilizzare un service
account, che può semplificare
la gestione delle autorizzazioni.
IAM
Storage Transfer Service supporta i seguenti ruoli IAM predefiniti di Storage Transfer Service:
Amministratore trasferimenti Storage: fornisce tutte le autorizzazioni di Storage Transfer Service.
Utente Storage Transfer: può inviare e monitorare i job, ma non può eliminarli o visualizzare le impostazioni di amministrazione, ad esempio i dettagli dell'agente o le impostazioni della larghezza di banda.
Storage Transfer Service non supporta i ruoli IAM personalizzati né il ruolo predefinito Visualizzatore Storage Transfer. Gli utenti in entrambi gli scenari potrebbero non visualizzare un'interfaccia utente ottimizzata. Se tentano di caricare pagine per le quali non dispongono delle autorizzazioni, la pagina visualizzerà un errore o una pagina vuota. Tuttavia, le azioni consentite rimangono limitate.