您可以通过多种方式来保护转移的数据和资源。
保护文件系统资源
代理从其运行环境访问文件。这意味着您可以通过多种方式保护对数据的访问:
使用受限用户或角色账号运行代理容器。
限制装载到代理容器的文件系统。
根据您的安全政策选择 NFS 装载权限,例如没有写入权限。
保护进行中的数据
针对通过公共互联网以及通过专用连接(比如 Cloud Interconnect)进行的连接,Storage Transfer Service 会通过使用 TLS 的 HTTPS 会话为您的数据加密。如果您使用的是 Cloud Interconnect,则可以使用私有 API 端点获得一层额外的安全性。
保护 Google Cloud 资源
代理使用 gcloud auth 连接到 Storage Transfer Service 和转移过程中使用的 Cloud Storage 资源。因此,您的 Google Cloud 资源会受到 Identity and Access Management 以及您为使用转移代理而预配的账号的保护。您还可以使用服务账号,这样有助于简化权限管理。
IAM
Storage Transfer Service 支持以下 Storage Transfer Service 预定义 IAM 角色:
Storage Transfer Admin — 提供所有 Storage Transfer Service 权限。
Storage Transfer User — 可以提交和监控作业,但不能删除作业或者查看代理详情或带宽设置等管理设置。
Storage Transfer Service 不支持自定义 IAM 角色或 Storage Transfer Viewer 预定义角色。无论采用哪种方案,用户都可能看不到完美的用户界面。如果用户尝试加载他们没有权限的页面,则页面会显示错误或空白页面。但是,允许的操作仍然受到限制。