您可以透過多種方式保護轉移的資料和資源。
保護檔案系統資源
代理程式會從執行所在環境存取檔案。這表示您可透過多種方式保護資料存取權:
使用受限的使用者或角色帳戶執行代理程式容器。
限制掛接至代理程式容器的檔案系統。
請根據您的安全政策選擇 NFS 掛接權限,例如不允許寫入存取權。
保護傳輸中的資料
無論是透過公開網際網路連線,還是透過私人連線 (例如 Cloud Interconnect),Storage Transfer Service 都會透過 HTTPS 工作階段和 TLS 加密資料。如果您使用 Cloud Interconnect,可以使用私人 API 端點,取得額外一層安全防護。
保護 Google Cloud 資源
代理程式會使用 gcloud auth 連線至 Storage 移轉服務和移轉期間使用的 Cloud Storage 資源。因此,您的 Google Cloud 資源會受到 Identity and Access Management 保護,以及您選擇用於佈建轉移代理程式的帳戶保護。您也可以使用服務帳戶,這有助於簡化權限管理。
IAM
Storage 移轉服務支援下列 Storage 移轉服務預先定義的 IAM 角色:
Storage Transfer 管理員:提供所有 Storage 移轉服務權限。
Storage Transfer 使用者:可以提交及監控工作,但無法刪除工作或查看管理員設定,例如代理程式詳細資料或頻寬設定。
Storage 移轉服務不支援自訂 IAM 角色或儲存空間轉移服務檢視者預先定義的角色。在上述任一情境中,使用者可能不會看到完善的使用者介面。如果使用者嘗試載入沒有權限的頁面,該頁面會顯示錯誤訊息或空白頁面。不過,允許的動作仍會受到限制。