Verwaltete Cloud Storage-Ordner bieten eine detaillierte Zugriffssteuerung für Objekte in Cloud Storage-Buckets. Berechtigungen können in Buckets auf Ordnerebene festgelegt werden, für die der universelle Zugriff auf Bucket-Ebene verwendet wird. Bei der Übertragung von Objekten zwischen Cloud Storage-Buckets mit Storage Transfer Service können diese verwalteten Ordnerberechtigungen beibehalten werden.
Beschränkungen
Für die Übertragung von verwalteten Ordnern gelten die folgenden Einschränkungen:
- Für den Ziel-Bucket muss einheitlicher Zugriff auf Bucket-Ebene verwendet werden.
- Bei der Übertragung verwalteter Ordner werden die Optionen
deleteObjectsUniqueInSink
oderdeleteObjectsFromSourceAfterTransfer
nicht unterstützt. - Für den Ziel-Bucket oder sein Projekt dürfen keine IAM-Bedingungen vorhanden sein, die den Ressourcentyp Bucket (
storage.googleapis.com/Bucket
) oder den Ressourcentyp Objekt (storage.googleapis.com/Object
) verwenden. Wenn ein Bucket in einem Projekt eine IAM-Bedingung mit einem dieser Ressourcentypen hat, können verwaltete Ordner nicht in einen der Bucket dieses Projekts übertragen werden, auch wenn die Bedingung später entfernt wird. - Ereignisgesteuerte Übertragungen werden nicht unterstützt.
- Manifestübertragungen werden nicht unterstützt.
IAM-Berechtigungen
Das von Google verwaltete Dienstkonto benötigt die folgenden Google Cloud Identity and Access Management-Berechtigungen (IAM).
Sowohl für die Quelle als auch für das Ziel können Berechtigungen auf Bucketebene oder auf dem verwalteten Ordner festgelegt werden. Damit Sie Berechtigungen für einen verwalteten Zielordner festlegen können, muss dieser Ordner bereits vorhanden sein.
Wir empfehlen nicht, Berechtigungen für verwaltete Ordner auf Projektebene festzulegen. Weitere Informationen finden Sie unter Sicherheitsaspekte.
Für den Quell-Bucket oder verwalteten Ordner:
storage.managedFolders.getIamPolicy
storage.managedFolders.list
storage.managedFolders.get
Für den Ziel-Bucket oder verwalteten Ordner:
storage.managedFolders.setIamPolicy
storage.managedFolders.list
storage.managedFolders.create
Diese Berechtigungen kommen zu den Standardberechtigungen hinzu, die für den Storage Transfer Service erforderlich sind:
- Zugriff auf eine Quelle konfigurieren: Cloud Storage
- Zugriff auf eine Senke konfigurieren: Cloud Storage
Wenn Sie die erforderlichen Berechtigungen für den verwalteten Ordner gewähren möchten, erstellen Sie eine benutzerdefinierte Rolle mit nur den erforderlichen Berechtigungen.
Übertragung eines verwalteten Ordners erstellen
Wenn Sie eine Übertragung mit einem verwalteten Ordner erstellen möchten, geben Sie in Ihrer transferSpec
die Zeichenfolge managedFolderTransferEnabled: true
an. Optional können Sie einen path
-Wert angeben, um nur einen bestimmten verwalteten Ordner zu übertragen.
POST https://storagetransfer.googleapis.com/v1/transferJobs
{
"name": "transferjobs/NAME",
"projectId": "PROJECT_ID",
"transferSpec": {
"gcsDataSource": {
"bucketName": "SOURCE_BUCKET",
"path": "SOURCE_PATH",
"managedFolderTransferEnabled": true
},
"gcsDataSink": {
"bucketName": "DESTINATION_BUCKET",
"path": "DESTINATION_PATH",
}
},
"status": "ENABLED"
}
Wenn die richtigen Berechtigungen für die verwaltete Übertragung an der Quelle und am Ziel nicht festgelegt sind, schlägt die Übertragung fehl.
Weitere Informationen zum Erstellen einer Übertragung mit der REST API finden Sie unter Übertragungen erstellen oder in der transferJobs.create
-Referenz.
Sicherheitsaspekte
Wenn Sie einem von Google verwalteten Dienstkonto Berechtigungen für verwaltete Ordner gewähren, kann das Konto IAM-Richtlinien für Zielordner oder für alle Ordner ändern, wenn die Rolle auf Projektebene gewährt wird. Das stellt ein Sicherheitsrisiko dar: Ein Nutzer mit Berechtigungen zum Bearbeiten von Jobs könnte dies ausnutzen, um einem böswilligen Akteur Berechtigungen zu gewähren. Um dieses Risiko zu mindern, sollten Sie die Übertragungen verwalteter Ordner in einem separaten Google Cloud-Projekt isolieren.
Cloud Logging
Aktionen für verwaltete Ordner werden von Cloud Logging protokolliert. Weitere Informationen finden Sie unter Cloud Logging für Storage Transfer Service.
Fehlerbehebung
Informationen zum Erstellen und Verwalten von verwalteten Ordnern finden Sie auf der Seite Fehlerbehebung.