Cloud Storage 관리 폴더는 Cloud Storage 버킷의 객체에 대한 액세스를 세밀하게 제어합니다. 권한은 범용 버킷 수준 액세스를 사용하는 버킷 내의 폴더 수준에서 설정할 수 있습니다. Storage Transfer Service를 사용하여 Cloud Storage 버킷 간에 객체를 전송할 때는 이러한 관리형 폴더 권한을 유지할 수 있습니다.
제한사항
관리 폴더 전송에는 다음 제한사항이 적용됩니다.
- 전송을 만들려면 REST API를 사용해야 합니다.
- 대상 버킷은 균일한 버킷 수준 액세스를 사용해야 합니다.
- 관리 폴더 전송은
deleteObjectsUniqueInSink또는deleteObjectsFromSourceAfterTransfer옵션을 지원하지 않습니다. - 버킷 리소스 유형(
storage.googleapis.com/Bucket) 또는 객체 리소스 유형(storage.googleapis.com/Object)을 사용하는 대상 버킷이나 프로젝트에 IAM 조건이 없어야 합니다. 프로젝트 내의 버킷에 이러한 리소스 유형 중 하나를 사용하는 IAM 조건이 있으면 해당 조건이 나중에 삭제되더라도 프로젝트 내의 버킷으로 관리 폴더를 전송할 수 없습니다. - 이벤트 기반 전송은 지원되지 않습니다.
- 매니페스트 전송은 지원되지 않습니다.
- 관리 폴더 작업은 Cloud Logging에 로깅되지 않습니다. 객체 로깅이 지원됩니다.
IAM 권한
Google 관리형 서비스 계정에는 다음 Google Cloud Identity and Access Management(IAM) 권한이 필요합니다.
소스 버킷의 경우:
storage.managedFolders.getIamPolicystorage.managedFolders.liststorage.managedFolders.get
대상 버킷의 경우:
storage.managedFolders.setIamPolicystorage.managedFolders.liststorage.managedFolders.create
이러한 권한은 Storage Transfer Service에 필요한 표준 권한과 함께 적용됩니다.
필요한 관리 폴더 권한을 부여하려면 필요한 권한만 있는 맞춤 역할 만들기 후 버킷 수준(권장) 또는 프로젝트 수준에서 Google 관리형 서비스 계정에 할당합니다. 자세한 내용은 보안 고려사항을 참조하세요.
관리 폴더 전송 만들기
관리 폴더가 포함된 전송을 만들려면 다음과 같이 transferSpec에 managedFolderTransferEnabled: true를 지정합니다.
POST https://storagetransfer.googleapis.com/v1/transferJobs
{
"name": "transferjobs/NAME",
"projectId": "PROJECT_ID",
"transferSpec": {
"gcsDataSource": {
"bucketName": "SOURCE_BUCKET",
"managedFolderTransferEnabled": true
},
"gcsDataSink": {
"bucketName": "DESTINATION_BUCKET"
}
},
"status": "ENABLED"
}
REST API를 사용하여 전송을 만드는 방법에 대한 자세한 내용은 전송 만들기를 참조하거나 transferJobs.create 참조를 확인하세요.
보안 고려사항
Google 관리형 서비스 계정에 관리 폴더 권한을 부여하면 해당 계정이 대상 폴더 또는 모든 폴더에서 IAM 정책을 수정할 수 있습니다(프로젝트 수준에서 역할이 부여된 경우). 이 경우 보안 위험이 발생합니다. 작업 수정 권한이 있는 사용자가 이를 악용하여 악의적인 행위자에게 권한을 부여할 수 있습니다. 이 위험을 완화하려면 관리형 폴더 전송을 전용 Google Cloud 프로젝트 내에서 격리하는 것이 좋습니다.
문제 해결
관리 폴더 만들기 및 관리에 대한 도움말은 문제 해결 페이지를 참조하세요.