【发布时间】:2022-11-15 07:59:18
【问题描述】:
目前,我们使用 AWS IAM 用户永久凭证按照 BigQuery 数据传输服务 documentation 将客户数据从我们公司的内部 AWS S3 存储桶传输到客户的 Google BigQuery 表。
使用永久凭证存在与存储在 AWS S3 中的数据相关的安全风险。
我们想使用 AWS IAM 角色临时凭证,这需要 BiqQuery 端的会话令牌支持才能在 AWS 端获得授权。
BigQuery Data Transfer Service 是否可以使用 AWS IAM 角色或临时凭证来授权 AWS 并传输数据?
我们考虑过使用 Omni 框架 (https://cloud.google.com/bigquery/docs/omni-aws-cross-cloud-transfer) 将数据从 S3 传输到 BQ,但是,我们面临几个问题/限制:
- Omni 框架针对数据分析用例,而不是来自外部服务的数据传输。这让我们担心 Omni 框架的设计在大规模数据传输方面可能存在缺陷
- Omni framework 目前仅支持 AWS-US-EAST-1 区域(我们需要至少支持 AWS-US-WEST-2 和 AWS-EU-CENTRAL-1 以及相应的 Google 区域)。这与当前客户将数据从内部 S3 传输到客户 BQ 的设置不向后兼容。
- 我们当前的客户需要注册 Omni 服务才能从我们当前使用的传输解决方案正确迁移
我们考虑了一种解决方法,即通过在 GCS 中暂存(即 S3 -> GCS -> BQ)从 S3 导出数据,但这也需要客户和我们公司双方付出大量努力才能迁移到新解决方案。
【问题讨论】:
标签: amazon-web-services security amazon-s3 google-bigquery amazon-iam