Storage Transfer Service は、次の条件で、VPC Service Controls で保護されている Cloud Storage バケットへのオンプレミス転送をサポートしています。
Storage Transfer Service API を使用して転送を作成すると、転送されたすべてのデータが保護されます。
コンソールを使用して転送を作成すると、ファイルのコンテンツのみが保護されます。 Google Cloud ファイル名やファイルサイズなどのファイル メタデータは保護されません。
このガイドでは、Storage Transfer Service を使用してセキュリティ境界内の Cloud Storage バケットに転送するために必要な設定について説明します。
VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
Storage Transfer Service と VPC Service Controls を使用する方法については、Storage Transfer Service と VPC Service Controls の使用をご覧ください。
前提条件
Storage Transfer Service を VPC Service Controls と一緒に使用するには、次のアイテムを同じサービス境界内に配置する必要があります。
- オンプレミス転送ジョブの作成に使用されたプロジェクト
- 転送先の Cloud Storage バケット
サポートされている構成
VPC Service Controls と連携するように転送エージェントを構成するには、次のいずれかの方法を使用します。
転送エージェントを Cloud Storage バケットと Storage Transfer Service プロジェクトを含むサービス境界外に配置する必要がある場合は、エージェントをアクセスレベルに追加します。
この方法は設定が簡単で、転送エージェントにサービス境界内外のGoogle Cloud リソースへのアクセスを許可します。
Cloud Storage バケットと Storage Transfer Service プロジェクトを含むサービス境界に転送エージェントを追加できる場合は、転送エージェントで使用されるオンプレミス ネットワークに対して VPC Service Controls を使用した限定公開の Google アクセスを構成します。
この方法で行うには、さらに多くの手順が必要です。また、転送エージェントはサービス境界内の Google Cloud リソースにのみアクセスできます。
エージェントのアクセスレベルへの追加
アクセスレベルに転送エージェントを追加するには:
エージェントをアクセスレベルに追加する方法を IP アドレスまたはサービス アカウントごとに決定します。
エージェントをアクセスレベルに追加します。
エージェントの IP アドレスをアクセスレベルに追加するには、企業ネットワークへのアクセスを制限するの手順をご覧ください。
エージェントのサービス アカウントをアクセスレベルに追加するには、ユーザーまたはサービス アカウントによるアクセスを制限するの手順を行います。
VPC Service Controls を使用した限定公開の Google アクセスの使用
VPC Service Controls を使用した限定公開の Google アクセスを使用するには、次のようにします。
トラブルシューティング
エラーのトラブルシューティングについては、VPC Service Controls のエラーのトラブルシューティングをご覧ください。