Storage Transfer Service supporta i trasferimenti ai bucket Cloud Storage protetti dai Controlli di servizio VPC.
Storage Transfer Service richiede l'accesso ai bucket Cloud Storage per spostare i dati all'interno o tra i bucket Cloud Storage. Se hai bucket all'interno di un perimetro di servizio Controlli di servizio VPC, è necessaria una configurazione aggiuntiva per utilizzare Storage Transfer Service per trasferire i dati in Cloud Storage.
Per proteggere le richieste TransferJob e
TransferOperation, puoi
aggiungere l'API Storage Transfer Service come servizio protetto ai tuoi perimetri di servizio.
Per proteggere i bucket e gli oggetti Cloud Storage sottostanti, devi anche aggiungere l'API Cloud Storage come servizio protetto al perimetro del servizio.
Per scoprire di più sui Controlli di servizio VPC, consulta Panoramica dei Controlli di servizio VPC.
Per informazioni sull'utilizzo dei Controlli di servizio VPC con i trasferimenti del file system, consulta Configurare i Controlli di servizio VPC per i trasferimenti del file system.
Configurazioni supportate
Puoi configurare Storage Transfer Service in modo che funzioni con i bucket Cloud Storage protetti dai Controlli di servizio VPC con i seguenti metodi:
Puoi aggiungere il tuo progetto Storage Transfer Service al perimetro del servizio dei tuoi bucket Cloud Storage se si verifica una delle seguenti condizioni:
- Puoi configurare i bucket Cloud Storage all'interno di un singolo perimetro di servizio.
- Tutti i bucket Cloud Storage si trovino nello stesso perimetro del servizio.
Questa è l'opzione più semplice da configurare e gestire.
Crea un bridge perimetrale per tutti i progetti che contengono i bucket Cloud Storage che utilizzi in un trasferimento se è vera una delle seguenti condizioni:
- Non puoi modificare i perimetri di servizio dei tuoi bucket Cloud Storage.
- Hai bucket Cloud Storage in diversi perimetri di servizio.
Questa opzione consente al progetto Storage Transfer Service di trasferire dati tra i progetti Cloud Storage, anche se entrambi i progetti si trovano in perimetri di servizio diversi. Questa opzione garantisce inoltre che l'accesso ai perimetri dei bucket Cloud Storage provenga da un insieme limitato di servizi e risorse.
Aggiungi l'account di servizio Storage Transfer Service a un livello di accesso se una delle seguenti condizioni è vera per te:
- Il progetto Storage Transfer Service non rientra nel perimetro di servizio del bucket Cloud Storage.
Il tuo account di servizio non corrisponde al modulo
project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com, anche se appartiene a un progetto all'interno di un perimetro.Per trovare il formato del tuo account di servizio, utilizza la chiamata API
googleServiceAccounts.get.
Questa opzione non richiede di posizionare il progetto Storage Transfer Service all'interno di un perimetro di servizio. Inoltre, ti consente di configurare il livello di accesso in modo da consentire solo le richieste dall'account di servizio Storage Transfer Service.
Perimetro di servizio
Per utilizzare un perimetro di servizio, segui le istruzioni riportate in Creare un perimetro di servizio per includere i seguenti progetti e servizi:
- Il progetto
TransferJob - Progetti di bucket Cloud Storage
- API Cloud Storage (storage.googleapis.com)
- API Storage Transfer Service (storagetransfer.googleapis.com)
Bridge del perimetro
Per utilizzare un bridge del perimetro:
Crea un perimetro di servizio per Storage Transfer Service.
Crea un bridge del perimetro per connettere:
- Il progetto
TransferJob - Progetti di bucket Cloud Storage
- Il progetto
Livello di accesso
Per utilizzare un livello di accesso, segui le istruzioni riportate in Creare un livello di accesso per concedere l'accesso all'TransferJob account servizio.
Dopo aver creato il livello di accesso, aggiungilo al perimetro del servizio che limita l'accesso ai progetti Google Cloud contenenti i tuoi bucket Cloud Storage.
Risoluzione dei problemi
Per assistenza nella risoluzione dei problemi, consulta la sezione Risoluzione dei problemi di Controlli di servizio VPC.