Configurar o VPC Service Controls para transferências de armazenamento de objetos na nuvem
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
O serviço de transferência do Cloud Storage é compatível com transferências para buckets do Cloud Storage protegidos pelo VPC Service Controls.
Além disso, ele requer acesso a esses buckets para
transferir dados. Se você tiver buckets dentro de um perímetro de serviço do VPC Service Controls, será necessária uma configuração extra para usar o Serviço de transferência do Cloud Storage para transferir dados para o Cloud Storage.
Para proteger as solicitações TransferJob e
TransferOperation, adicione
a API Storage Transfer Service aos seus parâmetros de serviço como um item protegido.
Também é necessário fazer isso com a API Cloud Storage no caso de
buckets e objetos subjacentes
do Cloud Storage.
É possível configurar o funcionamento do serviço de transferência do Cloud Storage com buckets do Cloud Storage protegidos pelo VPC Service Controls por meio dos seguintes métodos:
Você pode adicionar o projeto do Storage Transfer Service ao perímetro de serviço dos buckets do Cloud Storage se uma das seguintes condições for verdadeira:
É possível configurar os buckets do Cloud Storage em um único perímetro de serviço.
Todos os buckets do Cloud Storage estão no mesmo perímetro de serviço.
Essa opção é a mais fácil de configurar e gerenciar.
Caso uma das condições a seguir for verdadeira, crie uma ponte do perímetro para todos os projetos que contêm os buckets do Cloud Storage que você está usando em uma transferência.
Não é possível alterar os perímetros de serviço dos buckets do Cloud Storage.
Você tem buckets do Cloud Storage em diferentes perímetros de serviço.
Essa opção permite que o projeto do serviço de transferência do Cloud Storage transfira dados entre
os projetos, mesmo que ambos estejam em
perímetros de serviço diferentes. Ela também garante que o acesso aos perímetros do bucket do Cloud Storage seja de um conjunto restrito de serviços e recursos.
seu projeto do serviço de transferência está fora do perímetro de serviço
do bucket do Cloud Storage;
sua conta de serviço não se encaixa no formulário project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com,
mesmo que ela pertença a um projeto dentro de um perímetro.
Essa opção não exige que você coloque o projeto do Serviço de transferência do Cloud Storage em um perímetro de serviço. Ele também permite que você configure o nível de acesso para permitir apenas solicitações da conta de serviço do Serviço de transferência do Cloud Storage.
Perímetro de serviço
Se quiser usar um perímetro de serviço, siga as instruções em Criar um perímetro de serviço
para incluir os projetos a seguir:
O projeto TransferJob
Projetos de buckets do Cloud Storage
API Cloud Storage (storage.googleapis.com)
API Storage Transfer Service (storagetransfer.googleapis.com)
Ponte do perímetro
Siga estas etapas para usar uma ponte do perímetro:
Depois de criar o nível de acesso,
adicione-o ao perímetro de serviço
que restringe o acesso aos projetos Google Cloud que contêm os
buckets do Cloud Storage.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-18 UTC."],[],[],null,["# Configure VPC Service Controls for cloud object storage transfers\n\nStorage Transfer Service supports transfers to Cloud Storage buckets protected by\nVPC Service Controls.\n\nStorage Transfer Service requires access to Cloud Storage buckets in order to move\ndata into or between Cloud Storage buckets. If you have buckets within a\nVPC Service Controls service perimeter, extra setup is required to use\nStorage Transfer Service to transfer data to Cloud Storage.\n\nTo protect your [`TransferJob`](/storage-transfer/docs/reference/rest/v1/transferJobs) and\n[`TransferOperation`](/storage-transfer/docs/reference/rest/v1/transferOperations) requests, you can\nadd the Storage Transfer Service API as a protected service to your service perimeters.\nTo protect the underlying Cloud Storage buckets and objects, you also need to\nadd the Cloud Storage API as a protected service to your service\nperimeter.\n\nTo learn more about VPC Service Controls, see\n[Overview of VPC Service Controls](/vpc-service-controls/docs/overview).\n\nFor information about using VPC Service Controls with file system transfers, see\n[Configure VPC Service Controls for file system transfers](/storage-transfer/docs/on-prem-vpc-sc).\n\nSupported configurations\n------------------------\n\nYou can configure Storage Transfer Service to work with Cloud Storage buckets\nprotected by VPC Service Controls with the following methods:\n\n- You can add your Storage Transfer Service project to the\n [service perimeter](#service-perimeter) of your Cloud Storage buckets if\n either of the following are true:\n\n - You can configure your Cloud Storage buckets within a single service perimeter.\n - All of your Cloud Storage buckets are within the same service perimeter.\n\n This option is the easiest option to set up and manage.\n- [Create a perimeter bridge](#service-perimeter-bridge) to all projects that\n contain the Cloud Storage buckets you're using in a transfer if either of\n the following are true:\n\n - You cannot change the service perimeters of your Cloud Storage buckets.\n - You have Cloud Storage buckets in different service perimeters.\n\n This option allows your Storage Transfer Service project to transfer data between\n your Cloud Storage projects, even if both projects are in different\n service perimeters. This option also ensures that access to your\n Cloud Storage bucket perimeters is from a restricted set of services and\n resources.\n- [Add the Storage Transfer Service service account to an access level](#access-level)\n if any of the following apply to you:\n\n - Your Storage Transfer Service project is outside of your Cloud Storage bucket's service perimeter.\n - Your service account doesn't fit the form\n `project-`\u003cvar translate=\"no\"\u003ePROJECT_NUMBER\u003c/var\u003e`@storage-transfer-service.iam.gserviceaccount.com`,\n even if the service account belongs to a project inside a perimeter.\n\n To find your service account's format, use the\n [`googleServiceAccounts.get`](/storage-transfer/docs/reference/rest/v1/googleServiceAccounts/get)\n API call.\n\n This option doesn't require you to place the Storage Transfer Service project\n within a service perimeter. It also lets you configure the access level to\n only allow requests from the Storage Transfer Service service account.\n\n### Service perimeter\n\nTo use a service perimeter, follow the instructions in [Create a service\nperimeter](/vpc-service-controls/docs/create-service-perimeters) to include\nthe following projects and services:\n\n- The `TransferJob` project\n- Cloud Storage bucket projects\n- Cloud Storage API (storage.googleapis.com)\n- Storage Transfer Service API (storagetransfer.googleapis.com)\n\n### Perimeter bridge\n\n| **Note:** A perimeter bridge is necessary only if the projects are in different perimeters.\n\nTo use a perimeter bridge:\n\n1. [Create a service perimeter](#service-perimeter) for Storage Transfer Service.\n\n2. [Create a perimeter bridge](/vpc-service-controls/docs/create-perimeter-bridges)\n to connect:\n\n - The `TransferJob` project\n - Cloud Storage bucket projects\n\n### Access level\n\nTo use an access level, follow the instructions in\n[Creating an access level](/access-context-manager/docs/create-basic-access-level) to\ngrant access to the [`TransferJob` service\naccount](/storage-transfer/docs/reference/rest/v1/googleServiceAccounts).\n\nAfter you create your access level,\n[add the access level to your service perimeter](/vpc-service-controls/docs/manage-service-perimeters#add-access-level)\nthat restricts access to the Google Cloud projects containing your\nCloud Storage buckets.\n\nTroubleshooting\n---------------\n\nFor help troubleshooting, see [VPC Service Controls\nTroubleshooting](/vpc-service-controls/docs/troubleshooting)."]]
