Storage 移轉服務支援傳輸至受 VPC Service Controls 保護的 Cloud Storage 值區。
Storage 移轉服務需要存取 Cloud Storage 值區,才能將資料移入 Cloud Storage 值區,或是在 Cloud Storage 值區之間移動資料。如果您的值區位於 VPC Service Controls 服務範圍內,就必須進行額外設定,才能使用 Storage 移轉服務將資料傳輸至 Cloud Storage。
如要保護 TransferJob 和 TransferOperation 要求,您可以將 Storage 移轉服務 API 新增為服務範圍的受保護服務。如要保護底層 Cloud Storage 值區和物件,您還需要將 Cloud Storage API 新增為服務範圍的受保護服務。
如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
如要瞭解如何搭配使用 VPC Service Controls 與檔案系統移轉作業,請參閱「為檔案系統移轉作業設定 VPC Service Controls」。
支援的設定
您可以透過下列方法,設定 Storage 移轉服務與受 VPC Service Controls 保護的 Cloud Storage 值區搭配運作:
如符合下列任一條件,您可以將 Storage 移轉服務專案新增至 Cloud Storage 值區的服務範圍:
- 您可以在單一服務範圍內設定 Cloud Storage 值區。
- 所有 Cloud Storage 值區都位於相同的服務範圍內。
這個選項最容易設定及管理。
如符合下列任一條件,請建立邊界橋接,連結所有包含您在轉移作業中使用的 Cloud Storage 值區的專案:
- 您無法變更 Cloud Storage 值區的服務範圍。
- 您有位於不同服務範圍的 Cloud Storage 值區。
這個選項可讓 Storage 移轉服務專案在 Cloud Storage 專案之間轉移資料,即使兩個專案位於不同的服務範圍內也沒問題。這個選項還可確保 Cloud Storage 值區邊界只能由受限的服務和資源存取。
如符合下列任一情況,請將 Storage 移轉服務服務帳戶新增至存取層級:
- Storage 移轉服務專案不在 Cloud Storage 值區的服務範圍內。
您的服務帳戶不符合
project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com格式,即使服務帳戶屬於邊界內的專案也是如此。如要查看服務帳戶的格式,請使用
googleServiceAccounts.getAPI 呼叫。
這個選項不需要將 Storage 移轉服務專案放在服務範圍內。您也可以設定存取層級,只允許 Storage 移轉服務服務帳戶提出要求。
service perimeter
如要使用服務範圍,請按照「建立服務範圍」中的操作說明,加入下列專案和服務:
TransferJob專案- Cloud Storage 值區專案
- Cloud Storage API (storage.googleapis.com)
- Storage Transfer Service API (storagetransfer.googleapis.com)
重疊範圍
如何使用重疊範圍:
存取層級
如要使用存取層級,請按照「建立存取層級」一文中的操作說明,將存取權授予 TransferJob 服務帳戶。
建立存取層級後,請將存取層級新增至服務範圍,限制存取含有 Cloud Storage 值區的 Google Cloud 專案。
疑難排解
如需疑難排解說明,請參閱「VPC Service Controls 疑難排解」。