データソースとデータシンクへのアクセスの構成

このページでは、Storage Transfer Service を使用するデータ転送に、データソースとデータシンクへのアクセス権を設定する方法について説明します。

要件

サービスアカウントの権限は、バケットレベルで付与されます。これらの権限をサービスアカウントに付与する権限が必要です。

ソースバケットと宛先バケットの roles/storage.legacyBucketReader。
宛先バケットか、ソースファイルを削除する場合はソースの roles/storage.objectAdmin。
ソースファイルを削除しない場合、ソースの roles/storage.objectViewer。

移管用 Pub/Sub を使用する予定がある場合、必要とする Pub/Sub トピックの IAM ロール roles/pubsub.publisher をサービスアカウントに付与します。

データソースへのアクセスの設定

Google Cloud Storage

Cloud Storage データソースへのアクセスを設定するには、Storage Transfer Service 権限に関連付けられたサービスアカウントにソースへのアクセスを許可する必要があります。

サービスアカウントに使用するメールアドレスを取得します。
1. googleServiceAccounts.get メソッドページの [この API を試す] セクションを使用します。
2. projectID フィールドに、転送ジョブを作成するプロジェクトの ID を入力します。
3. [実行] ボタンをクリックします。
4. 表示されるレスポンスで、accountEmail の値を見つけてコピーします。
  
  メールの値の形式は次のようになります。project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com
このサービスアカウントのメールに、データにアクセスするために必要な役割を付与します。

基本転送ジョブの場合、ストレージオブジェクト閲覧者の役割を使用すると、サービスアカウントに必要な権限を付与できます。高度なデータ転送については、Storage Transfer Service の IAM 権限をご覧ください。

バケットの役割を付与する詳しい手順については、バケットレベルのポリシーにメンバーを追加するをご覧ください。

注: Cloud Storage バケットで Cloud Key Management Service を有効にしている場合、Storage Transfer Service を使用するために追加の設定は必要ありません。詳細については、顧客管理の暗号鍵の使用をご覧ください。

Amazon S3

次の手順で、Amazon S3 バケットへのアクセスを設定します。

AWS Identity and Access Management（AWS IAM）ユーザーを、transfer-user などのわかりやすい名前で作成します。名前が AWS IAM ユーザー名のガイドラインに従っていることを確認します（IAM エンティティとオブジェクトの制限についての記事をご覧ください）。
AWS IAM ユーザーが、次のことを行うことができるようにします。
- Amazon S3 バケットの一覧を表示する
- バケットのロケーションを取得する
- バケット内のオブジェクトを読み取る
- （省略可）データの転送後に転送元のオブジェクトを削除する。オブジェクトの削除権限が必要になります。
設定する転送ジョブに、少なくとも 1 つのアクセスキーと秘密鍵のペアを作成します。転送ジョブごとにアクセスキーと秘密鍵のペアを個別に作成することもできます。
注: AWS アカウントのすべてのリソースにアクセスできる、アクセスキーとシークレットキーのペアを使用しないでください。
Amazon Glacier にアーカイブされているすべてのオブジェクトを復元します。Amazon Glacier にアーカイブされている Amazon S3 のオブジェクトには、復元するまでアクセスできません。詳細については、Amazon Glacier から Cloud Storage への移行に関するホワイトペーパーをご覧ください。

Microsoft Azure Blob Storage

注: Storage Transfer Service は現在、次の Microsoft Azure Storage リージョンからデータを転送できます。

南北アメリカ: 米国東部、米国東部 2、米国西部、米国西部 2、米国中北部、米国中南部、米国中西部、カナダ中部、カナダ東部、ブラジル南部
アジア太平洋: オーストラリア中部、オーストラリア東部、オーストラリア東南部、中央インド、南インド、西インド、東南アジア、東アジア、日本東部、日本西部、韓国南部、韓国中部
ヨーロッパ、中東、アフリカ（EMEA）: 南アフリカ北部、ノルウェー東部、スイス北部、北ヨーロッパ、西ヨーロッパ、英国南部、英国西部、フランス中央部、アラブ首長国連邦北部

Microsoft Azure Storage コンテナへのアクセスを構成するには、次の手順を実行します。

既存の Microsoft Azure Storage ユーザーを作成または使用して、Microsoft Azure Storage Blob コンテナのストレージアカウントにアクセスします。
コンテナレベルで SAS トークンを作成します。Shared Access Signature を使用した Azure Storage リソースへのアクセスの制限を付与するをご覧ください。
SAS トークンのデフォルトの有効期限は 8 時間です。SAS トークンを作成する際は、転送を正常に完了できるよう、適切な有効期限を設定してください。
注意: 基本のSAS トークンを取り消すことはできません。基本の SAS トークンを無効にする唯一の方法は、アカウントのストレージアクセスキーを削除することです。SAS トークンを無効にするポリシーを取り消すことができるように、保存されたアクセスポリシーから SAS トークンを作成することを強くおすすめします。詳細については、SAS を使用する場合のベストプラクティスをご覧ください。

注: SAS 鍵を作成する場合は、IP 制限を含めないでください。Storage Transfer Service ではさまざまな IP アドレスが使用され、IP アドレスの制限はサポートされていません。

URL リスト

データソースが URL リストの場合は、その URL リストの各オブジェクトが一般公開されていることを確認してください。

データシンクへのアクセスの設定

データ転送用のデータシンクは常に Cloud Storage バケットです。バケットをデータシンクとして使用するには、Storage Transfer Service 権限に関連付けられたサービスアカウントにシンクへのアクセスを許可する必要があります。

サービスアカウントに使用するメールアドレスを取得します。
1. googleServiceAccounts.get メソッドページの [この API を試す] セクションを使用します。
2. projectID フィールドに、転送ジョブを作成するプロジェクトの ID を入力します。
3. [実行] ボタンをクリックします。
4. 表示されるレスポンスで、accountEmail の値を見つけてコピーします。
  
  メールの値の形式は次のようになります。project-[$PROJECT_NUMBER]@storage-transfer-service.iam.gserviceaccount.com
このサービスアカウントのメールに、データの使用に必要な役割を付与します。

ストレージのレガシーバケット書き込み役割を使用すると、サービスアカウントに必要なすべての権限を付与できます。必要な権限の詳細については、Storage Transfer Service の IAM 権限をご覧ください。

バケットの役割を付与する詳しい手順については、バケットレベルのポリシーにメンバーを追加するをご覧ください。

注: Cloud Storage バケットで Cloud Key Management Service を有効にしている場合、Storage Transfer Service を使用するために追加の設定は必要ありません。詳細については、顧客管理の暗号鍵の使用をご覧ください。