Le service de transfert de stockage accepte les transferts sur site vers des buckets Cloud Storage protégés par VPC Service Controls, dans les conditions suivantes:
La création d'un transfert avec l'API du service de transfert de stockage protège toutes les données transférées.
La création d'un transfert avec Google Cloud Console ne protège que le contenu des fichiers. Les métadonnées des fichiers, telles que leurs noms et leurs tailles, ne sont pas protégées.
Ce guide décrit la configuration nécessaire pour utiliser le service de transfert de stockage pour les transferts vers des buckets Cloud Storage situés dans des périmètres de sécurité.
Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.
Pour plus d'informations sur l'utilisation de VPC Service Controls avec le service de transfert de stockage, consultez la page Utiliser le service de transfert de stockage avec VPC Service Controls.
Prérequis
Pour utiliser le service de transfert de stockage avec VPC Service Controls, les éléments suivants doivent être situés dans le même périmètre de service:
- Le projet utilisé pour créer les tâches de transfert sur site
- Le bucket Cloud Storage de destination
Configurations compatibles
Utilisez l'une des méthodes suivantes pour configurer les agents de transfert de sorte qu'ils fonctionnent avec VPC Service Controls:
Si les agents de transfert doivent rester en dehors du périmètre de service contenant votre bucket Cloud Storage et votre projet de service de transfert de stockage, ajoutez les agents à un niveau d'accès.
Cette méthode est plus facile à configurer et permet aux agents de transfert d'accéder aux ressources Google Cloud au sein et en dehors du périmètre de service.
Si des agents de transfert peuvent être ajoutés au périmètre de service contenant votre bucket Cloud Storage et votre projet de service de transfert de stockage, configurez l'accès privé à Google avec VPC Service Controls pour le réseau sur site utilisé par les agents de transfert.
Cette méthode nécessite des étapes supplémentaires et les agents de transfert ne peuvent accéder qu'aux ressources Google Cloud au sein du périmètre du service.
Ajouter des agents à un niveau d'accès
Pour ajouter des agents de transfert à un niveau d'accès:
Déterminez comment vous allez ajouter des agents à un niveau d'accès : par adresse IP ou par compte de service.
Ajoutez les agents à un niveau d'accès :
Pour ajouter les adresses IP des agents à un niveau d'accès, suivez les instructions de la section Limiter l'accès sur un réseau d'entreprise.
Pour ajouter les comptes de service des agents à un niveau d'accès, suivez les instructions de la section Limiter l'accès par utilisateur ou compte de service.
Utiliser l'accès privé à Google avec VPC Service Controls
Pour utiliser l'accès privé à Google avec VPC Service Controls :
Créez un périmètre de service pour restreindre les services suivants :
- Cloud Storage
- Service de transfert de stockage
Créez des tâches de transfert dans un projet situé dans le périmètre de service.
Dépannage
Pour résoudre les erreurs, consultez la section Résoudre les erreurs liées à VPC Service Controls.