Storage Transfer Service unterstützt lokale Übertragungen zu Cloud Storage-Buckets, die durch VPC Service Controls geschützt sind, unter den folgenden Bedingungen:
Wenn Sie eine Übertragung mit der Storage Transfer Service API erstellen, werden alle übertragenen Daten geschützt.
Beim Erstellen einer Übertragung mit der Google Cloud Console werden nur Dateiinhalte geschützt. Dateimetadaten wie Dateinamen und Dateigrößen werden nicht geschützt.
In dieser Anleitung wird die Einrichtung erläutert, die für die Verwendung des Storage Transfer Service zu Cloud Storage-Buckets innerhalb von Sicherheitsbereichen erforderlich ist.
Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.
Informationen zum Verwenden von VPC Service Controls mit dem Storage Transfer Service finden Sie unter Storage Transfer Service mit VPC Service Controls verwenden.
Vorbereitung
Damit Sie den Storage Transfer Service mit VPC Service Controls verwenden können, müssen sich die folgenden Elemente im selben Dienstperimeter befinden:
- Das Projekt, mit dem lokale Übertragungsjobs erstellt werden
- Der Ziel-Bucket von Cloud Storage
Unterstützte Konfigurationen
Mit einer der folgenden Methoden können Sie Übertragungs-Agents so konfigurieren, dass sie mit VPC Service Controls funktionieren:
Wenn Übertragungs-Agents außerhalb des Dienstperimeters bleiben müssen, der Ihren Cloud Storage-Bucket und das Storage Transfer Service-Projekt enthält, fügen Sie die Agenten einer Zugriffsebene hinzu.
Diese Methode ist einfacher einzurichten und gewährt Kundenservicemitarbeitern Zugriff auf Google Cloud-Ressourcen innerhalb und außerhalb des Dienstperimeters.
Wenn Übertragungsagents zum Dienstperimeter hinzugefügt werden können, der Ihren Cloud Storage-Bucket und das Storage Transfer Service-Projekt enthält, konfigurieren Sie den privaten Google-Zugriff mit VPC Service Controls für das lokale Netzwerk, das von Übertragungs-Agents verwendet wird.
Diese Methode erfordert weitere Konfigurationsschritte und Kundenservicemitarbeiter für die Weiterleitung können in diesem Fall nur auf die Google Cloud-Ressourcen innerhalb des Dienstperimeters zugreifen.
Agents zu einer Zugriffsebene hinzufügen
So fügen Sie einer Zugriffsebene Übergabe-Agents hinzu:
Legen Sie fest, ob Sie die Agents nach IP-Adresse oder nach Dienstkonten zu einer Zugriffsebene hinzufügen:
Fügen Sie die Agents einer Zugriffsebene hinzu:
Folgen Sie der Anleitung unter Zugriff auf ein Unternehmensnetzwerk beschränken, um IP-Adressen von Agents einer Zugriffsebene hinzuzufügen.
Folgen Sie der Anleitung Zugriff nach Nutzer oder Dienstkonto beschränken, um Dienstkonten von Agents zu einer Zugriffsebene hinzuzufügen.
Privaten Google-Zugriff mit VPC Service Controls verwenden
So verwenden Sie den privaten Google-Zugriff mit VPC Service Controls:
Erstellen Sie einen Dienstperimeter, um die folgenden Dienste zu beschränken:
- Cloud Storage
- Storage Transfer Service
Konfigurieren Sie den privaten Google-Zugriff für lokale Hosts.
Erstellen Sie Übertragungsjobs in einem Projekt, das sich innerhalb des Dienstperimeters befindet.
Fehlerbehebung
Informationen zur Fehlerbehebung finden Sie unter Fehler in VPC Service Controls beheben.