Configurer VPC Service Controls pour les transferts de système de fichiers

Le service de transfert de stockage accepte les transferts sur site vers des buckets Cloud Storage protégés par VPC Service Controls, dans les conditions suivantes:

  • La création d'un transfert avec l'API du service de transfert de stockage protège toutes les données transférées.

  • La création d'un transfert avec Google Cloud Console ne protège que le contenu des fichiers. Les métadonnées des fichiers, telles que leurs noms et leurs tailles, ne sont pas protégées.

Ce guide décrit la configuration nécessaire pour utiliser le service de transfert de stockage pour les transferts vers des buckets Cloud Storage situés dans des périmètres de sécurité.

Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Pour plus d'informations sur l'utilisation de VPC Service Controls avec le service de transfert de stockage, consultez la page Utiliser le service de transfert de stockage avec VPC Service Controls.

Prérequis

Pour utiliser le service de transfert de stockage avec VPC Service Controls, les éléments suivants doivent être situés dans le même périmètre de service:

  • Le projet utilisé pour créer les tâches de transfert sur site
  • Le bucket Cloud Storage de destination

Configurations compatibles

Utilisez l'une des méthodes suivantes pour configurer les agents de transfert de sorte qu'ils fonctionnent avec VPC Service Controls:

  • Si les agents de transfert doivent rester en dehors du périmètre de service contenant votre bucket Cloud Storage et votre projet de service de transfert de stockage, ajoutez les agents à un niveau d'accès.

    Cette méthode est plus facile à configurer et permet aux agents de transfert d'accéder aux ressources Google Cloud au sein et en dehors du périmètre de service.

  • Si des agents de transfert peuvent être ajoutés au périmètre de service contenant votre bucket Cloud Storage et votre projet de service de transfert de stockage, configurez l'accès privé à Google avec VPC Service Controls pour le réseau sur site utilisé par les agents de transfert.

    Cette méthode nécessite des étapes supplémentaires et les agents de transfert ne peuvent accéder qu'aux ressources Google Cloud au sein du périmètre du service.

Ajouter des agents à un niveau d'accès

Pour ajouter des agents de transfert à un niveau d'accès:

  1. Déterminez comment vous allez ajouter des agents à un niveau d'accès : par adresse IP ou par compte de service.

  2. Ajoutez les agents à un niveau d'accès :

Utiliser l'accès privé à Google avec VPC Service Controls

Pour utiliser l'accès privé à Google avec VPC Service Controls :

  1. Créez un périmètre de service pour restreindre les services suivants :

    • Cloud Storage
    • Pub/Sub
    • Service de transfert de stockage
  2. Configurez l'accès privé à Google pour les hôtes sur site.

  3. Créez des tâches de transfert dans un projet situé dans le périmètre de service. Cela permet de garantir que les ressources Pub/Sub se trouvent dans le périmètre de service et sont donc accessibles par les agents de transfert.

Dépannage

Pour résoudre les erreurs, consultez la section Résoudre les erreurs liées à VPC Service Controls.