Storage Transfer Service unterstützt unter den folgenden Bedingungen lokale Übertragungen zu Cloud Storage-Buckets, die durch VPC Service Controls geschützt sind:
Wenn Sie eine Übertragung mit der Storage Transfer Service API erstellen, werden alle übertragenen Daten geschützt.
Beim Erstellen einer Übertragung mit der Google Cloud Console werden nur Dateiinhalte geschützt. Dateimetadaten wie Dateinamen und Dateigrößen werden nicht geschützt.
In diesem Leitfaden wird die Einrichtung beschrieben, die erforderlich ist, um Storage Transfer Service für die Übertragung an Cloud Storage-Buckets innerhalb von Sicherheitsbereichen zu verwenden.
Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.
Informationen zum Verwenden von VPC Service Controls mit dem Storage Transfer Service finden Sie unter Storage Transfer Service mit VPC Service Controls verwenden.
Vorbereitung
Wenn Sie Storage Transfer Service mit VPC Service Controls verwenden möchten, müssen sich die folgenden Elemente im selben Dienstperimeter befinden:
- Das Projekt, mit dem lokale Übertragungsjobs erstellt werden
- Der Ziel-Bucket von Cloud Storage
Unterstützte Konfigurationen
Verwenden Sie eine der folgenden Methoden, um Übertragungs-Agents für VPC Service Controls zu konfigurieren:
Wenn Übertragungs-Agents außerhalb des Dienstperimeters bleiben müssen, der Ihren Cloud Storage-Bucket und das Storage Transfer Service-Projekt enthält, fügen Sie die Agents einer Zugriffsebene hinzu.
Diese Methode ist einfacher einzurichten und ermöglicht Übertragungs-Agents den Zugriff auf Google Cloud-Ressourcen innerhalb und außerhalb des Dienstperimeters.
Wenn Übertragungsagents zum Dienstperimeter hinzugefügt werden können, der Ihren Cloud Storage-Bucket und das Storage Transfer Service-Projekt enthält, konfigurieren Sie den privaten Google-Zugriff mit VPC Service Controls für das lokale Netzwerk, das von Übertragungs-Agents verwendet wird.
Für diese Methode sind weitere Schritte erforderlich und Übertragungs-Agents können nur auf die Google Cloud-Ressourcen innerhalb des Dienstperimeters zugreifen.
Agents zu einer Zugriffsebene hinzufügen
So fügen Sie einer Zugriffsebene Übertragungs-Agents hinzu:
Legen Sie fest, ob Sie die Agents nach IP-Adresse oder nach Dienstkonten zu einer Zugriffsebene hinzufügen:
Fügen Sie die Agents einer Zugriffsebene hinzu:
Folgen Sie der Anleitung unter Zugriff auf ein Unternehmensnetzwerk beschränken, um IP-Adressen von Agents einer Zugriffsebene hinzuzufügen.
Folgen Sie der Anleitung Zugriff nach Nutzer oder Dienstkonto beschränken, um Dienstkonten von Agents zu einer Zugriffsebene hinzuzufügen.
Privaten Google-Zugriff mit VPC Service Controls verwenden
So verwenden Sie den privaten Google-Zugriff mit VPC Service Controls:
Erstellen Sie einen Dienstperimeter, um die folgenden Dienste zu beschränken:
- Cloud Storage
- Storage Transfer Service
Konfigurieren Sie den privaten Google-Zugriff für lokale Hosts.
Erstellen Sie Übertragungsjobs in einem Projekt, das sich innerhalb des Dienstperimeters befindet.
Fehlerbehebung
Informationen zur Fehlerbehebung finden Sie unter Fehler in VPC Service Controls beheben.