El Servicio de transferencia de almacenamiento es compatible con transferencias locales a depósitos de Cloud Storage protegidos por los Controles del servicio de VPC, en las siguientes condiciones:
Crear una transferencia con la API del Servicio de transferencia de almacenamiento protege todos los datos transferidos.
Crear una transferencia con Google Cloud Console solo protege el contenido de los archivos. Los metadatos de archivos, como los nombres y los tamaños de archivo, no están protegidos.
En esta guía se describe la configuración necesaria para usar el Servicio de transferencia de almacenamiento a fin de transferir a buckets de Cloud Storage dentro de perímetros de seguridad.
Consulta Descripción general de los Controles del servicio de VPC para obtener más información sobre estos.
Para obtener información sobre el uso de los Controles del servicio de VPC con el Servicio de transferencia de almacenamiento, consulta Usa el Servicio de transferencia de almacenamiento con los Controles del servicio de VPC.
Requisitos previos
Para usar el Servicio de transferencia de almacenamiento con los Controles del servicio de VPC, los siguientes elementos deben ubicarse dentro del mismo perímetro de servicio:
- El proyecto que se usó para crear trabajos de transferencia locales
- El bucket de destino de Cloud Storage
Configuraciones admitidas
Usa cualquiera de los siguientes métodos a fin de configurar agentes de transferencia para que funcionen con los Controles del servicio de VPC:
Si los agentes de transferencia deben permanecer fuera del perímetro de servicio que contiene tu bucket de Cloud Storage y el proyecto del Servicio de transferencia de almacenamiento, agrega los agentes a un nivel de acceso.
Este método es más fácil de configurar y permite que los agentes de transferencia accedan a los recursos de Google Cloud dentro y fuera del perímetro de servicio.
Si se pueden agregar agentes de transferencia al perímetro de servicio que contiene tu depósito de Cloud Storage y el proyecto del Servicio de transferencia de almacenamiento, configura el Acceso privado a Google con los Controles del servicio de VPC para el red local que usan los agentes de transferencia.
Este método requieren más pasos para completarse y los agentes de transferencia solo pueden acceder a los recursos de Google Cloud dentro del perímetro de servicio.
Agrega agentes a un nivel de acceso
Para agregar agentes de transferencia a un nivel de acceso, haz lo siguiente:
Determina cómo agregarás agentes a un nivel de acceso: por dirección IP o por cuentas de servicio.
Agrega los agentes a un nivel de acceso:
Para agregar las direcciones IP de los agentes a un nivel de acceso, sigue las instrucciones en Limita el acceso en una red corporativa.
Para agregar la cuenta de servicio de los agentes a un nivel de acceso, sigue las instrucciones en Limita el acceso por usuario o cuenta de servicio.
Usa el Acceso privado a Google con Controles del servicio de VPC
Para usar el Acceso privado a Google con Controles del servicio de VPC, haz lo siguiente:
Crea un perímetro de servicio para restringir los siguientes servicios:
- Cloud Storage
- Pub/Sub
- Servicio de transferencia de almacenamiento
Crea trabajos de transferencia en un proyecto dentro del perímetro de servicio. De esta manera, te aseguras de que los recursos de Pub/Sub estén dentro del perímetro de servicio y, por lo tanto, los agentes de transferencia puedan acceder a ellos.
Soluciona problemas
Para solucionar errores, consulta Solución de problemas de los Controles del servicio de VPC.