Storage Transfer Service は、次の条件で、VPC Service Controls で保護されている Cloud Storage バケットへのオンプレミス転送をサポートしています。
Storage Transfer Service API を使用して転送を作成すると、転送されたすべてのデータが保護されます。
Google Cloud Console を使用して転送を作成すると、ファイルのコンテンツのみが保護されます。ファイル名やファイルサイズなどのファイル メタデータは保護されません。
このガイドでは、Storage Transfer Service を使用してセキュリティ境界内の Cloud Storage バケットに転送するために必要な設定について説明します。
VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
Storage Transfer Service と VPC Service Controls を使用する方法については、Storage Transfer Service と VPC Service Controls の使用をご覧ください。
前提条件
Storage Transfer Service を VPC Service Controls と一緒に使用するには、次のアイテムを同じサービス境界内に配置する必要があります。
- オンプレミス転送ジョブの作成に使用されたプロジェクト
- 転送先の Cloud Storage バケット
サポートされている構成
VPC Service Controls と連携するように転送エージェントを構成するには、次のいずれかの方法を使用します。
転送エージェントを Cloud Storage バケットと Storage Transfer Service プロジェクトを含むサービス境界外に配置する必要がある場合は、エージェントをアクセスレベルに追加します。
この方法は設定が簡単で、転送エージェントにサービス境界内外の Google Cloud リソースへのアクセスを許可します。
Cloud Storage バケットと Storage Transfer Service プロジェクトを含むサービス境界に転送エージェントを追加できる場合は、転送エージェントで使用されるオンプレミス ネットワークに対して VPC Service Controls を使用した限定公開の Google アクセスを構成します。
この方法で行うには、さらに多くの手順が必要です。また、転送エージェントはサービス境界内の Google Cloud リソースにのみアクセスできます。
エージェントのアクセスレベルへの追加
アクセスレベルに転送エージェントを追加するには:
エージェントをアクセスレベルに追加する方法を IP アドレスまたはサービス アカウントごとに決定します。
エージェントをアクセスレベルに追加します。
エージェントの IP アドレスをアクセスレベルに追加するには、企業ネットワークへのアクセスを制限するの手順をご覧ください。
エージェントのサービス アカウントをアクセスレベルに追加するには、ユーザーまたはサービス アカウントによるアクセスを制限するの手順を行います。
VPC Service Controls を使用した限定公開の Google アクセスの使用
VPC Service Controls を使用した限定公開の Google アクセスを使用するには、次のようにします。
トラブルシューティング
エラーのトラブルシューティングについては、VPC Service Controls のエラーのトラブルシューティングをご覧ください。