ファイル システム転送用に VPC Service Controls を構成する

Storage Transfer Service は、次の条件で、VPC Service Controls で保護されている Cloud Storage バケットへのオンプレミス転送をサポートしています。

  • Storage Transfer Service API を使用して転送を作成すると、転送されたすべてのデータが保護されます。

  • Google Cloud コンソールを使用して転送を作成すると、ファイルのコンテンツのみが保護されます。ファイル名やファイルサイズなどのファイル メタデータは保護されません。

このガイドでは、Storage Transfer Service を使用してセキュリティ境界内の Cloud Storage バケットに転送するために必要な設定について説明します。

VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。

Storage Transfer Service と VPC Service Controls を使用する方法については、Storage Transfer Service と VPC Service Controls の使用をご覧ください。

前提条件

Storage Transfer Service を VPC Service Controls と一緒に使用するには、次のアイテムを同じサービス境界内に配置する必要があります。

  • オンプレミス転送ジョブの作成に使用されたプロジェクト
  • 転送先の Cloud Storage バケット

サポートされている設定

VPC Service Controls と連携するように転送エージェントを構成するには、次のいずれかの方法を使用します。

  • 転送エージェントを Cloud Storage バケットと Storage Transfer Service プロジェクトを含むサービス境界外に配置する必要がある場合は、エージェントをアクセスレベルに追加します。

    この方法は設定が簡単で、転送エージェントにサービス境界内外の Google Cloud リソースへのアクセスを許可します。

  • Cloud Storage バケットと Storage Transfer Service プロジェクトを含むサービス境界に転送エージェントを追加できる場合は、転送エージェントで使用されるオンプレミス ネットワークに対して VPC Service Controls を使用した限定公開の Google アクセスを構成します

    この方法で行うには、さらに多くの手順が必要です。また、転送エージェントはサービス境界内の Google Cloud リソースにのみアクセスできます。

エージェントのアクセスレベルへの追加

アクセスレベルに転送エージェントを追加するには:

  1. エージェントをアクセスレベルに追加する方法を IP アドレスまたはサービス アカウントごとに決定します。

  2. エージェントをアクセスレベルに追加します。

VPC Service Controls を使用した限定公開の Google アクセスの使用

VPC Service Controls を使用した限定公開の Google アクセスを使用するには、次のようにします。

  1. 次のサービスを制限するサービス境界を作成します。

    • Cloud Storage
    • Storage Transfer Service
  2. オンプレミス ホストの限定公開の Google アクセスを構成します。

  3. サービス境界内のプロジェクトで転送ジョブを作成します。

トラブルシューティング

エラーのトラブルシューティングについては、VPC Service Controls のエラーのトラブルシューティングをご覧ください。