Configurar o VPC Service Controls para transferências do sistema de arquivos

O Serviço de transferência do Cloud Storage oferece suporte a transferências locais para buckets do Cloud Storage protegidos pelo VPC Service Controls, nas seguintes condições:

  • Criar uma transferência com a API do Serviço de transferência do Cloud Storage protege todos os dados transferidos.

  • Criar uma transferência com o Console do Google Cloud protege apenas o conteúdo do arquivo. Os metadados, como nomes e tamanhos de arquivos, não são protegidos.

Neste guia, descrevemos a configuração necessária para usar o Serviço de transferência do Cloud Storage e fazer a transferência para buckets do Cloud Storage em perímetros de segurança.

Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.

Para informações sobre como usar o VPC Service Controls com o serviço de transferência do Cloud Storage, consulte a seção Como usar o serviço de transferência do Cloud Storage com VPC Service Controls.

Pré-requisitos

Para usar o Storage Transfer Service com o VPC Service Controls, os itens a seguir precisam estar localizados no mesmo perímetro de serviço:

  • O projeto usado para criar jobs de transferência local
  • O bucket de destino do Cloud Storage

Configurações aceitas

Use um dos métodos a seguir para configurar os agentes de transferência para que funcionem com o VPC Service Controls:

  • Se os agentes de transferência precisarem permanecer fora do perímetro de serviço que contém o bucket do Cloud Storage e o projeto do Serviço de transferência do Cloud Storage, adicione os agentes a um nível de acesso.

    Esse método é mais fácil de configurar e permite que os agentes de transferência acessem os recursos do Google Cloud dentro e fora do perímetro de serviço.

  • Se for possível adicionar agentes de transferência ao perímetro de serviço que contém o bucket do Cloud Storage e o projeto do Serviço de transferência do Cloud Storage, configure o acesso privado do Google com o VPC Service Controls para a rede local usada por agentes de transferência.

    Esse método exige mais etapas e os agentes de transferência acessam apenas os recursos do Google Cloud no perímetro de serviço.

Como adicionar agentes a um nível de acesso

Para adicionar agentes de transferência a um nível de acesso:

  1. Determine como você adicionará agentes a um nível de acesso: por endereço IP ou por contas de serviço.

  2. Adicione os agentes a um nível de acesso:

Como usar o acesso privado do Google com o VPC Service Controls

Siga estas etapas para usar o acesso privado do Google com o VPC Service Controls:

  1. Crie um perímetro de serviço para restringir:

    • o Cloud Storage;
    • o Pub/Sub;
    • Serviço de transferência do Cloud Storage
  2. Configure o acesso privado do Google para hosts locais.

  3. Crie jobs de transferência em um projeto que esteja dentro do perímetro de serviço. Isso garante que os recursos do Pub/Sub estejam dentro do perímetro de serviço e, portanto, sejam acessados pelos agentes de transferência.

Solução de problemas

Para corrigir erros, consulte Como solucionar problemas do VPC Service Controls.