O Serviço de transferência do Cloud Storage oferece suporte a transferências locais para buckets do Cloud Storage protegidos pelo VPC Service Controls, nas seguintes condições:
Criar uma transferência com a API do Serviço de transferência do Cloud Storage protege todos os dados transferidos.
Criar uma transferência com o Console do Google Cloud protege apenas o conteúdo do arquivo. Os metadados, como nomes e tamanhos de arquivos, não são protegidos.
Neste guia, descrevemos a configuração necessária para usar o Serviço de transferência do Cloud Storage e fazer a transferência para buckets do Cloud Storage em perímetros de segurança.
Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
Para informações sobre como usar o VPC Service Controls com o serviço de transferência do Cloud Storage, consulte a seção Como usar o serviço de transferência do Cloud Storage com VPC Service Controls.
Pré-requisitos
Para usar o Storage Transfer Service com o VPC Service Controls, os itens a seguir precisam estar localizados no mesmo perímetro de serviço:
- O projeto usado para criar jobs de transferência local
- O bucket de destino do Cloud Storage
Configurações aceitas
Use um dos métodos a seguir para configurar os agentes de transferência para que funcionem com o VPC Service Controls:
Se os agentes de transferência precisarem permanecer fora do perímetro de serviço que contém o bucket do Cloud Storage e o projeto do Serviço de transferência do Cloud Storage, adicione os agentes a um nível de acesso.
Esse método é mais fácil de configurar e permite que os agentes de transferência acessem os recursos do Google Cloud dentro e fora do perímetro de serviço.
Se for possível adicionar agentes de transferência ao perímetro de serviço que contém o bucket do Cloud Storage e o projeto do Serviço de transferência do Cloud Storage, configure o acesso privado do Google com o VPC Service Controls para a rede local usada por agentes de transferência.
Esse método exige mais etapas e os agentes de transferência acessam apenas os recursos do Google Cloud no perímetro de serviço.
Como adicionar agentes a um nível de acesso
Para adicionar agentes de transferência a um nível de acesso:
Determine como você adicionará agentes a um nível de acesso: por endereço IP ou por contas de serviço.
Adicione os agentes a um nível de acesso:
Para adicionar endereços IP dos agentes a um nível de acesso, siga as instruções em Limitar acesso em uma rede corporativa.
Para adicionar a conta de serviço dos agentes a um nível de acesso, siga as instruções em Limitar acesso por usuário ou conta de serviço.
Como usar o acesso privado do Google com o VPC Service Controls
Siga estas etapas para usar o acesso privado do Google com o VPC Service Controls:
Crie um perímetro de serviço para restringir:
- o Cloud Storage;
- o Pub/Sub;
- Serviço de transferência do Cloud Storage
Crie jobs de transferência em um projeto que esteja dentro do perímetro de serviço. Isso garante que os recursos do Pub/Sub estejam dentro do perímetro de serviço e, portanto, sejam acessados pelos agentes de transferência.
Solução de problemas
Para corrigir erros, consulte Como solucionar problemas do VPC Service Controls.