O Serviço de transferência do Cloud Storage oferece suporte a transferências locais para buckets do Cloud Storage protegidos pelo VPC Service Controls, nas seguintes condições:
Criar uma transferência com a API do Serviço de transferência do Cloud Storage protege todos os dados transferidos.
Criar uma transferência com o Console do Google Cloud protege apenas o conteúdo do arquivo. Os metadados, como nomes e tamanhos de arquivos, não são protegidos.
Neste guia, descrevemos a configuração necessária para usar o Serviço de transferência do Cloud Storage e fazer a transferência para buckets do Cloud Storage em perímetros de segurança.
Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
Para informações sobre como usar o VPC Service Controls com o serviço de transferência do Cloud Storage, consulte a seção Como usar o serviço de transferência do Cloud Storage com VPC Service Controls.
Pré-requisitos
Para usar o Storage Transfer Service com o VPC Service Controls, os itens a seguir precisam estar localizados no mesmo perímetro de serviço:
- O projeto usado para criar jobs de transferência local
- O bucket de destino do Cloud Storage
Configurações aceitas
Use um dos métodos a seguir para configurar os agentes de transferência para que funcionem com o VPC Service Controls:
Se os agentes de transferência precisarem permanecer fora do perímetro de serviço que contém o bucket do Cloud Storage e o projeto do Serviço de transferência do Cloud Storage, adicione os agentes a um nível de acesso.
Esse método é mais fácil de configurar e permite que os agentes de transferência acessem os recursos do Google Cloud dentro e fora do perímetro de serviço.
Se for possível adicionar agentes de transferência ao perímetro de serviço que contém o bucket do Cloud Storage e o projeto do Serviço de transferência do Cloud Storage, configure o acesso privado do Google com o VPC Service Controls para a rede local usada por agentes de transferência.
Esse método exige mais etapas e os agentes de transferência acessam apenas os recursos do Google Cloud no perímetro de serviço.
Como adicionar agentes a um nível de acesso
Para adicionar agentes de transferência a um nível de acesso:
Determine como você adicionará agentes a um nível de acesso: por endereço IP ou por contas de serviço.
Adicione os agentes a um nível de acesso:
Para adicionar endereços IP dos agentes a um nível de acesso, siga as instruções em Limitar acesso em uma rede corporativa.
Para adicionar a conta de serviço dos agentes a um nível de acesso, siga as instruções em Limitar acesso por usuário ou conta de serviço.
Como usar o acesso privado do Google com o VPC Service Controls
Siga estas etapas para usar o acesso privado do Google com o VPC Service Controls:
Crie um perímetro de serviço para restringir:
- Cloud Storage
- Serviço de transferência do Cloud Storage
Crie jobs de transferência em um projeto que esteja dentro do perímetro de serviço.
Solução de problemas
Para corrigir erros, consulte Como solucionar problemas do VPC Service Controls.