Storage Transfer Service supporta i trasferimenti ai bucket Cloud Storage protetti dai Controlli di servizio VPC.
Storage Transfer Service richiede l'accesso ai bucket Cloud Storage per spostare i dati all'interno o tra i bucket Cloud Storage. Se hai bucket all'interno di un perimetro di servizio Controlli di servizio VPC, è necessaria una configurazione aggiuntiva per utilizzare Storage Transfer Service per trasferire dati in Cloud Storage.
Per proteggere le tue richieste TransferJob e
TransferOperation, puoi
aggiungere l'API Storage Transfer Service come servizio protetto ai tuoi perimetri di servizio.
Per proteggere i bucket e gli oggetti Cloud Storage sottostanti, devi anche aggiungere l'API Cloud Storage come servizio protetto al perimetro di servizio.
Per ulteriori informazioni sui Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC.
Per informazioni sull'utilizzo dei Controlli di servizio VPC con i trasferimenti del file system, consulta Configurare i Controlli di servizio VPC per i trasferimenti del file system.
Configurazioni supportate
Puoi configurare Storage Transfer Service in modo che funzioni con i bucket Cloud Storage protetti dai Controlli di servizio VPC con i seguenti metodi:
Puoi aggiungere il tuo progetto Storage Transfer Service al perimetro di servizio dei bucket Cloud Storage se si verifica una delle seguenti condizioni:
- Puoi configurare i bucket Cloud Storage all'interno di un singolo perimetro di servizio.
- Tutti i tuoi bucket Cloud Storage si trovano all'interno dello stesso perimetro di servizio.
Questa è l'opzione più semplice da configurare e gestire.
Crea un bridge di perimetro per tutti i progetti che contengono i bucket Cloud Storage che utilizzi in un trasferimento, se si verifica una delle seguenti condizioni:
- Non puoi modificare i perimetri di servizio dei bucket Cloud Storage.
- I tuoi bucket Cloud Storage si trovano in perimetri di servizio diversi.
Questa opzione consente al progetto Storage Transfer Service di trasferire i dati tra i progetti Cloud Storage, anche se entrambi i progetti si trovano in perimetri di servizio diversi. Questa opzione garantisce inoltre che l'accesso ai perimetri bucket Cloud Storage provenga da un insieme limitato di servizi e risorse.
Aggiungi l'account di servizio Storage Transfer Service a un livello di accesso se una delle seguenti condizioni si applica al tuo caso:
- Il progetto Storage Transfer Service si trova al di fuori del perimetro di servizio del bucket Cloud Storage.
Il tuo account di servizio non rientra nel modulo
project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com, anche se appartiene a un progetto all'interno di un perimetro.Per trovare il formato dell'account di servizio, utilizza la chiamata API
googleServiceAccounts.get.
Questa opzione non richiede di collocare il progetto Storage Transfer Service all'interno di un perimetro di servizio. Consente inoltre di configurare il livello di accesso in modo da consentire solo le richieste dall'account di servizio Storage Transfer Service.
Perimetro di servizio
Per utilizzare un perimetro di servizio, segui le istruzioni riportate in Creare un perimetro di servizio per includere i seguenti progetti e servizi:
- Il progetto
TransferJob - Progetti dei bucket Cloud Storage
- API Cloud Storage (storage.googleapis.com)
- API Storage Transfer Service (storagetransfer.googleapis.com)
Bridge del perimetro
Per utilizzare un bridge del perimetro:
Crea un perimetro di servizio per Storage Transfer Service.
Crea un bridge del perimetro per connettere:
- Il progetto
TransferJob - Progetti dei bucket Cloud Storage
- Il progetto
Livello di accesso
Per utilizzare un livello di accesso, segui le istruzioni in Creazione di un livello di accesso per concedere l'accesso all'account di servizio TransferJob.
Dopo aver creato il livello di accesso, aggiungi il livello di accesso al perimetro di servizio che limita l'accesso ai progetti Google Cloud contenenti i tuoi bucket Cloud Storage.
Risoluzione dei problemi
Per assistenza nella risoluzione dei problemi, consulta Risoluzione dei problemi relativi ai controlli di servizio VPC.