VPC Service Controls für Übertragungen in Cloud-Objektspeicher konfigurieren

Storage Transfer Service unterstützt Übertragungen zu Cloud Storage-Buckets, die durch VPC Service Controls geschützt sind.

Storage Transfer Service benötigt Zugriff auf Cloud Storage-Buckets, um Daten in oder zwischen Cloud Storage-Buckets verschieben zu können. Wenn sich Buckets in einem VPC Service Controls-Dienstperimeter befinden, ist eine zusätzliche Einrichtung erforderlich, um mit Storage Transfer Service Daten an Cloud Storage zu übertragen.

Zum Schutz Ihrer TransferJob- und TransferOperation-Anfragen können Sie die Storage Transfer Service API als geschützten Dienst zu Ihren Dienstperimetern hinzufügen. Hierbei müssen Sie auch die Cloud Storage API als geschützten Dienst zu Ihrem Dienstperimeter hinzufügen, um die zugrunde liegenden Cloud Storage-Buckets und -Objekte zu schützen.

Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.

Informationen zum Verwenden von VPC Service Controls mit Dateisystemübertragungen finden Sie unter VPC Service Controls für Dateisystemübertragungen konfigurieren

Unterstützte Konfigurationen

Sie können den Storage Transfer Service so konfigurieren, dass er mit Cloud Storage-Buckets arbeitet, die durch VPC Service Controls geschützt sind. Hierfür können Sie folgende Methoden nutzen:

  • Sie können Ihr Storage Transfer Service-Projekt in den Dienstperimeter Ihrer Cloud Storage-Buckets einfügen, wenn eine der folgenden Bedingungen zutrifft:

    • Sie können Ihre Cloud Storage-Buckets innerhalb eines einzelnen Dienstperimeters konfigurieren.
    • Alle Cloud Storage-Buckets befinden sich im selben Dienstperimeter.

    Das ist die einfachste Option für die Einrichtung und Verwaltung.

  • Erstellen Sie eine Perimeter-Bridge für alle Projekte, die die Cloud Storage-Buckets enthalten, welche Sie in einer Übertragung verwenden, wenn einer der folgenden Punkte zutrifft:

    • Sie können die Dienstperimeter von Cloud Storage-Buckets nicht ändern.
    • Sie haben Cloud Storage-Buckets in verschiedenen Dienstperimetern.

    Mit dieser Option kann das Storage Transfer Service-Projekt Daten zwischen den Cloud Storage-Projekten übertragen, auch wenn sich die Projekte in unterschiedlichen Dienstperimetern befinden. Mit dieser Option wird außerdem sichergestellt, dass der Zugriff auf die Cloud Storage-Bucket-Perimeter über eine eingeschränkte Gruppe von Diensten und Ressourcen erfolgt.

  • Fügen Sie das Storage Transfer Service-Dienstkonto einer Zugriffsebene hinzu, falls einer der folgenden Punkte zutrifft:

    • Ihr Storage Transfer Service-Projekt befindet sich außerhalb des Dienstperimeters Ihres Cloud Storage-Buckets
    • Ihr Dienstkonto hat nicht das Format project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com, obwohl es zu einem Projekt innerhalb eines Perimeters gehört

      Das Format Ihres Dienstkontos finden Sie mit dem API-Aufruf googleServiceAccounts.get.

    Bei dieser Option müssen Sie das Storage Transfer Service-Projekt nicht innerhalb eines Dienstperimeters speichern. Außerdem können Sie die Zugriffsebene so konfigurieren, dass nur Anfragen vom Storage Transfer Service-Dienstkonto zugelassen werden.

Dienstperimeter

Wenn Sie einen Dienstperimeter verwenden möchten, folgen Sie der Anleitung unter Dienst erstellen Perimeter folgenden Projekten und Diensten:

  • Das Projekt TransferJob
  • Cloud Storage-Bucket-Projekte
  • Cloud Storage API (storage.googleapis.com)
  • Storage Transfer Service API (storageagetransfer.googleapis.com)

Perimeter-Bridge

So verwenden Sie eine Perimeter-Bridge:

  1. Erstellen Sie einen Dienstperimeter für den Storage Transfer Service.

  2. Erstellen Sie eine Perimeter-Bridge, um Folgendes zu verbinden:

    • Das Projekt TransferJob
    • Cloud Storage-Bucket-Projekte

Zugriffsebene

Wenn Sie eine Zugriffsebene verwenden möchten, folgen Sie der Anleitung unter Zugriffsebene erstellen, um dem Dienstkonto TransferJob Zugriff zu gewähren.

Nachdem Sie Ihre Zugriffsebene erstellt haben, fügen Sie die Zugriffsebene zu Ihrem Dienstperimeter hinzu, der den Zugriff auf die Google Cloud-Projekte beschränkt, die Ihre Cloud Storage-Buckets enthalten.

Fehlerbehebung

Hilfe zur Fehlerbehebung finden Sie unter Fehlerbehebung für VPC Service Controls.