클라우드 객체 스토리지 전송에 대한 VPC 서비스 제어 구성

Storage Transfer Service는 VPC 서비스 제어로 보호되는 Cloud Storage 버킷으로의 전송을 지원합니다.

Storage Transfer Service는 Cloud Storage 버킷으로 또는 버킷 간에 데이터를 이동하기 위해 Cloud Storage 버킷에 액세스해야 합니다. VPC 서비스 제어 서비스 경계 내에 버킷이 있는 경우 Storage Transfer Service를 사용하여 Cloud Storage로 데이터를 전송하려면 추가 설정이 필요합니다.

TransferJobTransferOperation 요청을 보호하려면 Storage Transfer Service API를 보호된 서비스로 서비스 경계에 추가하면 됩니다. 기본 Cloud Storage 버킷과 객체를 보호하려면 Cloud Storage API를 보호된 서비스로 서비스 경계에도 추가해야 합니다.

VPC 서비스 제어에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

파일 시스템 전송에 VPC 서비스 제어를 사용하는 방법에 대한 자세한 내용은 파일 시스템 전송에 대한 VPC 서비스 제어 구성을 참조하세요.

지원되는 구성

다음 방법을 사용하여 Storage Transfer Service가 VPC 서비스 제어로 보호되는 Cloud Storage 버킷에서 작동하도록 구성할 수 있습니다.

  • 다음 중 하나에 해당하는 경우 Storage Transfer Service 프로젝트를 Cloud Storage 버킷의 서비스 경계에 추가할 수 있습니다.

    • 단일 서비스 경계 내에서 Cloud Storage 버킷을 구성할 수 있습니다.
    • 모든 Cloud Storage 버킷은 같은 서비스 경계 내에 있습니다.

    설정 및 관리가 가장 쉬운 옵션입니다.

  • 다음 중 하나에 해당하는 경우 전송에서 사용 중인 Cloud Storage 버킷이 포함된 모든 프로젝트에 경계 브리지를 만듭니다.

    • Cloud Storage 버킷의 서비스 경계를 변경할 수 없습니다.
    • 서로 다른 서비스 경계에 Cloud Storage 버킷이 있습니다.

    이 옵션을 사용하면 두 프로젝트가 서로 다른 서비스 경계에 있더라도 Storage Transfer Service 프로젝트가 Cloud Storage 프로젝트 간에 데이터를 전송할 수 있습니다. 또한 Cloud Storage 버킷 경계에 대한 액세스가 제한된 서비스 및 리소스의 집합에서도 보장됩니다.

  • 다음 사항에 해당하는 경우 Storage Transfer Service 서비스 계정을 액세스 수준에 추가합니다.

    • Storage Transfer Service 프로젝트가 Cloud Storage 버킷의 서비스 경계 외부에 있는 경우
    • 서비스 계정이 경계 내 프로젝트에 있지만 project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com 형식에 맞지 않는 경우

      서비스 계정의 형식을 찾으려면 googleServiceAccounts.get API 호출을 사용합니다.

    이 옵션을 사용하면 Storage Transfer Service 프로젝트를 서비스 경계 내에 배치할 필요가 없습니다. 또한 Storage Transfer Service 서비스 계정의 요청만 허용하도록 액세스 수준을 구성할 수 있습니다.

서비스 경계

서비스 경계를 사용하려면 서비스 경계 만들기의 안내를 따라 다음 프로젝트 및 서비스를 포함합니다.

  • TransferJob 프로젝트
  • Cloud Storage 버킷 프로젝트
  • Cloud Storage API(storage.googleapis.com)
  • Storage Transfer Service API(storagetransfer.googleapis.com)

경계 브리지

경계 브리지를 사용하려면 다음 안내를 따르세요.

  1. Storage Transfer Service에 서비스 경계를 만듭니다.

  2. 연결할 경계 브리지를 만듭니다.

    • TransferJob 프로젝트
    • Cloud Storage 버킷 프로젝트

액세스 수준

액세스 수준을 사용하려면 액세스 수준 만들기의 안내를 따라 TransferJob 서비스 계정에 액세스 권한을 부여합니다.

액세스 수준을 만든 후 Cloud Storage 버킷이 포함된 Google Cloud 프로젝트에 대한 액세스를 제한하는 서비스 경계에 액세스 수준을 추가합니다.

문제해결

문제 해결 도움말은 VPC 서비스 제어 문제 해결을 참조하세요.