Configurer VPC Service Controls pour les transferts de stockage d'objet cloud

Le service de transfert de stockage accepte les transferts vers des buckets Cloud Storage protégés par VPC Service Controls.

Le service de transfert de stockage nécessite l'accès aux buckets Cloud Storage afin de déplacer des données dans ou entre ces buckets. Si vous disposez de buckets dans un périmètre de service VPC Service Controls, une configuration supplémentaire est nécessaire pour utiliser le service de transfert de stockage afin de transférer des données vers Cloud Storage.

Pour protéger vos requêtes TransferJob et TransferOperation, vous pouvez ajouter l'API du service de transfert de stockage à vos périmètres de service en tant que service protégé. Pour protéger les objets et les buckets Cloud Storage sous-jacents, vous devez également ajouter l'API Cloud Storage à votre périmètre de service en tant que service protégé.

Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Pour plus d'informations sur l'utilisation de VPC Service Controls avec les transferts du système de fichiers, consultez la section Configurer VPC Service Controls pour les transferts du système de fichiers.

Configurations compatibles

Vous pouvez configurer le service de transfert de stockage pour qu'il fonctionne avec les buckets Cloud Storage protégés par VPC Service Controls à l'aide des méthodes suivantes :

  • Vous pouvez ajouter votre projet de service de transfert de stockage au périmètre de service de vos buckets Cloud Storage si l'une des conditions suivantes est remplie:

    • Vous pouvez configurer vos buckets Cloud Storage dans un seul périmètre de service.
    • Tous vos buckets Cloud Storage se trouvent dans le même périmètre de service.

    Cette option est la plus simple à configurer et à gérer.

  • Créez une liaison de périmètre pour tous les projets contenant les buckets Cloud Storage que vous utilisez dans un transfert si l'une des conditions suivantes est remplie:

    • Vous ne pouvez pas modifier les périmètres de service de vos buckets Cloud Storage.
    • Vous disposez de buckets Cloud Storage dans différents périmètres de service.

    Cette option permet à votre projet de service de transfert de stockage de transférer des données entre vos projets Cloud Storage, même si les deux projets se trouvent dans des périmètres de service différents. Cette option garantit également que l'accès à vos périmètres de bucket Cloud Storage s'effectue à partir d'un ensemble restreint de services et de ressources.

  • Ajoutez le compte de service du service de transfert de stockage à un niveau d'accès si l'un des scénarios suivants s'applique à votre cas:

    • Votre projet de service de transfert de stockage ne fait pas partie du périmètre de service de votre bucket Cloud Storage.
    • Votre compte de service ne respecte pas le format project-PROJECT_NUMBER@storage-transfer-service.iam.gserviceaccount.com, même s'il appartient à un projet à l'intérieur d'un périmètre.

      Pour rechercher le format de votre compte de service, utilisez l'appel d'API googleServiceAccounts.get.

    Cette option ne vous oblige pas à placer le projet du service de transfert de stockage dans un périmètre de service. Il vous permet également de configurer le niveau d'accès pour n'autoriser que les requêtes provenant du compte de service du service de transfert de stockage.

Périmètre de service

Pour utiliser un périmètre de service, suivez les instructions de la section Créer un périmètre de service afin d'inclure les projets et services suivants:

  • Projet TransferJob
  • Projets de bucket Cloud Storage
  • API Cloud Storage (storage.googleapis.com)
  • API du service de transfert de stockage (storagetransfer.googleapis.com)

Liaison de périmètre

Pour utiliser une liaison de périmètre :

  1. Créez un périmètre de service pour le service de transfert de stockage.

  2. Créez une liaison de périmètre pour connecter :

    • Projet TransferJob
    • Projets de bucket Cloud Storage

Niveau d'accès

Pour utiliser un niveau d'accès, suivez les instructions de la page Créer un niveau d'accès afin d'accorder l'accès au compte de service TransferJob.

Après avoir créé votre niveau d'accès, ajoutez le niveau d'accès à votre périmètre de service qui limite l'accès aux projets Google Cloud contenant vos buckets Cloud Storage.

Dépannage

Pour obtenir de l'aide sur la résolution des problèmes, consultez la page Dépannage de VPC Service Controls.