Usa el Servicio de transferencia de almacenamiento con los Controles del servicio de VPC

El Servicio de transferencia de almacenamiento tiene compatibilidad Beta para las transferencias a depósitos de Cloud Storage que están protegidos por los Controles del servicio de VPC.

El Servicio de transferencia de almacenamiento necesita acceder a los depósitos de Cloud Storage para transferir los datos hacia ellos o entre ellos. Si tienes depósitos que se encuentran dentro de un perímetro de servicio de los Controles del servicio de VPC, necesitas establecer una configuración adicional con el fin de usar el Servicio de transferencia de almacenamiento para transferir datos a Cloud Storage.

Para proteger las solicitudes TransferJob y TransferOperation, puedes agregar la API del Servicio de transferencia de almacenamiento como un servicio protegido a los perímetros de servicio. Para proteger los depósitos y los objetos subyacentes de Cloud Storage, también debes agregar la API de Cloud Storage como un servicio protegido al perímetro de servicio.

Consulta Descripción general de los Controles del servicio de VPC para obtener más información sobre estos.

Si deseas obtener información sobre el uso de los Controles del servicio de VPC con el servicio de transferencia de datos locales, consulta Usa la transferencia de datos locales con los Controles del servicio de VPC.

Configuraciones admitidas

Puedes configurar el Servicio de transferencia de almacenamiento para que funcione con depósitos de Cloud Storage que están protegidos por los Controles del servicio de VPC mediante los siguientes métodos:

  • Si todos los depósitos de Cloud Storage se encuentran en el mismo perímetro de servicio o si puedes cambiarlos para que lo estén, puedes agregar el proyecto del Servicio de transferencia de almacenamiento al perímetro de servicio de los depósitos de Cloud Storage.

    Este método solo está pensado para las transferencias entre depósitos de Cloud Storage. Es el método más sencillo para realizar la configuración y la administración.

  • Si no puedes cambiar los perímetros de servicio de los depósitos de Cloud Storage o si tienes depósitos de Cloud Storage en diferentes perímetros de servicio, crea un puente perimetral en todos los proyectos que contengan los depósitos de Cloud Storage hacia los que deseas transferir datos.

    Este método permite que el proyecto del Servicio de transferencia de almacenamiento transfiera datos entre los proyectos de Cloud Storage, incluso si ambos proyectos se encuentran en diferentes perímetros de servicio. Mediante este método, también se garantiza que el acceso a los perímetros del depósito de Cloud Storage se realice a través de un conjunto restringido de servicios y recursos.

  • Considera si tu caso es similar a una de las siguientes situaciones:

    • Deseas transferir datos de un proveedor de servicios en la nube externo a un depósito de Cloud Storage que se encuentra dentro de un perímetro de servicio.
    • El proyecto del Servicio de transferencia de almacenamiento se encuentra fuera del perímetro de servicio del depósito de Cloud Storage.
    • La cuenta de servicio no se ajusta al formato project-project_number@storage-transfer-service.iam.gserviceaccount.com, incluso si pertenece a un proyecto que se encuentra dentro de un perímetro.

    Entonces, agrega la cuenta de servicio del Servicio de transferencia de almacenamiento a un nivel de acceso.

    Para este método, no es necesario que coloques el proyecto del Servicio de transferencia de almacenamiento dentro de un perímetro de servicio. Te permite configurar el nivel de acceso a fin de permitir solo las solicitudes provenientes de la cuenta de servicio del Servicio de transferencia de almacenamiento.

Perímetro de servicio

Si deseas usar un perímetro de servicio, sigue las instrucciones que se encuentran en Crea un perímetro de servicio para incluir los siguientes proyectos:

  • El proyecto TransferJob
  • Los proyectos del depósito de Cloud Storage

Hazlo también para proteger los siguientes servicios:

  • La API de Cloud Storage (storage.googleapis.com)
  • La API del Servicio de transferencia de almacenamiento (storagetransfer.googleapis.com)

Puente perimetral

Para usar un puente perimetral, haz lo siguiente:

  1. Crea un perímetro de servicio para el Servicio de transferencia de almacenamiento.

  2. Crea un puente perimetral para conectar los siguientes elementos:

  • El proyecto TransferJob
  • Los proyectos del depósito de Cloud Storage

Nivel de acceso

Si deseas usar un nivel de acceso, sigue las instrucciones que se encuentran en Crea un nivel de acceso para otorgar acceso a la cuenta de servicio TransferJob.

Después de crear el nivel de acceso, agrégalo al perímetro de servicio que restringe el acceso a los proyectos de Google Cloud que contienen los depósitos de Cloud Storage.

Soluciona problemas

Si deseas obtener ayuda para la solución de problemas, consulta Solución de problemas de los Controles del servicio de VPC.