Usa el Servicio de transferencia de almacenamiento con los Controles del servicio de VPC

El Servicio de transferencia de almacenamiento admite transferencias a buckets de Cloud Storage protegidos por los Controles del servicio de VPC.

El Servicio de transferencia de almacenamiento necesita acceder a los buckets de Cloud Storage para transferir los datos hacia ellos o entre ellos. Si tienes bucket dentro de un perímetro de servicio de Controles del servicio de VPC, se requiere una configuración adicional para usar el Servicio de transferencia de almacenamiento a fin de transferir datos a Cloud Storage.

Para proteger las solicitudes TransferJob y TransferOperation, puedes agregar la API del Servicio de transferencia de almacenamiento como un servicio protegido a los perímetros de servicio. Para proteger los depósitos y los objetos subyacentes de Cloud Storage, también debes agregar la API de Cloud Storage como un servicio protegido al perímetro de servicio.

Consulta Descripción general de los Controles del servicio de VPC para obtener más información sobre estos.

Si deseas obtener información sobre el uso de los Controles del servicio de VPC con el servicio de transferencia de datos locales, consulta Usa la transferencia de datos locales con los Controles del servicio de VPC.

Configuraciones admitidas

Puedes configurar el Servicio de transferencia de almacenamiento para que funcione con depósitos de Cloud Storage que están protegidos por los Controles del servicio de VPC mediante los siguientes métodos:

  • Puedes agregar tu proyecto del Servicio de transferencia de almacenamiento al perímetro de servicio de tus bucket de Cloud Storage si se cumple alguna de las siguientes condiciones:

    • Puedes configurar tus buckets de Cloud Storage con un perímetro de servicio único.
    • Todos tus buckets de Cloud Storage se encuentran dentro del mismo perímetro de servicio.

    Esta opción solo está pensado para las transferencias entre buckets de Cloud Storage. Es opción más sencillo para realizar la configuración y la administración.

  • Crea un puente perimetral para todos los proyectos que contengan los buckets de Cloud Storage que usas en una transferencia si se cumple alguna de las siguientes condiciones:

    • No puedes cambiar los perímetros de servicio de tus buckets de Cloud Storage.
    • Tienes buckets de Cloud Storage en diferentes perímetros de servicio.

    Esta opción permite que el proyecto del Servicio de transferencia de almacenamiento transfiera datos entre los proyectos de Cloud Storage, incluso si ambos proyectos se encuentran en diferentes perímetros de servicio. Esta opción también garantiza que el acceso a tus perímetros de bucket de Cloud Storage provenga de un conjunto restringido de servicios y recursos.

  • Agrega la cuenta de servicio del Servicio de transferencia de almacenamiento a un nivel de acceso si se cumple alguna de las siguientes condiciones:

    • Deseas transferir datos de un proveedor de servicios en la nube externo a un bucket de Cloud Storage que se encuentra dentro de un perímetro de servicio.
    • El proyecto del Servicio de transferencia de almacenamiento se encuentra fuera del perímetro de servicio del depósito de Cloud Storage.
    • La cuenta de servicio no se ajusta al formato project-project_number@storage-transfer-service.iam.gserviceaccount.com, incluso si pertenece a un proyecto que se encuentra dentro de un perímetro.

    Esta opción no requiere que coloques el proyecto del Servicio de transferencia de almacenamiento dentro de un perímetro de servicio. También te permite configurar el nivel de acceso para permitir solo solicitudes de la cuenta de servicio del Servicio de transferencia de almacenamiento.

Perímetro de servicio

Si deseas usar un perímetro de servicio, sigue las instrucciones que se encuentran en Crea un perímetro de servicio para incluir los siguientes proyectos:

  • El proyecto TransferJob
  • Los proyectos del bucket de Cloud Storage

Hazlo también para proteger los siguientes servicios:

  • La API de Cloud Storage (storage.googleapis.com)
  • La API del Servicio de transferencia de almacenamiento (storagetransfer.googleapis.com)

Puente perimetral

Para usar un puente perimetral, haz lo siguiente:

  1. Crea un perímetro de servicio para el Servicio de transferencia de almacenamiento.

  2. Crea un puente perimetral para conectar los siguientes elementos:

    • El proyecto TransferJob
    • Los proyectos del bucket de Cloud Storage

Nivel de acceso

Si deseas usar un nivel de acceso, sigue las instrucciones que se encuentran en Crea un nivel de acceso para otorgar acceso a la cuenta de servicio TransferJob.

Después de crear el nivel de acceso, agrégalo al perímetro de servicio que restringe el acceso a los proyectos de Google Cloud que contienen los depósitos de Cloud Storage.

Soluciona problemas

Si deseas obtener ayuda para la solución de problemas, consulta Solución de problemas de los Controles del servicio de VPC.